Krótka odpowiedź (TL;DR)
Data Act od 12 września 2025 r. daje użytkownikom połączonych produktów i powiązanych usług szerszy dostęp do danych generowanych przez te produkty. Producent lub posiadacz danych nie może traktować telemetrii z samochodu, maszyny, licznika, urządzenia medycznego czy systemu smart building wyłącznie jako własnego zasobu.
1. Dane z urządzenia mają pracować także dla użytkownika
Największa zmiana polega na przesunięciu punktu ciężkości: użytkownik ma móc uzyskać dane i przekazać je wybranemu podmiotowi trzeciemu, np. niezależnemu serwisowi, ubezpieczycielowi, dostawcy analityki albo operatorowi floty. To może otworzyć rynek usług posprzedażowych, ale wymusi też mapowanie danych, API i procedury kontroli dostępu.
Z perspektywy odpowiedzialności producenta nie jest to rewolucja znikąd. SN w „wprowadzenie do obrotu materiałów budowlanych, które nie spełniają norm jakościowych" → III CSK 261/07 wiązał odpowiedzialność z jakością produktu. W świecie IoT jakość obejmuje nie tylko fizyczny produkt, lecz także dane, aktualizacje i możliwość bezpiecznego korzystania z informacji.
2. Tajemnica przedsiębiorstwa nie blokuje wszystkiego automatycznie
Data Act chroni tajemnice przedsiębiorstwa, ale wymaga proporcjonalnego podejścia. Posiadacz danych powinien zidentyfikować dane objęte tajemnicą i zaproponować środki ochronne: umowy poufności, ograniczenia techniczne, kontrolę dostępu. Odmowa udostępnienia ma być wyjątkowa i uzasadniona, zwłaszcza gdy grozi poważna szkoda gospodarcza.
To praktycznie oznacza, że firmy powinny przygotować dwie mapy: mapę danych dostępnych dla użytkownika oraz mapę danych, których nie udostępniają z konkretnym uzasadnieniem. Samo hasło "know-how" może nie wystarczyć.
3. Dane osobowe nadal mają pierwszeństwo
Jeżeli dane z urządzenia są danymi osobowymi, Data Act nie znosi RODO. Dostęp użytkownika do danych nie może prowadzić do bezprawnego ujawnienia danych innych osób, np. kierowców, pracowników, lokatorów albo pacjentów. W praktyce trzeba rozdzielać role: użytkownik produktu, osoba, której dane dotyczą, administrator, podmiot przetwarzający i posiadacz danych.
W orzecznictwie produktowym pojawia się podobna myśl o przewidywalnym użyciu. W „producent powinien przewidzieć także niewłaściwe użycie maszyny" → I Ca 21/17 sąd akcentował obowiązek przewidywania ludzkich zachowań. Data Act wymaga analogicznego przewidywania nadużyć danych.
4. Najciekawszy take: przewagę wygra ten, kto umie oddać dane bez utraty kontroli
Data Act nie mówi: "oddaj wszystko każdemu". Mówi raczej: "zaprojektuj produkt i usługę tak, aby legalny dostęp był możliwy". Firmy, które od początku budują eksport danych, logi zgód i warstwy anonimizacji, będą miały przewagę nad tymi, które potraktują żądania użytkowników jako wyjątkowe reklamacje.
Praktyczna lista kontrolna
- ustal, jakie dane generuje produkt, które są osobowe, a które techniczne lub telemetryczne.
- zaprojektuj eksport danych dla użytkownika i dla wskazanego przez niego podmiotu trzeciego.
- oznacz tajemnice przedsiębiorstwa i przygotuj proporcjonalne środki ochrony poufności.
- opisz sytuacje, w których odmowa udostępnienia danych wymaga pisemnego uzasadnienia.
- przetestuj, czy dział obsługi klienta potrafi obsłużyć żądanie bez ręcznej improwizacji.
Najczęstszy błąd
Najczęstszy błąd to mieszanie danych użytkownika z danymi diagnostycznymi producenta. Im wcześniej firma rozdzieli warstwy danych, tym łatwiej spełni żądanie dostępu bez ujawnienia tajemnicy przedsiębiorstwa albo danych osób trzecich.
Źródła
Data Act, rozporządzenie (UE) 2023/2854; art. 3-5 i przepisy o tajemnicy przedsiębiorstwa; orzecznictwo o odpowiedzialności producenta i przewidywalnym użyciu produktu.