Data Act w Niemczech i Polsce. Co musi zrobić e-commerce

Nikolaj Schlickewitz 6 min read
Podsumuj artykuł z AI
Podsumowanie wygenerowane automatycznie przez Gemini. Sprawdź pełną treść artykułu.

2.04.2026

Niemiecki Bundestag 26 marca 2026 roku przyjął projekty ustaw porządkujących krajowe stosowanie unijnych zasad dostępu do danych i zarządzania danymi. Chodzi o praktyczne uzupełnienie stosowania Data Act oraz równoległe doprecyzowanie ram dla Data Governance Act. Dla rynku to ważny sygnał, bo pokazuje, że unijna regulacja przechodzi z poziomu ogólnych zasad do poziomu realnego nadzoru i egzekwowania przez krajowe instytucje.

To o tyle istotne, że Data Act jest rozporządzeniem, a więc obowiązuje bezpośrednio w całej Unii Europejskiej. Nie trzeba czekać na ustawę krajową, by podstawowe obowiązki zaczęły działać. Przepisy krajowe są jednak potrzebne po to, by wskazać właściwy organ, określić procedury i sankcje oraz zorganizować egzekwowanie rozporządzenia w praktyce.

W Niemczech centralną rolę w tym systemie ma pełnić Bundesnetzagentur. To właśnie ten urząd, znany dotąd głównie z obszaru telekomunikacji, infrastruktury sieciowej i części regulacji cyfrowych, ma stać się głównym punktem kontaktu w sprawach związanych z Data Act. Z perspektywy firm działających na rynku niemieckim oznacza to, że sprawy dotyczące dostępu do danych, skarg i egzekwowania obowiązków nie będą rozproszone, lecz skupione wokół konkretnego regulatora.

Czego właściwie dotyczy Data Act

W praktyce Data Act odpowiada na pytanie, kto i na jakich warunkach może uzyskać dostęp do danych generowanych przez produkty skomunikowane oraz usługi z nimi powiązane. Chodzi między innymi o urządzenia smart home, samochody, maszyny przemysłowe, smartwatche i inne connected products, ale także o wybrane kwestie związane z przetwarzaniem danych w chmurze, zmianą dostawcy i interoperacyjnością.

To ważne również dla polskich firm, ale warto unikać zbyt szerokiego uproszczenia. Nie każda sprzedaż online automatycznie oznacza wejście w zakres Data Act. Sam fakt sprzedaży przez własny sklep, Amazon czy eBay jeszcze o tym nie przesądza. Znaczenie ma raczej to, czy firma wprowadza do obrotu produkt skomunikowany, oferuje usługę powiązaną z takim produktem, kontroluje dane generowane przez takie urządzenie albo świadczy usługi objęte innymi rozdziałami rozporządzenia.

Użytkownik ma dostać realny dostęp do danych

Najważniejsza zmiana polega na przesunięciu części kontroli nad danymi bliżej użytkownika. W założeniu Data Act producent lub dostawca usługi nie powinien mieć wyłącznej przewagi tylko dlatego, że jako jedyny widzi dane generowane przez urządzenie i sam decyduje, czy je komukolwiek pokaże. Rozporządzenie wzmacnia pozycję użytkownika, który ma otrzymać możliwość dostępu do tych danych, a w określonych sytuacjach także ich przekazania wskazanemu podmiotowi trzeciemu.

W praktyce może to mieć znaczenie choćby dla firm sprzedających urządzenia smart home, inteligentne AGD, elektronikę użytkową czy sprzęt przemysłowy z warstwą cyfrową. Jeżeli urządzenie działa przez aplikację, panel użytkownika lub chmurę i wytwarza dane eksploatacyjne, serwisowe albo środowiskowe, firma powinna zacząć patrzeć szerzej niż tylko na samą sprzedaż produktu. Kluczowe stają się pytania o to, jakie dane powstają, kto je kontroluje, komu i na jakiej podstawie mogą być udostępnione oraz czy firma ma w ogóle gotowy proces do obsługi takich żądań.

Nie chodzi tylko o relację użytkownik–producent

Data Act nie kończy się na relacji między użytkownikiem a producentem. W określonych prawem sytuacjach dane mogą być przekazywane również podmiotom trzecim. Z perspektywy rynku otwiera to przestrzeń dla usług serwisowych, analitycznych, integracyjnych i posprzedażowych, ale jednocześnie zwiększa ryzyko sporów dotyczących zakresu danych, bezpieczeństwa i odpowiedzialności za ich dalsze wykorzystanie.

To właśnie dlatego firmy powinny uporządkować swoje środowisko danych. W wielu organizacjach dane są dziś rozproszone między aplikacją, systemem reklamacyjnym, modułem gwarancyjnym, chmurą i narzędziami obsługi klienta. W modelu Data Act taki chaos przestaje być tylko problemem organizacyjnym, a staje się ryzykiem prawnym i operacyjnym. Co ważne, nowe obowiązki nie znoszą automatycznie ochrony tajemnicy przedsiębiorstwa. Oznacza to, że firmy muszą pogodzić obowiązki dostępu do danych z mechanizmami ochrony informacji wrażliwych.

Administracja też może sięgnąć po dane, ale nie w zwykłym trybie

W debacie publicznej sporo emocji budzi możliwość żądania dostępu do danych przez podmioty publiczne. Warto jednak opisywać ten mechanizm precyzyjnie. Data Act przewiduje go w sytuacjach wyjątkowej potrzeby, gdy dane są niezbędne do wykonania konkretnego zadania realizowanego w interesie publicznym. Nie chodzi więc o standardowy, codzienny dostęp państwa do danych prywatnych, lecz o szczególny tryb przewidziany rozporządzeniem.

