1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. Data act
  4. Art. 6 Data Act – obowiązki i zakazy dla osób trzecich otrzymujących dane
Wyszukiwanie...
Data publikacji: 12.12.2025

Art. 6 Data Act – obowiązki i zakazy dla osób trzecich otrzymujących dane

Spis treści

Artykuł 6 Data Act (DA) reguluje zasady, na jakich osoby trzecie mogą przetwarzać dane uzyskane od posiadacza danych na wniosek użytkownika (art. 5 DA). Jego głównym celem jest ochrona interesów użytkownika i posiadacza danych, a także zapewnienie zgodności z RODO i innymi przepisami dotyczącymi prywatności. Przepis wprowadza szereg ograniczeń i zakazów dla podmiotów, które uzyskały dostęp do danych z produktów skomunikowanych i usług cyfrowych.

Ograniczony cel przetwarzania danych (art. 6 ust. 1 DA)

Zgodnie z zasadą określoną w art. 6 ust. 1 DA, osoba trzecia (odbiorca danych) może korzystać z danych wyłącznie w celu wskazanym przez użytkownika. To użytkownik wyznacza granice dopuszczalnego wykorzystania, a każde działanie wykraczające poza te ramy stanowi naruszenie DA.

⚠️ Oznacza to, że domniemana zgoda, ogólne klauzule regulaminowe czy powoływanie się na interes własny odbiorcy nie wystarczą. Cel musi być jasno określony i zrozumiały, najlepiej w umowie lub formalnym zgłoszeniu użytkownika.

Zasada ta nawiązuje do unijnej reguły ograniczenia celu przetwarzania danych, znanej z RODO (art. 5 ust. 1 lit. b RODO). W przypadku danych osobowych zastosowanie mają dodatkowo obowiązki informacyjne z art. 13 i 14 RODO.

📄 Trybunał Sprawiedliwości UE w wyroku z 15.03.2017 r. (C-536/15) podkreślił, że zgoda obejmuje dalsze przetwarzanie danych tylko wtedy, gdy służy ono temu samemu celowi. Na gruncie DA oznacza to, że odbiorca danych nie może samodzielnie poszerzać zakresu wykorzystania – nawet jeśli nowe zastosowanie jest blisko związane z pierwotnym.

Przykład

Firma produkcyjna z Krakowa zleciła przekazanie danych z czujników przemysłowych do spółki doradczej, która miała je analizować w celu optymalizacji procesów produkcyjnych. Doradca nie może wykorzystać tych samych danych np. do opracowania własnego konkurencyjnego produktu, prowadzenia działań marketingowych czy trenowania modeli sztucznej inteligencji – chyba że wszystkie te cele zostałyby wcześniej wyraźnie zaakceptowane przez użytkownika.

Wymogi praktyczne

Aby spełnić warunki z art. 6 ust. 1 DA, każda umowa przekazania danych powinna zawierać:

  • jednoznaczne określenie celu przetwarzania,
  • możliwość kontroli sposobu wykorzystania danych,
  • mechanizmy audytu i odpowiedzialności,
  • zgodność z RODO (w przypadku danych osobowych).

Retencja danych – jak długo wolno je przechowywać?

Art. 6 ust. 1 DA, w powiązaniu z art. 5 ust. 1 lit. e RODO, wprowadza zasadę, że dane mogą być przechowywane jedynie przez czas niezbędny do realizacji celu, dla którego zostały udostępnione.

W odróżnieniu od RODO, które ustanawia rygorystyczny obowiązek minimalizacji okresu przechowywania, DA dopuszcza większą elastyczność. Strony mogą bowiem umownie uzgodnić, że dane będą przechowywane dłużej – np. dla celów analitycznych lub rozwoju nowych usług.

📌 Jest to przykład tzw. kontraktualizacji w DA – czyli przeniesienia wielu kwestii na grunt swobody umów. Dzięki temu uczestnicy rynku mają większą możliwość dostosowania zasad obrotu danymi do swoich potrzeb, ale muszą przy tym zadbać o spójność z przepisami o ochronie danych osobowych.

Ochrona autonomii użytkownika – zakaz dark patterns

Art. 6 ust. 2 lit. a DA zabrania osobom trzecim stosowania praktyk ograniczających realną swobodę decyzji użytkownika. Dotyczy to m.in.:

  • manipulowania interfejsem,
  • wymuszania zgód,
  • wprowadzania w błąd,
  • tworzenia nieneutralnych opcji wyboru.

Przepis ten odpowiada na problem tzw. dark patterns, czyli technik projektowania interfejsów, które mają skłaniać użytkowników do wyborów sprzecznych z ich interesem.

Przykład

Firma technologiczna z Gdańska udostępnia użytkownikom aplikację analityczną, która wymaga zgody na przetwarzanie danych z urządzenia IoT. Jeśli aplikacja wprowadza użytkownika w błąd, sugerując, że odmowa zgody uniemożliwia korzystanie z podstawowych funkcji, stanowi to naruszenie art. 6 ust. 2 lit. a DA.

Zakaz profilowania (art. 6 ust. 2 lit. b DA)

Osoba trzecia, która otrzymała dane na podstawie art. 5 DA, nie może ich wykorzystywać do profilowania – chyba że jest to bezwzględnie konieczne do wykonania usługi wskazanej przez użytkownika.

📌 To ograniczenie jest surowsze niż przepisy RODO (art. 22 ust. 2 RODO), które dopuszczają profilowanie m.in. na podstawie zgody lub gdy jest to niezbędne do wykonania umowy. W DA jedynym kryterium jest absolutna konieczność – tzn. usługa w ogóle nie mogłaby być świadczona bez profilowania.

✔ Dopuszczalne: dynamiczne dostosowywanie parametrów maszyny do warunków pracy w czasie rzeczywistym.
✖ Niedopuszczalne: używanie danych do personalizowanej reklamy, analizy zachowań rynkowych czy tworzenia segmentów klientów – nawet jeśli zwiększa to efektywność usługi.

Zakaz dalszego udostępniania danych (art. 6 ust. 2 lit. c DA)

Dane przekazane osobie trzeciej nie mogą być dalej przekazywane kolejnym podmiotom, chyba że:

  • użytkownik wyraził na to wyraźną zgodę w umowie,
  • nowy odbiorca zobowiąże się do takich samych środków ochrony poufności jak pierwotny odbiorca.

Przepis ten chroni dane przed niekontrolowanym rozprzestrzenianiem się i nakłada obowiązek tworzenia spójnych łańcuchów kontraktowych.

Przykład

Firma transportowa z Poznania przekazuje dane eksploatacyjne floty ciężarówek zewnętrznej platformie analitycznej. Platforma nie może udostępnić tych danych podwykonawcy IT – chyba że użytkownik (firma transportowa) wyraził na to zgodę w umowie, a podwykonawca przyjął wszystkie obowiązki poufności.

Zakaz udostępniania danych gatekeeperom (art. 6 ust. 2 lit. d DA)

Jednym z najbardziej restrykcyjnych przepisów jest zakaz przekazywania danych podmiotom posiadającym status gatekeepera (strażnika dostępu) w rozumieniu art. 3 Digital Markets Act (DMA).

Ten zakaz:

  • obowiązuje niezależnie od zgody użytkownika,
  • obejmuje zarówno dane osobowe, jak i nieosobowe,
  • nie przewiduje wyjątków ani derogacji.

📄 Oznacza to, że nawet jeśli użytkownik chciałby przekazać dane np. dużej platformie cyfrowej uznanej za gatekeepera, osoba trzecia nie może tego zrobić. Celem jest zapobieganie koncentracji danych w rękach dominujących podmiotów.

Zakaz wykorzystania danych do konkurencji i profilowania posiadacza danych (art. 6 ust. 2 lit. e DA)

Przepis ten ma dwa filary:

  1. Zakaz używania danych do tworzenia produktów konkurencyjnych – osoba trzecia nie może na podstawie pozyskanych danych projektować, testować czy komercjalizować rozwiązania konkurujące z produktem, z którego dane pochodzą.
  2. Zakaz profilowania posiadacza danych – zabronione jest pozyskiwanie informacji o sytuacji gospodarczej, aktywach czy procesach produkcyjnych producenta poprzez analizę udostępnionych danych.

Przykład

Firma doradcza z Wrocławia otrzymuje dane z maszyn przemysłowych producenta A, aby przeprowadzić optymalizację serwisową. Nie może na ich podstawie opracować własnej maszyny konkurencyjnej wobec produktów producenta A ani analizować kosztów produkcji producenta w celu przygotowania raportu rynkowego dla jego rywali.

Bezpieczeństwo produktu i infrastruktury (art. 6 ust. 2 lit. f DA)

Osoba trzecia nie może wykorzystywać danych w sposób, który mógłby zagrozić bezpieczeństwu produktu skomunikowanego lub usługi powiązanej.

Bezpieczeństwo obejmuje zarówno:

  • fizyczne – np. działanie maszyn przemysłowych, pojazdów czy urządzeń medycznych,
  • cyfrowe – np. integralność oprogramowania, interfejsów API, systemów telematycznych.

⚠️ Wystarczy samo potencjalne ryzyko – działanie osoby trzeciej, które mogłoby spowodować zakłócenia, już narusza DA.

Przykład

Dostawca aplikacji telematycznej zyskał dostęp do danych z systemu pokładowego samochodu elektrycznego. Jego oprogramowanie pobiera dane zbyt intensywnie, co obciąża system i może zakłócać działanie ABS czy systemów wspomagania kierowcy. Nawet jeśli nie doszło do awarii, takie działanie narusza art. 6 ust. 2 lit. f DA.

Zakaz obchodzenia środków ochronnych (art. 6 ust. 2 lit. g DA)

Osoba trzecia musi respektować środki ochrony poufności uzgodnione z posiadaczem danych (np. NDA, procedury pseudonimizacji, zabezpieczenia techniczne).

🔒 Oznacza to, że nawet jeśli użytkownik upoważnił odbiorcę do korzystania z danych, to osoba trzecia ma obowiązek przestrzegać wszelkich ustaleń dotyczących ochrony tajemnic przedsiębiorstwa.

Problem praktyczny polega na tym, że to posiadacz danych ponosi ryzyko i koszty monitorowania przestrzegania tych zasad – mimo że formalnie to osoba trzecia odpowiada za naruszenia.

Prawa konsumenta (art. 6 ust. 2 lit. h DA)

Jeśli użytkownikiem jest konsument, osoba trzecia nie może mu uniemożliwiać dalszego przekazywania danych innym podmiotom.

✖ Zakazane są klauzule:

  • wyłączności,
  • zakazu sublicencjonowania,
  • ograniczeń dotyczących celu dalszego użycia danych.

✔ Konsument zachowuje pełną swobodę decydowania, komu udostępni dane, nawet jeśli osoba trzecia włożyła nakład w ich przetwarzanie lub wzbogacenie.

Przykład

Konsument korzystający z inteligentnego zegarka otrzymał dane zdrowotne od producenta i przekazał je zewnętrznej aplikacji fitness. Aplikacja ta nie może wprowadzić w regulaminie zakazu dalszego udostępniania danych np. lekarzowi prowadzącemu pacjenta.

Podstawa prawna

  • art. 6 ust. 1–2 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie harmonizacji przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania (Data Act)
  • art. 5 ust. 1 lit. b, art. 5 ust. 1 lit. e, art. 13, art. 14, art. 22 – Rozporządzenie (UE) 2016/679 (RODO)

Tematy porad zawartych w poradniku

  • „obowiązki osób trzecich w Data Act”
  • „zakaz profilowania i udostępniania danych w Data Act”
  • „ochrona danych i tajemnic przedsiębiorstwa w Data Act”
  • „prawa użytkownika i konsumenta w Data Act”

Źródła

Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: