EU Data Act: практическое руководство для бизнеса

Legal services for your business in Poland

08.10.2025


Автор: Екатерина Ульянова

EU Data Act меняет правила игры: уже с сентября 2025 г. компании обязаны обеспечивать пользователям прямой доступ к данным, пересматривать контракты и готовить API. Закон касается IoT, облачных сервисов и любых игроков, работающих с данными в ЕС. В материале — ключевые обязанности, сроки и чек-лист для бизнеса.

1
1. Кого затрагивает EU Data Act Regulation 2023/2854?
  1. Производителей подключённых продуктов, т.е. любых физических изделий, которые получают/генерируют/собирают данные о своем использовании или окружении и способны их передать через связь, физ. порт или on-device access ( от IoT-гаджетов и автомобилей до медицинских приборов и промышленного оборудования).
  2. Поставщиков цифровых сервисов, которые двусторонне обмениваются данными с таким продуктом и влияют на его функционирование (например, мобильные приложения управления устройством).
  3. Провайдеров облачных и дата-услуг (IaaS, PaaS, SaaS, edge computing).
  4. Любые компании, работающие с данными от этих продуктов (например, ремонтные сервисы, страховые компании, аналитика и разработчики AI -сервисов).
Закон распространяется и на компании за пределами ЕС, если их продукты или сервисы доступны на рынке ЕС.
На примере умных часов разберем роли:

Владелец часов является пользователем (user). Именно благодаря его ношению устройство собирает данные: пульс, сон, шаги, геолокацию.

Производитель часов (например, Apple, Samsung) будет держателем данных (data holder). Он получает доступ к данным через приложение и серверы. Производитель использует их для улучшения продукта, прогнозирования отказов или разработки новых сервисов.

Третьей стороной (third party) могут выступать фитнес-приложения, которым пользователь по своему выбору может передавать данные через API.

Поставщиком облачного сервиса (cloud provider) будет сервис, где хранятся данные.
С помощью Data Act регуляторы хотят выстроить баланс, чтобы один и тот же набор данных мог использоваться разными сторонами, а именно, пользователи получают больше контроля, производители более прозрачные правила, третьи стороны получат более честный доступ к данным без дискриминации.

2
2. Что по срокам?
EU Data Act вступил в силу 11.01.2024г., значительная же часть обязанностей начинает применяться с 12.09.2025 г. (например, доступ пользователей к данным). 

Правила для уже существующих "умных" устройств и продуктов IoT начинают действовать с 12 сентября 2026 г., производителям дан дополнительный год, чтобы привести их в соответствие (т.е. требования к дизайну продуктов, например, обеспечение “доступа к данным по умолчанию”).

В 2027 окончательно вступают в силу правила «бесшовного переключения» для облачных и дата-провайдеров (отмена всех exit fees).

3
3. Какие главные обязанности для бизнеса?
1. Обеспечить реализацию прав пользователей, а именно:

  • Подключённые продукты и связанные сервисы должны быть спроектированы так, чтобы пользователь имел прямой и простой доступ к данным, если это технически осуществимо («access by design»). Если нет, то данные должны быть предоставлены по запросу без необоснованной задержки. Должна быть возможность доступа «в реальном времени», когда это технически возможно.
  • Продавцы и поставщики услуг обязаны до заключения контракта давать понятную информацию о типе, формате, объёме данных, возможности realtime/continuous генерации, условиях хранения и доступе.
  • Право пользователя передать данные третьим лицам (напр., мастерской, страховщику, стороннему аналитическому провайдеру).

2. Предоставлять данные на справедливых, разумных и недискриминационных условиях. Запрещены контрактные ограничения, которые блокируют доступ или завышают цены. Несправедливые условия в договорах будут автоматически считаться недействительными.

3. Облачные и дата-сервисы должны предоставлять право клиентам легко переключаться между провайдерами:

  • перенос данных в течение 30 дней;
  • запрет на «exit fees» к 2027 году;
  • обязанность помогать клиенту с миграцией.

4. Контракты должны содержать список данных и цифровых активов, подлежащих переносу.

5. Обеспечить публичный доступ к данным в исключительных случаях (пандемия, природная катастрофа, серьёзный киберинцидент и т.п.) «без ненужной задержки» при соблюдении определенных условий.

6. Проверить контракты, есть ли детальный перечень экспортируемых данных, описание рисков, обязанности по поддержке миграции, гарантии полного удаления экспортируемых данных после retrieval-period, положения о безопасности при передачи, и ссылка на информацию о рисках международного доступа для неперсональных данных.

7. Обеспечить защиту от несанкционированного доступа (unauthorized access), в том числе данные не могут передаваться третьим странам, если это нарушает права пользователей или законы ЕС.

Что необходимо реализовать в продуктах и сервисах в технической части:

  • API/интерфейс для экспорта: данные должны быть доступны в структурированном, commonly used и machine-readable формате (JSON/CSV/XML/…), с документацией и метаданными. При отсутствии гармонизированных стандартов необходим экспорт в структурированном формате с полным метаданным.
  • Direct access, on-device access, т.е. если технически возможно, то обеспечить прямой доступ пользователю (on-device или через приложение) либо обеспечить автоматизированный запрос/экспорт данных через аккаунт пользователя. 
  • Обязательное предоставление метаданных, необходимых для интерпретации данных (включая временные метки, единицы измерения, версию прошивки, схему).
  • Обеспечить требования безопасности данных, например, верификация права пользователя/третьей стороны (минимально необходимая), защита на уровне передачи и хранения (шифрование in-transit и at-rest), и принципы минимизации логов доступа (Regulation ограничивает хранение логов до необходимого минимума).
Для мелких производителей есть ряд явных послаблений.
Если запрошенные/передаваемые данные содержат персональные данные, то на них распространяются требования GDPR (законность обработки, правовая основа, права субъектов и т.д.).


4
4. Какие санкции?
Штрафные и другие санкционные меры будут определяться индивидуально каждым государством-членом ЕС.

Если нарушение затрагивает персональные данные, то надзорные органы, ответственные за GDPR, могут налагать административные штрафы в соответствии со ст.83 GDPR (включая максимально возможные суммы до €20 млн или 4% глобального годового оборота, где применимо) в пределах их компетенции. 

Data Act внес поправки в перечень актов, подпадающих под Директиву о представительских исках (Directive (EU) 2020/1828), что делает возможным коллективные действия по соблюдению прав пользователей (инструмент для массовых претензий). 



5
5. Чек-лист действий для бизнеса
  • Провести аудит: товары / устройства / сервисы генерируют данные и попадают под действие Регламента, какие данные собираются, кому они принадлежат и как используются;
  • Проверить и при необходимости обновить договоры с клиентами / партнёрами / субподрядчиками / поставщиками (добавить обязательные условия по доступу к данным, обмену, переходу в облачные сервисы, исключить несправедливые положения, которые будут недействительными);
  • Пересмотреть условия сотрудничества с облачными провайдерами;
  • Подготовьте «exit playbook» для клиентов и для ваших собственных сервисов.
  • Перестроить продуктовую архитектуру (например, заложить в дизайн устройств и сервисов доступ к данным, подготовить API, интерфейсы и процессы для экспорта данных);
  • Разработать процессы соответствия и выполнения запросов пользователей и госорганов (политики доступа к данным, учёт обращений, процесс оценки обоснованности запроса, время ответов, документация для регуляторов)
  • Оценить риски передачи данных за пределы ЕС;
  • Обучить команду.
Чем мы можем Вам помочь?
Если у Вас есть кейс для рассмотрения – вы можете связаться с нами посредством telegram или оставив заявку на сайте. Мы изучим Вашу ситуацию и поможем найти лучший вариант решения.

Компания ALG Legal предоставляет юридические услуги по вопросам легализации, трудовового, корпоративного права и налогового права в Польше в форме:

  • Консультаций: квалифицированная консультация юриста по интересующему вопросу с полной проработкой и четким ответом.
  • Оформления документов: подготовим для вас полный пакет необходимых документов.
  • Сопровождения процесса: качественное сопровождение вашего дела юристом на каждом этапе.

Свяжитесь с нами.
+48 572 444 202
info@algl.legal
Написать юристу:
Ekaterina Ulianova
Advisor ALG Legal
Подписывайтесь на наш канал в Telegram!
Здесь вы найдете полезную информацию о юридических и бухгалтерских аспектах ведения бизнеса в Польше