Dla zwykłego sklepu internetowego, który sprzedaje wyłącznie towary bez warstwy danych urządzeniowych, znaczenie tego obszaru może być ograniczone. Zupełnie inaczej wygląda to jednak w przypadku producentów IoT, operatorów aplikacji, dostawców usług przetwarzania danych i integratorów systemów.

Nie wszystkie obowiązki zaczęły działać jednocześnie

To jeden z ważniejszych niuansów praktycznych. Od 12 września 2025 roku użytkownicy produktów skomunikowanych i usług powiązanych mogą dochodzić roszczeń dotyczących dostępu do danych i ich przekazywania. Jednocześnie część obowiązków związanych z projektowaniem produktów i usług tak, by dane były dostępne w odpowiedni sposób, została objęta okresem przejściowym do 12 września 2026 roku.

Dla biznesu oznacza to, że nie wystarczy hasłowo stwierdzić, że „Data Act już obowiązuje”. Trzeba jeszcze sprawdzić, które obowiązki działają już dziś, a które odnoszą się do projektowania nowych produktów i usług wprowadzanych na rynek po zakończeniu okresu przejściowego.

W Polsce samo rozporządzenie unijne również obowiązuje bezpośrednio, ale krajowe przepisy uzupełniające są nadal na etapie projektu. Projekt ustawy o sprawiedliwym dostępie do danych i ich wykorzystywaniu figuruje w wykazie prac legislacyjnych jako UC114 i ma stworzyć krajowe ramy stosowania rozporządzenia 2023/2854.

Z opublikowanych materiałów wynika też, że kluczową rolę ma pełnić Prezes UKE. To on ma być organem właściwym, a równocześnie koordynatorem danych i organem certyfikującym podmioty rozstrzygające spory. W praktyce oznacza to, że Polska zmierza raczej w stronę modelu skupionego wokół jednego regulatora niż systemu rozproszonego między różne instytucje.

To nie jest detal organizacyjny. Z materiałów projektowych wynika bowiem, że organ ma nie tylko rozpatrywać skargi i prowadzić postępowania, ale także żądać informacji potrzebnych do weryfikacji przestrzegania rozporządzenia, współpracować z organami innych państw członkowskich oraz monitorować rozwój technologiczny i sytuację gospodarczą związaną z wykorzystaniem danych. Projekt przewiduje także sankcje administracyjne, które mają być skuteczne, proporcjonalne i odstraszające.

Co to oznacza dla e-commerce

Dla e-commerce najważniejsze jest dziś to, by nie traktować Data Act wyłącznie jako kolejnego hasła regulacyjnego z Brukseli. Firmy, które sprzedają produkty skomunikowane, oferują usługi powiązane, korzystają z chmury lub budują model biznesowy wokół danych generowanych przez urządzenia, powinny uporządkować swój model danych już teraz.

W praktyce oznacza to konieczność sprawdzenia, jakie dane są generowane, kto jest ich posiadaczem, jakie prawa może mieć użytkownik, czy firma potrafi te dane wyeksportować lub udostępnić, a także czy obecne regulaminy, polityki i procedury odpowiadają na nowe obowiązki. Szczególną uwagę powinny zwrócić firmy sprzedające urządzenia inteligentne, korzystające z aplikacji, paneli użytkownika, usług chmurowych albo modeli subskrypcyjnych.

Jeżeli firma działa na rynku niemieckim, powinna dodatkowo obserwować praktykę Bundesnetzagentur. Jeżeli działa z Polski, powinna śledzić dalsze losy projektu UC114 i przygotować się na model nadzoru skupiony wokół Prezesa UKE.

Źródła

  1. Bundestag, informacja z 26 marca 2026 r. o przyjęciu projektów ustaw dotyczących Data Act i Data Governance Act:
    https://www.bundestag.de/presse/hib/kurzmeldungen-1158072
  2. Bundestag, opis projektu wykonawczego do Data Act:
    https://www.bundestag.de/presse/hib/kurzmeldungen-1128820
  3. Bundesnetzagentur, strona poświęcona Data Act:
    https://www.bundesnetzagentur.de/DE/Fachthemen/Digitales/DataAct/start.html
  4. Bundesnetzagentur, wyjaśnienia dotyczące dostępu do danych i terminów stosowania:
    https://www.bundesnetzagentur.de/DE/Fachthemen/Digitales/DataAct/Hintergrund/1-Daten/start.html
  5. EUR-Lex, tekst rozporządzenia (UE) 2023/2854:
    https://eur-lex.europa.eu/eli/reg/2023/2854/oj/eng
  6. EUR-Lex, omówienie Data Act:
    https://eur-lex.europa.eu/legal-content/EN/LSU/?uri=oj%3AL_202302854
  7. Niemieckie ministerstwo cyfryzacji, informacje o Data Act i okresie przejściowym:
    https://bmds.bund.de/themen/digitale-wirtschaft/data-act
  8. Gov.pl, projekt ustawy o sprawiedliwym dostępie do danych i ich wykorzystywaniu:
    https://www.gov.pl/web/premier/projekt-ustawy-o-sprawiedliwym-dostepie-do-danych-i-ich-wykorzystywaniu
  9. RCL, projekt UC114:
    https://legislacja.rcl.gov.pl/projekt/12404101

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

3 × trzy =

Szukasz wiedzy o e-commerce?
Zapytaj o darmową analizę lub przeszukaj naszą bazę. 👇
Asystent ecommercenews.pl Jaki temat Cię interesuje?
×
Cześć! 👋 Jestem asystentem ecommercenews.pl.

Pomogę Ci znaleźć artykuły lub skontaktować się z ekspertami Setup.pl. O co chcesz zapytać?