Data Act: kiedy usługi IT podlegają nowym regulacjom

Unijne rozporządzenie w sprawie danych obowiązuje już od 12 września 2025 r., a jego skutki odczuwają nie tylko producenci urządzeń smart. Obejmuje ono także szeroką kategorię usług przetwarzania danych – często nieoczywistą dla dostawców IT. W 10 Q&A wyjaśniam, kogo faktycznie dotyczą nowe regulacje, jak sprawdzić, czy dana usługa podlega DA, jakie obowiązki z tego wynikają oraz jakie sankcje grożą za ich naruszenie.

1. Dostarczam usługi IT. W mojej ofercie nie ma produktów skomunikowanych, usług powiązanych. Przyjąłem, że Data Act na pewno mnie nie dotyczy. Czy słusznie?

Nie. Musisz zweryfikować, czy usługi IT, które świadczysz, stanowią usługi przetwarzania danych. Jeżeli tak jest, musisz stosować Data Act (dalej: DA).

2. Jak sprawdzić, czy usługi, które dostarczam, stanowią usługi przetwarzania danych?

Przeanalizuj, czy charakteryzują się one cechami wymienionymi w tabeli. Zrób to dla każdej usługi osobno. [tabela]

Jeżeli na wszystkie wymienione w tabeli pytania odpowiedziałeś twierdząco, usługa, którą świadczysz, stanowi usługę przetwarzania danych, a więc DA dotyczy twojej organizacji.

3. Czy to prawda, że DA dotyczy tylko usług w chmurze?

Nie. Obejmuje „usługi przetwarzania danych”, które stanowią pojęcie szersze niż usługi przetwarzania w chmurze. W jego zakres wchodzą usługi spełniające wymogi definicyjne, w tym chmurowe oraz przetwarzania brzegowego.