Subskrybuj nas na Youtube
Zapisz się na newsletter
- Podstawowe pojęcia
- Od samochodów po smart home
- Chmura na nowych zasadach
- Czarne i szare klauzule
- Granice udostępniania danych
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z 13 grudnia 2023 r. ws. zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz ws. zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 – akt w sprawie danych („DA”, „Data Act”) jest stosowane od 12 września 2025 r. Co ważne, obowiązuje wprost, bez implementacji do polskiego porządku prawnego. Rząd przygotowuje projekt ustawy o sprawiedliwym dostępie do danych, która określi organ nadzoru oraz sankcje za naruszenie DA, ale na razie dostępne są tylko jej założenia.
DA reguluje kilka obszarów gospodarki cyfrowej, m.in. sektor internetu rzeczy (IoT), określa zasady zmiany dostawcy usług przetwarzania danych oraz wprowadza sprawiedliwe zasady udostępniania danych w relacjach B2B. Ma charakter horyzontalny, a w przyszłości mogą powstać akty regulujące konkretne sektory.
Cele Data Act to:
1. Przyznanie użytkownikom urządzeń i usług IoT dostępu do danych przez nie generowanych. Dotychczas takie dane pozostawały w wyłącznej dyspozycji producenta albo dostawcy usługi. DA zakłada, że „właścicielem” danych jest użytkownik, który w każdej chwili może uzyskać do nich dostęp. Użytkownik będzie mógł też przekazać dane osobom trzecim, np. dostawcom usług serwisowych.
2. Walka z uzależnieniem od dostawcy usług przetwarzania danych (vendor lock-in). Dotychczas brakowało jednolitych reguł procesu zmiany dostawcy takich usług. Wielu użytkowników napotykało trudności przy migracji, co prowadziło do zjawiska vendor lock-in i ograniczało swobodę konkurencji.
3. Walka z nieuczciwymi postanowieniami umownymi w relacjach B2B. W praktyce kontraktowej jedna ze stron często nadużywa silniejszej pozycji negocjacyjnej. Ma to miejsce nie tylko w relacjach B2C, lecz także w ramach współpracy między przedsiębiorcami. DA zmierza do ochrony przedsiębiorców przed nieuczciwymi postanowieniami umownymi narzuconymi jednostronnie przez innych przedsiębiorców.
Podstawowe pojęcia
DA prezentuje wiele pojęć, przy czym najważniejsze z nich odnoszą się do elementów związanych z nowymi obowiązkami przedsiębiorców.
Produkt skomunikowany to rzecz pozyskująca, generująca lub zbierająca dane dotyczące jej działania, wykorzystywania lub środowiska, która może je komunikować za pomocą sieci (za wyjątkiem prototypów).
Przykład
Inteligentna pralka, autonomiczna maszyna rolnicza, samochód z funkcją prowadzenia do stacji ładowania
Usługa powiązana jest usługą cyfrową, której brak uniemożliwiłby produktowi skomunikowanemu wykonywanie jego funkcji. Może ona być obecna w produkcie w momencie zakupu lub dodana później jako np. aktualizacja. Nie będzie to usługa łączności elektronicznej.
Przykład
Aplikacja do zarządzania inteligentnym oświetleniem, narzędzie AI rozszerzające funkcje urządzenia
Usługa przetwarzania danych to usługa cyfrowa umożliwiająca sieciowy dostęp na żądanie do zbioru konfigurowalnych zasobów obliczeniowych (o charakterze scentralizowanym lub rozproszonym), które mogą być szybko i przy minimalnym wysiłku przydzielane i uwalniane.
Przykład
Usługi chmurowe niezależnie od modelu świadczonej usług (tj. IaaS, PaaS, SaaS), usługi przetwarzania brzegowego
Jednocześnie użytkownikiem w rozumieniu DA jest nie tylko konsument, lecz także przedsiębiorca. Dodatkowo danymi w zakresie DA są dane osobowe i nieosobowe, których posiadaczem jest osoba mająca prawo lub obowiązek wykorzystywania i udostępniania danych (np. dostawca usługi chmurowej, producent rozwiązań smart home).
Od samochodów po smart home
DA koncentruje się na możliwości zapewnienia bezpośredniego lub pośredniego dostępu do danych przez użytkowników produktów skomunikowanych i usług powiązanych. Jednocześnie określa zasady udostępniania danych podmiotom trzecim. Udostępnianie danych zakłada także przekazanie odpowiednich metadanych.
DA narzuca obowiązek takiego projektowania i produkowania produktów lub świadczenia usług, aby pozwalały one na łatwy, bezpieczny, darmowy dostęp do danych w całościowym, ustrukturyzowanym, powszechnie używanym i nadającym się do odczytu maszynowego formacie.
Jeśli jest to technicznie możliwe – taki dostęp powinien być bezpośredni (np. z poziomu aplikacji). Jeżeli nie jest to możliwe – użytkownik powinien móc wnieść wniosek o ich udostępnienie. DA preferuje postać elektroniczną wniosku.
Przykład
Użytkownik X korzysta z inteligentnej lodówki, która monitoruje zużycie energii. X powinien móc łatwo otrzymać takie zabezpieczone dane za darmo. Dane te powinny być możliwe do odczytu maszynowego (np. format HTML, specjalny PDF).
Jeżeli X nie ma bezpośredniego dostępu do takich danych – powinien móc złożyć wniosek do ich posiadacza (np. producenta) o ich udostępnienie w takiej samej jakości, jaka jest dostępna dla posiadacza.
Przed zawarciem umowy w zakresie nabycia produktu lub korzystania z usługi – użytkownik powinien otrzymać określone, jasne i zrozumiałe informacje, w szczególności w zakresie danych związanych z produktem lub usługą.
Na wniosek użytkownika dane łatwo dostępne z produktu lub usługi powinny zostać udostępnione osobie trzeciej. Nie dotyczy to danych w zakresie testowania nowych produktów lub procesów, które nie zostały wprowadzone do obrotu, jeżeli nie pozwala na to umowa.
Przykład
Użytkownik X korzysta z inteligentnego oświetlenia zewnętrznego. X chce, aby działało ono automatycznie w godzinach, w których nie ma go w domu. Może on złożyć wniosek o przekazanie podmiotowi zarządzającemu oświetleniem danych dotyczących czasu zamykania i otwierania inteligentnej bramy, aby stworzył odpowiedni skrypt.
Udostępnienie danych przez posiadacza innemu przedsiębiorcy powinno być dokonane zgodnie z zasadami FRAND, tj. na sprawiedliwych, rozsądnych i niedyskryminujących zasadach, w przejrzysty sposób. Przekazanie może uwzględniać rekompensatę (w tym marżę), która nie może być jednak dyskryminująca i musi być zasadna.
Chmura na nowych zasadach
DA zakłada zwiększenie konkurencyjności w sektorze usług przetwarzania danych. Umożliwia zmianę dostawcy usług na usługę tego samego typu świadczoną przez innego dostawcę, lokalną infrastrukturę ICT (rozwiązanie on-premises) lub korzystanie z usług kilku dostawców równocześnie.
Przykład
Przedsiębiorca X korzysta z oprogramowania dostawcy Y w modelu SaaS. X zdecydował, że chce zrezygnować z usług Y i przejść na rozwiązanie on-premises. DA ułatwia rozwiązanie umowy z Y, a także zobowiązuje Y do wsparcia X w zmianie dostawcy.
Jeżeli X korzystałby z oprogramowania on-premises, to DA nie wpływałoby na obowiązki dostawcy tego rozwiązania.
DA wprowadza wiele zmian w praktyce biznesowej dostawców usług przetwarzania danych. Najważniejsze z nich to:
1. Dostawca powinien udostępnić klientowi umowę przed jej podpisaniem oraz podać informację o opłatach za usługę, karach za wcześniejsze rozwiązanie i obniżonych opłatach z tytułu zmiany dostawcy.
2. DA przyznaje prawo do wypowiedzenia każdej umowy z zachowaniem maksymalnego dwumiesięcznego okresu wypowiedzenia. Po okresie wypowiedzenia następuje okres przejściowy, w którym dostawca wciąż świadczy usługi i wspiera klienta w zmianie dostawcy. Dostawcy muszą też przewidzieć minimalnie 30-dniowy okres pobierania danych następujący po okresie przejściowym.
3. Do 11 stycznia 2027 r. dostawcy mogą pobierać tylko obniżone opłaty z tytułu zmiany dostawcy, które służą pokryciu poniesionych kosztów. Natomiast od 12 stycznia 2027 r. dostawcy nie mogą pobierać żadnych opłat z tytułu zmiany dostawcy. Możliwe będzie nałożenie kar za przedwczesne rozwiązanie umowy.
4. DA wymusza wyodrębnienie zakładek na stronach internetowych, które będą informować o jurysdykcji, której podlega infrastruktura ICT, oraz o stosowanych środkach zapobieżenia międzynarodowemu dostępowi do danych nieosobowych.
5. Dostawcy muszą stworzyć i aktualizować rejestr zawierający informacje o strukturach i formatach danych oraz stosownych normach i otwartych specyfikacjach w zakresie interoperacyjności, w których dostępne są dane eksportowalne.
6. Dostawcy usług w modelu PaaS i SaaS powinni nieodpłatnie udostępniać otwarte interfejsy z informacjami umożliwiającymi migrację danych. Dostawcy usług w modelu IaaS powinni ułatwić klientowi osiągnięcie równoważności funkcjonalnej przez zapewnienie zasobów, informacji, dokumentacji, wsparcia technicznego oraz narzędzi.
Czarne i szare klauzule
Zgodnie z DA postanowienia umowne dotyczące udostępniania danych nałożone jednostronnie na innego przedsiębiorcę nie są dla niego wiążące, jeżeli są nieuczciwe. Postanowienie zostało nałożone jednostronnie, jeżeli druga strona nie była w stanie wpłynąć na jego treść mimo próby jej negocjacji.
Przykład
Przedsiębiorcy X i Y negocjują umowę, której treść zaproponował Y. W umowie zawarto nieuczciwe postanowienie. X nie próbował zmienić tego postanowienia. Ostatecznie strony zawarły umowę, w której pozostawiono nieuczciwą klauzulę.
X nie może twierdzić, że nieuczciwe postanowienie jest niewiążące, ponieważ nie podjął próby negocjacji jego treści.
Postanowienie jest nieuczciwe, jeżeli jego stosowanie rażąco odbiega od dobrej praktyki handlowej w zakresie dostępu do danych i ich wykorzystania. DA nie precyzuje, czym są dobre praktyki handlowe.
Przy ocenie nieuczciwości postanowienia rekomendujemy korzystanie z międzynarodowych standardów i wytycznych w zakresie dostępu do danych, np. FAIR Principles. Wsparciem w ocenie może być zamieszczony w DA katalog klauzul czarnych i szarych. Klauzule czarne to postanowienia, które są bezwzględnie nieuczciwe.
Przykład
Przedsiębiorcy X i Y negocjują umowę na korzystanie z bazy danych. Zgodnie z umową Y jest wyłącznie uprawniony do oceny, czy przekazane dane są zgodne z umową. Postanowienie stanowi klauzulę czarną – jest bezwzględnie nieuczciwe. Jeżeli pomimo negocjacji jego treści pozostanie ono w umowie – X może twierdzić, że klauzula jest niewiążąca.
Klauzule szare to postanowienia, co do których domniemywa się, że są nieuczciwe. Domniemanie można obalić, dowodząc, że postanowienie nie odbiega rażąco od dobrej praktyki handlowej.
Przykład
Przedsiębiorcy X i Y negocjują umowę na korzystanie z bazy danych. Zgodnie z umową, Y jest uprawniony do podwyższenia opłaty licencyjnej bez podania ważnej przyczyny, a X nie może wypowiedzieć umowy. Postanowienie stanowi klauzulę szarą – obowiązuje domniemanie jej nieuczciwości. Jeżeli pomimo negocjacji jego treści pozostanie ono w umowie – X może twierdzić, że klauzula jest niewiążąca, ale Y może się bronić, że postanowienie nie odbiega rażąco od dobrej praktyki handlowej (np. jest powszechnie stosowane przez dostawców).
Granice udostępniania danych
DA przewiduje obowiązek udostępniania danych także wtedy, gdy są one tajemnicą przedsiębiorstwa, przy czym jednocześnie ustanawia mechanizmy jej ochrony. W polskim prawie dla określenia, czym jest tajemnica przedsiębiorstwa, kluczowe znaczenie ma art. 11 ustawy o zwalczaniu nieuczciwej konkurencji. Wymaga on spełnienia przesłanki wartości gospodarczej informacji oraz dochowania należytej staranności w zakresie jej ochrony. W praktyce nawet dane surowe, a nie tylko informacje przetworzone czy wywiedzione, mogą stanowić taką tajemnicę. Jednocześnie różnice definicyjne i interpretacyjne między państwami członkowskimi mogą prowadzić do rozbieżności, a nawet sprzyjać tzw. forum shoppingowi.
Przykład
Przedsiębiorca X produkuje inteligentne maszyny rolnicze, które rejestrują dane o pracy silnika i warunkach eksploatacyjnych. Dane są udostępniane użytkownikowi zgodnie z DA. X opracował algorytm optymalizujący spalanie, który bazuje na analizie ww. danych i stanowi know-how X. Fakt, że dane mogą być tajemnicą przedsiębiorstwa, nie oznacza automatycznej odmowy ujawnienia. DA przewiduje, że tajemnice przedsiębiorstwa mogą podlegać udostępnieniu pod warunkiem wcześniejszego zastosowania adekwatnych środków technicznych i organizacyjnych zapewniających ochronę poufności.
X nie może powołać się na tajemnicę przedsiębiorstwa, aby całkowicie odmówić udostępnienia danych. Ma jednak prawo: udostępnić tylko dane surowe, a w odniesieniu do informacji wywiedzionych z algorytmu – uzależnić ich przekazanie od uprzedniego wdrożenia odpowiednich środków ochrony poufności (np. NDA, klauzul ograniczających dalsze wykorzystywanie).
Dopiero, gdy mimo wdrożonych środków istnieje wysokie ryzyko poważnej szkody ekonomicznej, X może odmówić ujawnienia wyników analizy, uzasadniając swoją decyzję i powiadamiając właściwy organ.
Posiadacz danych (lub posiadacz tajemnicy przedsiębiorstwa) jest zobowiązany do identyfikacji danych objętych ochroną oraz do uzgodnienia z użytkownikiem proporcjonalnych środków technicznych i organizacyjnych (np. NDA, klauzule modelowe, protokoły dostępu) przed ich ujawnieniem. Brak takich uzgodnień uprawnia do wstrzymania lub zawieszenia udostępniania danych, przy czym decyzja ta wymaga pisemnego uzasadnienia i notyfikacji właściwego organu. W przypadku wysokiego prawdopodobieństwa poważnej szkody ekonomicznej, posiadacz może odmówić ujawnienia danych – również z obowiązkiem uzasadnienia i powiadomienia organu.
Podmiot trzeci otrzymujący dane może je przetwarzać wyłącznie w uzgodnionym celu, z obowiązkiem ich usunięcia, gdy staną się zbędne. Nie może prowadzić profilowania wykraczającego poza niezbędne minimum ani przekazywać danych dalej, chyba że następuje to za wiedzą użytkownika i z zapewnieniem kaskadowych środków ochronnych. DA wprost zakazuje obchodzenia zabezpieczeń technicznych czy wykorzystywania ujawnionych danych w sposób osłabiający pozycję handlową konkurentów.
Data Act a RODO
DA musi być interpretowany w kontekście przepisów o ochronie danych osobowych. U podstaw relacji między DA a RODO leży dualny charakter danych generowanych przy korzystaniu z produktów skomunikowanych i usług powiązanych. W środowiskach IoT funkcjonują najczęściej tzw. mieszane zestawy danych. Informacje, które mają charakter czysto techniczny (np. liczba cykli pracy, dane o zużyciu energii), mogą umożliwiać pośrednią lub bezpośrednią identyfikację osoby fizycznej. Większość cyfrowych odwzorowań działań i zdarzeń generowanych przez omawiane produkty oraz usługi będzie danymi osobowymi w rozumieniu RODO, jeżeli będą powstawać w wyniku interakcji osób fizycznych z tymi produktami lub usługami.
Przykład
Przedsiębiorstwo X korzysta z maszyn wyposażonych w systemy telematyczne dostawcy Y, które rejestrują m.in. czas pracy silnika, zużycie paliwa. Operatorzy logują się do maszyn kartą dostępu, co pozwala powiązać te dane z konkretnymi pracownikami. X żąda od Y przekazania danych firmie konsultingowej Z, która ma przygotować szkolenie dla operatorów. Dane te mają charakter osobowy, dlatego ich udostępnienie podlega DA i RODO.
Podmioty zobowiązane do realizacji obowiązku udostępniania danych z DA powinny przygotować mapę swoich zasobów informacyjnych, aby zidentyfikować wszystkie kategorie danych generowanych w ramach działalności, odróżnić dane osobowe od nieosobowych oraz ustalić, które z nich podlegają udostępnieniu, w jakim zakresie i na jakiej podstawie. Punktem wyjścia mogą być informacje już zgromadzone, zwłaszcza kategorie danych osobowych wskazane w rejestrze czynności przetwarzania.
DA stosuje się bez uszczerbku dla RODO, a w przypadku kolizji obowiązków pierwszeństwo mają przepisy o ochronie danych osobowych. Dlatego realizacja obowiązków DA nie zwalnia z zapewnienia zgodności z RODO procesów przetwarzania danych powstających w wyniku wykonywania tych obowiązków, np. udostępniania danych z produktu osobie trzeciej na żądanie użytkownika.
Ryzyka związane z podwójną regulacją danych osobowych są widoczne w wypadku, gdy ich udostępnienia lub przekazania innemu podmiotowi żąda użytkownik inny niż osoba, której dane osobowe dotyczą, np. pracodawca. Konieczne jest wtedy prawidłowe ustalenie ról podmiotów uczestniczących w obrocie danymi (użytkownika, posiadacza danych i ew. podmiotu trzeciego) i oparcie udostępnienia na odpowiedniej podstawie prawnej z art. 6 lub 9 RODO.
Z perspektywy RODO:
1. użytkownik niebędący osobą, której dane dotyczą, występując z żądaniem udostępnienia danych na podstawie DA, zasadniczo jest administratorem danych,
2. posiadacz danych, wykonując żądanie użytkownika niebędącego podmiotem danych, może być administratorem, współadministratorem lub podmiotem przetwarzającym, zależnie od tego, czy realizuje własne cele przetwarzania, dzieli je z użytkownikiem czy działa wyłącznie na jego instrukcje,
3. podmiot trzeci, któremu dane są udostępniane w określonych konfiguracjach, jest współadministratorem razem z użytkownikiem niebędącym osobą, której dane dotyczą, lub podmiotem przetwarzającym.
DA nie stanowi samodzielnej podstawy przetwarzania danych osobowych. Posiadacz danych nie może się powoływać na art. 6 ust. 1 lit. c RODO jako uzasadnienie udostępnienia lub przekazania danych na żądanie użytkownika niebędącego osobą, której dane dotyczą. Każdy podmiot uczestniczący w obrocie wygenerowanymi danymi w zależności od pełnionej roli w procesie przetwarzania danych osobowych będzie musiał ustalić właściwą podstawę prawną przetwarzania zgodnie z RODO.
Jeżeli użytkownikiem produktu skomunikowanego jest sama osoba, której dane dotyczą, posiadacz danych pełni funkcję wykonawcy jej praw, a przepisy DA nie kreują odrębnych uprawnień, lecz uzupełniają katalog z RODO. Prawo dostępu i przenoszenia danych, przysługujące podmiotowi danych na gruncie RODO, zostało wzmocnione przez nałożenie na posiadaczy danych obowiązków zapewniających łatwy i technicznie wykonalny dostęp do danych generowanych przez produkty i usługi IoT. Jednocześnie posiadacz i ew. osoby trzecie zobowiązane są do stosowania środków technicznych i organizacyjnych adekwatnych do ryzyka, takich jak pseudonimizacja, szyfrowanie czy wykorzystanie technologii umożliwiających analizę danych bez ich kopiowania, aby ograniczyć ryzyko naruszenia praw osób fizycznych. Zakres tych obowiązków obejmuje przestrzeganie ograniczeń wynikających z DA, w tym zakazu utrudniania wykonywania praw, stosowania zwodniczych interfejsów, bezzasadnego profilowania czy dalszego udostępniania danych osobom trzecim bez podstawy prawnej.
Żądania użytkowników będących osobami, których dane dotyczą, mogą obejmować zarówno realizację prawa dostępu do danych osobowych lub ich przeniesienia na podstawie RODO, jak i praw dotyczących udostępnienia danych wygenerowanych z DA. Warto ujednolicić procesy obsługi takich żądań w odniesieniu do produktów i usług IoT.
Osoba trzecia, która otrzymuje dane osobowe na podstawie DA, jest zobowiązana do przestrzegania RODO, w tym może przetwarzać otrzymane dane wyłącznie w celu uzgodnionym z użytkownikiem i powinna je usunąć, gdy nie są już niezbędne do tego celu, co stanowi uzupełnienie prawa do usunięcia przewidzianego w RODO. Kluczowy jest też zakaz profilowania. Dane pozyskane w trybie DA nie mogą być wykorzystywane do profilowania osób fizycznych, chyba że jest to bezwzględnie konieczne do świadczenia usługi, o którą wnosi użytkownik będący osobą, której dane dotyczą.
DA nakłada na podmioty zobowiązane dodatkowe obowiązki informacyjne przy sprzedaży produktów skomunikowanych, zbliżone do art. 13 RODO. Adresatami mogą być zarówno nabywcy, jak i użytkownicy. Kluczowe jest, aby dążyć do największej spójności informacji o przetwarzaniu danych wymaganych przez DA i RODO
Organy ochrony danych osobowych powołane na podstawie RODO pozostają właściwe do monitorowania stosowania DA w zakresie danych osobowych. W przypadku naruszenia obowiązków związanych z udostępnianiem danych lub wykonywaniem obowiązków ciążących na posiadaczach danych organy te mogą nakładać administracyjne kary pieniężne zgodnie z RODO.
Nadzór ma sprawować UKE
Egzekwowanie DA następuje na poziomie krajowym. Z założeń projektu ustawy wdrażającej wynika, że prezes Urzędu Komunikacji Elektronicznej będzie organem odpowiedzialnym za stosowanie i egzekwowanie DA w Polsce. Będzie on uprawniony zwłaszcza do rozpatrywania skarg i prowadzenia postępowań w przypadku naruszeń DA, a także do nakładania kar.
DA nie określa wysokości kar, wskazując natomiast, że sankcje muszą być skuteczne, proporcjonalne i odstraszające. Ich szczegółowe ukształtowanie pozostawia państwom członkowskim. W Polsce projektowane regulacje w tym zakresie mają bazować na rozwiązaniach znanych z obowiązującego prawa, w szczególności z prawa komunikacji elektronicznej czy kodeksu postępowania administracyjnego. Można się spodziewać, że system sankcji będzie obejmował: administracyjne kary pieniężne, nakaz przywrócenia zgodności z przepisami, czasowy zakaz świadczenia usługi niespełniającej wymogów itp.
Ocena zgodności z DA może nastąpić na skutek skargi złożonej przez klienta albo konkurenta, w ramach planowej kontroli organu albo w toku postępowania wyjaśniającego wszczętego przez organ po otrzymaniu sygnału od podmiotów z rynku. Ryzyko weryfikacji przestrzegania przepisów jest zatem realne i wielokanałowe.
Jak wdrożyć nowe przepisy
Wdrożenia wymogów DA należy dokonać odrębnie w stosunku do przetwarzania danych użytkowników w związku z korzystaniem przez nich z urządzeń IoT oraz do sytuacji zmiany dostawcy usług przetwarzania danych, w tym usług chmury obliczeniowej. W pierwszym wypadku należy dokonać analizy, które z oferowanych przez dany podmiot produktów lub usług są objęte zakresem zastosowania DA, w szczególności czy mają one charakter produktów skomunikowanych lub usług powiązanych. Weryfikacji podlegają również procesy udostępniania danych użytkowników tzw. odbiorcom danych. Przykładowo chodzi o sytuacje, gdy użytkownik zleca przekazanie danych w celu naprawy dostawcy usług serwisowych, który jest innym podmiotem niż producent urządzenia.
Kolejną czynnością wdrożeniową jest wykonanie tzw. analizy luk, a więc ustalenie, czy i jakie obowiązki z DA muszą zostać implementowane w organizacji. W tym celu kluczowe jest określenie statusu podmiotu na gruncie DA. Przykładowo większość obowiązków nałożona została na tzw. posiadaczy danych wygenerowanych przez użytkowników, z kolei podmioty wprowadzające do obrotu urządzenia IoT, ale niemające dostępu do tych danych, muszą spełnić tylko obowiązki informacyjne. Przy określaniu zakresu obowiązków z DA należy pamiętać, że szczególne wymogi wprowadzone zostały w stosunku do odbiorców danych (np. w zakresie bezpieczeństwa przetwarzania danych). W pewnych sytuacjach, konieczne będzie opracowanie nowej dokumentacji (np. w zakresie procedury udostępniania danych użytkownikom lub wskazanym przez nich osobom trzecim). Na tym etapie wdrożenia trzeba rozważyć dokonanie innych czynności, takich jak np. klasyfikacja danych jako chronionych tajemnicą przedsiębiorstwa i odpowiednie ich w związku z tym zabezpieczenie przed udostępnieniem osobom trzecim (odbiorcom danych).
Dostawcy usług przetwarzania danych powinni rozpocząć wdrożenie wymogów DA od ustalenia, czy świadczone usługi są usługami z Rozdziału VI DA. W razie pozytywnej weryfikacji dostawca powinien zrealizować szereg obowiązków dotyczących zmiany wyjściowego dostawcy na nowego, względnie (powrotne) rozpoczęcie przetwarzania w lokalnej infrastrukturze ICT. Chodzi zwłaszcza o obowiązki informacyjne, obowiązki dot. technicznego wsparcia przy zmianie dostawcy czy stopniowe odejście od opłat z tytułu zmiany dostawcy. Ważną i czasochłonną czynnością wdrożeniową jest modyfikacja stosowanych wzorów umów, tak aby zawierały one wszystkie postanowienia, których obowiązek wprowadzenia ustanowiono w DA. ©℗
