©2025 ALG Legal
EU Data Act: практическое руководство для бизнеса
Legal services for your business in Poland
08.10.2025
Автор: Екатерина Ульянова
EU Data Act меняет правила игры: уже с сентября 2025 г. компании обязаны обеспечивать пользователям прямой доступ к данным, пересматривать контракты и готовить API. Закон касается IoT, облачных сервисов и любых игроков, работающих с данными в ЕС. В материале — ключевые обязанности, сроки и чек-лист для бизнеса.
1
1. Кого затрагивает EU Data Act Regulation 2023/2854?
- Производителей подключённых продуктов, т.е. любых физических изделий, которые получают/генерируют/собирают данные о своем использовании или окружении и способны их передать через связь, физ. порт или on-device access ( от IoT-гаджетов и автомобилей до медицинских приборов и промышленного оборудования).
- Поставщиков цифровых сервисов, которые двусторонне обмениваются данными с таким продуктом и влияют на его функционирование (например, мобильные приложения управления устройством).
- Провайдеров облачных и дата-услуг (IaaS, PaaS, SaaS, edge computing).
- Любые компании, работающие с данными от этих продуктов (например, ремонтные сервисы, страховые компании, аналитика и разработчики AI -сервисов).
На примере умных часов разберем роли:
Владелец часов является пользователем (user). Именно благодаря его ношению устройство собирает данные: пульс, сон, шаги, геолокацию.
Производитель часов (например, Apple, Samsung) будет держателем данных (data holder). Он получает доступ к данным через приложение и серверы. Производитель использует их для улучшения продукта, прогнозирования отказов или разработки новых сервисов.
Третьей стороной (third party) могут выступать фитнес-приложения, которым пользователь по своему выбору может передавать данные через API.
Поставщиком облачного сервиса (cloud provider) будет сервис, где хранятся данные.
Владелец часов является пользователем (user). Именно благодаря его ношению устройство собирает данные: пульс, сон, шаги, геолокацию.
Производитель часов (например, Apple, Samsung) будет держателем данных (data holder). Он получает доступ к данным через приложение и серверы. Производитель использует их для улучшения продукта, прогнозирования отказов или разработки новых сервисов.
Третьей стороной (third party) могут выступать фитнес-приложения, которым пользователь по своему выбору может передавать данные через API.
Поставщиком облачного сервиса (cloud provider) будет сервис, где хранятся данные.
С помощью Data Act регуляторы хотят выстроить баланс, чтобы один и тот же набор данных мог использоваться разными сторонами, а именно, пользователи получают больше контроля, производители более прозрачные правила, третьи стороны получат более честный доступ к данным без дискриминации.
2
2. Что по срокам?
EU Data Act вступил в силу 11.01.2024г., значительная же часть обязанностей начинает применяться с 12.09.2025 г. (например, доступ пользователей к данным).
Правила для уже существующих "умных" устройств и продуктов IoT начинают действовать с 12 сентября 2026 г., производителям дан дополнительный год, чтобы привести их в соответствие (т.е. требования к дизайну продуктов, например, обеспечение “доступа к данным по умолчанию”).
В 2027 окончательно вступают в силу правила «бесшовного переключения» для облачных и дата-провайдеров (отмена всех exit fees).
Правила для уже существующих "умных" устройств и продуктов IoT начинают действовать с 12 сентября 2026 г., производителям дан дополнительный год, чтобы привести их в соответствие (т.е. требования к дизайну продуктов, например, обеспечение “доступа к данным по умолчанию”).
В 2027 окончательно вступают в силу правила «бесшовного переключения» для облачных и дата-провайдеров (отмена всех exit fees).
3
3. Какие главные обязанности для бизнеса?
1. Обеспечить реализацию прав пользователей, а именно:
2. Предоставлять данные на справедливых, разумных и недискриминационных условиях. Запрещены контрактные ограничения, которые блокируют доступ или завышают цены. Несправедливые условия в договорах будут автоматически считаться недействительными.
3. Облачные и дата-сервисы должны предоставлять право клиентам легко переключаться между провайдерами:
4. Контракты должны содержать список данных и цифровых активов, подлежащих переносу.
5. Обеспечить публичный доступ к данным в исключительных случаях (пандемия, природная катастрофа, серьёзный киберинцидент и т.п.) «без ненужной задержки» при соблюдении определенных условий.
6. Проверить контракты, есть ли детальный перечень экспортируемых данных, описание рисков, обязанности по поддержке миграции, гарантии полного удаления экспортируемых данных после retrieval-period, положения о безопасности при передачи, и ссылка на информацию о рисках международного доступа для неперсональных данных.
7. Обеспечить защиту от несанкционированного доступа (unauthorized access), в том числе данные не могут передаваться третьим странам, если это нарушает права пользователей или законы ЕС.
- Подключённые продукты и связанные сервисы должны быть спроектированы так, чтобы пользователь имел прямой и простой доступ к данным, если это технически осуществимо («access by design»). Если нет, то данные должны быть предоставлены по запросу без необоснованной задержки. Должна быть возможность доступа «в реальном времени», когда это технически возможно.
- Продавцы и поставщики услуг обязаны до заключения контракта давать понятную информацию о типе, формате, объёме данных, возможности realtime/continuous генерации, условиях хранения и доступе.
- Право пользователя передать данные третьим лицам (напр., мастерской, страховщику, стороннему аналитическому провайдеру).
2. Предоставлять данные на справедливых, разумных и недискриминационных условиях. Запрещены контрактные ограничения, которые блокируют доступ или завышают цены. Несправедливые условия в договорах будут автоматически считаться недействительными.
3. Облачные и дата-сервисы должны предоставлять право клиентам легко переключаться между провайдерами:
- перенос данных в течение 30 дней;
- запрет на «exit fees» к 2027 году;
- обязанность помогать клиенту с миграцией.
4. Контракты должны содержать список данных и цифровых активов, подлежащих переносу.
5. Обеспечить публичный доступ к данным в исключительных случаях (пандемия, природная катастрофа, серьёзный киберинцидент и т.п.) «без ненужной задержки» при соблюдении определенных условий.
6. Проверить контракты, есть ли детальный перечень экспортируемых данных, описание рисков, обязанности по поддержке миграции, гарантии полного удаления экспортируемых данных после retrieval-period, положения о безопасности при передачи, и ссылка на информацию о рисках международного доступа для неперсональных данных.
7. Обеспечить защиту от несанкционированного доступа (unauthorized access), в том числе данные не могут передаваться третьим странам, если это нарушает права пользователей или законы ЕС.
Что необходимо реализовать в продуктах и сервисах в технической части:
- API/интерфейс для экспорта: данные должны быть доступны в структурированном, commonly used и machine-readable формате (JSON/CSV/XML/…), с документацией и метаданными. При отсутствии гармонизированных стандартов необходим экспорт в структурированном формате с полным метаданным.
- Direct access, on-device access, т.е. если технически возможно, то обеспечить прямой доступ пользователю (on-device или через приложение) либо обеспечить автоматизированный запрос/экспорт данных через аккаунт пользователя.
- Обязательное предоставление метаданных, необходимых для интерпретации данных (включая временные метки, единицы измерения, версию прошивки, схему).
- Обеспечить требования безопасности данных, например, верификация права пользователя/третьей стороны (минимально необходимая), защита на уровне передачи и хранения (шифрование in-transit и at-rest), и принципы минимизации логов доступа (Regulation ограничивает хранение логов до необходимого минимума).
Для мелких производителей есть ряд явных послаблений.
Если запрошенные/передаваемые данные содержат персональные данные, то на них распространяются требования GDPR (законность обработки, правовая основа, права субъектов и т.д.).
Если запрошенные/передаваемые данные содержат персональные данные, то на них распространяются требования GDPR (законность обработки, правовая основа, права субъектов и т.д.).
4
4. Какие санкции?
Штрафные и другие санкционные меры будут определяться индивидуально каждым государством-членом ЕС.
Если нарушение затрагивает персональные данные, то надзорные органы, ответственные за GDPR, могут налагать административные штрафы в соответствии со ст.83 GDPR (включая максимально возможные суммы до €20 млн или 4% глобального годового оборота, где применимо) в пределах их компетенции.
Data Act внес поправки в перечень актов, подпадающих под Директиву о представительских исках (Directive (EU) 2020/1828), что делает возможным коллективные действия по соблюдению прав пользователей (инструмент для массовых претензий).
Если нарушение затрагивает персональные данные, то надзорные органы, ответственные за GDPR, могут налагать административные штрафы в соответствии со ст.83 GDPR (включая максимально возможные суммы до €20 млн или 4% глобального годового оборота, где применимо) в пределах их компетенции.
Data Act внес поправки в перечень актов, подпадающих под Директиву о представительских исках (Directive (EU) 2020/1828), что делает возможным коллективные действия по соблюдению прав пользователей (инструмент для массовых претензий).
5
5. Чек-лист действий для бизнеса
- Провести аудит: товары / устройства / сервисы генерируют данные и попадают под действие Регламента, какие данные собираются, кому они принадлежат и как используются;
- Проверить и при необходимости обновить договоры с клиентами / партнёрами / субподрядчиками / поставщиками (добавить обязательные условия по доступу к данным, обмену, переходу в облачные сервисы, исключить несправедливые положения, которые будут недействительными);
- Пересмотреть условия сотрудничества с облачными провайдерами;
- Подготовьте «exit playbook» для клиентов и для ваших собственных сервисов.
- Перестроить продуктовую архитектуру (например, заложить в дизайн устройств и сервисов доступ к данным, подготовить API, интерфейсы и процессы для экспорта данных);
- Разработать процессы соответствия и выполнения запросов пользователей и госорганов (политики доступа к данным, учёт обращений, процесс оценки обоснованности запроса, время ответов, документация для регуляторов)
- Оценить риски передачи данных за пределы ЕС;
- Обучить команду.
Чем мы можем Вам помочь?
Если у Вас есть кейс для рассмотрения – вы можете связаться с нами посредством telegram или оставив заявку на сайте. Мы изучим Вашу ситуацию и поможем найти лучший вариант решения.
Компания ALG Legal предоставляет юридические услуги по вопросам легализации, трудовового, корпоративного права и налогового права в Польше в форме:
Свяжитесь с нами.
Компания ALG Legal предоставляет юридические услуги по вопросам легализации, трудовового, корпоративного права и налогового права в Польше в форме:
- Консультаций: квалифицированная консультация юриста по интересующему вопросу с полной проработкой и четким ответом.
- Оформления документов: подготовим для вас полный пакет необходимых документов.
- Сопровождения процесса: качественное сопровождение вашего дела юристом на каждом этапе.
Свяжитесь с нами.
+48 572 444 202
info@algl.legal
Написать юристу:
Ekaterina Ulianova
Advisor ALG Legal
Advisor ALG Legal
Подписывайтесь на наш канал в Telegram!
Здесь вы найдете полезную информацию о юридических и бухгалтерских аспектах ведения бизнеса в Польше
