Что такое EU Data Act?
- 16 июня, 2026
- Data Privacy, Для бизнеса
EU Data Act — это относительно новый регулирующий документ с потенциальными штрафами на уровне GDPR, который призвана покончить с цифровым феодализмом и обязать компании делиться информацией с пользователями. Но как именно он собирается это делать? В этой статье объясним, как работает Акт, как адаптироваться к новым правилам и не получить штраф на европейском рынке.
Содержание
Зачем создали EU Data Act?
EU Data Act — это регламент Евросоюза, который вступил в силу 11 января 2024 года и начал применяться с 12 сентября 2025 года. Он устанавливает единые правила для доступа к данным и их использования. Если требования GDPR фокусировались только на персональных данных, то Data Act идет дальше, и охватывает вообще все данные — и персональные, и промышленные (неперсональные), которые собираются с помощью умных устройств и цифровых сервисов.
Главная цель закона — восстановить справедливость и предотвратить монополию производителей на информацию. Он должен обеспечить полный контроль пользователей над своими данными, когда они используют цифровые продукты или сервисы. Как компаниям, так и обычным пользователям наверняка знакома проблема, когда ты привязан к одному поставщику, устройству или сервису, потому что перенести свои данные в другой сервис слишком сложно или дорого.
Важный нюанс: Data Act не отменяет GDPR. Если пользователь просит передать данные, в которых замешана личная информация других людей, правила защиты персональных данных имеют приоритет. Эти два закона работают в тандеме, но в случае прямого конфликта GDPR всегда стоит на первом месте.
На кого распространяется Data Act?
Регламент затрагивает широкий круг компаний, независимо от того, где физически находится их офис. Под действие закона попадают:
🔹 Производители «умных» устройств (IoT): от фитнес-браслетов и кофемашин до промышленных станков и сельскохозяйственной техники.
🔹 Поставщики связанных сервисов: те, кто создает ПО, без которого устройство не может выполнять свои функции (например, приложение для управления умным домом или софт в бортовом компьютере автомобилей).
🔹 Поставщики облачных услуг (SaaS, PaaS, IaaS): любые сервисы, предлагающие масштабируемые вычислительные ресурсы.
🔹 Получатели данных: третьи лица, которым пользователи разрешают доступ к своей информации (например, независимые ремонтные мастерские).
Законодатели предусмотрели исключения, чтобы не душить стартапы бюрократией. От обязанностей по передаче данных освобождены:
🔹 Микро- и малые предприятия — компании, где работает менее 50 сотрудников, а годовой оборот или баланс не превышает 50 млн евро.
🔹 Новички — средние предприятия (до 250 сотрудников), которые существуют менее одного года. Однако даже маленькие компании обязаны обеспечивать справедливые условия в B2B и B2C договорах и не могут мешать пользователям уходить к конкурентам.
В ноябре 2025 года ЕС предложило пакет изменений для цифрового законодательства. Часть требований планируется упростить, а часть — ужесточить. Узнайте, какие изменения планируются и как они могут повлиять на обязательства бизнеса.
Как и GDPR, этот акт применяется напрямую во всех странах ЕС. Действует и экстерриториальный принцип: если вы продаете умные товары на европейских маркетплейсах (например, Amazon) или предлагаете SaaS-решения клиентам в ЕС, вы обязаны соблюдать регламент. Компании из-за пределов ЕС также обязаны назначить своего официального представителя на территории союза.
Роли в новой экосистеме
Помимо указанных ранее ролей, закон предусмотрел такие роли:
🔹 Держатель данных (Data Holder): тот, кто фактически контролирует данные. Например, производитель авто, собирающий статистику в свое облако.
🔹 Пользователь (User): владелец устройства или тот, кто им временно пользуется (арендатор, лизингополучатель). Причем пользователем может быть как человек, так и компания.
🔹 Получатель данных (Data Recipient): третья сторона, которой пользователь доверяет свои данные. Например, страховая компания, желающая проанализировать ваш стиль вождения для расчета скидки.
Что гарантирует Data Act?
Передача данных
Главное новшество — право пользователя получать возможность доступа к данным «без неоправданных задержек» и, если это технически возможно, в режиме реального времени. Основные правила обеспечения такого права:
🔹 Бесплатность для пользователя: вы не можете брать деньги с человека за то, что отдаете ему его же данные.
🔹 Качество и формат: данные должны передаваться в структурированном, общепринятом и машиночитаемом формате.
🔹 Прямой доступ: сервисы должны быть спроектированы так, чтобы данные были легко доступны по умолчанию.
Что именно нужно передавать?
Это зависит от типа сервиса. Однако если речь идет об умных устройствах — сырые данные (температура датчика, GPS-координаты) и минимально обработанную информацию, а также метаданные (время записи, сила сигнала Wi-Fi).
При это можно оставить себе результаты работы сложных алгоритмов. Если система проанализировала данные и выдала прогноз поломки — этот вывод, а тем более алгоритм, использованный при генерации вывода, является интеллектуальной собственностью, и делиться им производитель не обязан.
Смена провайдера
Провайдеры (SaaS, PaaS, IaaS) обязаны обеспечить бесшовный переход клиента к конкуренту. Провайдер при этом обязан оказывать разумную помощь в процессе миграции. Максимальный срок для уведомления, чтобы расторгнуть договор на облако, составляет 2 месяца. Больший срок будет незаконным.
Акт продвигает постепенный отказ от платы за перенос данных (egress fees), а с 12 января 2027 года любые сборы за смену провайдера будут полностью запрещены.
Защита от несправедливых контрактов
Data Act защищает малый и средний бизнес от несправедливых условий в B2B-контрактах. Если крупный партнер навязывает несправедливые условия, которые ограничивают ваше право на данные, такие пункты признаются недействительными. Например, нельзя запретить вам использовать данные, которые вы сами же и сгенерировали в процессе работы.
Обязанности компаний по Data Act
Обязанности зависят от вашей роли и контекста (B2B или B2C). Однако есть несколько распространенных требований:
Прозрачность до сделки
Еще до продажи устройства или заключения договора на сервис, компании обязаны четко объяснить пользователю: какие данные будут собираться, в каком формате и как он сможет их забрать.
Техническая готовность
Компании обязаны внедрить открытые интерфейсы (API) для переноса данных.
Защита коммерческой тайны
Если компания делится данными с третьим лицом, она имеет право требовать соблюдения мер конфиденциальности (шифрование, соглашения о неразглашении). В исключительных случаях, если раскрытие грозит «серьезным экономическим ущербом», в передаче данных можно отказать, но это придется доказать регулятору.
Сколько стоит нарушение Data Act?
Соблюдение Data Act контролируют национальные органы каждой страны ЕС (например, ACM в Нидерландах или Bundesnetzagentur в Германии). Что касается наказаний, закон требует, чтобы они были эффективными и убедительными. В Польше, например, уже предложили установить верхнюю планку штрафа на уровне 4% от годового оборота компании — прямо как в GDPR. В Германии недавно были также утверждены штрафы, сравнимые с GDPR. Кроме того, компании рискуют столкнуться с коллективными исками от потребителей, чьи права на перенос данных были нарушены.
Не знаете, как подготовиться к Data Act?
Консультанты Data Privacy Office помогут провести аудит данных, обновить B2B-контракты и выстроить процессы под требования Data Act, чтобы избежать штрафов.
Заключение: как подружиться с Data Act?
EU Data Act превращает данные из закрытой собственности корпораций в актив, который принадлежит пользователю и может свободно перемещаться между сервисами. Если ваш бизнес связан с умными устройствами или облачными сервисами и ориентирован на рынок ЕС, этот закон — ваша новая реальность.
Data Act — часть более широкой экосистемы цифрового регулирования ЕС. Параллельно действуют Акт о цифровых услугах (Digital Services Act) и другие регламенты, формирующие единое правовое пространство для бизнеса в ЕС.
Что делать дальше: ваш пошаговый план
1) Проверьте масштаб бизнеса. Если у вас меньше 50 сотрудников и годовой оборот до 50 млн евро, вы подпадаете под исключение для малых предприятий и освобождены от ряда обязанностей по передаче данных.
2) Определите свою роль. От этого зависят ваши конкретные обязательства по разным главам закона.
3) Проведите аудит данных. Если вы поставляете умные устройства, разделите информацию на сырую/ минимально обработанную (которой нужно делиться) и результаты сложных алгоритмов или коммерческую тайну (которые можно оставить себе). Для поставщиков облачных сервисов требования по шерингу данных будут немного отличаться.
4) Обновите контракты и процесс выгрузки данных. Убедитесь, что B2B-контракты не содержат несправедливых условий, а техническая база позволяет выдавать данные в структурированном и машиночитаемом формате.
5) Помните о дедлайнах. С 12 января 2027 года вводится полный запрет на взимание платы за перенос данных между провайдерами.
6) Найдите своего регулятора. Изучите, какой орган в вашей стране ЕС курирует Data Act, чтобы следить за их разъяснениями и складывающейся практикой.
Помощь и поддержка по вопросам защите персональных данных по GDPR и национальным законам
Помогаем настроить системную работу по защите персональных данных с помощью тренингов и консалтинговых услуг.
Приведем проекты, процессы и продукты компании в соответствие с международными и национальными правилами защиты данных: GDPR, CCPA, UAE PDPL, PIPL, Закон Республики Беларусь № 99-З, Закон Республики Казахстан № 94-V и другими.
Обучающие курсы по защите персональных данных от экспертов с международными сертификациями. Особенность наших программ — их практическая применимость и вовлеченность. Мы даем студентам реальные кейсы и фреймворки, а также превращаем сложные темы в понятные визуальные материалы.
Корпоративные программы обучения по защите персональных данных, которые адаптируются под вашу команду. Учитываем уровень сотрудников в приватности, сферу деятельности бизнеса и применимое законодательство.
