Co zmienia nowelizacja UKSC? Część 4
Czytaj więcej
Vibe coding a prawo
Czytaj więcej
Będzie coraz trudniej o 8,5% ryczałt od przychodów ewidencjonowanych w branży IT?
Czytaj więcej
Shadow AI
Czytaj więcej
Objaśnienia, konsultacje, publikacje – czy termin wejścia w życie KSeF pozostaje realny?
Czytaj więcej
Co zmienia nowelizacja UKSC? Część 3
Czytaj więcej
Co zmienia nowelizacja UKSC? Część 2
Czytaj więcej
Lista samokontroli do umów cywilnoprawnych – czy pytania GIP dotyczące samozatrudnienia i B2B powinny być powodem do paniki?
Czytaj więcej
Pierwsze kroki ze start-upem, czyli co z tą polityką prywatności
Czytaj więcej
Encyclopaedia Britannica v. Perplexity AI: kolejny pozew przeciwko dostawcy modelu sztucznej inteligencji
Czytaj więcej
Co zmienia nowelizacja UKSC? Część 1
Czytaj więcej
Pierwszy pozew o kradzież głosu polskiego lektora przy wykorzystaniu AI
Czytaj więcej
Umowy inwestycyjne w start-upach, czyli jak negocjować i czego unikać – praktyczny przewodnik dla founderów
Czytaj więcej
Data Act – Rozwiązanie umowy na usługę chmurową
Czytaj więcej
GEMA wygrywa z OpenAI – czy to przełomowy wyrok?
Czytaj więcej
Standardowe klauzule umowne dla dostawców usług chmurowych
Czytaj więcej
Wyrok sądu w sprawie Getty Images przeciwko Stability AI – kluczowe skutki dla zarządzania IT oraz biznesu cyfrowego
Czytaj więcej
Exit plan w start-upie
Czytaj więcej
Sztuczna inteligencja w medycynie – nowe wyzwania prawne i praktyczne
Czytaj więcej
KSeF – to przede wszystkim wyzwanie informatyczne
Czytaj więcej
Finansowanie start-upów
Czytaj więcej
Nowe wyzwania prawne dla IT – prelekcja Mateusza Kozieła podczas warsztatów MMC Polska
Czytaj więcej
Założenia ustawy o sprawiedliwym dostępie do danych i ich wykorzystywaniu opublikowane
Czytaj więcej
Generatywna sztuczna inteligencja a prawo autorskie w UE – kluczowe wnioski z raportu EUIPO
Czytaj więcej
Obowiązek współdziałania w kontrakcie utrzymaniowym IT – dobre praktyki umowne
Czytaj więcej
Richard Kadrey v. Meta Platforms: kolejna decyzja w sprawie trenowania modeli AI oraz praw autorskich w Stanach Zjednoczonych
Czytaj więcej
Naruszenie praw autorskich i co dalej?
Czytaj więcej
ESOP czyli co? 
Czytaj więcej
Nowe prawo pokrewne w praktyce – jak chroni wydawców w erze platform cyfrowych?
Czytaj więcej
Bartz i in. vs. Anthropic: pierwsze zwycięstwo producentów modeli sztucznej inteligencji przeciwko autorom książek
Czytaj więcej
Open source w firmie: potencjał, obowiązki, ryzyko
Czytaj więcej
Jaką formę prawną wybrać dla start-upu?
Czytaj więcej
Nowe zasady gry w WHT – MF publikuje długo wyczekiwane objaśnienia do klauzuli rzeczywistego właściciela
Czytaj więcej
Nie tylko formalność – wpływ badania due diligence na decyzje transakcyjne
Czytaj więcej
Styl a prawo autorskie na tle generowania obrazów w stylu Ghibli
Czytaj więcej
Raport Copyright and Generative AI: sztuczna inteligencja a prawo autorskie
Czytaj więcej
Sztuczna inteligencja przed sądem – pierwszy spór przed TSUE
Czytaj więcej
Zgłaszać czy nie zgłaszać? Naruszenia ochrony danych osobowych po „nowemu”.
Czytaj więcej
Kiedy design łamie prawo – dark patterns w świetle przepisów
Czytaj więcej
Program komputerowy jako wkład do spółki – skutki podatkowe
Czytaj więcej
Prawa autorskie a utrzymanie systemu informatycznego – co powinien wiedzieć zamawiający? Cz. 3: Jak odzyskać swobodę zarządzania systemem – dostępne strategie i ich konsekwencje
Czytaj więcej
Program komputerowy jako wkład do spółki
Czytaj więcej
Prawa autorskie a utrzymanie systemu informatycznego – co powinien wiedzieć zamawiający? Cz. 2: Jak sprawdzić swoją sytuację prawną i techniczną?
Czytaj więcej
Prawa autorskie a utrzymanie systemu informatycznego – co powinien wiedzieć zamawiający? Cz. 1: Dlaczego zamawiający tracą wpływ na swoje systemy IT?
Czytaj więcej
Ulga na innowacyjnych pracowników a 50% koszty uzyskania przychodów – naczynia połączone?
Czytaj więcej
Czy czeka nas deregulacja RODO?
Czytaj więcej
Polski Akt o Dostępności – nowe obowiązki również dla e-commerce
Czytaj więcej
Zmiany w prawie autorskim – nowe uprawnienia twórców
Czytaj więcej
Zagrożona wirtualna tożsamość – spory o domeny internetowe
Czytaj więcej
26 kwietnia: Światowy Dzień Własności Intelektualnej
Czytaj więcej

Dostawco usług chmurowych czy Twoje umowy są zgodne z Data Act i gotowe na zmianę dostawcy przez klienta?

Od 12 września 2025 roku obwiązuje unijne rozporządzenie „Data Act” (UE 2023/2854), które wprowadza ważne obowiązki regulacyjne dla dostawców usług przetwarzania danych, wprost uderzające w sposób, w jaki kształtowane są umowy na usługi przetwarzania danych – w szczególności chmurowe.

Zgodnie z Rozporządzeniem usługi przetwarzania danych powinny być rozumiane szeroko jako usługi cyfrowe zapewniające sieciowy „na żądanie klienta” dostęp do konfigurowalnych, skalowalnych i elastycznych zasobów obliczeniowych udostępnianych przez dostawcę przy jego minimalnej ingerencji1.

Jeżeli dostarczasz usługi SaaS, PaaS, IaaS lub inne usługi przetwarzania danych „na żądanie” klienta, Data Act staje się jednym z kluczowych punktów odniesienia dla Twoich wzorców umów, regulaminów i procedur operacyjnych. Rozporządzenie odpowiada na problem zbyt dużej dowolności praktyk umownych w obszarze chmury, braku otwartych standardów oraz procedur zmiany dostawcy, które w praktyce prowadziły do zależności klienta od pojedynczego dostawcy („vendor lockin”).

Nowe przepisy mają otworzyć rynek: ułatwić klientom zmianę dostawcy i wzmocnić ich pozycję kontraktową – co dla dostawcy oznacza konieczność przeprojektowania umów oraz procesów. Data Act nakłada na dostawców usług przetwarzania danych konkretne obowiązków regulacyjnych, które mają znaleźć odzwierciedlenie w ich relacjach z klientami. Obowiązki te obejmują zarówno treść umów z klientami, jak i wymagania techniczne oraz stopniowe wycofanie opłat za zmianę dostawcy.

Nowe obowiązki regulacyjne dla dostawców usług przetwarzania danych oznaczają konieczność dostosowania wzorców umów stosowanych w relacjach z klientami, jak również przeglądu a w razie potrzeby dostosowania regulaminów i procesów operacyjnych, tak aby odpowiadały wymaganiom Rozporządzenia. W dalszej części wskazujemy, jakie elementy powinny znaleźć się w umowie dostawcy usług z klientem, aby była zgodna z Data Act i równocześnie wspierała model biznesowy dostawcy.

Prawo do zmiany dostawcy

Jednym z filarów Data Act jest zapewnienie klientom realnej, a nie tylko teoretycznej możliwości zmiany dostawcy usług przetwarzania danych lub przejścia do własnej infrastruktury. jest.

W praktyce oznacza to, że umowa powinna wprost:

  • przyznawać klientowi prawo do zmiany dostawcy usługi lub przejścia na własną infrastrukturę IT
  • eliminować nadmierne bariery techniczne, finansowe czy proceduralne (np. wygórowane opłaty za migrację, niejasne lub nieistniejące procedury wyjścia).

Z tym uprawnieniem nierozerwalnie wiąże się konieczność jasnego określenia, jakie dane klient może pobrać przy zmianie dostawcy. Chodzi nie tylko o dane, które klient wprowadził do systemu, ale również:

  • dane wygenerowane w trakcie korzystania z usługi (np. logi, raporty, wyniki przetwarzania) oraz
  • metadane, o ile są łatwo dostępne dla dostawcy. W umowie warto więc zdefiniować dane podlegające eksportowi oraz podać przykładowe kategorii, aby uniknąć sporów interpretacyjnych na etapie migracji.

Plan wyjścia z usługi (exit plan)

Prawo do zmiany dostawcy pozostanie iluzoryczne, jeżeli w umowie zabraknie szczegółowego opisu wyjścia z usługi, uwzględniającego przede wszystkim proces migracji danych i aplikacji.

Umowa powinna więc zawierać „Exit plan”, który powinien wskazywać, co najmniej:

  • w jakich formatach dostawca udostępni dane klienta (rekomendowane są formaty otwarte, ustrukturyzowane, nadające się do odczytu maszynowego),
  • jakimi kanałami będzie odbywał się transfer danych (np. API, narzędzia eksportu, bezpośredni dostęp do repozytoriów danych),
  • w jakich terminach dane zostaną udostępnione klientowi.

Dobrą praktyką kontraktową jest wprowadzenie do umowy ramowego harmonogramu migracji, ilustrującego kluczowe etapy tego procesu, takie jak:

  • zgłoszenie zamiaru zmiany dostawcy,
  • przygotowanie środowiska po stronie obecnego i nowego dostawcy,
  • eksport danych i ich weryfikacja,
  • zakończenie świadczenia usług przez dotychczasowego operatora.

Umowa powinna jasno wskazywać, że dostawca udzieli klientowi rozsądnego wsparcia w procesie migracji – zarówno technicznego, jak i organizacyjnego – tak, aby cały ciężar operacyjny procesu nie spoczywał wyłącznie na kliencie.

Również koszty związane ze zmianą dostawcy co do zasady nie powinny być przerzucane na klienta, z wyjątkiem dodatkowego wsparcia wykraczającego poza zakres rozsądniej pomocy.

Terminy wyjścia z usługi i okres przejściowy

Data Act ogranicza elastyczność kształtowania terminów dotyczących wyjścia z usługi, w szczególności:

  • maksymalny okres wypowiedzenia usługi nie może przekraczać 2 miesięcy.
  • umowa powinna także przewidywać tzw. „okres przejściowy”, czyli uzgodniony przez strony czas po wypowiedzeniu umowy (co najmniej 30 dni), w którym usługa jest nadal świadczona przez dotychczasowego dostawcę, aby umożliwić migrację danych i aplikacji do nowego dostawcy lub na infrastrukturę lokalną klienta.
  • umowa powinna przewidywać także uprawnienie klienta do jednorazowego wydłużenia okresu przejściowego na kolejny okres, jeżeli jest to konieczne dla bezpiecznej migracji.

Z perspektywy dostawcy precyzyjne uregulowanie tych terminów ogranicza ryzyko przeciągających się migracji oraz sporów o zakres obowiązków po wypowiedzeniu umowy.

Opłaty za zmianę dostawcy

Data Act wprowadza szczególne zasady dotyczące opłat pobieranych z tytułu zmiany dostawcy i eksportu danych.

W umowie warto wyraźnie:

  • odróżnić standardowe wynagrodzenie za usługę od opłat z tytułu zmiany dostawcy i migracji,
  • uwzględnić, że w tzw. „okresie przejściowym” trwającym do 12 stycznia 2027 roku dostawca może pobierać jedynie obniżone opłaty nieprzekraczające rzeczywistych kosztów procesu zmiany dostawcy
  • wskazać, że po tej dacie opłaty za zmiany dostawcy i eksport danych zostają zniesione.

W przypadku szczególnie złożonych migracji umowa może przewidywać dodatkowe wynagrodzenie za wsparcie wykraczające poza zakres „rozsądnej pomocy”, pod warunkiem, że pozostaje ono w rozsądnej proporcji do standardowego wynagrodzenia za usługę.

Bezpieczeństwo migracji

Proces zmiany dostawcy nie może oznaczać obniżenia poziomu bezpieczeństwa przetwarzania danych.

Umowa powinna:

  • gwarantować utrzymanie co najmniej takiego poziomu bezpieczeństwa procesu zmiany dostawcy jak w trakcie zwykłego świadczenia usług.
  • wskazywać konkretne środki techniczne wykorzystywane podczas procesu zmiany dostawcy (np. szyfrowanie danych w tranzycie, kontrola dostępu, monitoring incydentów).
  • zobowiązywać dostawcę do informowania klienta o wszelkich incydentach bezpieczeństwa, które wystąpią w trakcie procesu zmiany dostawcy.

Z perspektywy dostawcy precyzyjne opisanie środków bezpieczeństwa ogranicza ryzyko sporów oraz roszczeń związanych z utratą lub naruszeniem danych podczas migracji.

Odpowiedzialność dostawcy a Data Act

Z punktu widzenia dostawcy przyjęcie zrównoważonego modelu odpowiedzialności jest korzystniejsze niż oparcie się na klauzulach skrajnie jednostronnych, które w praktyce mogą nie zadziałać.
Warto rozważyć wprowadzenie:

  • racjonalnych limitów odpowiedzialności,
  • wyłączeń odpowiedzialności za określone kategorie szkód,
  • przy jednoczesnym zachowaniu realnych środków ochrony po stronie klienta.

Konieczne jest również, aby umowa regulowała odpowiedzialność dostawcy za niewykonanie lub nienależyte wykonanie obowiązków związanych z procesem zmiany. Szczególnie istotne jest określenie odpowiedzialności dostawcy za niewydanie danych w uzgodnionym terminie, ich uszkodzenie, utratę czy naruszenia wymogów bezpieczeństwa.

Data Act przewiduje kontrolę kluczowych warunków umownych – w tym postanowień dotyczących odpowiedzialności – pod kątem ich uczciwego charakteru wobec klienta (art. 13–16 Data Act).

  • klauzule całkowicie wyłączające odpowiedzialność dostawcy za szkody spowodowane umyślnie lub wskutek rażącego niedbalstwa są zakazane,
  • za nieuczciwe (i tym samym bezskuteczne wobec klienta).

W praktyce oznacza to między innymi, że:

  • zakazane jest stosowanie klauzul całkowicie wyłączających odpowiedzialność dostawcy za szkody spowodowane umyślnie lub wskutek rażącego niedbalstwa,
  • postanowienia nadmiernie ograniczające środki ochrony przysługujące klientowi lub nadmiernie obniżające limity odpowiedzialności mogą zostać uznane za nieuczciwe wobec klienta (i tym samym bezskuteczne wobec klienta).

Projektując model odpowiedzialności dostawcy, należy więc unikać postanowień, które w praktyce pozbawiałyby klienta ochrony. Zgodnie z mechanizmem przewidzianym w Data Act takie klauzule mogą zostać uznane za bezskuteczne wobec klienta, co z punktu widzenia dostawcy oznacza niepewność co do ostatecznego zakresu ryzyka po jego stronie. Z tych przyczyn rekomendowane jest przyjęcie zrównoważonego modelu dopuszczalnych, racjonalnych limitów odpowiedzialności, ale przy zachowaniu realnych środków ochrony przysługujących klientowi.

Interoperacyjność i dokumentacja techniczna

Data Act wymaga od dostawcy takiego ukształtowania modelu usług, aby możliwe było ich poprawne współdziałanie z innymi rozwiązaniami na rynku oraz efektywne przenoszenie danych do środowiska innego dostawcy lub infrastruktury klienta.

W umowie warto zadbać o:

  • obowiązek dostawcy unikanie wprowadzania zbędnych barier technicznych (np. stosowania zamkniętych, nietypowych formatów danych bez dokumentacji)
  • zobowiązanie do zapewniania interoperacyjności w oparciu o zharmonizowane normy i wspólne specyfikacje, jeśli są dostępne.
  • zobowiązanie do udostępnienie klientowi odpowiedniej dokumentacji technicznej, w formacie umożliwiającym prawidłowe odtworzenie struktury i znaczenia danych w systemach docelowych.

Dla średnich dostawców interoperacyjność może być jednym z elementów przewagi konkurencyjnej – klient łatwiej decyduje się na współpracę, jeżeli wie, że w razie potrzeby bezpiecznie przeniesie dane.

Tajemnica przedsiębiorstwa i prawa własności intelektualnej

W kontekście postanowień umowy istotne znaczenie ma precyzyjne określenie, które dane i inne aktywa po stronie dostawcy:

  • stanowią tajemnicę przedsiębiorstwa
  • są objęte ochroną praw własności intelektualnej.

Umowa powinna:

Precyzyjnie określać takie elementy i wprost wyłączać je z zakresu danych podlegających eksportowi przy zmianie dostawcy

  • przewidywać dodatkowe środki ochrony prawnej np. zawarcie umowy o zachowanie poufności z nowym dostawcą,
  • określać szczególne zasady dostępu do danych oraz wzmocnione zabezpieczenia techniczne w razie przekazywania informacji o takim charakterze.

Odmowa przekazania określonych danych powinna być dopuszczalna wyłącznie w wyjątkowych przypadkach, gdy dostawca wykaże wysokie prawdopodobieństwo poważnej szkody gospodarczej w razie ich ujawnienia, na warunkach określonych w Data Act.

O czym należy pamiętać? Najczęstsze problemy w obecnych umowach chmurowych

Opisane zagadnienia jedynie sygnalizują najistotniejsze naszym zdaniem obszary kontraktowe, które mogą wymagać dostosowania do obowiązków wynikających Data Act.

W praktyce obserwujemy, że wiele funkcjonujących dziś wzorców umów:

  • w ogóle nie przewiduje jasnego, wykonywalnego prawa klienta do zmiany dostawcy,
  • nie definiuje zakresu danych i metadanych podlegających eksportowi,
  • nie rozróżnia standardowego wynagrodzenia od opłat za migrację,
  • zawiera zbyt niskie lub nieprzemyślane limity odpowiedzialności,
  • nie reguluje interoperacyjności i dokumentacji technicznej tak, aby umożliwić rzeczywistą migrację.

W połączeniu z Data Act oznacza to realne ryzyko sporów, niewykonalności niektórych klauzul oraz niepewności co do faktycznego zakresu ryzyka po stronie dostawcy.

Najeży tez pamiętać, że w praktyce każda umowa wymagać będzie jednak indywidualnej analizy uwzględniającej model biznesowy i potrzeby obu stron.

Jak możemy pomóc?

Jeżeli świadczysz usługi chmurowe lub inne usługi przetwarzania danych, dostosowanie umów i procesów do Data Act jest kwestią czasu – i skali ryzyka, jakie jesteś gotów podjąć.

Wspieramy dostawców i odbiorców usług IT w szczególności w:

  • audycie wzorców umownych i regulaminów pod kątem wymogów Data Act,
  • zaprojektowaniu klauzul migracyjnych i „exit planów”,
  • ułożeniu modelu odpowiedzialności i limitów zgodnych zarówno z rozporządzeniem, jak i oczekiwaniami rynku,
  • dostosowaniu dokumentacji technicznej i standardów interoperacyjności do nowych wymogów.

Jeśli chcesz, możemy wspólnie przeanalizować Twoje obecne umowy i procesy, a następnie przygotować pakiet rozwiązań kontraktowych „Data Actready”, dopasowany zarówno do regulacji jak i do Twojego modelu biznesowego.

Joanna Kik | Barta & Partners

Joanna Kik

radca prawny
jkik@barta.pl