Data Act w marketingu i sprzedaży: Co muszą wiedzieć firmy od września 2025?

Przeczytaj także: Od Data Act do AI Act. Jak Europa buduje cyfrową niezależność i co to oznacza dla biznesu?

Rozporządzenie Data Act, w polskiej wersji językowej Akt o danych, zostało przyjęte przez Unię Europejską w 2023 roku. Umożliwia użytkownikom – zarówno konsumentom, jak i przedsiębiorstwom – dostęp do danych generowanych przez ich urządzenia, takie jak smart-lodówki, maszyny przemysłowe czy pojazdy. Ułatwia udostępnianie danych między firmami, co sprzyja tworzeniu nowych usług i produktów. Dodatkowo, upraszcza proces zmiany dostawców usług chmurowych, ograniczając zjawisko vendor lock-in, czyli uzależnienia od jednego dostawcy usług cyfrowych.

Nowe prawo pozwala firmom korzystającym z różnych systemów gromadzących i przetwarzających dane o ich klientach łatwiej przenieść się na inne narzędzie. To wyzwanie dla dostawców, ale też doskonała okazja do tego, aby jeszcze lepiej poznać potrzeby klientów i na bieżąco dostosowywać system do ich oczekiwań. Moim zdaniem nowych możliwości nie muszą obawiać się producenci, którzy stawiali do tej pory klientów w centrum swoich działań i dbali o ich zadowolenie – mówi Filip Zajdel, Head of Customer Success w Sparta Loyalty.

Kogo dotyczy Data Act?

Rozporządzenie obejmuje dwie główne kategorie podmiotów:

1. Firmy oferujące produkty i usługi związane z IoT (Internetem Rzeczy)
Dotyczy to producentów urządzeń i dostawców oprogramowania, którzy będą musieli wdrożyć mechanizmy umożliwiające użytkownikom eksportowanie danych (osobowych, nieosobowych, metadanych) związanych z korzystaniem z produktów IoT. Dodatkowo, użytkownicy będą mogli wnioskować o udostępnienie tych danych firmom trzecim, a organy publiczne uzyskają dostęp do nich w wyjątkowych sytuacjach.

W praktyce nowe regulacje mają skutkować tym, że producenci urządzeń IoT będą je projektować i produkować tak, aby użytkownik miał bezpośredni, bezpieczny i łatwy dostęp do wszystkich danych, które takie urządzenie wytworzy. Po co? Choćby po to, by mieć możliwość przekazania przez właściciela pojazdu informacji zebranych w trakcie jazdy kierowcy do ubezpieczyciela w celu oszacowania odpowiednio niskiej składki ubezpieczeniowej. Oczywiście zakładając jazdę zgodną z przepisami – wyjaśnia Maciej Bednarek, radca prawny w Kancelarii Adwokackiej Pałucki & Szkutnik.

2. Firmy świadczące usługi przetwarzania danych
Ta kategoria jest kluczowa dla dostawców systemów lojalnościowych i innych narzędzi wykorzystywanych w działaniach marketingowych, zwłaszcza działających w modelu SaaS (Software as a Service). Rozporządzenie definiuje usługi przetwarzania danych bardzo szeroko, obejmując IaaS (Infrastructure as a Service), PaaS (Platform as a Service) i właśnie SaaS. Oznacza to, że każdy podmiot hostujący dane i świadczący usługi przetwarzania danych podlega regulacjom Data Act.

Wpływ Data Act na działania marketingowe

Stosowanie Data Act wpłynie bezpośrednio na sposób, w jaki firmy zarządzają danymi swoich klientów, np. w programach lojalnościowych czy na platformach e-commerce. Najważniejszym założeniem rozporządzenia jest to, aby łatwiej było te dane przenieść, a to przełoży się na większą swobodę w wyborze dostawcy usług.

• Łatwiejsza zmiana dostawcy: Data Act gwarantuje klientom prawo do swobodnej zmiany dostawcy usług przetwarzania danych. Oznacza to, że w przypadku niezadowolenia z obecnie wykorzystywanego rozwiązania, firma będzie mogła bez przeszkód przenieść swoje dane i aktywa cyfrowe do innego dostawcy.
• Dostęp do własnych danych: Firmy będą miały zapewniony łatwy dostęp do wszystkich danych generowanych w ramach na przykład programu lojalnościowego (dane osobowe, transakcyjne, behawioralne itp.) w formacie nadającym się do odczytu maszynowego.
• Większa kontrola: Data Act wzmocni pozycję firm w relacji z dostawcami, dając im większą kontrolę nad własnymi danymi i możliwość ich wykorzystania u innych dostawców, np. w celu analizy, personalizacji ofert czy budowania nowych strategii marketingowych.

Co Data Act oznacza dla dostawców technologii?

Dostawcy świadczący usługi hostingowe (SaaS), będą musieli dostosować swoje działania do wymogów Data Act.

Na firmach takich jak Sparta Loyalty spoczywa obowiązek wprowadzenia kilku zmian technologicznych oraz zmian w umowach z klientami. Warto pamiętać również o tym, że dostawcy są zobowiązani do udostępnienia otwartych interfejsów API, które ułatwią komunikację z systemami innych firm i przenoszenie danych – dodaje Filip Zajdel.

Kluczowe obowiązki dostawców usług hostingowych:

• Zmiana umów: wprowadzenie zmian do umów z klientami, precyzujących warunki zmiany dostawcy, przenoszenia danych i zakończenia świadczenia usług. Umowy muszą zawierać postanowienia umożliwiające klientowi zmianę dostawcy lub przeniesienie aktywów cyfrowych do lokalnej infrastruktury ICT w maksymalnym okresie 30 dni kalendarzowych po zakończeniu maksymalnego dwumiesięcznego okresu wypowiedzenia.
• Obowiązki informacyjne: informowanie klientów o procedurach zmiany dostawcy i przenoszenia usług, w tym o dostępnych metodach, formatach oraz ograniczeniach technicznych. Dodatkowo, na stronach internetowych firm powinny znaleźć się informacje o jurysdykcji, której podlega infrastruktura ICT, oraz o środkach zapobiegających nieuprawnionemu międzynarodowemu dostępowi do danych nieosobowych.
• Zapewnienie technicznych możliwości udostępniania danych: umożliwienie łatwego i bezpiecznego eksportu danych osobowych/nieosobowych w formacie nadającym się do odczytu maszynowego, a także ich przeniesienie do innego usługodawcy.

Dostawcy muszą zweryfikować i zapewnić techniczne możliwości udostępnienia danych osobowych/nieosobowych przetwarzanych w systemie innemu usługodawcy tak, aby klienci, zmieniając dostawcę usług, mogli mieć zapewnioną ciągłość świadczenia usług. Są również zobowiązani do nieodpłatnego udostępnienia otwartych interfejsów w równym zakresie wszystkim swoim klientom i zainteresowanym docelowym dostawcom usług przetwarzania danych – zauważa Maciej Bednarek.

Data Act. Co należy zrobić już dziś?

Dla firm tworzących systemy i udostępniających je w modelu SaaS priorytetem jest zweryfikowanie obecnych możliwości technicznych w zakresie eksportu i przenoszenia danych. Następnie należy przygotować się na wdrożenie zmian w umowach z klientami oraz na zapewnienie pełnej transparentności w zakresie procedur zmiany dostawcy.

Natomiast firmy korzystające z narzędzi SaaS wspierających sprzedaż i marketing powinny aktywnie rozmawiać z dostawcami o ich przygotowaniach do Data Act i upewnić się, że systemy, z którymi pracują na co dzień, są zgodne z nowymi wymogami.

Data Act jak każde nowe prawo budzi w pierwszej chwili sporo wątpliwości. Warto jednak pamiętać, że wdrożenie wymogów zawartych w rozporządzeniu daje szansę na większą swobodę w zarządzaniu danymi, podnosi konkurencyjność firm i mobilizuje rynek do działania na rzecz klientów i ich oczekiwań. A na tym zyskują wszyscy.