Data Act – kogo dotyczy? Co z ochroną danych? | Biznes Netia
Menu przestrzeni klienckich

Data Act – kogo dotyczy? Jak akt w sprawie danych zmienia podejście do ich ochrony?

09 września 2025, Autor: Tomasz Łużak, Product Manager, Cybersecurity - Netia S.A.

Data Act to unijne rozporządzenie, które zmienia zasady udostępniania danych gromadzonych przez firmy. Dzięki temu dostęp do nich ma być bardziej sprawiedliwy. Wraz z nowymi obowiązkami pojawiają się jednak dodatkowe wyzwania związane z zabezpieczeniem informacji przesyłanych do innych podmiotów i od nich otrzymywanych. Od kiedy Data Act obowiązuje w Polsce? Przepisy weszły w życie 11 stycznia 2024 roku, a termin obowiązywania w pełni dla dostawców usług przetwarzania danych to 12 września 2025 roku.

Dowiedz się więcej!
lub zadzwoń
+ 48 22 35 81 550
 
 
 
   

Data Act – co to jest i kogo dotyczy?

 

Data Act to rozporządzenie UE, które wprowadza nowe zasady dostępu do danych generowanych przez urządzenia połączone z siecią oraz usługi cyfrowe. Ma zapewnić równowagę między producentami, użytkownikami i podmiotami przetwarzającymi dane osobowe i nieosobowe. Użytkownicy zyskają wówczas większą kontrolę nad swoimi danymi, dzięki sprawiedliwemu dostępowi do produktów i usług, z których korzystają. Będą mieli również możliwość większego wyboru dostawców usług, a rynek stanie się bardziej konkurencyjny.

 

Data Act nakłada również wiele obowiązków na producentów i na inne podmioty przetwarzające dane. Muszą m.in.: umożliwić użytkownikom dostęp do wykorzystania danych generowanych przez urządzenia IoT, czy wyznaczyć podmioty odpowiedzialne za stosowanie i egzekwowanie przepisów Data Act.

 

Celem regulacji jest ujednolicenie podejścia do udostępniania danych, ich wykorzystywania i przenoszenia w obrębie Unii Europejskiej.

 

Data Act dotyczy wielu branż, takich jak technologia informacyjna, telekomunikacja, produkcja przemysłowa, zdrowie, transport, energetyka, rolnictwo oraz handel detaliczny. Są to m.in.

 
  • producenci i dostawcy usług z sektora IoT – są zobowiązani do udostępniania danych generowanych przez dane urządzenia,

  • producenci sprzętu – muszą dostosować swoje modele biznesowe do nowych zasad związanych głównie z przechowywaniem i udostępnianiem danych,

  • dostawcy usług w chmurze – muszą udostępniać użytkownikom dane generowane przez ich usługi,

  • operatorzy platform SaaS – są zobowiązani dostosować swoje usługi do wymagań Data Act,

  • odbiorcy danych w UE– podmioty, które otrzymują dane zgodnie z Data Act, są zobowiązane postępować według zasad ich przetwarzania i wykorzystania,

  • organy administracji publicznej i użytkownicy końcowi, którzy mogą żądać dostępu do danych w nadzwyczajnych okolicznościach.
 

Zapisy aktu w sprawie danych mają zastosowanie dla firm niezależnie od ich lokalizacji, o ile przetwarzają one dane użytkowników z UE lub oferują im swoje usługi. Przedsiębiorstwa działające na terenie UE podlegają również pod przepisy RODO – niezależnie od tego skąd pochodzi firma.

 

Wpływ Data Act na cyberbezpieczeństwo przedsiębiorstw

 

Wraz ze wzrostem ilości danych udostępnianych podmiotom trzecim rośnie ryzyko naruszenia ich integralności, poufności i dostępności. Oznacza to, że systemy firm, a także ich partnerzy przetwarzający dane, muszą spełniać wysokie standardy bezpieczeństwa. Punkt 43. preambuły rozporządzenia zakłada, że firmy wymieniające się danymi będą miały swobodę w ustalaniu warunków tej wymiany, także w przypadku danych związanych z bezpieczeństwem.

 

Dane objęte rozporządzeniem mogą ponadto pochodzić z systemów OT (Operational Technology), które do tej pory często były poza zakresem polityk bezpieczeństwa IT. Ich udostępnianie oznacza więc konieczność zabezpieczenia tych środowisk, które z natury są mniej odporne na współczesne zagrożenia cybernetyczne.

 

Nietrudno też wyobrazić sobie sytuację, w której cyberprzestępcy podszywają się pod istniejące podmioty w celu wyłudzenia danych, do których nie powinni mieć dostępu. Przeciwdziałanie takim sytuacjom będzie wymagało wdrożenia procedur kontrolnych oraz zwiększenia poziomu security awareness wśród pracowników.

 

W sytuacji, w której organy publiczne będą chciały skorzystać z udostępnionych przez firmę danych, muszą one zapewnić ich pełną poufność i bezpieczeństwo. Oznacza to konieczność wdrożenia przez nie rozwiązań z zakresu cyberbezpieczeństwa, takich jak zarządzanie dostępem czy szyfrowanie (w spoczynku i w ruchu), dzięki którym otrzymane dane będą w pełni chronione.

 

Data Act a inne regulacje

 

Data Act w Polsce nie funkcjonuje w oderwaniu od dotychczasowych ram prawnych. Jego wdrożenie nakłada się na obowiązujące już regulacje, takie jak RODO, NIS2 czy DGA (Data Governance Act). Każda z nich reguluje inne obszary przetwarzania i udostępniania danych.

 

Data Act a RODO

 

W kontekście Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) Data Act wprowadza dodatkowy poziom odpowiedzialności za dane osobowe. Choć rozporządzenie obejmuje również dane nieosobowe, to w praktyce często będą one przetwarzane razem. Stąd potrzeba, aby administratorzy danych zapewnili dostęp udzielany zgodnie z Data Act, nie naruszając przy tym przepisów wynikających z RODO.

 

Podczas przekazywania danych osobowych może jednak dojść do kolizji z chroniącymi je przepisami. Rozporządzenie zakłada, że wówczas pierwszeństwo mają regulacje obejmujące zasady przetwarzania danych osobowych.

 

W sytuacji, gdy dojdzie do bezprawnego naruszenia danych osobowych, np. w wyniku cyberataku, na firmę może zostać nałożona kara zgodnie z przepisami RODO, w wysokości do 20 mln euro lub 4% obrotu osiągniętego w poprzednim roku.

 

Data Act a NIS2

 

W relacji do NIS2 różnice mają charakter operacyjny i sektorowy. Data Act nie rozróżnia branż, ale koncentruje się na charakterze danych i obowiązku ich udostępniania. Firmy objęte NIS2 muszą więc dopilnować, żeby procesy wymiany danych zgodne z tym rozporządzeniem były odporne na zagrożenia i spełniały kryteria dotyczące ciągłości działania, ochrony integralności oraz niezawodności systemów.

 

Data Act a DGA

 

Podczas gdy DGA tworzy ramy instytucjonalne i mechanizmy pośrednictwa w dostępie do danych, Data Act ustanawia zasady samego ich udostępniania między podmiotami prywatnymi oraz publicznymi. Wspólnym mianownikiem jest konieczność ochrony danych przed nieautoryzowanym dostępem, manipulacją i utratą.

 

Praktyczne kroki dla firm w kontekście Data Act i cyberbezpieczeństwa

 

Dostosowanie się do nowych zasad udostępniania danych oznacza dla firm wyzwanie związane z koniecznością utrzymania zgodności z regulacjami przy jednoczesnym realnym zabezpieczeniu procesów i infrastruktury.

 

Co mogą zrobić firmy?

 
  • Audyt i klasyfikacja danych – identyfikacja zasobów objętych obowiązkiem udostępniania i przypisanie im odpowiednich poziomów bezpieczeństwa, a także analiza mechanizmów ich udostępniania.

  • Wdrożenie mechanizmów bezpiecznego udostępniania danych – zapewnienie technicznych i organizacyjnych możliwości bezpiecznego przesyłania, odbierania i gromadzenia danych objętych regulacjami, np. poprzez zabezpieczenie sieci firewallem nowej generacji.

  • Monitoring i detekcja zagrożeń – analiza ruchu sieciowego realizowana przez wyspecjalizowane Security Operations Center pozwala na wykrywanie zagrożeń w czasie rzeczywistym i podejmowanie stosownych działań.

  • Szyfrowanie danych w ruchu – wdrożenie bezpiecznych kanałów wymiany danych między partnerami biznesowymi z użyciem rozwiązań VPN i szyfrowania end-to-end zwiększa ich bezpieczeństwo.

  • Ochrona otrzymanych danych – wdrożenie usługi klasy Managed UTM kompleksowo zwiększa bezpieczeństwo danych otrzymanych od innych podmiotów, redukując niebezpieczeństwo ich wycieku.
 

W UE jest coraz więcej wymagań prawnych, dlatego firmy muszą się do nich na bieżąco dostosowywać – dotyczy to również ochrony danych klientów. Wdrożenie wskazanych rozwiązań pozwala firmom sprostać wymaganiom regulacyjnym, bez narażania się na nowe zagrożenia wynikające z obowiązku udostępniania danych.

 

Formularz kontaktowy

Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą

Formularz kontaktowy

Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą

Inne formy kontaktu

  • alt1

    Infolinia dla nowych klientów
    (Codziennie 8:00 - 18:00)
    +48 22 35 81 550

  • alt2

    Obsługa klienta i wsparcie techniczne
    (Dostępne 24/7)
    801 801 999
    biznes@netia.pl

  • alt3

    Adres korespondencyjny Netia S.A.
    skr. pocztowa nr 597
    40-950 Katowice S105

Polecane treści:

Wybierz swój język ×