Data Act a RODO
Obowiązujące już rozporządzenie unijne zwane Data Act zmieni sposób, w jaki firmy gromadzą i udostępniają dane. Data Act w praktyce często „spotyka się” z RODO – w jaki sposób współgrają te dwa europejskie rozporządzenia dotyczące danych? Jak pogodzić ochronę prywatności z obowiązkiem dzielenia się danymi?
Regulacje i ich stosowanie
RODO (rozporządzenie 2016/679) obowiązuje od 2018 roku i ustanawia ogólnounijny standard ochrony danych osobowych.
Data Act (rozporządzenie 2023/2854), przyjęty w 2023 r., stosowany jest od września 2025 r. i reguluje w szczególności dostęp do danych generowanych przez urządzenia, usługi i systemy.
Razem tworzą ramy prawne, które mają chronić jednostkę i jednocześnie rozwijać gospodarkę opartą na danych. Regulacje należy interpretować komplementarnie – szczególnie w sytuacjach, gdy dane techniczne zawierają elementy osobowe.
Cele normatywne
Celem RODO jest ochrona praw i wolności osób fizycznych, minimalizacja ryzyka oraz zapewnienie kontroli nad własnymi danymi.
Z kolei Data Act promuje swobodny przepływ danych w UE, by wspierać konkurencję, innowacje i nowe modele biznesowe. Data Act nakłada nowe obowiązki związane z dostępem do danych, ich udostępnianiem osobom trzecim oraz interoperacyjnością usług cyfrowych.
Choć te cele są różne, to w praktyce się uzupełniają – równoległe stosowanie uwzględnia obie wartości: ochronę podmiotu danych oraz interes publiczny i gospodarczy.
Przedmiot regulacji
RODO obejmuje wyłącznie dane osobowe, definiowane w art. 4 pkt 1 jako informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
Data Act dotyczy wszystkich danych generowanych przez korzystanie z produktów lub usług, bez względu na ich charakter.
W konsekwencji, jeśli dane udostępniane na podstawie Data Act zawierają elementy osobowe, stosuje się reżim RODO.
Obowiązki firm
Na gruncie Data Act producenci i dostawcy usług mają obowiązek umożliwić użytkownikowi dostęp do danych generowanych przez produkt oraz przekazać je wskazanym podmiotom trzecim. Realizacja tego obowiązku musi być jednak zgodna z zasadami ograniczenia celu i minimalizacji z RODO.
W praktyce oznacza to konieczność wdrożenia procedur kontraktowych i technicznych zabezpieczeń.
Ryzyka w praktyce
Niewłaściwe wdrożenie Data Act może prowadzić do naruszeń RODO. Przykładowo przekazanie danych osobowych podmiotowi trzeciemu bez odpowiedniej podstawy prawnej będzie stanowiło naruszenie art. 6 RODO. Ryzykiem jest także brak prawidłowej anonimizacji.
Sankcje mogą być kumulatywne: kary administracyjne z RODO oraz odpowiedzialność kontraktowa z Data Act.
Podstawy prawne przetwarzania
RODO wymaga, aby każde przetwarzanie danych miało podstawę prawną, np. zgodę, umowę czy obowiązek prawny.
Data Act wprowadza obowiązek udostępnienia, ale nie zastępuje wymogów RODO. Firmy muszą więc wskazać, na jakiej podstawie prawnej przekażą dane, aby uniknąć zarzutów o nielegalne przetwarzanie.
Jak pogodzić przepisy?
Aby pogodzić oba reżimy, administrator powinien wdrożyć procedury klasyfikacji danych, pseudonimizacji oraz anonimizacji. Niezbędne jest zawieranie umów regulujących dostęp i dalsze wykorzystanie danych.
Kluczowe są także oceny skutków dla ochrony danych, gdy udostępnianie może powodować wysokie ryzyko dla praw i wolności osób.
Co Data Act oznacza dla biznesu?
Data Act i RODO należy traktować łącznie jako część unijnej strategii danych. Przedsiębiorcy powinni przygotować kompleksowe programy compliance: audyt przepływów danych, procedury kontraktowe i techniczne środki bezpieczeństwa.
Brak dostosowania do września 2025 r. grozi nie tylko sankcjami finansowymi, lecz także utratą zaufania kontrahentów i partnerów biznesowych.
Wpis powstał w ramach 60. wydania Compliance Insights. W formie graficznej można go znaleźć na naszym profilu na LinkedIn i Bazie wiedzy.
