1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. Data act
  4. Art. 5 Data Act – prawo użytkownika do udostępniania danych osobom trzecim
Wyszukiwanie...
Data publikacji: 12.12.2025

Art. 5 Data Act – prawo użytkownika do udostępniania danych osobom trzecim

Spis treści

Rozporządzenie o dostępie do danych (Data Act, DA) ma na celu stworzenie jednolitych zasad dotyczących gromadzenia, wykorzystywania i udostępniania danych generowanych przez produkty skomunikowane oraz powiązane usługi. Artykuł 5 DA stanowi kluczowy element tego systemu, rozwijając regulacje z art. 3 i 4 DA.

  • Art. 3 DA dotyczy bezpośredniego dostępu użytkownika do danych.
  • Art. 4 DA reguluje dostęp pośredni, gdy dane muszą być udostępnione przez posiadacza danych.
  • Art. 5 DA idzie krok dalej – daje użytkownikowi prawo zlecenia przekazania danych osobom trzecim.

Dzięki temu użytkownik przestaje być jedynie odbiorcą informacji. Otrzymuje narzędzia pozwalające mu aktywnie dysponować swoimi danymi – zarówno w celach komercyjnych, jak i niekomercyjnych.

1. Prawo do udostępnienia danych osobie trzeciej

Art. 5 ust. 1 DA przyznaje użytkownikowi prawo do zlecenia posiadaczowi danych przekazania ich osobie trzeciej. Dane te muszą pochodzić z produktu skomunikowanego (np. inteligentny pojazd, licznik energii, urządzenie IoT) lub usługi powiązanej (np. aplikacja do zarządzania energią).

Użytkownik może wskazać odbiorcę danych wprost – np. partnera biznesowego, instytucję badawczą, podmiot świadczący usługi serwisowe. Posiadacz danych nie może odmówić przekazania, chyba że zachodzą przesłanki szczególne określone w dalszych ustępach artykułu.

📌 Przykład praktyczny
Pani Katarzyna posiada samochód elektryczny, który generuje dane dotyczące stylu jazdy i zużycia baterii. Chce przekazać te informacje swojemu ubezpieczycielowi, aby uzyskać zniżkę za ekologiczny sposób prowadzenia auta. Producent pojazdu – będący posiadaczem danych – ma obowiązek przekazać dane wskazanemu ubezpieczycielowi, ponieważ wynika to z prawa użytkownika określonego w art. 5 DA.

2. Osoba trzecia a odbiorca danych

W języku potocznym terminy „osoba trzecia” i „odbiorca danych” bywają używane zamiennie, ale w DA mają różne znaczenie:

  • Odbiorca danych (art. 2 pkt 14 DA) – to podmiot wyraźnie wskazany przez użytkownika jako adresat danych. Odbiorca uzyskuje dane wprost na podstawie decyzji użytkownika.
  • Osoba trzecia – pojęcie szersze, obejmuje wszelkie inne podmioty niż użytkownik i posiadacz danych, którym dane są ujawniane. Mogą to być np. podwykonawcy, dostawcy chmury, integratorzy systemów IT.

⚠️ Ta różnica ma znaczenie praktyczne. Odbiorca danych to zawsze podmiot wskazany przez użytkownika, natomiast osoby trzecie mogą pojawić się „po drodze” – np. jako partnerzy techniczni odbiorcy.

📌 Przykład praktyczny
Pan Adam zleca przekazanie danych o zużyciu energii do firmy doradczej (odbiorca danych). Firma ta korzysta z oprogramowania analitycznego dostarczanego przez zewnętrzny start-up IT. Ten start-up staje się „osobą trzecią”, choć nie został bezpośrednio wskazany przez użytkownika.

Z tego względu umowy między posiadaczem danych, użytkownikiem a odbiorcą powinny jasno określać:

  • zakres dostępu osób trzecich,
  • cel i czas trwania przetwarzania,
  • obowiązki zachowania poufności,
  • zakaz dalszego przetwarzania danych.

3. Parametry techniczne udostępnienia danych

Przekazywanie danych osobom trzecim musi spełniać wymogi wskazane w art. 5 DA:

  1. nieodpłatność dla użytkownika,
  2. brak zbędnej zwłoki,
  3. format strukturalny i nadający się do odczytu maszynowego,
  4. ta sama jakość co dane, które posiada posiadacz,
  5. udostępnianie w sposób ciągły i w czasie rzeczywistym (o ile możliwe technicznie).

Najczęściej realizuje się to przez API lub inne zautomatyzowane kanały.

🔎 Różnica wobec art. 3–4 DA polega na tym, że:

  • art. 3 DA dotyczy projektowania urządzeń tak, aby użytkownik sam miał dostęp,
  • art. 4 DA – udostępniania na żądanie użytkownika przez posiadacza,
  • art. 5 DA – przekazywania danych osobom trzecim, gdzie posiadacz pełni rolę pośrednika technicznego.

4. Wyjątek badawczo-rozwojowy

Prawo do udostępniania danych nie jest absolutne. Art. 5 ust. 1 DA przewiduje wyjątek: dane łatwo dostępne, które powstają w trakcie testów produktów i procesów jeszcze niewprowadzonych na rynek, nie muszą być udostępniane osobom trzecim.

Dotyczy to m.in. prototypów, aplikacji testowych, rozwiązań demonstracyjnych.

📌 Przykład praktyczny
Firma „InnoTech” testuje nowy typ inteligentnych czujników powietrza. Dane zebrane podczas prób laboratoryjnych nie muszą być przekazywane osobom trzecim, nawet jeśli testerzy by tego chcieli. Obowiązek udostępnienia powstanie dopiero po wprowadzeniu urządzenia do obrotu – chyba że umowa testowa przewiduje inaczej.

5. Ograniczenie dotyczące gatekeeperów

Art. 5 ust. 3 DA wprost wyklucza możliwość traktowania tzw. gatekeeperów (strażników dostępu) jako uprawnionych odbiorców danych. Gatekeeperzy są definiowani w rozporządzeniu Digital Markets Act (DMA) jako największe platformy internetowe pełniące funkcję pośredników systemowych – np. globalne wyszukiwarki, systemy operacyjne, sklepy z aplikacjami, platformy reklamowe.

Celem ograniczenia jest ochrona mniejszych podmiotów przed dalszym umacnianiem pozycji rynkowej gigantów cyfrowych.

Zakazane działania gatekeeperów:

  1. Nakłanianie użytkowników do udostępnienia danych, które zostały pozyskane w trybie art. 4 DA. Niedopuszczalne są wszelkie zachęty, rekompensaty, promocje czy inne formy wpływu.
  2. Skłanianie użytkowników do występowania z wnioskiem o udostępnienie danych na rzecz gatekeepera.Użytkownik nie może być pośrednikiem w pozyskiwaniu danych przez dominującą platformę.
  3. Otrzymywanie danych pozyskanych przez użytkownika w trybie art. 4 DA. Nawet dobrowolne przekazanie ich przez użytkownika jest sprzeczne z prawem.

📌 Przykład praktyczny
Firma „SearchWorld”, będąca globalną wyszukiwarką i uznana za gatekeepera, nie może oferować użytkownikom zniżek w zamian za przekazanie danych o użytkowaniu ich inteligentnych pojazdów elektrycznych. Dane te, pozyskane od producenta pojazdu na podstawie art. 4 DA, nie mogą trafić do gatekeepera ani pośrednio, ani bezpośrednio.

6. Weryfikacja tożsamości osoby trzeciej

Art. 5 ust. 4 DA reguluje, w jaki sposób posiadacz danych może weryfikować tożsamość użytkownika oraz osoby trzeciej.

  • Zakres minimalny: można żądać wyłącznie informacji niezbędnych do realizacji wniosku.
  • Zakaz nadmiernych żądań: posiadacz danych nie może wymagać dokumentacji finansowej, informacji korporacyjnych czy szczegółowych danych biznesowych osoby trzeciej.
  • Przechowywanie danych: posiadacz danych może gromadzić wyłącznie informacje konieczne do realizacji wniosku i zapewnienia bezpieczeństwa systemu.

⚠️ Problem praktyczny: przepisy nie precyzują, jakie informacje są „niezbędne”. Może to prowadzić do sporów i nadmiernej ostrożności ze strony posiadaczy danych, którzy w obawie o odpowiedzialność mogą żądać więcej, niż wynika z intencji ustawodawcy.

📌 Przykład praktyczny
Pan Michał zlecił przekazanie danych z inteligentnego licznika energii firmie doradczej. Producent licznika może zweryfikować, czy Pan Michał faktycznie jest użytkownikiem licznika, oraz czy firma doradcza działa na podstawie jego upoważnienia. Nie może jednak żądać od tej firmy danych o jej sytuacji finansowej czy planach inwestycyjnych.

7. Zakaz stosowania środków przymusu i luk w infrastrukturze

Art. 5 ust. 5 DA stanowi, że osoba trzecia nie może uzyskiwać danych:

  • poprzez stosowanie środków przymusu,
  • ani poprzez wykorzystywanie luk technicznych w infrastrukturze posiadacza danych.

Zakazane są zarówno działania aktywne (np. reverse engineering, sniffing transmisji, ataki hakerskie), jak i pasywne (wykorzystywanie błędów w API, luk w konfiguracji systemu).

Jest to odpowiednik regulacji z art. 4 ust. 11 DA dotyczącej użytkownika, ale tutaj odnosi się do podmiotów zewnętrznych, które mogą być trudniejsze do kontrolowania.

📌 Przykład praktyczny
Firma integratorska „SoftLink” nie może próbować uzyskać dodatkowych danych z systemu klienta poprzez nieudokumentowane funkcje API. Dostęp musi odbywać się wyłącznie w ramach kontrolowanego procesu przewidzianego w art. 5 ust. 1 DA.

8. Zakaz wykorzystywania informacji łatwo dostępnych

Art. 5 ust. 6 DA chroni osoby trzecie przed analizą ich działalności przez posiadacza danych.

  • Posiadacz danych nie może wykorzystywać technicznie łatwo dostępnych informacji do badania sytuacji ekonomicznej, metod produkcji czy strategii handlowych odbiorcy.
  • Zakaz obejmuje zarówno analizę bezpośrednią (np. obserwacja danych przesyłanych przez API), jak i pośrednią (np. wnioskowanie na podstawie częstotliwości zapytań).
  • Jedyny wyjątek: wyraźna i odwoływalna zgoda osoby trzeciej.

📌 Przykład praktyczny
Firma „DataCloud” obsługuje system gromadzenia danych dla producentów maszyn rolniczych. Nie może analizować zapytań przesyłanych przez firmę „AgroTech” (odbiorcę danych), aby ustalić jej strategię sprzedaży maszyn, chyba że AgroTech wyrazi na to świadomą zgodę.

9. Ograniczenia w dostępie do danych osobowych

Art. 5 ust. 7 DA wyraźnie podkreśla, że przekazywanie danych osobowych osobom trzecim musi odbywać się zgodnie z przepisami RODO i dyrektywy ePrivacy.

  • Jeżeli użytkownik nie jest osobą, której dane dotyczą, przekazanie danych wymaga podstawy prawnej przetwarzania z art. 6 RODO.
  • W przypadku danych szczególnych kategorii konieczne jest także spełnienie warunków z art. 9 RODO i art. 5 ust. 3 dyrektywy ePrivacy.
  • Posiadacz danych ponosi odpowiedzialność za legalność przetwarzania.

📌 Przykład praktyczny
Firma transportowa, korzystająca z inteligentnych tachografów, chce przekazać dane osobom trzecim. Dane te obejmują lokalizację kierowców – czyli dane osobowe. Udostępnienie ich doradcy biznesowemu będzie możliwe tylko wtedy, gdy istnieje odpowiednia podstawa prawna (np. zgoda kierowców albo niezbędność do wykonania umowy).

10. Brak uzgodnień a prawa osób, których dane dotyczą

Art. 5 ust. 8 DA stanowi, że brak uzgodnień technicznych lub organizacyjnych między posiadaczem danych a osobą trzecią nie może ograniczać praw osób fizycznych wynikających z RODO.

W szczególności dotyczy to prawa do przenoszenia danych (art. 20 RODO).

Oznacza to, że nawet jeśli strony nie uzgodniły formatu transferu, protokołu przesyłu czy harmonogramu, osoba fizyczna nadal ma pełne prawo do otrzymania swoich danych i przekazania ich innemu administratorowi.

📌 Przykład praktyczny
Pani Monika chce przenieść swoje dane z aplikacji fitness do innej platformy. Producent aplikacji nie może odmówić twierdząc, że „nie ma uzgodnień technicznych z nową platformą”. Jej prawo do przenoszenia danych wynika z RODO i ma pierwszeństwo przed postanowieniami DA.

11. Tajemnica przedsiębiorstwa – ochrona i procedura

Art. 5 ust. 9 DA reguluje sytuacje, w których dane objęte wnioskiem użytkownika zawierają informacje stanowiące tajemnicę przedsiębiorstwa.

Zasady:

  • Dane mogą być ujawnione tylko w zakresie niezbędnym do osiągnięcia celu ustalonego między użytkownikiem a osobą trzecią.
  • Posiadacz danych lub właściciel tajemnicy musi zidentyfikować, które dane podlegają ochronie. Niedopuszczalne są ogólne klauzule blokujące.
  • Po identyfikacji danych, strony muszą uzgodnić środki zabezpieczające, np.:
    • NDA (umowy o poufności),
    • ograniczony dostęp (np. tylko „read-only”),
    • szyfrowanie, pseudonimizacja, anonimizacja,
    • normy techniczne i branżowe kodeksy postępowania.

📌 Przykład praktyczny
Firma „SmartAgro” produkuje inteligentne kombajny. Dane o wydajności maszyn zawierają elementy ich unikalnych algorytmów. Firma może udostępnić osobie trzeciej dane dotyczące zużycia paliwa, ale nie szczegóły działania algorytmu sterującego – te są chronione jako tajemnica przedsiębiorstwa.

12. Możliwość wstrzymania lub zawieszenia przekazywania danych

Art. 5 ust. 10 DA daje posiadaczowi danych prawo do zawieszenia przekazywania danych, jeśli:

  • nie uzgodniono skutecznych środków zabezpieczających,
  • środki te nie zostały wdrożone,
  • istnieje realne ryzyko naruszenia tajemnicy przedsiębiorstwa.

Problem praktyczny: brak jasnych terminów i obowiązków negocjacyjnych może prowadzić do nadużyć – posiadacz danych może celowo opóźniać proces pod pretekstem „braku zabezpieczeń”.

📌 Przykład praktyczny
Firma „MedTech” produkuje urządzenia medyczne. Dane z czujników pacjentów mogą być udostępnione instytutowi badawczemu tylko wtedy, gdy zostaną wdrożone odpowiednie zabezpieczenia. Jeśli instytut odmówi podpisania NDA i stosowania szyfrowania, producent może wstrzymać przekazanie danych.

13. Możliwość odmowy w przypadku ryzyka poważnej szkody

Art. 5 ust. 11 DA przewiduje, że nawet po wdrożeniu zabezpieczeń posiadacz danych może odmówić udostępnienia, jeśli ujawnienie danych mogłoby z dużym prawdopodobieństwem doprowadzić do poważnej szkody ekonomicznej.

Warunkiem jest:

  • obiektywna ocena ryzyka,
  • pisemne uzasadnienie odmowy,
  • niezwłoczne poinformowanie użytkownika i właściwego organu nadzorczego (art. 37 DA).

Przykładowe przesłanki:

  • brak skutecznej ochrony tajemnic przedsiębiorstwa w państwie trzecim,
  • szczególnie wysoki poziom poufności danych,
  • unikalność i nowatorski charakter rozwiązania technologicznego.

📌 Przykład praktyczny
Firma „NanoSoft” opracowała unikalny algorytm sterowania robotami chirurgicznymi. Nawet po uzgodnieniu zabezpieczeń może odmówić przekazania danych, jeśli istnieje realne ryzyko, że ich ujawnienie w kraju o słabej ochronie własności intelektualnej doprowadzi do poważnej straty ekonomicznej.

14. Prawa osoby, której odmówiono udostępnienia danych

Art. 5 ust. 12 DA przewiduje mechanizmy ochronne dla osób trzecich, którym posiadacz danych odmówił udostępnienia danych.

Osoba trzecia może:

  1. Złożyć skargę do organu wyznaczonego na podstawie art. 37 ust. 5 lit. b DA – podobnie jak użytkownik w sytuacji ograniczenia prawa dostępu (art. 4 DA). Organ ten pełni funkcję nadzorczą i ma obowiązek działać szybko oraz proporcjonalnie.
  2. Skorzystać z procedury ADR – wspólnie z posiadaczem danych mogą przekazać spór do organu rozstrzygania sporów (art. 10 ust. 1 DA).

⚠️ Ważne: procedura administracyjna ani ADR nie wykluczają możliwości wniesienia sprawy do sądu krajowego.

📌 Przykład praktyczny
Firma „EcoEnergy” zwróciła się o dane z inteligentnych liczników do producenta, ale otrzymała odmowę z powodu rzekomego zagrożenia ujawnienia tajemnicy przedsiębiorstwa. „EcoEnergy” może złożyć skargę do organu wskazanego w art. 37 DA lub, jeśli obie strony się zgodzą, przekazać sprawę do ADR.

15. Wykonywanie prawa użytkownika a inne przepisy dotyczące danych

Art. 5 ust. 13 DA przypomina, że wykonywanie prawa do udostępniania danych nie może naruszać przepisów o ochronie danych osobowych, w tym:

  • RODO,
  • dyrektywy ePrivacy.

To przepis systemowy, który potwierdza nadrzędność praw podstawowych, zwłaszcza prawa do prywatności (art. 8 ust. 1 Karty praw podstawowych UE).

Oznacza to, że użytkownik nie może powoływać się na art. 5 DA w celu obejścia ograniczeń z RODO.

📌 Przykład praktyczny
Firma logistyczna nie może przekazać danych lokalizacyjnych swoich kierowców osobie trzeciej, jeśli nie ma ku temu podstawy prawnej w RODO, nawet jeśli kierowcy używają pojazdów wyposażonych w inteligentne systemy zgodne z DA.

Podstawa prawna

  • art. 5 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie harmonijnych zasad dostępu do danych (Data Act)
  • art. 6, art. 9 i art. 20 – Rozporządzenie (UE) 2016/679 (RODO)
  • art. 5 ust. 3 – Dyrektywa 2002/58/WE (dyrektywa ePrivacy)
  • art. 3 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/1925 z dnia 14 września 2022 r. (Digital Markets Act, DMA)

Tematy porad zawartych w poradniku

  • prawo użytkownika do przekazywania danych osobom trzecim w Data Act,
  • ochrona tajemnicy przedsiębiorstwa przy udostępnianiu danych,
  • ograniczenia dla gatekeeperów w dostępie do danych,
  • przekazywanie danych osobowych a zgodność z RODO,
  • obowiązki posiadacza danych przy realizacji art. 5 DA.

Linki do źródeł

Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: