1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. Data act
  4. Dostęp do danych w Data Act – obowiązki posiadacza danych i prawa użytkowników na gruncie art. 4 Data Act
Wyszukiwanie...
Data publikacji: 12.12.2025

Dostęp do danych w Data Act – obowiązki posiadacza danych i prawa użytkowników na gruncie art. 4 Data Act

Spis treści

Unijne rozporządzenie Data Act (DA) zmienia sposób, w jaki przedsiębiorcy i konsumenci mogą korzystać z danych generowanych przez produkty skomunikowane i usługi cyfrowe. Szczególnie ważny jest art. 4 DA, który określa obowiązki posiadaczy danych oraz prawa użytkowników w sytuacjach, gdy nie mają oni bezpośredniego dostępu do informacji.

W tym poradniku wyjaśniamy, jakie obowiązki spoczywają na producentach i dostawcach, jakie prawa zyskują użytkownicy oraz jakie ograniczenia przewidziano dla ochrony bezpieczeństwa, tajemnicy przedsiębiorstwa czy konkurencji.

Obowiązek pośredniego udostępniania danych

Zgodnie z art. 4 ust. 1 DA:

„Posiadacz danych jest zobowiązany do nieodpłatnego, bezpiecznego i łatwego udostępnienia użytkownikowi danych pochodzących z produktu skomunikowanego lub z usługi powiązanej, jeśli ten nie ma do nich bezpośredniego dostępu.”

Przepis ten gwarantuje użytkownikom, że nawet jeśli producent nie przewidział bezpośredniego dostępu do danych, będą mogli je otrzymać – na żądanie – od posiadacza danych.

Wymogi dotyczące przekazywania danych:

  • muszą być pełne i ustrukturyzowane,
  • przekazane w powszechnie stosowanym formacie,
  • gotowe do odczytu maszynowego,
  • obejmować także metadane niezbędne do ich interpretacji.

Co więcej, jeśli pozwala na to technologia, dane powinny być udostępniane w sposób ciągły i w czasie rzeczywistym.

📌 Przykład: przedsiębiorca z Lublina prowadzący firmę transportową kupuje inteligentne ciężarówki. Dane o zużyciu paliwa i stanie technicznym nie są dostępne w aplikacji pojazdu. Składa więc prosty wniosek elektroniczny do producenta. Producent – jako posiadacz danych – musi je nieodpłatnie udostępnić w formie umożliwiającej analizę (np. przez API).

Dostęp bezpośredni a pośredni – jaka różnica?

Data Act przewiduje dwa tryby dostępu do danych:

  1. Bezpośredni dostęp (art. 3 ust. 1 DA) – producent powinien już na etapie projektowania produktu zapewnić użytkownikowi możliwość pobierania danych. Może jednak z tego obowiązku zrezygnować, jeśli wykaże np. zagrożenie dla bezpieczeństwa czy ochronę tajemnicy przedsiębiorstwa.
  2. Pośredni dostęp (art. 4 ust. 1 DA) – gdy bezpośredni dostęp nie został zagwarantowany, użytkownik może żądać danych od posiadacza na podstawie prostego wniosku.

👉 Różnica: art. 3 ma charakter proaktywny i projektowy, a art. 4 – reaktywny, uruchamiany na żądanie użytkownika.

📌 Przykład: producent urządzeń medycznych z Gdańska uznaje, że bezpośredni dostęp pacjentów do danych z rozruszników serca byłby zbyt ryzykowny. Dane przechowywane są więc na zabezpieczonych serwerach i udostępniane wyłącznie pośrednio – na wniosek. W tym przypadku zastosowanie znajduje art. 4 DA.

Sposób przekazywania danych

Aby spełnić wymogi Data Act, posiadacz danych musi udostępniać je w sposób zgodny z dodatkowymi kryteriami.

1. Bez zbędnej zwłoki

Użyte w DA sformułowanie oznacza, że dane powinny być przekazywane bez nieuzasadnionych opóźnień. Nie oznacza to działania natychmiastowego, ale wymaga szybkiej reakcji – np. w ciągu 24–72 godzin, o ile nie istnieją wyjątkowe przeszkody techniczne czy organizacyjne.

📌 Przykład: właściciel samochodu elektrycznego żąda danych o zużyciu baterii. Operator systemu telematycznego powinien udostępnić je maksymalnie w ciągu kilku dni roboczych.

2. W sposób ciągły i w czasie rzeczywistym

Jeżeli to możliwe technicznie, dane powinny być przekazywane w modelu „live”, bez konieczności ponawiania wniosków.

📌 Przykład: producent maszyn przemysłowych z Katowic udostępnia użytkownikowi API, które pozwala śledzić stan techniczny urządzeń w czasie rzeczywistym. Dzięki temu operator fabryki widzi od razu wszystkie alarmy i wskaźniki.

3. Na podstawie prostego wniosku elektronicznego

Wniosek o dostęp do danych musi być niesformalizowany i łatwy do złożenia – np. za pomocą formularza online, aplikacji mobilnej lub e-maila. Nie można wymagać od użytkownika podpisu kwalifikowanego ani skomplikowanych uzasadnień.

📌 Przykład: rolnik składa wniosek przez aplikację producenta o dane dotyczące zużycia wody w inteligentnym systemie nawadniającym. Producent nie może żądać od niego dodatkowych dokumentów – wystarczy jednoznaczne wskazanie, jakich danych dotyczy wniosek.

Ograniczenia i zakazy wynikające z bezpieczeństwa

DA przewiduje tzw. hamulec bezpieczeństwa. Zgodnie z art. 4 ust. 2 DA:

„Użytkownicy i posiadacze danych mają prawo umownie ograniczyć lub całkowicie zakazać dostępu, wykorzystywania lub dalszego udostępniania danych, jeśli ich przetwarzanie może zagrażać bezpieczeństwu produktu lub wpływać negatywnie na zdrowie, bezpieczeństwo lub ochronę ludzi.”

To oznacza, że w sytuacjach zagrożenia producent albo posiadacz danych może odmówić udostępnienia, o ile istnieje podstawa prawna, np.:

  • dyrektywa NIS 2,
  • rozporządzenie 2017/745 w sprawie wyrobów medycznych,
  • krajowe przepisy o ochronie infrastruktury krytycznej,
  • regulacje dotyczące AI wysokiego ryzyka.

📌 Przykład: producent dronów z Krakowa odmawia przekazania pełnych danych lotów użytkownikowi, powołując się na ustawę o krajowym systemie cyberbezpieczeństwa. Obawia się, że dostęp do surowych danych mógłby posłużyć do ingerencji w infrastrukturę krytyczną.

W przypadku odmowy posiadacz danych musi zgłosić to odpowiedniemu organowi (art. 37 DA). Użytkownik może z kolei tę odmowę zakwestionować przed organem, sądem lub w procedurze ADR.

Mechanizmy rozstrzygania sporów

DA przewiduje dwa tryby rozstrzygania sporów dotyczących odmowy lub ograniczenia dostępu do danych:

  1. Skarga do organu krajowego (art. 37 ust. 5 lit. b DA)
    • np. do organu ochrony danych osobowych albo regulatora sektorowego (UKE, UOKiK, KNF).
    • organ może nakazać udostępnienie danych i ocenić legalność odmowy.
  2. Postępowanie ADR (art. 10 DA)
    • strony mogą zgodzić się na mediację lub arbitraż.
    • postępowanie powinno być szybkie, tanie i skuteczne.

Oba mechanizmy nie wykluczają drogi sądowej – użytkownik może dochodzić praw także przed sądem krajowym.

📌 Przykład: warsztat samochodowy z Łodzi żąda danych diagnostycznych od producenta auta. Producent odmawia, powołując się na ochronę tajemnicy handlowej. Warsztat składa skargę do organu ochrony konkurencji, który analizuje, czy odmowa była uzasadniona.

Zakaz stosowania dark patterns

DA wprowadza zakaz stosowania zwodniczych interfejsów cyfrowych (dark patterns), które mogłyby manipulować użytkownikiem i utrudniać mu korzystanie z prawa dostępu.

Zabronione są m.in.:

  • przytłaczanie nadmiarem informacji (overloading),
  • ukrywanie istotnych informacji (left in the dark),
  • stosowanie mylących komunikatów (fickle),
  • utrudnianie rezygnacji lub dostępu (hindering),
  • wywoływanie presji emocjonalnej (stirring).

📌 Przykład: producent sprzętu AGD z Warszawy projektuje aplikację w taki sposób, że przycisk „udostępnij dane” jest duży i zielony, a opcja „odmów” ukryta w mało widocznym linku. Taki interfejs narusza zakaz dark patterns.

Minimalizacja danych weryfikacyjnych

Zgodnie z art. 4 ust. 5 DA, posiadacz danych może żądać od użytkownika tylko tych informacji, które są niezbędne do potwierdzenia prawa dostępu.

Nie może więc wymagać danych nadmiarowych, np. historii transakcji czy logów systemowych, jeśli nie są konieczne.

Weryfikacja powinna być proporcjonalna i adekwatna do rodzaju produktu oraz użytkownika.

📌 Przykład: przedsiębiorca z Rzeszowa wypożyczający samochody żąda od producenta danych z systemów pokładowych. Producent może poprosić o numer VIN i dowód rejestracyjny, ale nie ma prawa żądać danych finansowych firmy.

W przyszłości możliwe będzie korzystanie z unijnego portfela tożsamości cyfrowej, aby uprościć proces identyfikacji.

Ochrona tajemnicy przedsiębiorstwa

Data Act stara się wyważyć prawo użytkownika do dostępu do danych i potrzebę ochrony poufnych informacji producentów. Zgodnie z art. 4 ust. 6 i 5 ust. 7 DA, posiadacz danych może uzależnić ich udostępnienie od wdrożenia odpowiednich zabezpieczeń, takich jak:

  • umowy o poufności (NDA),
  • kodeksy postępowania,
  • techniczne protokoły dostępu,
  • standardy branżowe chroniące przed dalszym rozpowszechnianiem danych.

Jeżeli istnieje ryzyko poważnej i nieodwracalnej szkody ekonomicznej, posiadacz danych może odmówić ich przekazania, uruchamiając tzw. hamulec tajemnicy przedsiębiorstwa (art. 4 ust. 8 i art. 5 ust. 11 DA).

📌 Przykład: producent obrabiarek CNC z Wrocławia odmawia udostępnienia danych z algorytmów predykcyjnych, które stanowią jego know-how. Wskazuje, że ujawnienie umożliwiłoby konkurentom odtworzenie kluczowych technologii.

Taka odmowa musi być:

  • pisemna,
  • uzasadniona,
  • zgłoszona zarówno użytkownikowi, jak i właściwemu organowi nadzorczemu.

Użytkownik może następnie złożyć skargę, skierować sprawę do ADR lub sądu.

Zakaz wykorzystywania danych do konkurencji

Zgodnie z art. 4 ust. 10 DA, użytkownik nie może:

  1. wykorzystywać uzyskanych danych do stworzenia produktu konkurencyjnego,
  2. przekazywać ich osobom trzecim w tym celu.

Celem tego przepisu jest ochrona inwestycji producentów i zapobieganie zjawisku tzw. free riding.

Za produkt konkurencyjny uznaje się taki, który trafia na ten sam rynek i z punktu widzenia użytkownika końcowego pełni substytucyjną funkcję.

📌 Przykład: niezależny warsztat z Poznania uzyskuje dane diagnostyczne samochodu. Może je wykorzystać do naprawy i serwisu, ale nie może stworzyć własnego oprogramowania pokładowego konkurencyjnego wobec systemu producenta.

Zakaz nie obejmuje jednak usług wspierających, takich jak:

  • diagnostyka,
  • optymalizacja procesów,
  • serwisowanie.

Zakaz obchodzenia zabezpieczeń technicznych

Art. 4 ust. 11 DA wyraźnie zakazuje użytkownikom obchodzenia zabezpieczeń posiadacza danych w celu uzyskania dostępu.

Zabronione są m.in.:

  • ataki brute force, cracking, sniffing transmisji,
  • reverse engineering chronionych interfejsów API,
  • dekompilacja oprogramowania wbudowanego w urządzenia.

DA nie daje prawa do „samopomocy cyfrowej”. Jeśli użytkownik uważa, że jego prawa są naruszane, musi skorzystać z formalnych środków:

  • skargi do organu (art. 37 DA),
  • procedury ADR (art. 10 DA),
  • postępowania sądowego.

📌 Przykład: firma logistyczna z Bydgoszczy próbuje ominąć zabezpieczenia producenta ciężarówek, aby samodzielnie pozyskać dane z systemu GPS. Takie działanie jest nielegalne – dane można uzyskać wyłącznie przez wniosek formalny.

