Rozporządzenie (UE) 2023/2584 („Data Act”) zacznie obowiązywać w 2026 r. Już teraz opublikowano FAQ (wrzesień 2025), które wyjaśniają, jak przepisy dotyczące udostępniania danych IoT obejmują również wyroby medyczne.

Rozporządzenie (UE) 2023/2584, znane jako Data Act, zacznie obowiązywać w 2026 r., ale już we wrześniu 2025 r. Komisja Europejska opublikowała FAQ wyjaśniające jego praktyczne stosowanie. Dokumenty te potwierdzają, że regulacja obejmuje także wyroby medyczne wyposażone w funkcjonalności IoT, co oznacza nowe obowiązki dla producentów, dostawców usług oraz użytkowników. Zmiany te mają fundamentalne znaczenie dla branży MedTech, ponieważ dane generowane przez urządzenia stają się przedmiotem ścisłej regulacji prawnej.

Czym jest Data Act i dlaczego dotyczy wyrobów medycznych?

Data Act to rozporządzenie horyzontalne, którego celem jest ujednolicenie zasad dostępu do danych generowanych przez urządzenia połączone z siecią. Regulacja obejmuje nie tylko elektronikę użytkową czy inteligentne systemy przemysłowe, ale również wyroby medyczne i wyroby do diagnostyki in vitro, które w coraz większym stopniu wykorzystują technologie IoT.

Przykłady wyrobów objętych zakresem:

  • inteligentne pompy infuzyjne zdalnie monitorujące dawkowanie,
  • wszczepialne urządzenia kardio, przesyłające dane telemetryczne do aplikacji pacjenta,
  • testy IVD z funkcjami cyfrowymi, które przesyłają wyniki do chmury.

Jakie dane muszą być udostępniane?

FAQ Komisji wskazuje wyraźnie, że obowiązek udostępniania dotyczy:

  • danych surowych – np. sygnałów z sensorów, rejestrów pracy urządzenia,
  • danych wstępnie przetworzonych, które mają bezpośredni wpływ na bezpieczeństwo i skuteczność kliniczną wyrobu.

Wyłączone są natomiast dane:

  • silnie przetworzone,
  • objęte ochroną tajemnicy przedsiębiorstwa,
  • stanowiące utwory chronione prawem autorskim (np. specyficzne algorytmy analityczne).

Powiązania z MDR i IVDR

Nowe przepisy ściśle łączą się z wymaganiami dotyczącymi dokumentacji i bezpieczeństwa danych już znanymi z MDR i IVDR:

  • MDR Załącznik I, rozdział 3 wymaga, aby producenci chronili dane pacjentów i zapewniali ich integralność. Data Act rozwija ten wymóg, nakładając obowiązek udostępniania danych stronom trzecim w sposób bezpieczny.
  • MDR i IVDR wymagają interoperacyjności i spójności z systemami unijnymi, takimi jak Eudamed. W Data Act przewidziano podobne mechanizmy zapewniające otwartość i wymienność danych.
  • Regulacja musi być stosowana w zgodzie z RODO (GDPR) – co oznacza, że producenci muszą opracować nowe polityki dostępu do danych pacjentów i jasne procedury zgód.

Konsekwencje dla producentów

Wdrożenie Data Act będzie wymagało od firm MedTech istotnych zmian organizacyjnych i technicznych:

  • przegląd architektury danych – systemy muszą umożliwiać łatwe i bezpieczne udostępnianie danych,
  • opracowanie nowych procedur QMS związanych z dostępem do danych i ich ochroną,
  • przygotowanie dokumentacji technicznej wykazującej zgodność zarówno z MDR/IVDR, jak i Data Act,
  • wprowadzenie nowych zapisów w instrukcjach używania (IFU), określających, w jaki sposób dane mogą być wykorzystywane przez użytkowników i strony trzecie.

Szanse i zagrożenia wynikające z regulacji

Nowe przepisy można rozpatrywać w dwóch wymiarach.

Szanse:

  • większa transparentność i zaufanie pacjentów do producentów,
  • ułatwienie dostępu do danych dla badań klinicznych i PMS/PMCF,
  • możliwość rozwoju nowych modeli biznesowych opartych na analizie danych.

Zagrożenia:

  • ryzyko naruszeń prywatności, jeśli dane nie będą odpowiednio anonimizowane,
  • konieczność poniesienia znacznych inwestycji w infrastrukturę informatyczną,
  • większe obciążenie administracyjne dla producentów i dystrybutorów.

Rekomendacje dla branży MedTech

Aby przygotować się na wejście Data Act w życie, producenci powinni:

  • rozpocząć audyt systemów gromadzenia danych,
  • opracować polityki zarządzania zgodami pacjentów,
  • zintegrować wymagania Data Act z procesami oceny ryzyka wg ISO 14971,
  • prowadzić szkolenia dla zespołów ds. regulacyjnych i R&D.

Podsumowanie

FAQ opublikowane przez Komisję Europejską jasno wskazuje, że Data Act nie jest aktem „pobocznym”, ale bezpośrednio dotyczy branży wyrobów medycznych. W praktyce producenci muszą przygotować się na nową erę, w której dane pacjentów i użytkowników stają się wspólnym zasobem – udostępnianym w sposób bezpieczny i zgodny z prawem.

Rozporządzenie zmienia reguły gry, wymuszając na firmach otwarcie architektury systemów i zapewnienie pacjentom oraz innym podmiotom realnego dostępu do danych. W dłuższej perspektywie może to jednak wzmocnić zaufanie do technologii medycznych i przyspieszyć proces innowacji.