Sprawiedliwy dostęp do danych – co zmienia się dla przedsiębiorców i instytucji

W dobie gospodarki cyfrowej dostęp do danych oraz zasady ich udostępniania i wykorzystywania stają się jednym z fundamentów obrotu prawnego i gospodarczego. Coraz więcej procesów biznesowych, administracyjnych i technologicznych opiera się na danych generowanych przez urządzenia, systemy cyfrowe czy użytkowników. Dlatego prawodawca unijny i krajowy wprowadza nowe regulacje mające zapewnić sprawiedliwe i przejrzyste zasady dostępu do danych, przy jednoczesnym poszanowaniu prawa do prywatności i ochrony danych osobowych.

Podstawy prawne regulacji

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r., zwane Aktem w sprawie danych (Data Act; dalej „DA”), wprowadza ramy prawne dla wymiany danych pomiędzy przedsiębiorstwami, między przedsiębiorstwami a konsumentami, a także między przedsiębiorstwami a administracją publiczną. DA ma zastosowanie bezpośrednio we wszystkich państwach członkowskich od 12 września 2025 r.

Ponadto Urząd Ochrony Danych Osobowych (UODO) wskazuje, że Akt w sprawie danych koncentruje się na sprawiedliwym dostępie do danych, przy jednoczesnym zachowaniu ochrony danych osobowych. UODO podkreśla, iż DA nie wypiera Rozporządzenia (UE) 2016/679 (RODO) i pozostaje komplementarny do niego. Wszelkie operacje przetwarzania danych osobowych muszą być prowadzone zgodnie z RODO, niezależnie od przepisów DA.

Założenia ustawy o sprawiedliwym dostępie do danych i ich wykorzystywaniu

Obowiązujące przepisy nie przewidują rozwiązań odpowiadających wszystkim mechanizmom regulowanym przez DA, dlatego konieczne jest uchwalenie nowych regulacji. Dlatego do harmonogramu prac legislacyjnych Rady Ministrów wprowadzono założenia ustawy o sprawiedliwym dostępie do danych i ich wykorzystywaniu (UC114). Zgodnie z wykazem prac KPRM projekt ustawy (UC114) ma zostać przyjęty przez Radę Ministrów w IV kwartale 2025 r.

Centralnym elementem ustawy ma być ustanowienie właściwego organu odpowiedzialnego za stosowanie i egzekwowanie DA. Do jego zadań należeć będzie m.in. upowszechnianie wiedzy o prawach i obowiązkach wynikających z DA, rozpatrywanie skarg, prowadzenie postępowań i nakładanie administracyjnych kar pieniężnych, monitorowanie sytuacji technologicznej i gospodarczej w obszarze danych, współpraca z organami innych państw członkowskich i Komisją Europejską, a także koordynacja działań z krajowymi organami, w tym z organem ochrony danych osobowych. Funkcję tę ma pełnić Prezes Urzędu Komunikacji Elektronicznej (UKE).

W sytuacji, gdy państwo członkowskie wyznacza więcej niż jeden organ, konieczne jest powołanie koordynatora danych. W Polsce, z uwagi na przyjęcie modelu jednego właściwego organu, rolę koordynatora będzie pełnił również Prezes UKE. Zadania obejmą m.in. publikowanie wniosków o dane składanych przez sektor publiczny, promowanie dobrowolnych umów o udostępnianie danych oraz raportowanie Komisji przypadków ograniczeń w dostępie do danych ze względów bezpieczeństwa lub ochrony tajemnicy handlowej.

Dodatkowo projekt przewiduje wyznaczenie organu do spraw certyfikacji organów rozstrzygania sporów, którego zadaniem będzie certyfikacja i zgłaszanie Komisji Europejskiej podmiotów uprawnionych do rozstrzygania sporów pomiędzy użytkownikami, posiadaczami danych i dostawcami usług pośrednictwa danych. Funkcję tę również pełnić ma Prezes UKE.

Projekt ustawy obejmuje także ustanowienie przepisów proceduralnych i regulacji dotyczących administracyjnych kar pieniężnych. Wzorują się one na rozwiązania już istniejących w polskim prawie, m.in. w prawie komunikacji elektronicznej i Kodeksie postępowania administracyjnego. Mają one zapewnić skuteczność i proporcjonalność sankcji w przypadku naruszeń przepisów DA.

Zasady opracowane przez EDPB i modelowe klauzule umowne

Europejska Rada Ochrony Danych (EDPB) przyjęła Stanowisko 4/2025 w sprawie projektów nieobowiązujących modelowych klauzul umownych (Model Contractual Terms – MCTs) dotyczących udostępniania danych na podstawie DA. EDPB wskazuje, że klauzule powinny jasno rozgraniczać dane osobowe i nieosobowe, precyzyjnie określać użytkowników (osoby fizyczne i prawne) oraz gwarantować prymat ochrony danych osobowych nad regulacjami DA w przypadku kolizji. Powinny również przewidywać stosowanie odpowiednich mechanizmów RODO, takich jak standardowe klauzule ochrony danych (SCC), w odniesieniu do transferów do państw trzecich.

FAQ Komisji Europejskiej – kluczowe zagadnienia praktyczne

Komisja Europejska opublikowała zestaw „Frequently Asked Questions” dotyczących DA, aby ułatwić jego implementację. FAQ podkreślają, że DA ustanawia poziome ramy prawne wykorzystania danych, które muszą respektować podstawowe prawa, w tym prawo do prywatności i ochrony danych osobowych. Celem jest wspieranie innowacji, konkurencji (np. ułatwienie zmiany dostawcy usług chmurowych), interoperacyjności systemów oraz zwiększenie dostępności danych przemysłowych i konsumenckich.

Skutki dla przedsiębiorców i instytucji – obowiązki i ryzyka

Dla podmiotów objętych DA kluczowe będą trzy obszary: dostosowanie umów o udostępnianie danych do nowych wymogów (w tym do MCTs), przygotowanie się do współpracy z organami publicznymi i wdrożenie odpowiednich procedur wewnętrznych oraz zapewnienie zgodności z krajowymi regulacjami proceduralnymi i sankcyjnymi, które zostaną przyjęte w ramach nowej ustawy.

Rekomendacje

Wobec nadchodzących zmian należy przeprowadzić audyt dotychczasowych umów dotyczących danych, przygotować wewnętrzne procedury zgodności z DA, wyznaczyć osoby odpowiedzialne za kontakty z organami i szkolić kadrę menedżerską oraz prawną w zakresie nowych obowiązków. Rekomendowane jest również dokumentowanie zgód i decyzji dotyczących udostępniania danych oraz regularne przeprowadzanie oceny ryzyka prawnego.

Podsumowanie

DA i projekt ustawy o sprawiedliwym dostępie do danych i ich wykorzystywaniu wprowadzają istotne zmiany dla przedsiębiorstw, instytucji publicznych i konsumentów. W centrum regulacji znajdują się transparentność, sprawiedliwy dostęp do danych, interoperacyjność systemów oraz ochrona praw osób fizycznych. Przygotowanie się do nadchodzących obowiązków już teraz pozwoli ograniczyć ryzyka prawne i wykorzystać nowe możliwości wynikające z jednolitych ram regulacyjnych w Unii Europejskiej.