Ograniczenia w dostępie do danych osobowych

Zgodnie z art. 4 ust. 12 DA, dostęp do danych osobowych jest możliwy wyłącznie wtedy, gdy istnieje podstawa prawna przewidziana w RODO.

DA nie tworzy nowego tytułu przetwarzania – posiadacz danych musi każdorazowo sprawdzić, czy użytkownik spełnia warunki:

  • art. 6 ust. 1 RODO – ogólna podstawa (np. zgoda, uzasadniony interes, obowiązek prawny),
  • art. 9 RODO – w przypadku danych szczególnej kategorii (np. zdrowotnych),
  • art. 5 ust. 3 dyrektywy ePrivacy – np. w odniesieniu do danych z urządzeń końcowych.

📌 Przykład: firma transportowa z Kielc chce pozyskać dane GPS kierowców od producenta pojazdów. Producent odmawia, ponieważ pracodawca nie wykazał podstawy prawnej z RODO.

Oznacza to, że:

  1. posiadacz danych może odmówić, jeśli nie ma podstawy prawnej,
  2. użytkownik może złożyć skargę do organu ochrony danych,
  3. wszelkie spory muszą być rozpatrywane w oparciu o przepisy RODO.

Dane nieosobowe – ochrona użytkownika

Szczególnie rewolucyjne są przepisy art. 4 ust. 13–14 DA, które ograniczają swobodę posiadacza danych w zakresie korzystania z danych nieosobowych.

Posiadacz danych może z nich korzystać wyłącznie na podstawie umowy z użytkownikiem.

Zabronione jest wykorzystanie danych w celu:

  • analizy sytuacji ekonomicznej użytkownika,
  • poznania jego aktywów lub metod produkcji,
  • podejmowania działań, które mogłyby osłabić jego pozycję rynkową.

Dodatkowo posiadacz danych nie może przekazywać danych osobom trzecim, jeśli nie wynika to z umowy.

📌 Przykład: producent maszyn rolniczych z Opola nie może analizować danych eksploatacyjnych kombajnów, by ustalić sytuację finansową użytkowników i przygotować indywidualne oferty kredytowe – chyba że użytkownik wyrazi na to zgodę w umowie.

To oznacza, że dane generowane przez produkty przestają być wyłączną własnością producentów. Powstaje nowy model – umowa o wykorzystanie danych – który czyni użytkownika partnerem kontraktowym.

Podsumowanie – prawa i obowiązki wynikające z art. 4 DA

  1. Obowiązek pośredniego udostępniania danych – jeśli brak dostępu bezpośredniego.
  2. Dane muszą być udostępniane nieodpłatnie, szybko, w odpowiednim formacie.
  3. Bezpieczeństwo jako granica prawa – możliwość odmowy, jeśli dane zagrażają zdrowiu, bezpieczeństwu lub ochronie ludzi.
  4. Mechanizmy sporów – skarga do organu, ADR, sąd.
  5. Zakaz dark patterns – interfejsy nie mogą utrudniać dostępu.
  6. Minimalizacja weryfikacji – tylko niezbędne dane identyfikacyjne.
  7. Ochrona tajemnicy przedsiębiorstwa – możliwe NDA i hamulec tajemnicy.
  8. Zakaz tworzenia produktów konkurencyjnych z wykorzystaniem danych.
  9. Zakaz obchodzenia zabezpieczeń technicznych – tylko formalne procedury.
  10. Dane osobowe – zgodność z RODO, dane nieosobowe – tylko na podstawie umowy.

Podstawa prawna

  • art. 3 ust. 1 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 w sprawie harmonijnych zasad dotyczących dostępu do danych (Data Act)
  • art. 4 ust. 1–14 – Data Act
  • art. 10 ust. 1 – Data Act
  • art. 37 ust. 5 lit. b – Data Act
  • art. 6 i 9 – Rozporządzenie (UE) 2016/679 (RODO)

Tematy porad zawartych w poradniku

  • obowiązki posiadacza danych w Data Act
  • pośredni dostęp do danych użytkownika
  • ochrona tajemnicy przedsiębiorstwa a Data Act
  • dane osobowe i nieosobowe w Data Act

Źródła oficjalne

Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: