Data Act a RODO – jak współgrają dwa europejskie rozporządzenia dotyczące danych?

03 września 2025

W dobie cyfryzacji dane stały się jednym z najcenniejszych zasobów – zarówno dla sektora prywatnego, jak i publicznego. Unia Europejska, jako lider w zakresie regulacji cyfrowych, nie ogranicza się wyłącznie do ochrony danych osobowych. Wprowadzenie rozporządzenia Data Act (UE 2023/2854) podyktowane było chęcią ukierunkowania na zapewnienie sprawiedliwego podziału korzyści płynących z dostępu do danych technicznych. Data Act, które wejdzie w życie 12 września 2025, nie zastępuje RODO, lecz je uzupełnia, tworząc ramy dla równoległego stosowania obu aktów – szczególnie w sytuacjach, gdy dane techniczne zawierają elementy osobowe (co często może się zdarzać).

Komplementarność regulacyjna Data Act

Data Act nie wprowadza odrębnego systemu ochrony danych osobowych. Jego przepisy są projektowane z pełnym poszanowaniem zasad wynikających z RODO. W przypadku danych osobowych generowanych przez urządzenia IoT, administratorzy muszą stosować zasady takie jak minimalizacja danych, przejrzystość przetwarzania oraz zapewnienie odpowiedniej podstawy prawnej. Jednocześnie Data Act nakłada nowe obowiązki związane z dostępem do danych, ich udostępnianiem osobom trzecim oraz interoperacyjnością usług cyfrowych.

Obowiązki informacyjne w Data Act – przejrzystość wobec użytkowników produktów i usług

Jednym z kluczowych obszarów regulacji Data Act są obowiązki informacyjne wobec użytkowników. Zgodnie z art. 3 ust. 3, przed zawarciem umowy o świadczenie usługi powiązanej, powinni oni otrzymać jasne informacje m.in. dotyczące rodzaju i ilości danych generowanych przez produkt, sposobu ich przechowywania oraz zasad dostępu. Co istotne, obowiązki te dotyczą wszystkich podmiotów w łańcuchu dostaw – nie tylko producentów, ale także sprzedawców, leasingodawców czy operatorów usług. Pojęcie użytkownika w rozumieniu Data Act obejmuje szerokie spektrum podmiotów: od konsumentów, przez przedsiębiorstwa, po instytucje publiczne.

Dostęp do danych i interoperacyjność w Data Act – nowe standardy dla usług cyfrowych

Data Act przyznaje użytkownikom prawo do dostępu do danych – zarówno bezpośredniego, jak i pośredniego. W przypadku braku możliwości bezpośredniego dostępu, posiadacz danych zobowiązany jest do ich udostępnienia w sposób bezpieczny, bezpłatny, w ustrukturyzowanym formacie nadającym się do odczytu maszynowego, a jeśli to możliwe – w czasie rzeczywistym. Rozporządzenie wprowadza również obowiązki dla dostawców usług chmurowych, mające na celu ułatwienie migracji danych, eliminację zjawiska vendor lock-in oraz zapewnienie przejrzystości warunków umownych. Te rozwiązania wspierają rozwój innowacyjnych usług cyfrowych, zwiększając ich dostępność i konkurencyjność na rynku europejskim.

 

Dr Mirosław Gumularz, radca prawny i ekspert z zakresu ochrony danych osobowych oraz usług świadczonych drogą elektroniczną w nowym szkoleniu "Data Act a RODO – czy akt o danych tworzy równoległy do RODO system ochrony danych?" dostępnym w LEX Ochrona Danych Osobowych rozwija powyższą problematykę.

 

Zachęcamy do zapoznania się także z nowymi publikacjami z zakresu Data Act:

 

Komentarze praktyczne:

Obowiązki informacyjne w Data Act

Dostęp bezpośredni i pośredni do danych (na gruncie Data Act)

Wymagania dostawców usług chmurowych wynikające z Data Act

Prawo użytkownika do dzielenia się danymi z osobami trzecimi na gruncie Data Act

 

Wzory:

Lista kontrolna stosowania Data Act 

Klauzula informacyjna zgodna z art. 3 ust. 3 aktu w sprawie danych (Data Act)

Klauzula informacyjna zgodna z art. 3 ust. 2 aktu w sprawie danych (Data Act)

Procedura stosowania aktu w sprawie danych (Data Act) w organizacji

 

 

Maja Pichlak | Młodsza Redaktorka
Czytaj więcej w LEX Ochrona Danych Osobowych

Polecane

Czytaj więcej w dostępie testowym
Polecamy między innymi:
Masz dostęp do LEX-a? Zaloguj się
Nie masz dostępu do LEX-a? Zamów dostęp testowy

Zapisaliśmy Twój kod rabatowy.

Twój kod rabatowy automatycznie wczyta się w koszyku.