1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. Data act
  4. Art. 11 Data Act – techniczne środki ochrony danych w Data Act – obowiązki i prawa przedsiębiorców
Wyszukiwanie...
Data publikacji: 19.12.2025

Art. 11 Data Act – techniczne środki ochrony danych w Data Act – obowiązki i prawa przedsiębiorców

Spis treści

Rozporządzenie Data Act (DA) wprowadza szczegółowe zasady dotyczące ochrony danych za pomocą środków technicznych. Art. 11 tego aktu określa, jakie cele powinny realizować takie zabezpieczenia, jakie muszą mieć cechy oraz jakie prawa i obowiązki wynikają z ich stosowania. Przepisy te mają ogromne znaczenie dla przedsiębiorców, którzy przetwarzają lub udostępniają dane – zarówno własne, jak i otrzymane od użytkowników czy partnerów biznesowych.

W tym poradniku wyjaśniamy, co w praktyce oznacza art. 11 DA, jakie ryzyka obejmuje, jakie środki ochrony można stosować oraz jakie roszczenia przysługują przedsiębiorcom w przypadku naruszenia ich praw.

Cele stosowania technicznych środków ochrony danych

Zgodnie z art. 11 ust. 1 DA, posiadacz danych (np. producent urządzenia, operator systemu czy dostawca usługi cyfrowej) może stosować techniczne środki ochrony danych, aby:

  1. Zapobiegać nieuprawnionemu dostępowi – zarówno do danych, jak i do metadanych.
  2. Zapewnić zgodność z przepisami DA – w szczególności art. 5–9, które regulują m.in. zasady udostępniania danych i ochrony tajemnicy przedsiębiorstwa.
  3. Zapewnić zgodność z umowami – np. kontraktem dotyczącym udostępnienia danych partnerowi biznesowemu.

🔑 Oznacza to, że stosowanie zabezpieczeń nie jest dowolne. Środki ochrony muszą zawsze służyć realizacji jednego z powyższych celów – nie można ich wykorzystywać wyłącznie po to, aby utrudnić dostęp do danych kontrahentom czy użytkownikom.

📌 Przykład biznesowy:
Firma DataSoft Solutions z Krakowa udostępnia dane użytkowników swojego systemu logistycznego partnerowi transportowemu. Wprowadza szyfrowanie oraz ograniczenia dostępowe, aby mieć pewność, że przewoźnik korzysta tylko z danych potrzebnych do realizacji usługi. Firma nie może jednak stosować zabezpieczeń, które uniemożliwiłyby partnerowi realizację uprawnień wynikających z umowy.

Zasady, jakimi muszą się cechować techniczne środki ochrony

Art. 11 ust. 1 DA określa trzy podstawowe cechy zabezpieczeń:

  1. Odpowiedniość – środki muszą być adekwatne do rodzaju danych, skali działalności i ryzyka.
  2. Niedyskryminacyjność – zabezpieczenia nie mogą prowadzić do nierównego traktowania odbiorców danych.
  3. Brak naruszania praw użytkownika i osób trzecich – środki ochrony nie mogą ograniczać praw przewidzianych w przepisach DA ani w innych regulacjach.

Odpowiedniość – czyli proporcjonalność do ryzyka

Środki ochrony powinny być dopasowane do rodzaju i zakresu danych, a także do celów, jakie chce osiągnąć posiadacz. Najlepszą praktyką jest przeprowadzenie analizy ryzyka – np. jakie mogą być skutki nieuprawnionego dostępu i jakie zabezpieczenia są wystarczające, a zarazem proporcjonalne.

📌 Przykład biznesowy:
Firma TechFarm z Wrocławia gromadzi dane z inteligentnych maszyn rolniczych. Dostęp do tych danych ma zarówno właściciel gospodarstwa, jak i producent urządzenia. W związku z tym TechFarm stosuje różne poziomy zabezpieczeń: podstawowe logowanie dla użytkownika (rolnika) oraz zaawansowane szyfrowanie dla producenta, który otrzymuje szerszy zestaw danych. Zastosowane środki są proporcjonalne do zakresu dostępu.

Zakaz dyskryminacji odbiorców danych

Posiadacz danych nie może stosować zabezpieczeń w sposób, który faworyzuje jednego partnera kosztem innego. Jeżeli warunki są porównywalne, zabezpieczenia muszą być takie same.

⚠️ Problemem jest to, że DA nie precyzuje, czy dopuszczalne jest jakiekolwiek uzasadnione różnicowanie zabezpieczeń. Dlatego w praktyce posiadacz powinien unikać sytuacji, które mogą zostać uznane za nierówne traktowanie.

📌 Przykład biznesowy:
Firma LogiNet z Poznania udostępnia dane przewozowe kilku operatorom transportowym. Jeżeli warunki współpracy są takie same, nie może stosować wobec jednego z przewoźników bardziej restrykcyjnych zabezpieczeń dostępowych tylko dlatego, że współpraca z nim jest mniej korzystna finansowo.

Zakaz ograniczania praw użytkownika lub osoby trzeciej

Środki ochrony nie mogą uniemożliwiać korzystania z praw przewidzianych w DA – takich jak prawo użytkownika do pobrania kopii danych czy prawo osoby trzeciej do uzyskania dostępu zgodnie z przepisami. Nawet potencjalne ograniczenie takich praw może zostać uznane za naruszenie.

📌 Przykład biznesowy:
Spółka HealthData świadczy usługi analityki medycznej i udostępnia dane użytkownikom. Nie może wprowadzić zabezpieczenia, które uniemożliwiałoby pacjentowi pobranie swoich danych w celu ich przekazania innemu dostawcy usług.

Rodzaje technicznych środków ochrony danych

Art. 11 DA wskazuje jedynie przykłady zabezpieczeń – katalog jest otwarty. Oznacza to, że przedsiębiorca może stosować różne rozwiązania techniczne, o ile spełniają one opisane wcześniej zasady (odpowiedniości, niedyskryminacyjności, braku ograniczania praw użytkowników).

Do najważniejszych środków ochrony należą:

  • Inteligentne umowy (smart contracts) – automatyczne mechanizmy regulujące dostęp do danych na podstawie warunków ustalonych w umowie.
  • Szyfrowanie danych – zabezpieczenie ich w taki sposób, aby były czytelne tylko dla osób uprawnionych.
  • Uwierzytelnianie dostępu – np. logowanie indywidualnym kontem, stosowanie haseł czy tokenów.
  • Zabezpieczenia sieciowe (firewall, systemy antywłamaniowe) – chroniące przed nieautoryzowanym dostępem.
  • Dwuskładnikowe logowanie (2FA) – dodatkowy kod SMS, aplikacja mobilna lub klucz sprzętowy.
  • Wymuszanie okresowej zmiany haseł – szczególnie przy dostępie użytkowników zewnętrznych.

📌 Przykład biznesowy:
Firma AgroCloud z Lublina udostępnia dane dotyczące pracy maszyn rolniczych swoim klientom – gospodarstwom. Aby zabezpieczyć dane:

  • stosuje szyfrowanie end-to-end,
  • każdy klient ma indywidualne konto z dwustopniową weryfikacją,
  • dostęp do danych z poziomu API jest ograniczony poprzez klucze dostępowe.

Dzięki temu firma spełnia wymogi art. 11 DA i jednocześnie chroni tajemnice przedsiębiorstwa.

Naruszenie praw posiadacza danych przez odbiorcę lub osobę trzecią

Art. 11 ust. 3 DA przewiduje szczegółowy katalog sytuacji, w których odbiorca danych lub osoba trzecia może dopuścić się naruszenia praw posiadacza danych. W takich przypadkach przedsiębiorcy przysługują roszczenia naprawcze i zaradcze.

Kiedy dochodzi do naruszenia?

Naruszenie ma miejsce, gdy odbiorca danych lub osoba trzecia:

  1. Podaje nieprawdziwe informacje albo stosuje środki wprowadzające w błąd czy przymus, aby uzyskać dane.
  2. Wykorzystuje lukę w zabezpieczeniach technicznych posiadacza danych w celu pozyskania informacji.
  3. Wykorzystuje dane w nieuprawnionych celach – np. do stworzenia konkurencyjnego produktu czy do profilowania bez podstawy prawnej.
  4. Bezpodstawnie ujawnia dane osobom trzecim.
  5. Nie utrzymuje uzgodnionych zabezpieczeń chroniących poufność danych (np. tajemnicy przedsiębiorstwa).
  6. Zmienia lub usuwa zabezpieczenia techniczne wprowadzone przez posiadacza danych, bez jego porozumienia.

Przykład – wprowadzenie w błąd lub użycie przymusu

Firma SmartFleet udostępnia dane o lokalizacji samochodów flotowych partnerowi serwisowemu. Partner, chcąc uzyskać więcej danych, niż wynika to z umowy, podaje nieprawdziwe informacje o konieczności „diagnostyki systemu”. Takie działanie to wprowadzenie w błąd i stanowi naruszenie art. 11 DA.

Przykład – wykorzystanie danych w nieuprawnionych celach

Firma MedTech Polska przekazuje dane użytkowników producentowi oprogramowania medycznego. Producent ten zamiast wykorzystać dane tylko do obsługi pacjenta, analizuje je dodatkowo w celu stworzenia własnej aplikacji konkurencyjnej wobec dostawcy sprzętu. To klasyczny przykład użycia danych w niedozwolonym celu.

Przykład – nieutrzymywanie zabezpieczeń

Startup GreenEnergy Data przekazuje dane dotyczące zużycia energii swoim partnerom biznesowym. Jeden z partnerów nie wdraża wymaganych zabezpieczeń (np. szyfrowania), co powoduje ryzyko ujawnienia tajemnicy przedsiębiorstwa. Nawet jeśli nie dojdzie do realnego wycieku, samo zaniechanie jest naruszeniem.

Środki naprawcze i zaradcze wobec odbiorcy danych lub osoby trzeciej

Zgodnie z art. 11 ust. 2 DA, jeżeli odbiorca danych lub osoba trzecia dopuści się naruszeń opisanych w ust. 3 (np. wprowadzi w błąd, ujawni dane, wykorzysta je w niedozwolonym celu), posiadacz danych ma prawo żądać od nich zastosowania konkretnych działań naprawczych i zaradczych.

Obowiązki te powinny być wykonane niezwłocznie po otrzymaniu żądania posiadacza danych (zgodnie z motywem 57 preambuły DA).

1. Usunięcie danych i wszystkich ich kopii

Osoba trzecia (w tym odbiorca danych) musi:

  • usunąć wszystkie dane udostępnione przez posiadacza,
  • usunąć także kopie, które powstały w wyniku ich przetwarzania.

✅ To podstawowy środek naprawczy, który stosuje się w każdej sytuacji naruszenia.

📌 Przykład biznesowy:
Firma InfoTrack udostępnia dane dotyczące ruchu drogowego startupowi zajmującemu się aplikacją nawigacyjną. Startup bezprawnie wykorzystuje dane do innych celów. W takiej sytuacji InfoTrack może żądać natychmiastowego usunięcia zarówno danych oryginalnych, jak i wszystkich ich kopii przechowywanych w systemach startupu.

2. Zakaz wykorzystywania towarów, usług lub danych wywnioskowanych

Jeżeli dane zostały użyte do stworzenia produktów, usług albo tzw. danych wywnioskowanych (ang. inferred data), odbiorca musi:

  • zaprzestać ich produkcji, oferowania, wprowadzania do obrotu,
  • wstrzymać import, eksport i magazynowanie,
  • a w niektórych przypadkach także zniszczyć towary naruszające prawo.

Ten środek stosuje się wtedy, gdy:

  • istnieje poważne ryzyko wyrządzenia znacznej szkody posiadaczowi danych, lub
  • działanie nie będzie nieproporcjonalne względem interesów posiadacza.

⚠️ Pojęcie „znacznej szkody” nie ma ścisłej definicji kwotowej w DA – ocena zależy od konkretnej sytuacji. Może chodzić zarówno o stratę finansową, jak i o naruszenie reputacji przedsiębiorcy.

📌 Przykład biznesowy:
Firma AgriData przekazuje dane rolnicze dostawcy oprogramowania. Dostawca wykorzystuje je, aby stworzyć konkurencyjny system analiz. AgriData może żądać zaprzestania oferowania tego oprogramowania, a nawet jego usunięcia z rynku, jeśli działanie spowoduje istotne straty lub zagrozi jej pozycji na rynku.

3. Obowiązek poinformowania użytkownika

Jeżeli doszło do nieuprawnionego wykorzystania danych albo ich bezprawnego ujawnienia, odbiorca musi:

  • poinformować użytkownika, którego dane dotyczą,
  • wyjaśnić, jakie naruszenie miało miejsce,
  • wskazać, jakie środki zostały zastosowane, aby temu zapobiec w przyszłości.

Ten obowiązek dotyczy wyłącznie przypadków naruszeń z ust. 3 lit. b i c (czyli użycie w niedozwolonych celach lub ujawnienie danych).

📌 Przykład biznesowy:
Firma FitTrack udostępnia dane zdrowotne producentowi aplikacji fitness. Producent ujawnia dane innemu partnerowi bez podstawy prawnej. W takiej sytuacji musi poinformować użytkowników, że doszło do naruszenia, i wskazać, jakie działania podjął (np. usunięcie danych, zakończenie współpracy z partnerem).

4. Rekompensata za szkodę

Osoba trzecia lub odbiorca danych ma obowiązek zrekompensować szkodę każdemu, kto ją poniósł w wyniku nieuprawnionego ujawnienia lub wykorzystania danych.

  • Uprawnionym do odszkodowania może być nie tylko posiadacz danych, ale także użytkownik lub inny podmiot.
  • Wystarczy wykazanie związku przyczynowego między naruszeniem a szkodą – nie trzeba dodatkowo udowadniać, że było to „niewłaściwe” działanie (bo każde bezprawne wykorzystanie jest niewłaściwe).

📌 Przykład biznesowy:
Firma EcoDrive przekazuje dane użytkowników producentowi oprogramowania flotowego. Producent sprzedaje dane innemu podmiotowi, a wskutek tego jeden z klientów EcoDrive traci kontrakt, bo jego tajemnice handlowe stały się publiczne. Klient ma prawo żądać rekompensaty bezpośrednio od producenta oprogramowania.

Środki naprawcze i zaradcze wobec użytkownika

Art. 11 DA przewiduje, że posiadacz danych może żądać zastosowania środków naprawczych i zaradczych także wobec użytkownika, a nie tylko wobec odbiorców danych czy innych osób trzecich.

Kiedy środki mogą być zastosowane wobec użytkownika?

Posiadacz danych może wystąpić z takim żądaniem w trzech przypadkach:

  1. Użytkownik zmienia lub usuwa techniczne środki ochrony danych, które wprowadził posiadacz.
  2. Użytkownik nie utrzymuje środków ochrony tajemnicy przedsiębiorstwa, które uzgodnił z posiadaczem danych.
  3. Dane trafiają do innej osoby w wyniku naruszenia DA przez użytkownika.

W praktyce oznacza to, że jeżeli użytkownik sam przyczyni się do naruszenia bezpieczeństwa danych, posiadacz może domagać się od niego zastosowania odpowiednich działań zaradczych.

⚠️ Wyjątek: wobec użytkownika nie stosuje się środka przewidzianego w art. 11 ust. 2 lit. c (obowiązek poinformowania użytkownika o naruszeniu). Byłoby to nielogiczne – użytkownik nie może informować sam siebie.

Jakie środki mogą być żądane od użytkownika?

Takie same jak wobec osoby trzeciej, czyli:

  • usunięcie danych i ich kopii,
  • zaprzestanie korzystania z danych lub produktów powstałych na ich podstawie,
  • rekompensata szkody, jeżeli do niej doszło.

📌 Przykład biznesowy:
Firma CloudMachines udostępnia dane użytkownikowi – producentowi komponentów do maszyn przemysłowych. Użytkownik nie wdraża uzgodnionych zabezpieczeń i w efekcie dochodzi do wycieku tajemnicy przedsiębiorstwa CloudMachines. Firma ma prawo żądać od użytkownika:

  • usunięcia danych i ich kopii,
  • zaprzestania korzystania z nich w produkcji,
  • rekompensaty poniesionych strat.

Uprawnienia posiadacza tajemnicy przedsiębiorstwa i użytkownika wobec osoby trzeciej

Art. 11 DA przyznaje szczególne prawa nie tylko posiadaczowi danych, ale także:

  • posiadaczowi tajemnicy przedsiębiorstwa,
  • użytkownikowi.

Mogą oni w określonych przypadkach samodzielnie występować wobec osób trzecich (w tym odbiorców danych) z żądaniem zastosowania środków naprawczych i zaradczych.

Uprawnienia posiadacza tajemnicy przedsiębiorstwa

Posiadacz tajemnicy przedsiębiorstwa może żądać działań naprawczych, jeśli:

  • doszło do naruszenia poufności danych stanowiących tajemnicę (np. wskutek podania fałszywych informacji w celu ich uzyskania),
  • dane zostały ujawnione niezgodnie z prawem,
  • nie utrzymano uzgodnionych środków technicznych i organizacyjnych chroniących tajemnicę przedsiębiorstwa.

Środki mogą obejmować:

  • usunięcie danych,
  • zakaz wykorzystania produktów czy usług powstałych na ich podstawie,
  • rekompensatę szkody.

Uprawnienia użytkownika

Użytkownik ma prawo domagać się zastosowania środków z art. 11 ust. 2 DA wobec osoby trzeciej lub odbiorcy danych, gdy:

  • dane są wykorzystywane w innych celach niż uzgodnione,
  • doszło do ujawnienia danych wbrew jego woli,
  • naruszenia negatywnie wpływają na jego prawa.

Ponadto art. 11 ust. 5 DA przyznaje użytkownikowi dodatkowe uprawnienia, jeśli odbiorca danych:

  1. utrudnia mu korzystanie z praw z art. 5 i 6 DA – np. stosując wprowadzające w błąd interfejsy (tzw. dark patterns), zmuszając go do zgód czy ograniczając jego wybory,
  2. wykorzystuje dane do profilowania, które nie jest niezbędne do świadczenia usługi.

W takich przypadkach użytkownik zyskuje takie same prawa jak posiadacz danych – może domagać się usunięcia danych, zaprzestania ich używania czy rekompensaty szkody.

📌 Przykład biznesowy:
Użytkownik systemu SmartHome Polska przekazuje swoje dane producentowi oprogramowania sterującego domem. Producent zaczyna profilować użytkownika i sprzedawać dane innym podmiotom. Użytkownik może żądać:

  • usunięcia jego danych i kopii,
  • zaprzestania sprzedaży danych,
  • odszkodowania za naruszenie jego praw.

Uprawnienia posiadacza tajemnicy przedsiębiorstwa wobec użytkownika

Art. 11 ust. 4 DA przewiduje, że posiadacz tajemnicy przedsiębiorstwa może żądać zastosowania środków naprawczych lub zaradczych również wobec użytkownika, jeśli ten nie utrzymuje uzgodnionych zabezpieczeń technicznych i organizacyjnych.

W praktyce chodzi o sytuacje, w których:

  • użytkownik otrzymuje dane będące tajemnicą przedsiębiorstwa,
  • zobowiązuje się do ich ochrony,
  • ale nie wdraża lub nie utrzymuje wymaganych zabezpieczeń.

W takim przypadku posiadacz tajemnicy przedsiębiorstwa może żądać od użytkownika np.:

  • usunięcia danych i ich kopii,
  • zaprzestania korzystania z danych lub produktów powstałych na ich podstawie,
  • rekompensaty szkody.

❌ Wyjątek: podobnie jak wcześniej wobec użytkownika nie stosuje się obowiązku informowania samego siebie (art. 11 ust. 2 lit. c).

📌 Przykład biznesowy:
Firma NanoTech Polska przekazuje użytkownikowi dane o swoich procesach produkcyjnych – objęte tajemnicą przedsiębiorstwa. Użytkownik (np. podwykonawca) nie stosuje wymaganych zabezpieczeń i przechowuje dane na niezabezpieczonym serwerze. NanoTech może domagać się od niego:

  • usunięcia danych i kopii,
  • zakończenia korzystania z nich,
  • rekompensaty za ryzyko utraty poufności.

Podstawa prawna

W poradniku zostały przywołane następujące przepisy:

  • art. 11 ust. 1–5 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie zasad sprawiedliwego dostępu do danych i ich wykorzystania (Data Act).
  • art. 5–9 DA – dotyczące zasad udostępniania danych, ochrony tajemnicy przedsiębiorstwa, umów i niedyskryminacji.
  • art. 6 ust. 1–2 DA – regulujące zasady przetwarzania danych przez odbiorców i osoby trzecie.
  • art. 8 ust. 1 DA – określający przetwarzanie danych na podstawie umowy.
  • motyw 57 preambuły DA – odnoszący się do środków ochrony i naruszeń.

Tematy porad zawarte w artykule (SEO long-tail)

  1. Techniczne środki ochrony danych w Data Act – obowiązki firm
  2. Jakie prawa ma posiadacz danych w przypadku naruszenia Data Act
  3. Środki naprawcze i zaradcze wobec odbiorców danych i użytkowników
  4. Ochrona tajemnicy przedsiębiorstwa w świetle Data Act

Oficjalne źródła

Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: