Iwona Aleksandrowicz-Strus dla Dziennika Gazety Prawnej: „Data Act zmienia reguły gry w cyfrowym biznesie i wymusza nowe podejście do danych”
Od 12 września 2025 r. w całej Unii Europejskiej zaczyna obowiązywać Data Act – rozporządzenie, które rewolucjonizuje zasady dostępu, przenoszenia i udostępniania danych. Firmy IoT, dostawcy usług chmurowych i pośrednicy będą musieli zapewnić interoperacyjność, transparentne umowy oraz swobodny transfer danych. Kto nie przygotuje się na czas, ryzykuje sankcjami i utratą przewagi rynkowej – pisze w Dzienniku Gazecie Prawnej managing senior associate Iwona Aleksandrowicz-Strus. Zapraszamy do lektury!
Kto musi stosować Data Act
Data Act to rozporządzenie, które działa bezpośrednio – bez konieczności implementacji do prawa krajowego. Obejmuje swoim zakresem producentów urządzeń IoT, sprzedawców i pośredników, a także dostawców usług cyfrowych (SaaS, PaaS, IaaS). Mikro- i małe przedsiębiorstwa mogą korzystać z pewnych wyjątków, ale dotyczy to głównie producentów sprzętu – dostawcy usług cyfrowych muszą przestrzegać wszystkich wymogów niezależnie od wielkości.
Data Act a RODO – dwa różne światy
Istotne z perspektywy firm jest to, że Data Act nie zastępuje RODO, lecz działa obok niego. O ile RODO koncentruje się na ochronie danych osobowych, Data Act reguluje dostęp do wszystkich danych – zarówno osobowych, jak i nieosobowych – by wspierać innowacje i konkurencję. Przedsiębiorstwa muszą więc wdrożyć oba akty równolegle.
Kiedy można odmówić dostępu do danych
Producenci mogą odmówić dostępu do danych w ściśle określonych sytuacjach – gdy zagrożona jest tajemnica przedsiębiorstwa, bezpieczeństwo użytkowników lub gdy nakładają to obowiązki prawne. Dostawcy usług cyfrowych mają znacznie mniejszą swobodę w tym zakresie, co wynika z celów rozporządzenia mających na celu przeciwdziałanie vendor lock-in.
Szansa na nowy model biznesowy
Data Act może stanowić szansę dla przedsiębiorców – otwiera dostęp do danych wcześniej „zamkniętych” w ekosystemach dużych firm i eliminuje bariery w przenoszeniu danych między dostawcami. Wymaga jednak odwagi i gotowości do działania w otwartym, przejrzystym modelu biznesowym. Firmy, które zignorują te zmiany, mogą znaleźć się w trudnej sytuacji konkurencyjnej.
Które firmy muszą stosować Data Act i jakie są wyjątki? Czy wdrożenie RODO wystarcza do spełnienia wymogów Data Act? Kiedy producent może odmówić dostępu do danych i czy dostawcy usług cyfrowych mają takie same uprawnienia?
Na te i wiele innych pytań dotyczących praktycznego zastosowania Data Act w swoim tekście, który ukazał się w Dzienniku Gazecie Prawnej, odpowiada Iwona Aleksandrowicz-Strus.
