Artykuł 21 rozporządzenia Data Act (DA) określa sytuacje, w których dane pozyskane przez organy publiczne w związku z wystąpieniem wyjątkowej potrzeby mogą być przekazywane dalej. Regulacja ta ma na celu pogodzenie dwóch interesów – potrzeby wykorzystywania danych dla dobra publicznego oraz prawa posiadacza danych do kontroli nad ich przepływem.

---

Kiedy dane mogą być przekazywane dalej?

Zgodnie z art. 21 DA, dane mogą zostać udostępnione w dwóch głównych przypadkach:

• na potrzeby badań naukowych lub analiz, jeżeli ich cel jest zgodny z pierwotnym powodem, dla którego organ wystąpił o dane,
• na potrzeby statystyki publicznej, ale wyłącznie krajowym urzędom statystycznym i Eurostatowi.

⚠️ Ograniczenie – dane nie mogą trafić do organizacji pozostających pod istotnym wpływem przedsiębiorców komercyjnych, którzy mogliby dzięki temu uzyskać przewagę rynkową.

---

Warunki korzystania z danych przez odbiorców

Osoby fizyczne i organizacje, które otrzymują dane na podstawie art. 21 ust. 1 DA, muszą stosować takie same zasady jak organy sektora publicznego, Komisja Europejska, Europejski Bank Centralny oraz inne instytucje UE. Oznacza to w szczególności obowiązek przestrzegania:

• art. 17 ust. 3 DA – zakaz przekazywania danych do ponownego wykorzystania w ramach otwartych danych,
• art. 19 DA – regulacje dotyczące postępowania organów z pozyskanymi danymi.

Limit czasowy przechowywania danych

Odbiorcy danych mogą je zachować jedynie przez określony czas. Zgodnie z art. 21 DA:

• dane mogą być przechowywane maksymalnie sześć miesięcy po usunięciu ich przez uprawniony organ,
• termin liczy się od momentu usunięcia danych przez organ publiczny, a nie od chwili, gdy odbiorca je otrzymał.

Przykład praktyczny

Stowarzyszenie badawcze z Krakowa uzyskuje od Ministerstwa Zdrowia dane o skutkach pandemii w trybie wyjątkowej potrzeby. Gdy organ publiczny usunie te dane ze swojego rejestru, stowarzyszenie może je przechowywać jeszcze maksymalnie przez sześć miesięcy. Następnie jest zobowiązane do ich usunięcia albo odpowiedniego zanonimizowania.

---

Obowiązek informacyjny wobec posiadacza danych

Art. 21 ust. 5 DA nakłada na uprawniony organ obowiązek poinformowania posiadacza danych o zamiarze ich przekazania innemu podmiotowi.

Powiadomienie musi być wysłane przed udostępnieniem danych i zawierać:

1. dane identyfikacyjne i kontaktowe odbiorcy,
2. cel, w jakim dane mają być przekazane,
3. okres, przez który dane będą wykorzystywane,
4. informacje o zastosowanych środkach technicznych i organizacyjnych chroniących dane (szczególnie w przypadku danych osobowych i tajemnic przedsiębiorstwa).

📌 Obowiązek ten ma charakter uprzedni – posiadacz danych dowiaduje się o zamiarze przekazania, a nie o fakcie przekazania. Dzięki temu ma możliwość reakcji.

---

Prawo sprzeciwu posiadacza danych

Jeśli posiadacz danych nie zgadza się na ich przekazanie, może złożyć skargę do właściwego organu wyznaczonego zgodnie z art. 37 DA. Skargę wnosi się w państwie członkowskim, w którym posiadacz danych ma swoją siedzibę.

Takie rozwiązanie ma na celu ochronę interesów przedsiębiorców i osób fizycznych, którzy przekazali swoje dane organom publicznym. Zapewnia to równowagę pomiędzy interesem publicznym a prawem do kontroli przepływu danych.

Artykuł 21 Data Act wprowadza ramy prawne, które pozwalają organom publicznym przekazywać dane dalej – m.in. na potrzeby badań naukowych czy statystyki publicznej. Z punktu widzenia przedsiębiorców kluczowe jest jednak to, że przepisy te dają im realne narzędzia ochrony ich interesów.

Poniżej przedstawiamy praktyczne wskazówki, jak firmy mogą zabezpieczyć się w sytuacji, gdy ich dane trafiają do organów publicznych i potencjalnie mogą być dalej udostępniane.

---

1. Monitorowanie obowiązku informacyjnego

Zgodnie z art. 21 ust. 5 DA, organ publiczny ma obowiązek poinformować posiadacza danych o zamiarze ich udostępnienia innemu podmiotowi.

🔎 Na co zwrócić uwagę w zawiadomieniu:

• czy wskazano dane identyfikacyjne odbiorcy,
• czy cel przekazania jest zgodny z zakresem, w jakim dane były pierwotnie udostępnione,
• czy określono precyzyjnie czas wykorzystywania danych,
• jakie środki ochrony technicznej i organizacyjnej zostaną zastosowane.

---

2. Prawo do sprzeciwu

Jeśli przedsiębiorca uzna, że przekazanie danych zagraża jego interesom (np. dotyczy tajemnicy przedsiębiorstwa), może skorzystać z prawa sprzeciwu.

✔ Sprzeciw realizuje się poprzez złożenie skargi do organu wyznaczonego zgodnie z art. 37 DA w państwie członkowskim, w którym przedsiębiorca ma siedzibę.

⚠️ Warto pamiętać, że skargę można wnieść już na etapie zamiaru udostępnienia danych – nie trzeba czekać, aż przekazanie faktycznie nastąpi.

---

3. Zabezpieczanie danych wrażliwych

Przedsiębiorcy powinni stosować wewnętrzne procedury klasyfikacji danych, aby w razie udostępniania organom publicznym łatwo wskazać, które informacje:

• zawierają tajemnicę przedsiębiorstwa,
• obejmują dane osobowe klientów,
• mogą być przekazane jedynie w sposób zanonimizowany lub pseudonimizowany.

Dzięki temu w razie konieczności szybciej można zgłosić sprzeciw i udokumentować, dlaczego dane nie powinny być dalej udostępniane.

---

4. Limity czasowe przechowywania danych przez odbiorców

Firmy powinny być świadome, że odbiorcy danych mogą przechowywać je jedynie przez 6 miesięcy po ich usunięciu przez organ publiczny.

👉 W praktyce oznacza to, że przedsiębiorca może domagać się potwierdzenia usunięcia danych przez odbiorcę, zwłaszcza gdy dotyczą one informacji strategicznych.

---

5. Audyt i współpraca z organami

Warto prowadzić wewnętrzne audyty dotyczące udostępniania danych organom publicznym. Dobrą praktyką jest również:

• dokumentowanie wszystkich zawiadomień o zamiarze przekazania danych,
• weryfikowanie, czy cel wykorzystania danych pozostaje zgodny z deklarowanym,
• utrzymywanie kontaktu z organami odpowiedzialnymi za nadzór nad stosowaniem DA.

---

Przykład

Spółka technologiczna z Poznania przekazała organowi publicznemu dane o funkcjonowaniu swojej sieci w czasie klęski żywiołowej. Otrzymała powiadomienie, że dane mają zostać udostępnione instytutowi badawczemu. Spółka sprawdziła zawiadomienie i zauważyła, że przewidywany czas wykorzystania danych przekraczał 6 miesięcy od momentu ich usunięcia przez organ. Wniosła więc skargę do organu wyznaczonego na podstawie art. 37 DA, co pozwoliło ograniczyć okres dalszego udostępniania danych.

Art. 21 Data Act – checklist dla przedsiębiorców i instytucji badawczych

Aby łatwiej poruszać się w gąszczu regulacji art. 21 DA, poniżej przedstawiamy praktyczną listę kontrolną (checklistę), która ułatwi zarówno przedsiębiorcom, jak i podmiotom badawczym, ocenę obowiązków i praw związanych z dalszym udostępnianiem danych.

---

✅ Dla przedsiębiorców – posiadaczy danych

1. Otrzymanie zawiadomienia
   • Sprawdź, czy organ publiczny poinformował Cię uprzednio o zamiarze przekazania danych.
   • Zweryfikuj, czy zawiadomienie zawiera wszystkie wymagane elementy (art. 21 ust. 5 DA):
     • dane identyfikacyjne odbiorcy,
     • cel przekazania,
     • czas wykorzystania danych,
     • środki ochrony technicznej i organizacyjnej.
2. Analiza ryzyka
   • Oceń, czy dane obejmują tajemnicę przedsiębiorstwa lub informacje strategiczne.
   • Zastanów się, czy ujawnienie może dać przewagę konkurencji.
3. Możliwość sprzeciwu
   • W razie wątpliwości złóż skargę do organu wyznaczonego zgodnie z art. 37 DA w państwie, w którym masz siedzibę.
   • Skargę możesz wnieść już na etapie zamiaru udostępnienia danych, a nie dopiero po fakcie.
4. Kontrola limitów czasowych
   • Upewnij się, że odbiorca będzie przechowywał dane maksymalnie 6 miesięcy po ich usunięciu przez organ publiczny (art. 21 ust. 1 DA).

---

✅ Dla instytucji badawczych i organizacji

1. Cel udostępnienia danych
   • Upewnij się, że Twoja działalność ma charakter niekomercyjny lub służy misji interesu publicznego.
   • Sprawdź, czy cel badań jest zgodny z celem, w jakim organ pierwotnie wystąpił o dane.
2. Zasady korzystania z danych
   • Stosuj się do obowiązków wynikających z art. 17 ust. 3 DA i art. 19 DA (zakaz udostępniania w ramach otwartych danych, odpowiednie zabezpieczenia).
   • Przechowuj dane jedynie przez okres zgodny z przepisami – maksymalnie 6 miesięcy od momentu ich usunięcia przez organ publiczny.
3. Bezpieczeństwo informacji
   • Wprowadź techniczne i organizacyjne środki ochrony danych (szyfrowanie, pseudonimizacja, ograniczenie dostępu).
   • Dokumentuj wszystkie procedury bezpieczeństwa, aby móc wykazać zgodność z wymogami DA.

---

✅ Punkty wspólne dla obu stron

• Transparentność – każda ze stron powinna prowadzić dokumentację dotyczącą przekazania i wykorzystania danych.
• Weryfikacja odbiorców – przedsiębiorcy mają prawo znać podmiot, który otrzyma dane, a instytucje badawcze muszą udowodnić brak powiązań z przedsiębiorstwami komercyjnymi.
• Prawo do kontroli – posiadacze danych mają prawo zablokować ich przekazanie poprzez skargę, a odbiorcy muszą respektować nałożone ograniczenia.

---

Przykład praktyczny

Uniwersytet w Lublinie występuje o dane dotyczące zużycia energii w czasie kryzysu energetycznego. Organ publiczny informuje spółkę energetyczną o zamiarze udostępnienia danych. Spółka sprawdza zawiadomienie, ocenia, że dane nie obejmują jej tajemnicy przedsiębiorstwa i nie wnosi sprzeciwu. Uniwersytet otrzymuje dane, ale musi je usunąć w ciągu 6 miesięcy od momentu, gdy organ publiczny usunie je ze swoich zasobów.

---

Podstawa prawna

• art. 17 ust. 3 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie zharmonizowanych zasad dotyczących dostępu do danych i ich wykorzystywania (Data Act)
• art. 19 – Rozporządzenie (UE) 2023/2854 (Data Act)
• art. 21 – Rozporządzenie (UE) 2023/2854 (Data Act)
• art. 37 – Rozporządzenie (UE) 2023/2854 (Data Act)

---

Tematy porad zawartych w poradniku

• art. 21 Data Act obowiązki informacyjne
• udostępnianie danych w badaniach naukowych DA
• ograniczenia czasowe przechowywania danych Data Act
• prawa przedsiębiorców przy dalszym udostępnianiu danych

---

Źródła

• Rozporządzenie Data Act – pełny tekst (EUR-Lex)
• Serwis Rzeczypospolitej Polskiej – gov.p