Akt w sprawie danych (Data Act) – aktualizacja nowych obowiązków
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z 13.12.2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 (akt w sprawie danych) (Dz.Urz. UE L z 2023 r. Nr 300, s. 2854) ma na celu stworzenie jednolitego rynku danych w Europie. Jego głównym celem jest zapewnienie szerszego dostępu do danych i ich wykorzystania przez różnych uczestników rynku, a także zwiększenie konkurencji na rynku danych. Przepisy rozporządzenia dotyczą zarówno danych osobowych, jak i nieosobowych.
W Akcie w sprawie danych doszło do wzmocnienia uprawnień użytkowników (zarówno konsumentów, jak i przedsiębiorców) w zakresie dostępu i wykorzystania danych generowanych przez urządzenia tzw. Internetu rzeczy (ioT). Rozporządzenie przyznaje w szczególności użytkownikom większą kontrolę nad danymi generowanymi przez posiadane produkty. Oznacza to, że użytkownicy powinni mieć zapewnioną możliwość łatwiejszego przenoszenia swoich danych do innych usługodawców oraz decydować, kto może mieć do nich dostęp. Wcześniej dostęp do takich danych mieli często wyłącznie producenci urządzeń, co uniemożliwiało użytkownikom korzystanie z konkurencyjnych usług posprzedażowych lub naprawczych (np. serwis prowadzony przez inny podmiot niż producent). W związku z tym rozporządzenie wymaga, aby inteligentne urządzenia były projektowane i wytwarzane w taki sposób, aby dane generowane w wyniku korzystania z nich były domyślnie łatwo, bezpiecznie, oraz, w razie potrzeby, dostępne dla użytkownika oraz dla innych podmiotów przez niego wskazanych bezpośrednio z poziomu urządzenia.
Większość przepisów Data Act zaczęło obowiązywać 12.9.2025 r., natomiast od 12.9.2026 r. zacznie obowiązywać wyżej wskazany wymóg „access by design” dla nowych produktów i usług IoT, które muszą być zaprojektowane tak, aby umożliwiać użytkownikowi bezpośredni dostęp do danych. W praktyce oznacza to konieczność uwzględnienia mechanizmów dostępu do danych (interfejsy, AP, itd.) dla produktów wprowadzanych na rynek po tej dacie.
W pierwszej połowie 2026 r. planowane jest również uchwalenie ustawy wdrażającej Data Act, tj. ustawy o sprawiedliwym dostępie do danych i ich wykorzystywaniu (nr z wykazu: UC114). Ustawa ta będzie między innymi określać mechanizmy nadzoru i egzekwowania przepisów Aktu w sprawie danych, w tym organ nadzorczy za nie odpowiedzialny (ma być nim Prezes Urzędu Komunikacji Elektronicznej), oraz sankcje za naruszenie tych przepisów. Uchwalenie tej ustawy z pewnością przyczyni się do bardziej efektywnego stosowania wymogów Data Act.
Akt w sprawie sztucznej inteligencji (AI Act) – wejście w życie kolejnych przepisów
Podstawowym aktem prawnym regulującym tworzenie i korzystanie z systemów sztucznej inteligencji jest rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z 13.6.2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji) (Dz.Urz. UE L z 2024 r., s. 1689). Głównym celem powyższej regulacji jest bezpieczeństwo tworzenia i korzystania z systemów sztucznej inteligencji. AI Act stosuję się zarówno do systemów przetwarzających dane osobowe, jak i systemów przetwarzających dane nieosobowe.
