Exit plan w Data Act a DORA

Dlaczego plany wyjścia są tak istotne?

Plany wyjścia mają przede wszystkim zapewnić bezpieczeństwo cyfrowe oraz ułatwić zmianę dostawcy. Obowiązek ten wynika przede wszystkim z dwóch unijnych rozporządzeń: DORA oraz Data Act. Choć oba akty prawne różnią się celami i adresatami, nakładają na przedsiębiorców wymóg wdrożenia odpowiednich mechanizmów – każdorazowo dostosowanych do specyfiki świadczonych usług.

Planując wdrożenie lub aktualizację usług cyfrowych, warto mieć na uwadze pełen zestaw obowiązujących regulacji, aby zapewnić zgodność z prawem oraz ochronę interesów swojej firmy.

Data Act vs DORA – ogólne uwagi

Zarówno DORA, jak i Data Act zaczęły być stosowane na terenie całej Unii Europejskiej w 2025 roku. DORA jest stosowana od 17 stycznia, a Data Act – od 12 września tego roku. Oba akty prawne mają formę rozporządzeń, co oznacza, że obowiązują bezpośrednio w Polsce, bez konieczności implementacji do prawa krajowego. Pomimo tego toczą się prace ustawodawcze, które mają na celu doprecyzowanie zasad stosowania obu regulacji na poziomie krajowym.

Co reguluje DORA, a co Data Act?

Głównym celem DORA jest zwiększenie odporności operacyjnej podmiotów działających w sektorze finansowym. Rozporządzenie ma ograniczyć ryzyka związane z cyberatakami oraz innymi incydentami z zakresu bezpieczeństwa cyfrowego.

W praktyce przepisy DORA dotyczą jednak nie tylko instytucji finansowych, lecz także ich partnerów – dostawców technologii informacyjno-komunikacyjnych (ICT). DORA wprowadza szereg wymogów dotyczących treści umów między instytucją finansową a dostawcą ICT. Jednym z nich jest obowiązek opracowania planu wyjścia.

Z kolei Data Act obejmuje przedsiębiorców świadczących usługi oparte na danych (np. analiza, personalizacja usług, rozwiązania AI czy Fintech). Regulacja nie ogranicza się do danych osobowych – dotyczy przede wszystkim danych nieosobowych, takich jak dane organizacyjne czy techniczne. Jej głównym celem jest ułatwienie dostępu do danych oraz umożliwienie użytkownikom łatwiejszej zmiany dostawcy. Z tego względu także przepisy Data Act szczegółowo regulują kwestie związane z planem wyjścia.

Plan wyjścia w DORA

DORA wymaga, by każda instytucja finansowa opracowała plan wyjścia dotyczący współpracy z dostawcą usług ICT wspierających krytyczne funkcje. Za krytyczną funkcję uznaje się taką, której zakłócenie mogłoby istotnie wpłynąć na wyniki finansowe, ciągłość usług lub bezpieczeństwo instytucji.

Elementy, które musi zawierać plan wyjścia w DORA

Plan wyjścia powinien uwzględniać ryzyka związane z usługami ICT, w szczególności potencjalne awarie lub pogorszenie jakości usług. Musi być sporządzony niezależnie od samej umowy z dostawcą, regularnie przeglądany i w razie potrzeby – aktualizowany.

Plan powinien być realistyczny i wykonalny, oparty na prawdopodobnych scenariuszach i racjonalnych założeniach. Powinien zawierać harmonogram wdrożenia zgodny z warunkami, na jakich umowy z dostawcami mogą być rozwiązane oraz być testowany w sposób proporcjonalny do skali działalności przedsiębiorstwa. Plan wyjścia stanowi część polityki w zakresie korzystania z usług ICT wspierających krytyczne lub istotne funkcje świadczonych przez zewnętrznych dostawców usług ICT.

Powiązania z wytycznymi EBA

Wymogi te nawiązują do wcześniejszych wytycznych EBA dotyczących outsourcingu (EBA/GL/2019/02 z 25 lutego 2019 r.), które również wymagały określenia zasad rozwiązywania umów outsourcingowych, alternatywnych rozwiązań i planów przejściowych. EBA zalecała, by instytucje z góry określały kryteria powodzenia migracji usług oraz wskaźniki, których spełnienie wskazywało na konieczność przeniesienia usług do innego dostawcy.

Umowne uregulowanie zasad okresu przejściowego

Obok tak przygotowanego planu wyjścia podmiot finansowy powinien zawrzeć odpowiednie postanowienia w umowach, które są zawierane z dostawcami usług krytycznych.

Podstawowym celem regulacji umownych dotyczących planu wyjścia jest ustalenie zasad, na których usługi będą świadczone w okresie przejściowym, tj. pomiędzy rozwiązaniem umowy z dostawcą usługi ICT, a rozpoczęciem świadczenia usługi przez nowego dostawcę.

Umowa powinna zapewnić, by w tym czasie dostawca usług ICT zapewniał nadal odpowiednie usługi, tak aby zmniejszyć ryzyko zakłóceń w funkcjonowaniu instytucji z sektora finansowego. Dotychczasowy dostawca powinien także umożliwić podmiotowi finansowemu migrację do nowego dostawcy usług.

Celem wszystkich procedur powinno być to, by możliwie szybko i bezpiecznie przenieść swoje operacje do innego dostawcy lub do infrastruktury on-premise, jeżeli nastąpi taka konieczność.

Plan wyjścia w Data Act

Jednym z głównych celów Data Act jest usunięcie barier w zmianie dostawcy usług cyfrowych. Rozporządzenie zobowiązuje dostawców do eliminowania wszelkich przeszkód – prawnych i faktycznych – które mogłyby ograniczać prawo użytkownika do przeniesienia danych lub korzystania z nich w ramach własnej infrastruktury on-premise.

Prawa użytkownika końcowego w procesie zmiany dostawcy

To użytkownik końcowy powinien mieć władanie nad własnymi danymi. Umowa z dostawcą powinna więc zapewniać mu możliwość wyboru: przeniesienia danych do innego dostawcy, zachowania ich lokalnie lub całkowitego usunięcia po zakończeniu umowy.

Terminy na zmianę dostawcy i migrację danych

Data Act wprowadza także konkretne terminy dotyczące rozwiązania umowy i przeniesienia danych (lub zmiany dostawcy):

• Okres wypowiedzenia rozpoczynającego proces zmiany dostawcy nie może przekroczyć 2 miesięcy;
• Przeniesienie danych lub zmiana dostawcy powinny nastąpić niezwłocznie, nie później niż po upływie obowiązkowego maksymalnego okresu przejściowego wynoszącego 30 dni kalendarzowego od zakończenia okresu wypowiedzenia rozpoczynającego proces zmiany dostawcy;
• W wyjątkowych przypadkach termin przeniesienia danych/zmiany dostawcy może zostać przedłużony, ale – w przypadku dostawcy – nie dłużej niż do 7 miesięcy.

Obowiązki dostawcy w okresie przejściowym

Przez cały okres przejściowy dostawca ma obowiązek utrzymać ciągłość usług. Po jego zakończeniu klient powinien mieć możliwość pobrania danych przez co najmniej 30 dni, a następnie dostawca musi je całkowicie usunąć.

Dostawca ma również obowiązek wspierać klienta w procesie zmiany dostawcy oraz informować o wszelkich znanych zagrożeniach dla ciągłości świadczenia usług.

Opłaty za migrację danych

Umowa powinna jasno określać, które kategorie danych podlegają przeniesieniu, a które nie. Do 11 stycznia 2027 roku dostawcy mogą pobierać opłaty za czynności związane ze zmianą dostawcy, jednak nie wyższe niż rzeczywiste koszty poniesione w związku z tym procesem. Od 12 stycznia 2027 roku pobieranie takich opłat będzie zasadniczo zabronione, poza wyjątkami, gdy usługa została opracowana indywidualnie dla klienta. Usługa, która została opracowana indywidualnie to taka usługa, która nie ma znormalizowanego charakteru i nie została przygotowana dla szerszego grona klientów. Wysokość opłaty zawsze powinna być wskazana w umowie.

Obowiązek informacyjny dostawcy

Dostawcy muszą także udzielać klientom informacji o procedurach zmiany dostawcy, zakresie danych możliwych do przeniesienia oraz rejestrach, w których dane są przechowywane. Jednocześnie Data Act nie wymaga od dostawców tworzenia nowych technologii ani ujawniania tajemnic przedsiębiorstwa lub własności intelektualnej w celu przekazania danych.

Podstawowe różnice pomiędzy planem wyjścia w DORA i Data Act

Różnice pomiędzy DORA a Data Act są znaczące i wynikają z odmiennego celu obu regulacji.

Przepisy DORA nie mają żadnych postanowień, które uniemożliwiałyby dostawcom usług ICT, wspierających krytyczne funkcje, pobieranie dodatkowych opłat za świadczenie usług w okresie przejściowym. W przypadku Data Act tego typu opłaty będą od stycznia 2027 roku w większości przypadków wyłączone, a już dziś ich wysokość jest znacząco ograniczona.

Czas trwania okresu przejściowego

Kolejną różnicą jest projektowana długość okresu przejściowego. DORA nie wprowadza żadnych konkretnych ram czasowych trwania tego okresu. Pozostawia większą elastyczność instytucjom finansowym, które dostosowują plan wyjścia do realiów konkretnej współpracy. W przypadku Data Act został określony maksymalny czas trwania wypowiedzenia, rozpoczynającego proces zmiany dostawcy, jak i co do zasady maksymalny czas trwania okresu przejściowego.

Odmienne cele regulacji

Te różnice odzwierciedlają odmienną filozofię obu regulacji.

DORA koncentruje się na operacyjnej odporności cyfrowej sektora finansowego, natomiast Data Act – na swobodzie przepływu danych i elastyczności w zmianie dostawcy, a także zwiększeniu konkurencyjności na rynku usług przetwarzania danych.

Fakt, że temat planu wyjścia pojawia się w obu aktach, pokazuje jednak, że unijny ustawodawca przywiązuje coraz większą wagę do kwestii zarządzania relacjami z dostawcami technologii. Przedsiębiorcy powinni uważnie przyjrzeć się temu obszarowi, przygotowując się na pełne wdrożenie nowych regulacji europejskich.