1. Główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. Data act
  4. Art. 43 Data Act – wyłączenie ochrony baz danych w odniesieniu do danych z urządzeń IoT
Szukam...
Data publikacji: 30.04.2026

Art. 43 Data Act – wyłączenie ochrony baz danych w odniesieniu do danych z urządzeń IoT

Spis treści

Regulacja zawarta w art. 43 rozporządzenia Data Act (DA) to jeden z kluczowych elementów unijnej polityki otwierania danych przemysłowych. Wprowadza ona zasadę, że producent lub dostawca usług IoT nie może zasłaniać się prawem do bazy danych, aby ograniczać dostęp użytkownika do danych generowanych przez jego własne urządzenie. Innymi słowy – dane z czujników, maszyn, samochodów czy inteligentnych urządzeń mają być dostępne dla użytkownika i możliwe do dalszego wykorzystania przez niego lub wskazane przez niego podmioty trzecie.

Cel i zakres regulacji

Zgodnie z art. 43 DA, przepisy te wyłączają możliwość powoływania się na prawo sui generis do baz danych, o którym mowa w art. 7 dyrektywy 96/9/WE, w odniesieniu do baz danych obejmujących dane pozyskiwane lub generowane przez produkty skomunikowane lub usługi powiązane.

Celem tego rozwiązania jest zapobieżenie sytuacjom, w których ochrona baz danych byłaby wykorzystywana jako narzędzie blokowania dostępu do danych użytkowych. W praktyce oznacza to, że producent urządzenia nie może odmówić przekazania danych z czujników czy logów systemowych, tłumacząc się, że są one częścią chronionej bazy danych.

Przykład:
Producent samochodów elektrycznych z Krakowa tworzy centralną bazę danych z odczytami z czujników pojazdów – obejmującą m.in. dane o stanie baterii, ciśnieniu w oponach i historii ładowań. Użytkownik auta chce, aby dane te zostały udostępnione niezależnemu warsztatowi diagnostycznemu. Producent odmawia, twierdząc, że informacje te stanowią część „chronionej bazy danych”.
W świetle art. 43 DA takie działanie byłoby niedopuszczalne – producent nie może powoływać się na prawo sui generis, by ograniczyć dostęp do danych generowanych przez samochód.

Regulacja eliminuje więc potencjalną kolizję pomiędzy prawami użytkowników do danych (art. 4–5 DA) a prawem do bazy danych. Jej celem jest zagwarantowanie, że użytkownicy faktycznie będą mogli korzystać ze swoich danych – a nie tylko formalnie posiadać do nich prawo, które można łatwo obejść.

Dlaczego surowe dane z urządzeń nie mogą być monopolizowane

Zgodnie z motywem 112 preambuły Data Act, surowe dane generowane podczas korzystania z produktu nie powinny być przedmiotem monopolu prawnego. Gdyby prawo sui generis miało zastosowanie, posiadacze baz mogliby ograniczać prawa użytkowników do danych, tworząc bariery w dostępie do informacji.

Dzięki art. 43 DA unijny ustawodawca przeciwdziała temu zjawisku – producenci nie mogą blokować danych z urządzeń pod pretekstem ich ochrony jako bazy danych. To ważne nie tylko z perspektywy użytkowników indywidualnych, ale również firm korzystających z urządzeń przemysłowych, pojazdów flotowych czy maszyn rolniczych.

Celem DA jest promowanie otwartości i współdzielenia danych (data sharing), a nie ich izolowania w zamkniętych systemach producentów. Ochrona sui generis mogłaby prowadzić do zjawiska tzw. lock-in danych, czyli technicznego lub prawnego „uwięzienia” informacji w jednym ekosystemie. Artykuł 43 stanowi więc istotny krok w kierunku bardziej konkurencyjnej i zrównoważonej gospodarki opartej na danych.