Cześć przepisów Aktu w sprawie sztucznej inteligencji weszła w życie w 2025 r. Dotyczy to w szczególności przepisów dotyczących tzw. zakazanych praktyk w zakresie AI, które obowiązują od 2.2.2025 r., oraz przepisów dotyczących modeli ogólnego przeznaczenia oraz powołania organów nadzorczych, które obowiązują od 2.8.2025 r. Zgodnie z AI Act zasadniczą datą rozpoczęcia stosowania rozporządzenia jest 2.8.2026 r., kiedy to mają zacząć obowiązywać przepisy dotyczące tzw. systemów wysokiego ryzyka. Istotna część przepisów AI Act poświęcona jest bowiem właśnie obowiązkom dostawców i podmiotów stosujących te systemy. Termin obowiązywania tych przepisów może zostać jednak przesunięty, taką propozycję zgłosiła bowiem Komisja Europejska 19.11.2025 r. w projekcie AI Omnibus (COM(2025) 836 final), stanowiącego część pakietu Digital Omnibus (zob. pkt 10 poniżej). Zgodnie z tą propozycją, obowiązywanie przepisów dotyczących systemów wysokiego ryzyka (art. 6 ust. 2) oraz systemów generujących tzw. syntetyczne treści (art. 50 ust. 2), ma zostać przesunięte na 2027 r. Zmiana ta spowodowana jest między innymi opóźnieniami w większości państw Unii Europejskiej, w tym w Polsce, w wyznaczeniu krajowych organów nadzorczych, organów weryfikujących zgodność systemów wysokiego ryzyka z wymogami AI Act, a także brakiem wydania przez organy nadzorcze wytycznych dotyczących systemów wysokiego ryzyka.
Niezależnie od powyższego, w pierwszej połowie 2026 r. planowane jest uchwalenie zaległej w stosunku do terminów wynikających z AI Act, polskiej ustawy wdrażającej rozporządzenie – ustawy o systemach sztucznej inteligencji. Projekt ustawy zakłada między innymi powołanie nowego organu nadzorczego – Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji, na którego czele ma stać Przewodniczący powoływany przez Prezesa Rady Ministrów.
E-Doręczenia jako podstawowy kanał elektronicznego doręczania pism
Istota e-Doręczeń polega na tym, że są to rejestrowane doręczenia elektroniczne – pisma i dokumenty przesyłane są online w sposób, który daje dowód nadania i odebrania oraz chroni treść przed nieuprawnioną zmianą, a więc ma „walor dowodowy”, podobny do listu poleconego z potwierdzeniem odbioru. W praktyce e-Doręczenia opierają się na posługiwaniu się adresem do doręczeń elektronicznych (ADE) i skrzynką doręczeń, przez którą urząd komunikuje się z obywatelem lub przedsiębiorcą w sprawach urzędowych.
Aktem prawnym, który je reguluje, jest przede wszystkim ustawa z 18.11.2020 r. o doręczeniach elektronicznych (t.j. Dz.U. z 2026 r. poz. 3). Zgodnie z tymi przepisami, od 1.1.2026 r. e-Doręczenia stają się podstawowym kanałem elektronicznego doręczania pism w relacji podmiot publiczny-obywatel lub przedsiębiorca (podmiot niepubliczny), o ile przepisy szczególne nie przewidują innej formy. W praktyce oznacza to odejście od ePUAP jako standardu, a jego użycie zostaje ograniczone do przypadków wskazanych w przepisach.
Doręczenia w systemie e-Doręczeń mają moc prawną równoważną listowi poleconemu za potwierdzeniem odbioru, wraz z dowodami nadania i otrzymania. W obrocie profesjonalnym aktywacja i bieżące monitorowanie ADE stają się elementem należytej staranności, bo nieodebranie korespondencji może skutkować doręczeniem po upływie ustawowego terminu i ryzykiem uchybienia terminom. Dotyczy to np. przedsiębiorców, adwokatów czy radców prawnych.
Ustawa o kryptoaktywach (ustawa uzupełniająca MiCA)
MiCA, tj. rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/1114 z 31.5.2023 r. w sprawie rynków kryptoaktywów oraz zmiany rozporządzeń (UE) nr 1093/2010 i (UE) nr 1095/2010 oraz dyrektyw 2013/36/UE i (UE) 2019/1937 (Dz.Urz. UE L z 2023 r. Nr 150, s. 40) to akt prawny, który tworzy pierwszy kompleksowy reżim prawny dla emisji kryptoaktywów i świadczenia usług na nich opartych w całej UE. Jego celem jest jednocześnie ujednolicenie rynku, podniesienie ochrony inwestorów i ograniczenie ryzyk systemowych związanych z kryptoaktywami.
Stosowanie MiCA mają zapewnić ustawy krajowe, w szczególności przez wskazanie organu właściwego, uregulowanie procedur licencyjnych, trybów nadzorczych i katalogu sankcji administracyjnych i karnych. W Polsce projekt ustawy przygotowany przez Ministerstwo Finansów we współpracy z KNF i uchwalony następnie przez Parlament, jako akt zapewniający stosowanie MiCA oraz rozporządzenia w sprawie transferu środków w kryptoaktywach, został zawetowany przez Prezydenta RP 1.12.2025 r. Rządowy projekt ustawy o rynku kryptowaktywów (druk nr 2064) został ponownie przyjęty przez Radę Ministrów w grudniu 2025 r. i uchwalona przez Sejm.
Ustawa wskazuje Komisję Nadzoru Finansowego jako organ właściwy m.in. do licencjonowania dostawców usług w zakresie kryptoaktywów (CASP), a także prowadzenia kontroli oraz nakładania sankcji administracyjnych. Przewiduje również rejestr domen i adresów IP podmiotów nielegalnie oferujących usługi krypto, możliwość blokowania rachunków i portfeli, a także szeroki katalog kar pieniężnych i karnych.
Ustawa o kryptoaktywach ma istotne znaczenie przede wszystkim dla podmiotów z „branży krypto” (np. giełdy, kantory krypto, brokerzy, emitenci tokenów, itd.), ale również instytucji finansowych i płatniczych (np. banki, domy maklerskie), a także podmiotów spoza branży „krypto” (np. firmy e-commerce akceptujące płatności w krypto).
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (implementacja dyrektywy NIS-2)
Podstawowym aktem prawnym w zakresie cyberbezpieczeństwa jest ustawa z 5.7.2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2024 r. poz. 1077). Wzorowana jest ona na dyrektywie Parlamentu Europejskiego i Rady (UE) 2016/1148 z 6.7.2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (tzw. dyrektywa NIS-1). Została ona zastąpiona przepisami tzw. dyrektywy NIS-2 (dyrektywa Parlamentu i Rady (UE) 2022/2555), której implementacja do systemów prawnych poszczególnych państw Unii Europejskiej miała nastąpić do 17.10.2024 r. Polski ustawodawca nie dotrzymał jednak tego terminu.
Zgodnie z dyrektywą NIS-2, dotychczasowy podział na operatorów usług kluczowych oraz dostawców usług cyfrowych został zastąpiony podziałem na podmioty kluczowe i podmioty ważne, nakładając na nie jednocześnie szereg nowych obowiązków. Przewidziano również włączenie do systemu cyberbezpieczeństwa dodatkowych branż, które do tej pory nie były nim objęte (np. zarządzanie usługami ICT, produkcja, przetwarzanie i dystrybucja żywności).
Postanowienia dyrektywy NIS-2 mają zostać przejęte do polskiego porządku prawnego w ramach nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (druk nr 1955), która uwzględnia również zalecenia tzw. EU 5G Toolbox. Prace legislacyjne są obecnie na ukończeniu i przyjmuję się, że nowelizacja zostanie uchwalona na początku 2026 r. Szacuje się, że po uchwaleniu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, liczba podmiotów objętych tą regulacją wzrośnie z kilkuset do około 40.000.
Akt o cyberoodporności – pierwsze obowiązki w 2026 r.
Cyber Resilience Act (CRA) to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/2847 z 23.10.2024 r. w sprawie horyzontalnych wymagań w zakresie cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi oraz w sprawie zmiany rozporządzeń (UE) nr 168/2013 i (UE) 2019/1020 i dyrektywy (UE) 2020/1828 (akt o cyberodporności), ustanawiające horyzontalne wymagania cyberbezpieczeństwa dla „produktów z elementami cyfrowymi” (sprzętu i oprogramowania) wprowadzanych do obrotu w Unii Europejskiej. Jego podstawowym celem jest to, aby produkty trafiały na rynek z mniejszą liczbą tzw. podatności, oraz by producenci zapewniali bezpieczeństwo w całym cyklu życia produktu. Chodzi w szczególności o ochronę konsumentów i przedsiębiorstw kupujących oprogramowanie lub sprzęt komputerowy z elementami cyfrowymi.
CRA obejmuje produkty, których przeznaczenie lub racjonalnie przewidywalne użycie zakłada bezpośrednie lub pośrednie logiczne albo fizyczne połączenie danych z urządzeniem lub siecią. Produkty mają spełniać tzw. zasadnicze wymagania w zakresie cyberbezpieczeństwa, określone w załączniku I do Rozporządzenia.
Przepisy rozporządzenia mają zacząć obowiązywać sukcesywnie, warto w związku z tym odnotować, że od 11.9.2026 r. zaczną obowiązywać tzw. obowiązki raportowe (art. 14), polegające na konieczności zgłaszania odpowiedniemu CSIRT-owi oraz ENISA „aktywnego wykorzystywania podatności zawartych w produkcie z elementami cyfrowymi”. Mimo że pozostałe, główne obowiązki określone w CRA zaczną obowiązywać dopiero od 11.12.2027 r., to warto już w tym roku przygotować się do ich wdrożenia.
Nowelizacja ustawy o świadczeniu usług drogą elektroniczną (ustawa uzupełniająca Akt o usługach cyfrowych)
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 z 19.10.2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (akt o usługach cyfrowych) (Dz.Urz. UE L z 2022 r. Nr 277, s. 1) obowiązuje od 17.2.2024 r. Jest ono podstawowym aktem prawnym regulującym sposób prowadzenia działalności w Internecie przez tzw. pośredników internetowych (np. serwisy społecznościowe, serwisy aukcyjne, porównywarki cenowe, serwisy wymiany opinii).
Właściwe funkcjonowanie Aktu o usługach cyfrowych (AUC) wymaga wydania krajowej ustawy wdrażającej. W Polsce przybrała ona postać nowelizacji ustawy o świadczeniu usług drogą elektroniczną. Jej postanowienia między innym określają organy właściwe do nadzoru nad wykonaniem przepisów AUC, a także zasady postępowania przed tym organami, w tym kompetencje w zakresie nakładania kar. Zgodnie z przyjętym w projekcie rozwiązaniem, nad przestrzeganiem przepisów AUC mają czuwać dwa organy – jako wiodący Prezes Urzędu Komunikacji Elektronicznej, który sprawować będzie równocześnie funkcję tzw. koordynatora usług cyfrowych, a w przedmiocie określonych w AUC obowiązków w zakresie handlu elektronicznego – Prezes Urzędu Ochrony Konkurencji i Konsumenta.
Rozpoczęcie obowiązywania tych przepisów powinno się przyczynić do stosowania szeregu instytucji ustanowionych w AUC z myślą o zwiększeniu bezpieczeństwa środowiska internetoweg
Dyrektywa o prawie do naprawy (Right to Repair) – implementacja w prawie polskim
Dyrektywa Parlamentu Europejskiego i Rady (UE) nr 2024/1799 z 13.6.2024 r. w sprawie wspólnych zasad promujących naprawę towarów oraz zmiany rozporządzenia (UE) 2017/2394 oraz dyrektyw (UE) 2019/771 i (UE) 2020/1828 (Dz.Urz. UE L z 2024 r., s. 1799), tzw. Dyrektywa Right to Repair, to akt prawny, który ma kluczowe znaczenie dla sektora e-commerce, produkcji elektroniki oraz ochrony konsumentów.
Celem Dyrektywy jest ustanowienie wspólnych zasad promujących naprawę towarów dla konsumentów, aby ograniczać ich wymianę na nowe, wspierając tym samym cele ochrony środowiska. Obejmuje ona zarówno środki działające w ramach ustawowej odpowiedzialności sprzedawcy za brak zgodności towaru, jak i poza tym reżimem.
W okresie odpowiedzialności z tytułu niezgodności towaru z umową, dyrektywa o prawie do naprawy ingeruje w wybór środka ochrony – jeżeli konsument decyduje się na naprawę zamiast wymiany, sprzedawca jest zobowiązany do naprawy, a okres odpowiedzialności zostaje wydłużony co najmniej o dodatkowe 12 miesięcy. „Prawo do naprawy” ma w tej fazie charakter zachęty regulacyjnej.
Istotnym novum jest wprowadzenie rozwiązania, zgodnie z którym po upływie okresu odpowiedzialności sprzedawcy, konsument uzyskuje bezpośrednie uprawnienie do żądania naprawy od producenta towaru objętego załącznikiem II do dyrektywy. Chodzi w szczególności o kategorie towarów „technicznie naprawialnych”, wymienionych w tym załączniku II (np. smartfony, tablety, produkty do przechowywania danych). W takich przypadkach producent musi oferować naprawę w rozsądnym terminie i za rozsądną cenę lub nieodpłatnie (chyba że naprawa jest „niemożliwa”), przy czym nie wolno odmówić naprawy wyłącznie z powodu wcześniejszej naprawy przez podmiot trzeci.
Dyrektywa powinna zostać implementowana do ustawodawstw krajowych państw członkowskich Unii Europejskiej do 31.7.2026 r. Prace w tym zakresie prowadzi Prezes Urzędu Ochrony Konkurencji i Konsumentów (UOKiK), który na zlecenie Kancelarii Prezesa Rady Ministrów prowadzi analizy i prekonsultacje z rynkiem. Do transpozycji przepisów dyrektywy prawdopodobnie dojdzie w ramach nowelizacji ustawy o prawach konsumenta oraz Kodeksu cywilnego.
Nowa dyrektywa o odpowiedzialności za produkty wadliwe – implementacja do prawa polskiego
Nowa dyrektywa Parlamentu Europejskiego i Rady (UE) 2024/2853 z 23.10.2024 r. o odpowiedzialności za produkty wadliwe i uchylenia dyrektywy Rady 85/374/EWG (Dz.Urz. UE L z 2024 r., s. 2853) zastąpiła dotychczasową dyrektywę 85/374/EWG, dostosowując postanowienia tego ostatniego aktu prawnego do realiów gospodarki cyfrowej i AI. Ustanawia ona w pełni zharmonizowane zasady odpowiedzialności na zasadzie ryzyka (bez winy) „podmiotów gospodarczych” za szkodę poniesioną przez osoby fizyczne wskutek produktu wadliwego. Najważniejszą zmianą z perspektywy prawa nowych technologii jest poszerzenie pojęcia produktu, którym w rozumieniu dyrektywy przestaje być tylko przedmiot materialny, a staje się nim również oprogramowanie, systemy AI, czy usługi cyfrowe. W tym ostatnim przypadku chodzi o sytuacje, gdy usługa cyfrowa jest zintegrowana z produktem w taki sposób, że jej brak uniemożliwia jego działanie (np. nawigacja w aucie autonomicznym), traktuje się ją jako element produktu.
Produkt jest „wadliwy”, gdy nie zapewnia bezpieczeństwa, którego można zasadnie oczekiwać, lub które wynika z przepisów prawa, a ryzyka mogą dotyczyć również elementów cyfrowych i „posprzedażowych” (np. aktualizacje oprogramowania). Krąg potencjalnie odpowiedzialnych podmiotów obejmuje nie tylko producenta, lecz także producenta komponentu, dostawcę powiązanej usługi cyfrowej, a w określonych sytuacjach – również dystrybutora.
W modelach sprzedaży online dyrektywa przewiduje możliwość pociągnięcia do odpowiedzialności także niektóre platformy internetowe. Wprowadzono również ułatwienia dowodowe, w tym mechanizmy ujawniania dowodów oraz domniemania wadliwości i/lub związku przyczynowego w typowych sytuacjach.
Termin na implementację postanowień dyrektywy do krajowych systemów prawnych upływa w dniu 9.12.2026 r.
Pakiet Digital Omnibus – propozycja zmian w szeregu aktach prawnych Unii Europejskiej z zakresu prawa nowych technologii
W dniu 19.11.2025 roku Komisja Europejska ogłosiła inicjatywę określaną jako Digital Omnibus (COM(2025) 837 final). Jej podstawowym celem jest uproszczenie przyjętych już regulacji cyfrowych oraz obniżenie kosztów zapewnienia z nimi zgodności. Przyjęte rozwiązanie w ramach jednego aktu prawnego – o charakterze unijnego rozporządzenia – planuje wprowadzenie zmian w szeregu aktów prawnych, m.in. w RODO, dyrektywie e-Privacy, dyrektywie NIS-2, rozporządzeniu Data Act oraz rozporządzeniu Data Governance Act. Część pakietu stanowi propozycja wyodrębnionego od ogólnego rozporządzenia Digital Omnibus, rozporządzenia Digital Omnibus on AI, które ma zmienić niektóre postanowienia AI Act (COM(2025) 836 final). Ta ostatnia regulacja będzie miała między innymi kluczowe znaczenie dla ustalenia obowiązywania przepisów AI Act dotyczących tzw. systemów wysokiego ryzyka (zob. pkt 2 powyżej).
Przyjęcie pakietu Digital Omnibus będzie miało ogromne znaczenie dla rynku cyfrowego. Przyjmuje się, że jego uchwalenie powinno nastąpić do końca 2026 r., z tym że szybciej powinno być procedowane rozporządzenie Digital Omnibus on AI.
Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →
