Wraz z dniem 12 września 2025 r. zaczęło obowiązywać unijne rozporządzenie Data Act (akt w sprawie danych) – przełomowy zbiór przepisów określany potocznie jako „nowe RODO” dla danych nieosobowych.

Podobnie jak RODO zrewolucjonizowało podejście do danych osobowych, tak Data Act radykalnie zmienia zasady dostępu do danych generowanych przez urządzenia elektroniczne (zwłaszcza urządzenia IoT) i powiązane z nimi usługi. Nowe regulacje dotkną nie tylko gigantów technologicznych, ale także producentów, importerów i dystrybutorów elektroniki – zarówno konsumenckiej, jak i profesjonalnej.

W praktyce oznacza to, że CEO i menedżerowie firm sprzedających „smart” urządzenia powinni już teraz zrozumieć kluczowe obowiązki wynikające z Data Act i przygotować swoje firmy na ich wdrożenie.

Poniżej w przystępny sposób wyjaśniamy, na czym polegają te nowe obowiązki, które weszły w życie 12 września 2025 r., oraz jak można je praktycznie zaimplementować w działalności związanej z elektroniką

Co to jest EU Data Act i kogo dotyczy?

Nie zagłębiając się w każdy szczegół rozporządzenia, można wyróżnić kluczowe nowe obowiązki, na które firmy produkujące i dystrybuujące elektronikę muszą być gotowe od 12 września 2025 r. Oto one:

1. Obowiązki informacyjne przed sprzedażą (transparentność) – Przed zawarciem umowy sprzedaży, najmu lub innego udostępnienia produktu skomunikowanego firma musi przekazać użytkownikowi jasne i zrozumiałe informacje m.in. o: jakie dane urządzenie może generować, w jakim formacie i szacunkowej ilości, gdzie i jak długo będą one przechowywane, oraz w jaki sposób użytkownik może uzyskać do nich dostęp. Podobny obowiązek dotyczy umowy o świadczenie usługi powiązanej – tu zakres informacji jest jeszcze szerszy, obejmując np. jakie dane usługa zbiera z urządzenia, jakie sama generuje, na jakich zasadach te dane będą przetwarzane i kto będzie ich posiadaczem. Innymi słowy, klient kupujący inteligentne urządzenie musi z góry wiedzieć, jakie dane ono zbiera i co się z nimi dzieje.

   Przykładowo, producent robota sprzątającego powinien poinformować w instrukcji lub umowie, że urządzenie skanuje mieszkanie i zapisuje mapę pomieszczeń na serwerze w chmurze przez określony czas, a użytkownik ma możliwość pobrania lub usunięcia tych danych np. poprzez aplikację. Spełnienie tego obowiązku wymaga aktualizacji materiałów informacyjnych, regulaminów i umów – tak aby wszystkie wymagane elementy (rodzaje danych, sposób dostępu, itp.) były ujęte w prostym języku zrozumiałym dla klienta.

2. Prawo użytkownika do dostępu do danych („dostęp do danych na żądanie”) – Użytkownik produktu skomunikowanego lub usługi powiązanej zyskuje prawo dostępu do wszelkich danych, które „współtworzy” podczas korzystania z produktu. Jeśli urządzenie lub usługa nie zapewnia bezpośrednio technicznej możliwości odczytu wszystkich generowanych danych, posiadacz danych (np. producent) ma obowiązek udostępnić je użytkownikowi na jego żądanie, i to bez żadnych opłat. Co ważne, dane muszą zostać przekazane szybko, w formacie zrozumiałym i nadającym się do odczytu maszynowego, w sposób ciągły i w czasie rzeczywistym (jeśli to technicznie możliwe).

   W praktyce oznacza to konieczność zapewnienia użytkownikom wygodnych narzędzi dostępu – np. panelu klienta, API lub eksportu danych z urządzenia. Nie można już zachowywać danych z urządzeń wyłącznie dla siebie – użytkownik ma do nich prawo jak do swoich. Co istotne, udostępnieniu podlegają dane surowe i metadane z urządzenia (np. odczyty czujników, logi działania), natomiast nie obejmuje to danych przetworzonych lub wywnioskowanych przez producenta (tzw. dane pochodne nie podlegają udostępnianiu na mocy Data Act)

3. Udostępnianie danych osobom trzecim na żądanie użytkownika – Data Act wprowadza również prawo użytkownika do przekazania danych wskazanemu przez niego podmiotowi trzeciemu. Na życzenie użytkownika (lub podmiotu działającego w jego imieniu) posiadacz danych musi przekazać dane z urządzenia bezpośrednio do wybranego odbiorcy danych – oczywiście na takich samych zasadach technicznych, jak udostępnia je użytkownikowi. Przykładowo, właściciel inteligentnego auta może zażądać, by producent pojazdu udostępnił dane o lokalizacji i stylu jazdy bezpośrednio do aplikacji ubezpieczyciela, jeśli chce skorzystać z zewnętrznej usługi pay-how-you-drive.

   Ważne: udostępnienie danych użytkownikowi jest zawsze darmowe, natomiast jeśli dane trafiają do firmy trzeciej, producent może ewentualnie zażądać od tej firmy uczciwej rekompensaty za koszty udostępnienia (ale nie od samego użytkownika). To zabezpiecza producentów przed ponoszeniem dużych kosztów na transfer danych do innych podmiotów – jednak opłata może pokrywać tylko koszty bezpośrednio związane z realizacją udostępnienia, nic ponadto.

4. Ograniczenie wykorzystania danych przez producenta (licencja od użytkownika) – Rewolucyjną zmianą jest to, że producent (posiadacz danych) sam nie może dowolnie korzystać z danych generowanych przez sprzedany produkt, o ile są to dane nieosobowe, chyba że uzyska na to zgodę użytkownika. W art. 4(13) Data Act wprost zapisano, że posiadacz danych może używać lub udostępniać dane z urządzenia wyłącznie na podstawie umowy (licencji) z użytkownikiem. Dotyczy to zarówno danych osobowych, jak i nieosobowych – w efekcie to użytkownik otrzymuje prawo decydowania o komercyjnym wykorzystaniu danych z urządzenia. Dla producentów oznacza to konieczność przemyślenia dotychczasowych modeli biznesowych opartych na danych.

   Jeśli np. producent zwykł wykorzystywać dane o użyciu urządzeń do celów badawczo-rozwojowych, ulepszania produktów lub usług serwisowych – teraz powinien to uregulować w umowie z użytkownikiem. W praktyce przy sprzedaży urządzenia lub w regulaminie usługi należy wprowadzić klauzulę licencyjną, w której użytkownik wyrazi zgodę na wykorzystanie danych nieosobowych przez producenta w określonym celu (np. doskonalenia produktów). Bez takiej zgody firma ryzykuje, że jej korzystanie z danych własnych produktów będzie nielegalne.

   To ogromna zmiana podejścia – wcześniej dane wygenerowane przez sprzęt były traktowane jako swobodnie dostępne dla producenta, teraz wymagają kontraktowego “pozwolenia” od użytkownika.

5. Uczciwe warunki umowne w relacjach data-sharing (B2B) – Data Act chroni także słabsze strony przed narzucaniem nieuczciwych postanowień umownych w umowach dotyczących udostępniania danych. Jeśli firma posiadająca dane ma dużo silniejszą pozycję niż druga strona (np. duży producent vs. mały startup korzystający z danych), pewne klauzule mogą zostać uznane za nieważne z mocy prawa.

   Rozporządzenie wyróżnia dwie kategorie: klauzule niedozwolone w każdej sytuacji (automatycznie nieważne) oraz klauzule domyślnie uznawane za nieuczciwe, chyba że narzucający wykaże ich uczciwość. W praktyce chodzi np. o zapisy skrajnie ograniczające odpowiedzialność za jakość danych albo wyłączające wszelkie prawa drugiej strony.

   Dla importerów i dystrybutorów elektroniki oznacza to konieczność przejrzenia wzorców umów, zwłaszcza jeśli współpracują z mniejszymi partnerami (np. dostawcami usług do swoich urządzeń), by usunąć potencjalnie nieuczciwe postanowienia.

   Porada: Warto też śledzić wzorcowe klauzule umowne opracowywane przez Komisję Europejską – choć nie są wiążące, stanowią wskazówkę, jakie warunki uznaje się za fair. (Komisja zapowiedziała publikację takich Model Contractual Terms dla różnych scenariuszy udostępniania danych – m.in. umowa posiadacz – użytkownik, użytkownik – odbiorca itd. Firmy mogą z nich korzystać jako punktu odniesienia).

6. Obowiązek udostępniania danych organom publicznym w sytuacjach wyjątkowych – Data Act zawiera osobny rozdział dot. dostępu do danych dla instytucji publicznych w razie zaistnienia nadzwyczajnej potrzeby. Jeśli dojdzie do sytuacji kryzysowej (np. klęski żywiołowej, pandemii) lub innej nagłej potrzeby publicznej, władze mogą zażądać od firm udostępnienia określonych danych na potrzeby przeciwdziałania kryzysowi. Dotyczy to np. danych z systemów transportowych przy powodzi czy danych z czujników jakości powietrza przy pożarach.

   Firma będąca posiadaczem danych ma obowiązek przekazać takie dane nieodpłatnie i bez zwłoki, o ile żądanie jest uzasadnione, proporcjonalne i ograniczone do niezbędnego minimum. Co istotne, w sytuacjach nieawaryjnych (gdy organ chce danych dla szeroko pojętego interesu publicznego, a nie nagłego kryzysu) – Data Act przewiduje, że firmom należy się „uczciwa” rekompensata finansowa za udostępnienie informacji. Na co dzień to obowiązek, o którym warto wiedzieć (należy mieć procedury na ewentualne wnioski od władz), choć miejmy nadzieję, że będzie uruchamiany rzadko.

7. Interoperacyjność i swoboda zmiany dostawcy usług w chmurze – Choć głównym tematem dla producentów elektroniki są udostępnianie danych IoT, Data Act wprowadza też reguły ułatwiające zmianę dostawcy usług przetwarzania danych (np. usług chmurowych). Jeżeli firma korzysta z usług chmury do przechowywania lub analizy danych, dostawcy cloud od nowego roku muszą ułatwić klientom przenoszenie danych i usług do innej chmury. Ma to ograniczyć tzw. vendor lock-in.

   W praktyce dostawcy powinni usuwać zapisy utrudniające migrację, zapewnić interoperacyjność formatów i API, a nawet stopniowo znosić opłaty za przenoszenie danych. Dla importerów/producenci IoT korzystających z chmur oznacza to, że mogą łatwiej zmienić dostawcę infrastruktury (np. przenieść dane urządzeń z jednej platformy cloud na inną) – co zwiększa ich elastyczność. Warto sprawdzić umowy z dostawcami pod tym kątem.

Jak widać, zakres nowych obowiązków jest szeroki – od zmian w umowach z klientami, przez techniczne zapewnienie dostępu do danych, po nowe zasady korzystania z danych i współpracy z innymi firmami. Data Act bywa nazywany „GDPR dla urządzeń” nie bez powodu – stawia użytkownika w centrum i zmusza firmy do przejrzystości oraz podzielenia się kontrolą nad danymi. Poniżej omawiamy jak praktycznie podejść do wdrożenia tych wymagań oraz z jakimi wyzwaniami trzeba się liczyć.

Podsumowując: Data Act to coś więcej niż kolejny obowiązek prawny. To zmiana filozofii prowadzenia biznesu w erze IoT. Warto tę filozofię zrozumieć i wdrożyć z głową, wykorzystując ją nawet jako element pozytywnego przekazu marketingowego (“Twoje dane z naszego urządzenia należą do Ciebie – my Ci w tym pomagamy”). Oczywiście, diabeł tkwi w szczegółach i wiele praktycznych aspektów będziemy dopiero odkrywać wraz z pierwszymi przypadkami stosowania prawa. Dlatego umiarkowany sceptycyzm i ostrożność są wskazane, ale nie powinny one hamować przygotowań. Lepiej być o krok do przodu, niż spóźnić się na rewolucję danych, która właśnie dzieje się na naszych oczach.

Na dzień 12 września 2025 r. to nie futurystyka, lecz obowiązujące prawo. Czas pokaże, jakie przyniesie efekty – jednak jedno jest pewne już teraz: ci, którzy porównują Data Act do RODO, wcale nie przesadzają. Skala zmiany dla biznesu może okazać się porównywalna, a dostosowanie się – równie konieczne, co trudne.

Dlatego już dziś każdy z Państwa powinien odpowiedzieć sobie na pytanie: czy jesteśmy gotowi na nowe zasady gry w świecie danych?

Jeśli nie do końca – najwyższa pora, by tę gotowość zbudować. Data Act nie czeka na nikogo.