Kontekst prawny i ratio legis przepisu

Art. 43 DA nie znosi samego prawa sui generis, lecz ogranicza jego stosowanie do danych pochodzących z produktów skomunikowanych i usług powiązanych. Nadal można chronić inne bazy danych – np. tradycyjne bazy klientów czy zbiory finansowe – o ile spełniają przesłanki przewidziane w dyrektywie 96/9/WE (czyli poniesiono istotny nakład inwestycyjny w pozyskanie, weryfikację lub prezentację danych).

Warto przypomnieć, że jeszcze przed wejściem w życie Data Act, Trybunał Sprawiedliwości UE wskazywał, że prawo sui generis nie obejmuje inwestycji w samo tworzenie danych (np. generowanych przez czujniki). Chronione mogą być jedynie działania polegające na pozyskiwaniu lub gromadzeniu już istniejących danych. Dane maszynowe, powstające automatycznie, nie wpisywały się więc w tę definicję. Artykuł 43 DA potwierdza tę interpretację wprost, zamykając pole do sporów interpretacyjnych.

W efekcie przepis ten równoważy interesy:

  • z jednej strony chroni inwestycje w tradycyjne bazy danych,
  • z drugiej – zapobiega blokowaniu dostępu do danych z urządzeń IoT,
  • a w konsekwencji – wspiera innowacje, konkurencję i rozwój rynku wtórnego usług opartych na danych.

Kiedy stosuje się art. 43 DA – przykłady z praktyki

Artykuł 43 DA obejmuje wszelkie bazy danych zawierające dane generowane przez produkty skomunikowane lub usługi powiązane. Pojęcia te definiuje sam Data Act:

  • produkt skomunikowany – fizyczne urządzenie, które zbiera lub generuje dane o swoim użytkowaniu lub otoczeniu i komunikuje je elektronicznie, ale którego główną funkcją nie jest przetwarzanie danych;
  • usługa powiązana – cyfrowa usługa (np. aplikacja) zintegrowana z danym produktem.

W praktyce chodzi o całą gamę urządzeń z kategorii Internetu Rzeczy (IoT) – od sprzętów domowych, przez pojazdy i maszyny, po systemy przemysłowe.

Oto kilka typowych przykładów zastosowania przepisu:

1. Branża motoryzacyjna – connected cars

Nowoczesne samochody są wyposażone w dziesiątki czujników i systemów telemetrycznych, które rejestrują dane o pracy pojazdu. Producent gromadzi te dane w swoich systemach, często w formie bazy telemetrycznej.
Zgodnie z art. 43 DA użytkownik samochodu ma prawo do dostępu do tych danych i do przekazania ich wskazanej osobie trzeciej (np. warsztatowi, ubezpieczycielowi). Producent nie może odmówić udostępnienia, powołując się na ochronę bazy danych.

Przykład:
Firma „AutoNova” z Wrocławia gromadzi dane z czujników floty pojazdów, w tym odczyty temperatury silnika i logi hamowania. Kierowca lub właściciel pojazdu może żądać udostępnienia tych danych niezależnemu serwisowi. „AutoNova” nie może odmówić, twierdząc, że dane są elementem „chronionej bazy”.

2. Maszyny przemysłowe i produkcyjne

Urządzenia przemysłowe (np. roboty, silniki, obrabiarki CNC) generują ogromne ilości danych operacyjnych – takich jak liczba cykli pracy, temperatura, drgania czy awarie. Producent często przechowuje te dane w systemach serwisowych i dotąd mógł powoływać się na ochronę bazy danych.

Art. 43 DA wyłącza taką możliwość. Dane z eksploatacji maszyn nie podlegają ochronie sui generis, dzięki czemu mogą być przekazywane np. niezależnym firmom serwisowym lub integratorom systemów przemysłowych.

Przykład:
Zakład produkcyjny w Poznaniu korzysta z robotów dostarczonych przez „TechMotion”. Dane o wibracjach i liczbie cykli pracy trafiają do chmurowego systemu producenta. Gdy fabryka chce przekazać dane niezależnemu serwisowi w celu analizy awaryjności, „TechMotion” nie może odmówić, powołując się na ochronę bazy danych.

3. Urządzenia domowe i budynkowe (smart home, smart building)

Inteligentne termostaty, klimatyzatory czy systemy oświetleniowe rejestrują dane dotyczące temperatury, zużycia energii, harmonogramów działania itp. Dane te trafiają do baz dostawców urządzeń.

Zgodnie z DA użytkownik ma prawo żądać ich udostępnienia np. innemu dostawcy systemu inteligentnego domu, bez obawy o naruszenie prawa bazodanowego.

Przykład:
Właściciel biurowca w Gdyni korzysta z systemu HVAC firmy „EcoTemp”. Chce udostępnić dane o zużyciu energii firmie doradczej zajmującej się optymalizacją kosztów. Producent HVAC nie może odmówić, tłumacząc, że dane te stanowią „jego własność bazodanową”.

4. Dane z usług cyfrowych powiązanych z urządzeniami

Wiele współczesnych produktów IoT działa w ścisłej integracji z usługami cyfrowymi, np. aplikacjami mobilnymi lub chmurowymi platformami analitycznymi. Tego rodzaju usługi powiązane generują własne dane – na przykład historię aktywności użytkownika, statystyki wydajności czy informacje o konfiguracji urządzenia.

Zgodnie z art. 43 DA, jeśli dane te pochodzą z użytkowania produktu lub usługi przez użytkownika, nie mogą być objęte ochroną sui generis.

Przykład:
Smartwatch marki „FitEdge” gromadzi dane o pulsie, krokach i śnie użytkownika, a następnie przesyła je do aplikacji fitness. Dane te tworzą bazę, do której użytkownik ma pełne prawo dostępu – producent nie może odmówić przekazania ich np. lekarzowi sportowemu lub innej aplikacji, powołując się na ochronę bazy danych.

To samo dotyczy inteligentnych urządzeń AGD, maszyn rolniczych z systemami analizy plonów czy urządzeń przemysłowych współpracujących z platformami IoT. Dane generowane w ramach tych usług podlegają tym samym zasadom dostępu, co dane z samych urządzeń.

5. Sektory specjalistyczne – energetyka, zdrowie, transport, rolnictwo

Art. 43 DA ma szczególne znaczenie dla branż, które intensywnie korzystają z danych z czujników i systemów monitorujących. Obejmuje m.in.:

  • energetykę – dane z inteligentnych liczników, sieci przesyłowych czy sensorów zużycia energii,
  • ochronę zdrowia – dane z urządzeń monitorujących parametry pacjentów (tu dodatkowo zastosowanie ma RODO),
  • transport i logistykę – dane z floty pojazdów, kontenerów i systemów GPS,
  • rolnictwo precyzyjne – dane z maszyn rolniczych, czujników gleby, dronów czy systemów pogodowych.

Przykład:
Rolnik z Podlasia korzysta z kombajnu „AgroPro”, który rejestruje dane o zużyciu paliwa, plonach i warunkach pracy. Dane te trafiają do chmurowej platformy producenta. Dzięki art. 43 DA rolnik może żądać ich udostępnienia niezależnej firmie agrotechnicznej, aby przeanalizować efektywność gospodarstwa. Producent nie może odmówić, zasłaniając się prawem do bazy danych.

Tym samym przepis ten wzmacnia pozycję użytkowników wobec dużych producentów i otwiera rynek usług opartych na danych – od analityki rolniczej po inteligentne zarządzanie energią.

6. Wyjątki i granice obowiązku udostępnienia

Art. 43 DA dotyczy wyłącznie surowych danych generowanych przez produkt lub usługę powiązaną, czyli danych z czujników, rejestrów, dzienników czy logów. Nie obejmuje natomiast informacji wywiedzionych lub opracowanych – np. raportów, analiz czy wniosków statystycznych, które producent stworzył w wyniku przetwarzania danych.

