Rozporządzenie (UE) 2023/2854 weszło w życie 11 stycznia 2024 r., a jego stosowanie rozpoczęło się 12 września 2025 r. Od tego dnia ma ono zastosowanie bezpośrednie we wszystkich państwach UE. Dla pełnego funkcjonowania części przepisów konieczne jest jednak przyjęcie uzupełniających regulacji krajowych. Dlatego do Wykazu prac legislacyjnych Rady Ministrów wpisano projekt ustawy o sprawiedliwym dostępie do danych i ich wykorzystywaniu, który będzie opiniowany m.in. przez prezesa UODO.

Akt w sprawie danych koncentruje się na sprawiedliwym dostępie do danych oraz prawach użytkowników, przy jednoczesnym zachowaniu ochrony danych osobowych. Akt w sprawie danych tworzy ramy prawne dla udostępniania i wykorzystywania danych pomiędzy firmami. Obejmuje to zarówno dane generowane w procesach produkcyjnych, jak i te powstające podczas korzystania z nowoczesnych technologii, np. urządzeń internetu rzeczy. Dzięki nowym regulacjom przedsiębiorstwa mają mieć równy dostęp do danych, co pozwoli im rozwijać innowacyjne produkty i usługi oraz konkurować na bardziej sprawiedliwych zasadach.

Rozporządzenie gwarantuje konsumentom prawo do dostępu do danych, które sami generują podczas korzystania z produktów i usług. Dotyczy to np. danych tworzonych przez inteligentne urządzenia domowe, aplikacje zdrowotne czy samochody podłączone do sieci. Użytkownik ma prawo zdecydować, kto może korzystać z tych danych i w jaki sposób. Dzięki temu konsumenci zyskują większą kontrolę nad informacjami oraz możliwość ich wykorzystania np. przy zmianie dostawcy usług.

Data Act reguluje także udostępnianie danych przez przedsiębiorstwa organom administracji publicznej. Ma to szczególne znaczenie w sytuacjach nadzwyczajnych, takich jak klęski żywiołowe czy kryzysy zdrowotne, kiedy szybki dostęp do danych jest kluczowy dla podejmowania decyzji. Jednocześnie rozporządzenie wprowadza zasady, które mają zapobiegać nadużyciom i zapewniać, że przekazywanie danych będzie odbywać się w sposób proporcjonalny, przejrzysty i uzasadniony interesem publicznym.

Rozporządzenie ułatwia również zmianę dostawców usług chmurowych, wprowadza standardy interoperacyjności i dotyczy m.in. danych generowanych przez urządzenia Internetu rzeczy czy usługi chmurowe.

Prezes UODO podkreśla, że Data Act nie zastępuje RODO, lecz działa komplementarnie. Ochrona danych osobowych nadal regulowana jest przez RODO, a wszystkie operacje przetwarzania danych osobowych w ramach Aktu w sprawie danych muszą być zgodne z RODO.

Zgodnie z art. 1 ust. 5 rozporządzenie pozostaje bez uszczerbku dla prawa Unii i prawa krajowego dotyczącego ochrony danych osobowych, prywatności i poufności komunikacji, w szczególności dla RODO, rozporządzenia (UE) 2018/1725 oraz dyrektywy 2002/58/WE.

Jeśli użytkownicy są osobami, których dane dotyczą, prawa przyznane w rozdziale II Aktu stanowią uzupełnienie prawa dostępu i prawa do przenoszenia danych wynikających z art. 15 i 20 RODO. W razie kolizji regulacji, pierwszeństwo mają przepisy dotyczące ochrony danych osobowych i prywatności.

Na mocy art. 37 ust. 3 organy nadzorcze monitorujące stosowanie RODO – w tym prezes UODO – odpowiadają również za nadzór nad stosowaniem Aktu w zakresie ochrony danych osobowych. To oznacza, że organy ochrony danych odgrywają aktywną rolę we wdrażaniu Data Act. Przykładem jest stanowisko Europejskiej Rady Ochrony Danych wobec zaleceń Komisji Europejskiej dotyczących modelowych postanowień umownych w zakresie dostępu do danych i ich wykorzystywania.

Komisja Europejska przygotowała odpowiedzi na najczęściej zadawane pytania dotyczące Data Act. Wyjaśniają one w przystępny sposób zasady wynikające z tego rozporządzenia, ułatwiając przedsiębiorcom i instytucjom przygotowanie się do jego stosowania.