Data Act to rozporządzenie UE, które wprowadza nowe zasady dostępu do danych generowanych przez urządzenia połączone z siecią oraz usługi cyfrowe. Ma zapewnić równowagę między producentami, użytkownikami i podmiotami przetwarzającymi dane osobowe i nieosobowe. Użytkownicy zyskają wówczas większą kontrolę nad swoimi danymi, dzięki sprawiedliwemu dostępowi do produktów i usług, z których korzystają. Będą mieli również możliwość większego wyboru dostawców usług, a rynek stanie się bardziej konkurencyjny.

Data Act nakłada również wiele obowiązków na producentów i na inne podmioty przetwarzające dane. Muszą m.in.: umożliwić użytkownikom dostęp do wykorzystania danych generowanych przez urządzenia IoT, czy wyznaczyć podmioty odpowiedzialne za stosowanie i egzekwowanie przepisów Data Act.

Celem regulacji jest ujednolicenie podejścia do udostępniania danych, ich wykorzystywania i przenoszenia w obrębie Unii Europejskiej.

Data Act dotyczy wielu branż, takich jak technologia informacyjna, telekomunikacja, produkcja przemysłowa, zdrowie, transport, energetyka, rolnictwo oraz handel detaliczny. Są to m.in.

• producenci i dostawcy usług z sektora IoT – są zobowiązani do udostępniania danych generowanych przez dane urządzenia,


• producenci sprzętu – muszą dostosować swoje modele biznesowe do nowych zasad związanych głównie z przechowywaniem i udostępnianiem danych,


• dostawcy usług w chmurze – muszą udostępniać użytkownikom dane generowane przez ich usługi,


• operatorzy platform SaaS – są zobowiązani dostosować swoje usługi do wymagań Data Act,


• odbiorcy danych w UE– podmioty, które otrzymują dane zgodnie z Data Act, są zobowiązane postępować według zasad ich przetwarzania i wykorzystania,


• organy administracji publicznej i użytkownicy końcowi, którzy mogą żądać dostępu do danych w nadzwyczajnych okolicznościach.

Zapisy aktu w sprawie danych mają zastosowanie dla firm niezależnie od ich lokalizacji, o ile przetwarzają one dane użytkowników z UE lub oferują im swoje usługi. Przedsiębiorstwa działające na terenie UE podlegają również pod przepisy RODO – niezależnie od tego skąd pochodzi firma.

Wraz ze wzrostem ilości danych udostępnianych podmiotom trzecim rośnie ryzyko naruszenia ich integralności, poufności i dostępności. Oznacza to, że systemy firm, a także ich partnerzy przetwarzający dane, muszą spełniać wysokie standardy bezpieczeństwa. Punkt 43. preambuły rozporządzenia zakłada, że firmy wymieniające się danymi będą miały swobodę w ustalaniu warunków tej wymiany, także w przypadku danych związanych z bezpieczeństwem.

Dane objęte rozporządzeniem mogą ponadto pochodzić z systemów OT (Operational Technology), które do tej pory często były poza zakresem polityk bezpieczeństwa IT. Ich udostępnianie oznacza więc konieczność zabezpieczenia tych środowisk, które z natury są mniej odporne na współczesne zagrożenia cybernetyczne.

Nietrudno też wyobrazić sobie sytuację, w której cyberprzestępcy podszywają się pod istniejące podmioty w celu wyłudzenia danych, do których nie powinni mieć dostępu. Przeciwdziałanie takim sytuacjom będzie wymagało wdrożenia procedur kontrolnych oraz zwiększenia poziomu security awareness wśród pracowników.

W sytuacji, w której organy publiczne będą chciały skorzystać z udostępnionych przez firmę danych, muszą one zapewnić ich pełną poufność i bezpieczeństwo. Oznacza to konieczność wdrożenia przez nie rozwiązań z zakresu cyberbezpieczeństwa, takich jak zarządzanie dostępem czy szyfrowanie (w spoczynku i w ruchu), dzięki którym otrzymane dane będą w pełni chronione.

Data Act w Polsce nie funkcjonuje w oderwaniu od dotychczasowych ram prawnych. Jego wdrożenie nakłada się na obowiązujące już regulacje, takie jak RODO, NIS2 czy DGA (Data Governance Act). Każda z nich reguluje inne obszary przetwarzania i udostępniania danych.

Data Act a RODO

W kontekście Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) Data Act wprowadza dodatkowy poziom odpowiedzialności za dane osobowe. Choć rozporządzenie obejmuje również dane nieosobowe, to w praktyce często będą one przetwarzane razem. Stąd potrzeba, aby administratorzy danych zapewnili dostęp udzielany zgodnie z Data Act, nie naruszając przy tym przepisów wynikających z RODO.

Podczas przekazywania danych osobowych może jednak dojść do kolizji z chroniącymi je przepisami. Rozporządzenie zakłada, że wówczas pierwszeństwo mają regulacje obejmujące zasady przetwarzania danych osobowych.

W sytuacji, gdy dojdzie do bezprawnego naruszenia danych osobowych, np. w wyniku cyberataku, na firmę może zostać nałożona kara zgodnie z przepisami RODO, w wysokości do 20 mln euro lub 4% obrotu osiągniętego w poprzednim roku.

Data Act a NIS2

W relacji do NIS2 różnice mają charakter operacyjny i sektorowy. Data Act nie rozróżnia branż, ale koncentruje się na charakterze danych i obowiązku ich udostępniania. Firmy objęte NIS2 muszą więc dopilnować, żeby procesy wymiany danych zgodne z tym rozporządzeniem były odporne na zagrożenia i spełniały kryteria dotyczące ciągłości działania, ochrony integralności oraz niezawodności systemów.

Data Act a DGA

Podczas gdy DGA tworzy ramy instytucjonalne i mechanizmy pośrednictwa w dostępie do danych, Data Act ustanawia zasady samego ich udostępniania między podmiotami prywatnymi oraz publicznymi. Wspólnym mianownikiem jest konieczność ochrony danych przed nieautoryzowanym dostępem, manipulacją i utratą.

Dostosowanie się do nowych zasad udostępniania danych oznacza dla firm wyzwanie związane z koniecznością utrzymania zgodności z regulacjami przy jednoczesnym realnym zabezpieczeniu procesów i infrastruktury.

Co mogą zrobić firmy?

• Audyt i klasyfikacja danych – identyfikacja zasobów objętych obowiązkiem udostępniania i przypisanie im odpowiednich poziomów bezpieczeństwa, a także analiza mechanizmów ich udostępniania.


• Wdrożenie mechanizmów bezpiecznego udostępniania danych – zapewnienie technicznych i organizacyjnych możliwości bezpiecznego przesyłania, odbierania i gromadzenia danych objętych regulacjami, np. poprzez zabezpieczenie sieci firewallem nowej generacji.


• Monitoring i detekcja zagrożeń – analiza ruchu sieciowego realizowana przez wyspecjalizowane Security Operations Center pozwala na wykrywanie zagrożeń w czasie rzeczywistym i podejmowanie stosownych działań.


• Szyfrowanie danych w ruchu – wdrożenie bezpiecznych kanałów wymiany danych między partnerami biznesowymi z użyciem rozwiązań VPN i szyfrowania end-to-end zwiększa ich bezpieczeństwo.


• Ochrona otrzymanych danych – wdrożenie usługi klasy Managed UTM kompleksowo zwiększa bezpieczeństwo danych otrzymanych od innych podmiotów, redukując niebezpieczeństwo ich wycieku.

W UE jest coraz więcej wymagań prawnych, dlatego firmy muszą się do nich na bieżąco dostosowywać – dotyczy to również ochrony danych klientów. Wdrożenie wskazanych rozwiązań pozwala firmom sprostać wymaganiom regulacyjnym, bez narażania się na nowe zagrożenia wynikające z obowiązku udostępniania danych.