Przykładowo:

  • surowe odczyty temperatury z czujników urządzenia – muszą być udostępnione,
  • raport o trendach temperatury z ostatnich 12 miesięcy opracowany przez producenta – może pozostać chroniony.

Taka konstrukcja pozwala chronić uzasadnione interesy przedsiębiorstw, które inwestują w analitykę i przetwarzanie danych, ale jednocześnie zapewnia użytkownikowi pełen dostęp do danych, które pochodzą z jego urządzenia.

7. Nowe ryzyka i wyzwania interpretacyjne

7.1. Zmiana modelu ochrony danych a modele biznesowe

Dla wielu firm art. 43 DA oznacza fundamentalną zmianę podejścia. Dane z urządzeń IoT przestają być postrzegane jako „własność” producenta, a stają się wspólnym zasobem.

To rodzi szereg konsekwencji:

  • utratę monopolu na dane i przewagi konkurencyjnej opartej na ich ekskluzywności,
  • konieczność modyfikacji modeli biznesowych (np. zamiast sprzedaży danych – sprzedaż usług opartych na danych),
  • potrzebę zabezpieczenia danych innymi metodami – technologicznymi (np. autoryzacja, szyfrowanie) lub kontraktowymi (umowy, regulaminy dostępu).

Przykład:
Firma „TeleMetric” dostarcza systemy monitoringu flot i dotąd zarabiała, sprzedając dostęp do danych telemetrycznych. Po wejściu w życie DA użytkownicy flot mogą sami przekazywać dane innym podmiotom. „TeleMetric” musi więc przekształcić swój model – np. oferując analizy predykcyjne lub integracje danych zamiast samego dostępu.

Niektórzy przedsiębiorcy mogą próbować obchodzić przepisy, np. twierdząc, że dane są „ręcznie weryfikowane” lub łączone z innymi źródłami, co miałoby przywracać im status „pozyskanych”. Takie praktyki będą jednak sprzeczne z duchem regulacji i mogą być kwestionowane przez organy nadzoru lub sądy.

7.2. Granice między danymi surowymi a przetworzonymi

W praktyce pojawią się spory, czy dane wchodzą w zakres obowiązku udostępnienia. Producent może twierdzić, że dane z czujników są tylko materiałem wejściowym do jego raportów i nie muszą być przekazywane, podczas gdy użytkownik będzie oczekiwał pełnego dostępu – także do podstawowych zestawień.

W takich przypadkach konieczna będzie wykładnia celowościowa – czyli interpretacja zgodna z celem DA, jakim jest zapewnienie realnego i niedyskryminującego dostępu do danych użytkownika. Próby ograniczania tego prawa poprzez formalne powoływanie się na ochronę bazy danych należy uznać za sprzeczne z przepisami.

7.3. Spory o bazy mieszane

W praktyce wiele baz danych ma charakter mieszany, zawierając zarówno dane IoT, jak i dane pochodzące z innych źródeł (np. wprowadzane ręcznie przez użytkownika). Powstaje pytanie, czy wystarczy obecność danych z urządzeń, by cała baza straciła ochronę sui generis, czy tylko jej część.

To zagadnienie nie jest jeszcze jednoznacznie rozstrzygnięte. Prawdopodobnie w przyszłości praktyka i orzecznictwo doprecyzują, kiedy można wydzielać osobne części bazy – np. jedną z danymi IoT (bez ochrony), drugą z danymi dodatkowymi (chronioną).

7.4. Pośrednie ograniczanie dostępu

Choć art. 43 DA zabrania blokowania dostępu do danych przez powoływanie się na prawo do bazy, niektórzy posiadacze danych mogą próbować wprowadzać utrudnienia pośrednie:

  • wydłużanie czasu realizacji żądań,
  • wprowadzanie skomplikowanych procedur,
  • uzależnianie dostępu od dodatkowych umów lub opłat.

Takie praktyki nie są bezpośrednim naruszeniem art. 43, ale mogą osłabiać jego skuteczność. Dlatego istotna będzie rola organów nadzorczych oraz sądów krajowych w egzekwowaniu rzeczywistego celu przepisu – czyli pełnej przejrzystości i otwartości danych.

7.5. Wpływ na relacje biznesowe (B2B)

Uchylenie ochrony baz IoT wpływa również na układ sił w relacjach business-to-business. Dotychczas producent mógł uzależniać udostępnienie danych od własnych warunków, powołując się na prawo do bazy. Teraz zasady udostępniania zostały określone bezpośrednio w rozporządzeniu – na zasadach FRAND (fair, reasonable and non-discriminatory).

To oznacza:

  • większą równowagę między dużymi producentami a mniejszymi firmami serwisowymi,
  • możliwość uzyskania danych przez użytkowników bez obaw o pozew za naruszenie praw bazodanowych,
  • ale też konieczność precyzyjnego regulowania w umowach kwestii odpowiedzialności, dalszego udostępniania danych i zabezpieczeń.

Przykład:
Niezależny serwis przemysłowy „FixTech” chce uzyskać dane eksploatacyjne z maszyn klienta. Producent maszyn „MacroLine” nie może odmówić, powołując się na prawo do bazy danych, lecz może żądać podpisania umowy określającej zasady bezpieczeństwa danych. Dzięki temu relacje B2B stają się bardziej partnerskie.

8. Powiązania z innymi przepisami Data Act

Artykuł 43 DA jest ściśle powiązany z kluczowymi przepisami Data Act, zwłaszcza z:

  • art. 4 – który ustanawia prawo użytkownika do dostępu do danych generowanych przez produkt lub usługę,
  • art. 5 – który umożliwia użytkownikowi przekazanie tych danych wybranej osobie trzeciej.

Funkcją art. 43 jest zagwarantowanie skuteczności tych praw – tak, aby producenci nie mogli ich obejść, powołując się na ochronę baz danych.

Bez tego przepisu prawo dostępu z art. 4–5 mogłoby być w praktyce iluzoryczne – producenci mogliby twierdzić, że baza danych, w której przechowują dane z czujników, podlega ochronie sui generis i w ten sposób blokować ich udostępnianie.

Dzięki art. 43 DA takie roszczenia są wprost wyłączone:
➡ dane z urządzeń i usług IoT nie mogą być objęte prawem do bazy danych,
➡ a posiadacz danych nie może używać tego prawa, by ograniczać dostęp użytkownika lub podmiotów trzecich działających w jego imieniu.

9. Ograniczenie sektorowe – prawo sui generis nadal istnieje

Data Act nie uchyla dyrektywy 96/9/WE o ochronie baz danych. Ograniczenie z art. 43 ma charakter sektorowy, czyli dotyczy wyłącznie baz zawierających dane generowane przez produkty skomunikowane i usługi powiązane.

Oznacza to, że:

  • tradycyjne bazy danych (np. rejestry klientów, dane finansowe, katalogi produktów) nadal mogą korzystać z ochrony sui generis,
  • ale bazy zawierające głównie dane IoT – już nie.

W praktyce wiele firm będzie posiadało zarówno jedne, jak i drugie zbiory. Może to prowadzić do konieczności wydzielania oddzielnych baz danych:

  • baza IoT – bez ochrony sui generis,
  • baza uzupełniająca (np. dane rynkowe, informacje wprowadzane ręcznie) – potencjalnie chroniona.

Takie rozróżnienie może skomplikować zarządzanie danymi i strukturę baz, ale pozwoli uniknąć ryzyka naruszenia przepisów.

10. Granice ochrony a przyszłość prawa baz danych

Artykuł 43 DA wpisuje się w szerszy trend ograniczania znaczenia prawa sui generis w gospodarce cyfrowej. Już w dokumencie Action Plan on Intellectual Property 2020 Komisja Europejska zapowiedziała przegląd tej instytucji w świetle zmian technologicznych i rozwoju analityki danych.

Obecnie prawo sui generis ma coraz mniejsze praktyczne zastosowanie, ponieważ:

  • większość nowoczesnych danych powstaje automatycznie (a nie jest „pozyskiwana”),
  • dane maszynowe trudno przypisać konkretnym inwestycjom w ich gromadzenie,
  • coraz większy nacisk kładzie się na otwartość i współdzielenie danych.

Można więc uznać, że art. 43 DA stanowi pierwszy krok w kierunku stopniowego „zmierzchu” prawa sui generisjako narzędzia ochrony baz danych.
Nie znaczy to jednak, że przepisy te całkowicie tracą znaczenie – nadal mają zastosowanie do tradycyjnych, ręcznie tworzonych zbiorów informacji.

11. Nowe możliwości dla gospodarki danych i AI

Liberalizacja dostępu do danych IoT, jaką wprowadza art. 43 DA, ma również istotne skutki gospodarcze i technologiczne.

11.1. Rozwój sztucznej inteligencji i analityki danych

Trening modeli sztucznej inteligencji wymaga dużych, zróżnicowanych zbiorów danych z rzeczywistego świata (real-world data).
Dotychczas dane te często były zamknięte w systemach producentów urządzeń. Dzięki Data Act użytkownicy mogą je udostępniać innym podmiotom – co zwiększa dostępność materiałów do trenowania algorytmów.

To może znacząco przyspieszyć rozwój:

  • modeli predykcyjnych w przemyśle,
  • systemów analizy awarii,
  • inteligentnych systemów energetycznych czy logistycznych.

11.2. Ułatwienia dla eksploracji danych (text and data mining – TDM)

Wyłączenie ochrony sui generis oznacza, że dane IoT mogą być wykorzystywane do eksploracji tekstów i danych (TDM) bez ryzyka naruszenia prawa bazodanowego.
Dzięki temu badacze, firmy technologiczne i instytucje naukowe będą mogły prowadzić automatyczne analizy dużych zbiorów danych – co dotąd było utrudnione przez niejasność w zakresie prawa do baz danych.

11.3. Wzmocnienie konkurencji i innowacji

Otwarcie danych eliminuje monopol informacyjny producentów urządzeń i stymuluje rozwój rynku wtórnego usług opartych na danych.
Firmy będą konkurować nie o sam dostęp do danych, ale o wartość dodaną, jaką potrafią z nich wyciągnąć – np. zaawansowane analizy, prognozy czy optymalizacje.

12. O czym należy pamiętać w praktyce

  • Wyłączenie ochrony dotyczy tylko danych generowanych przez produkt lub usługę – nie wszystkich danych przedsiębiorstwa.
  • Przepis nie legalizuje dowolnego korzystania z cudzych baz danych – wciąż należy oceniać, czy dana baza nie zawiera innych informacji chronionych.
  • Użytkownik ma prawo do dostępu i udostępnienia danych pochodzących z urządzenia, ale musi przestrzegać zasad ochrony danych osobowych (np. RODO).
  • Przedsiębiorcy powinni przeanalizować swoje bazy danych i określić, które z nich mogą nadal korzystać z ochrony sui generis, a które już nie.

Podstawa prawna

  • art. 43 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie zasad sprawiedliwego dostępu do danych i korzystania z nich (Data Act)
  • art. 4 i art. 5 – Rozporządzenie (UE) 2023/2854 (Data Act)
  • art. 7 – Dyrektywa 96/9/WE Parlamentu Europejskiego i Rady z dnia 11 marca 1996 r. w sprawie ochrony prawnej baz danych

Tematy zawarte w poradniku

  • wyłączenie prawa sui generis w Data Act,
  • dane generowane przez urządzenia IoT,
  • dostęp użytkownika do danych z urządzeń i usług,
  • prawo do bazy danych w świetle Data Act,
  • skutki dla modeli biznesowych i sektora IoT.
Tagi:
Czy ten artykuł był pomocny?
Tak Nie

Powiązane artykuły