Olimpia Florek, radca prawny, kancelaria Graś i Wspólnicy, w komentarzu eksperckim o unijnej polityce cyfrowej i Data Act.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie harmonijnych zasad dostępu do danych i ich wykorzystywania (określane jako Data Act) stanowi fundamentalny instrument regulacyjny w ramach unijnej polityki cyfrowej, mający na celu ustanowienie przejrzystych i sprawiedliwych zasad funkcjonowania rynku danych. Akt ten wszedł w życie 11 stycznia 2024 r., natomiast jego stosowanie rozpoczęło się z dniem 12 września 2025 r.
Jako element szerszej strategii legislacyjnej Unii Europejskiej, Data Act uzupełnia obowiązujące już regulacje, takie jak ogólne rozporządzenie o ochronie danych osobowych (RODO) czy Data Governance Act, i służy budowie europejskiej przestrzeni danych opartej na zasadach równowagi, interoperacyjności i zrównoważonego rozwoju technologicznego.
Głównym celem rozporządzenia jest zapewnienie użytkownikom – zarówno konsumentom, jak i przedsiębiorcom – rzeczywistej kontroli nad danymi generowanymi przez urządzenia cyfrowe i powiązane usługi, w szczególności w kontekście tzw. Internetu Rzeczy (IoT).
Użytkownicy tych urządzeń zyskują prawo dostępu do danych powstających w wyniku ich użytkowania w sposób bezpośredni, nieodpłatny oraz w formacie umożliwiającym dalsze wykorzystanie i ponowne przetwarzanie. Wymaga to od producentów i dostawców usług projektowania urządzeń w sposób zapewniający dostępność danych już na etapie ich tworzenia (zasada „design for access”) oraz przekazywania przejrzystych informacji o zakresie, charakterze i sposobie przetwarzania danych.
Data Act wprowadza także szereg mechanizmów mających na celu przeciwdziałanie
koncentracji zasobów danych w rękach dominujących podmiotów rynkowych oraz
wspieranie równych warunków konkurencji. Ułatwienie dostępu do danych przez podmioty
trzecie – w szczególności małe i średnie przedsiębiorstwa oraz startupy – ma przyczynić się
do pobudzenia innowacyjności oraz zwiększenia konkurencyjności unijnej gospodarki
cyfrowej.
W tym kontekście szczególną uwagę poświęcono przeciwdziałaniu nieuczciwym
warunkom umownym, które dotychczas często były narzucane przez silniejsze strony
stosunków gospodarczych. Rozporządzenie wprowadza zakaz stosowania asymetrycznych
klauzul umownych dotyczących udostępniania danych oraz wymaga, aby wszelkie
zobowiązania kontraktowe były formułowane w sposób przejrzysty i proporcjonalny.
Regulacja przewiduje również możliwość dostępu do danych przez organy sektora
publicznego w sytuacjach wyjątkowej potrzeby, takich jak katastrofy naturalne, zagrożenia
zdrowia publicznego czy inne stany nadzwyczajne. Mechanizm ten oparty jest na zasadzie
proporcjonalności, a jego zastosowanie ograniczono do ściśle określonych przypadków, w
których dane pozostające w posiadaniu podmiotów prywatnych mogą mieć kluczowe
znaczenie dla realizacji zadań publicznych.
Jednocześnie rozporządzenie wprowadza odpowiednie zabezpieczenia w celu ochrony praw i interesów właścicieli danych. Ważnym obszarem objętym regulacją jest także rynek usług przetwarzania danych, w szczególności usług chmurowych.
Data Act ustanawia środki mające na celu zapewnienie większej przejrzystości,
interoperacyjności oraz konkurencji na tym rynku, przeciwdziałając praktykom prowadzącym do tzw. uzależnienia od jednego dostawcy (vendor lock-in). Ułatwienie zmiany dostawcy usług oraz przenoszenia danych między różnymi platformami ma wspierać mobilność danych i wzmacniać bezpieczeństwo cyfrowe użytkowników.
Rozporządzenie pociąga za sobą konkretne obowiązki po stronie producentów, którzy będą zobowiązani do uwzględnienia aspektów związanych z dostępem do danych już na etapie projektowania i wdrażania produktów. Dostawcy usług przetwarzania danych zostaną zobligowani do dostosowania swoich warunków umownych do wymogów wynikających z Data Act.
Użytkownicy natomiast zyskują nie tylko formalne uprawnienia, ale również realne instrumenty umożliwiające egzekwowanie praw związanych z ich danymi. Z perspektywy odpowiedzialności prawnej istotne jest, że niewykonanie obowiązków wynikających z rozporządzenia może skutkować nałożeniem sankcji administracyjnych, w tym kar finansowych. W przypadkach, w których przetwarzanie danych objętych regulacją Data Act dotyczy również danych osobowych, zastosowanie znajdą równolegle przepisy RODO, co wymaga od podmiotów przetwarzających danych zachowania szczególnej ostrożności w zakresie zgodności regulacyjnej.
Data Act jawi się jako przełomowy akt prawny, który redefiniuje zasady dostępu, wykorzystywania i kontroli nad danymi w Unii Europejskiej. Poprzez ustanowienie równowagi między interesami gospodarczymi a prawami użytkowników, rozporządzenie to wzmacnia fundamenty europejskiej suwerenności cyfrowej, a jego praktyczne znaczenie dla rozwoju nowoczesnej gospodarki cyfrowej będzie przedmiotem dalszej analizy w najbliższych latach.
