1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. Data act
  4. Prawo użytkownika do dzielenia się danymi z osobami trzecimi na gruncie Data Act
Wyszukiwanie...

Prawo użytkownika do dzielenia się danymi z osobami trzecimi na gruncie Data Act

Spis treści

Nowe unijne przepisy – Data Act (Rozporządzenie (UE) 2023/2854) – zaczną obowiązywać od 12 września 2025 r. i całkowicie zmienią podejście do danych generowanych przez produkty i usługi cyfrowe. Dotyczy to w szczególności urządzeń połączonych z siecią (IoT), takich jak samochody, maszyny przemysłowe, urządzenia AGD czy systemy inteligentnego domu.

Jednym z kluczowych uprawnień wprowadzonych przez Data Act jest prawo użytkownika do udostępnienia danych osobie trzeciej. Oznacza to, że przedsiębiorca korzystający z nowoczesnego produktu będzie mógł przekazać dane np. do niezależnego serwisu, doradcy technologicznego czy firmy analitycznej – bez konieczności zgody producenta.

Dzięki temu skończy się monopol producentów na dane – rynek otworzy się dla mniejszych podmiotów, a użytkownik zyska realną kontrolę nad informacją, którą generuje.

1. Kto ma prawo do udostępnienia danych?

Posiadacz danych 📌

Zgodnie z art. 2 pkt 13 Data Act, posiadaczem danych jest osoba fizyczna lub prawna, która ma prawo lub obowiązek wykorzystywać i udostępniać dane. Może to być np.:

  • producent inteligentnej maszyny,
  • dostawca aplikacji generującej dane,
  • operator systemu telematycznego w pojazdach.

Użytkownik

To ten, kto korzysta z produktu lub usługi i na jego wniosek dane mają być udostępnione. Może to być przedsiębiorca (np. firma transportowa korzystająca z ciężarówek z czujnikami) albo konsument (np. właściciel smart-lodówki).

Odbiorca danych (osoba trzecia)

Jest to podmiot, któremu dane mają zostać przekazane na wniosek użytkownika. Jak stanowi art. 2 pkt 14 Data Act, odbiorca działa w ramach swojej działalności gospodarczej, handlowej lub zawodowej.

👉 Przykład: właściciel auta elektrycznego może zażądać, aby dane dotyczące stanu baterii zostały przekazane do warsztatu niezależnego od producenta.

Strażnicy dostępu 🚫

Nie każdy jednak może być osobą trzecią. Zgodnie z art. 5 ust. 3 Data Act, strażnicy dostępu (określeni w Digital Markets Act – rozporządzeniu (UE) 2022/1925) są wyłączeni z tego mechanizmu. Chodzi o największe platformy cyfrowe, np. globalnych gigantów technologicznych.

Celem tego ograniczenia jest ochrona małych i średnich przedsiębiorstw przed nadmierną koncentracją danych u największych graczy rynkowych.

2. Jakie dane mogą być udostępniane?

Data Act posługuje się pojęciem „danych łatwo dostępnych” (motyw 20). Oznacza to dane:

  • które posiadacz danych może pozyskać zgodnie z prawem,
  • które są dostępne bez nadmiernego wysiłku,
  • które mogą być odczytane i przesłane w formacie elektronicznym.

Nie wchodzą w ten zakres dane generowane w produkcie, jeżeli konstrukcja urządzenia nie przewiduje ich zapisywania lub przesyłania.

👉 Przykład: jeżeli w samochodzie czujnik ABS generuje dane tylko chwilowo, w trakcie hamowania, i nie są one zapisywane w centralnym systemie, producent nie ma obowiązku ich gromadzić i udostępniać.

Warunki udostępnienia danych

Posiadacz danych musi udostępnić je:

  • bez zbędnej zwłoki,
  • bezpłatnie dla użytkownika,
  • w całościowym, ustrukturyzowanym i maszynowo czytelnym formacie,
  • bezpiecznie,
  • a gdy to możliwe – w czasie rzeczywistym i w sposób ciągły.

Koszt udostępnienia może zostać jednak przeniesiony na osobę trzecią, która dane odbiera.

3. Prawo do udostępnienia danych a dostęp bezpośredni

Często pojawia się wątpliwość: „Skoro użytkownik ma już bezpośredni dostęp do danych (np. przez aplikację), to czy nadal może żądać, aby posiadacz przekazał je osobie trzeciej?”

Komisja Europejska jednoznacznie odpowiada: tak.

Art. 5 Data Act przyznaje użytkownikowi niezależne prawo do wskazania osoby trzeciej, niezależnie od tego, czy użytkownik sam ma dostęp. To rozwiązanie ma ułatwić automatyczne przekazywanie danych – np. w czasie rzeczywistym do serwisu lub dostawcy dodatkowych usług.

👉 Przykład praktyczny
Firma GreenTaxi korzysta z elektrycznych aut i ma dostęp do danych o ładowaniu baterii przez aplikację producenta. Mimo to może zażądać, aby producent przesyłał te dane bezpośrednio do firmy zarządzającej siecią ładowarek, co pozwoli na optymalizację kosztów i planowanie tras.

4. Kiedy posiadacz danych nie musi udostępniać informacji?

Data Act przewiduje wyłączenia od obowiązku udostępniania.

Obowiązek nie dotyczy:

  • mikro i małych przedsiębiorstw (z wyjątkami z art. 7 ust. 1 Data Act),
  • średnich przedsiębiorstw – przez pierwszy rok od wprowadzenia produktu na rynek,
  • danych wygenerowanych przez produkty skomunikowane w okresie pierwszego roku od ich wprowadzenia przez średnie przedsiębiorstwo,
  • danych wytwarzanych w ramach testów prototypów i produktów, które jeszcze nie trafiły na rynek,
  • strażników dostępu (jak wspomniałem wyżej).

5. Strażnicy dostępu i ich ograniczenia

Data Act zawiera szczególną regulację wobec strażników dostępu. Takie podmioty:

  • nie mogą nakłaniać użytkowników do udostępnienia im danych,
  • nie mogą zachęcać komercyjnie do złożenia wniosku o przekazanie danych,
  • nie mogą otrzymywać danych pozyskanych przez użytkownika na podstawie art. 4 Data Act.

Celem jest ograniczenie roli największych platform i zapewnienie, że to MŚP i nowi gracze rynkowi skorzystają z otwartego dostępu do danych.

6. Jak sprawdza się, kto ma prawo do danych?

Data Act przewiduje, że ani użytkownik, ani osoba trzecia nie muszą dostarczać więcej informacji niż jest to niezbędne do potwierdzenia ich uprawnień (art. 5 ust. 6).

  • Posiadacz danych może ustalić własną procedurę identyfikacji, ale musi ona spełniać wymogi art. 4 ust. 4 i 5 Data Act.
  • Proces powinien być proporcjonalny i dostosowany do rodzaju produktu, liczby użytkowników oraz częstotliwości żądań.
  • Przykładowo – w przypadku samochodu może to być dowód rejestracyjny, w przypadku windy w biurowcu – potwierdzenie bycia właścicielem lub administratorem budynku.

Komisja Europejska zwraca uwagę na możliwość wykorzystania w przyszłości Europejskiego Portfela Tożsamości Cyfrowej, który ma ułatwić weryfikację i procesy udostępniania danych.

👉 Przykład praktyczny
Firma CityCar Sharing obsługująca setki aut musi wdrożyć mechanizm identyfikacji użytkowników, którzy składają wnioski o przekazanie danych np. o stanie baterii czy lokalizacji pojazdów. W takim przypadku konieczne może być stworzenie profili użytkowników z różnymi poziomami uprawnień.

7. Zakazy dotyczące nadużywania prawa

Data Act wprowadza też zakazy, które chronią równowagę między stronami.

  • Osoba trzecia:
    • nie może stosować środków przymusu ani wykorzystywać luk w systemie technicznym posiadacza danych,
    • nie może obchodzić zabezpieczeń ani próbować uzyskać danych „tylnymi drzwiami”.
  • Posiadacz danych:
    • nie może wykorzystywać danych łatwo dostępnych do pozyskiwania informacji o sytuacji ekonomicznej, aktywach czy metodach produkcji osoby trzeciej,
    • wyjątkiem jest zgoda osoby trzeciej – przy czym musi ona mieć możliwość łatwego wycofania tej zgody w dowolnym momencie.

8. Data Act a RODO

Kwestia danych osobowych to jeden z najważniejszych elementów.

Zgodnie z art. 5 ust. 7 Data Act:

  • jeśli użytkownik nie jest osobą, której dane dotyczą, to dane osobowe mogą być przekazywane osobie trzeciej tylko wtedy, gdy istnieje ważna podstawa prawna z art. 6 RODO oraz gdy spełnione są warunki art. 9 RODO (dla danych wrażliwych) i art. 5 ust. 3 dyrektywy 2002/58/WE (o prywatności w łączności elektronicznej).

👉 Typowe podstawy prawne:

  • zgoda osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO),
  • niezbędność do wykonania umowy (art. 6 ust. 1 lit. b RODO),
  • prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO).

Dane wrażliwe (np. dotyczące zdrowia kierowcy w systemach telematycznych) wymagają wyraźnej zgody (art. 9 ust. 2 lit. a RODO).

👉 Ważne: Data Act nie ogranicza prawa do przenoszenia danych (art. 20 RODO).

W przypadku danych nieosobowych (np. informacje o pracy maszyny), użytkownik może zawierać dowolne umowy z posiadaczem i osobami trzecimi, w tym ustalać wynagrodzenie za ich wykorzystanie.

9. Ochrona tajemnicy przedsiębiorstwa

Data Act nie znosi ochrony tajemnic przedsiębiorstwa wynikającej z dyrektywy (UE) 2016/943.

  • Sam fakt, że posiadacz danych uzna dane za tajemnicę przedsiębiorstwa, nie wystarczy, aby odmówić ich udostępnienia.
  • Posiadacz danych może jednak wymagać od użytkownika i osoby trzeciej podpisania NDA lub wdrożenia innych zabezpieczeń (np. protokołów bezpieczeństwa, ograniczeń technicznych).
  • W razie braku porozumienia posiadacz może wstrzymać lub zawiesić udostępnienie danych (art. 5 ust. 10 Data Act).

Hamulec bezpieczeństwa

W wyjątkowych sytuacjach, jeśli istnieją obiektywne dowody, że ujawnienie danych spowoduje poważną i nieodwracalną szkodę gospodarczą, posiadacz może odmówić udostępnienia (art. 5 ust. 11).

Przykłady okoliczności:

  • ryzyko utraty ochrony tajemnicy przedsiębiorstwa w państwie trzecim,
  • wyjątkowo wysoki poziom poufności danych,
  • unikatowość i nowatorskość rozwiązania.

Decyzja musi być uzasadniona na piśmie i zgłoszona właściwemu organowi (art. 37 Data Act).

10. Obowiązki osób trzecich

Art. 6 Data Act nakłada na osoby trzecie konkretne obowiązki:

  • Mogą przetwarzać dane tylko do celów uzgodnionych z użytkownikiem.
  • Muszą usuwać dane, gdy nie są już potrzebne.
  • Nie mogą:
    • utrudniać użytkownikowi wykonywania praw,
    • używać danych do profilowania (chyba że jest to konieczne do świadczenia usługi),
    • przekazywać danych dalej bez zgody,
    • udostępniać danych strażnikom dostępu,
    • wykorzystywać danych do tworzenia produktów konkurencyjnych,
    • naruszać poufności tajemnicy przedsiębiorstwa,
    • ograniczać prawa konsumentów do dalszego dzielenia się danymi.

👉 Przykład
Firma analityczna AgroData otrzymuje dane z inteligentnych maszyn rolniczych od użytkowników. Nie może jednak wykorzystać ich do stworzenia własnej maszyny konkurującej z producentem urządzeń – dane mogą być analizowane wyłącznie w celu poprawy usług doradczych.

11. Warunki umowne

Relacje między posiadaczem danych a odbiorcą (osobą trzecią) muszą być uregulowane w sposób sprawiedliwy, rozsądny, niedyskryminujący i przejrzysty (art. 8–9 Data Act).

Warunki umowy nie mogą:

  • wyłączać odpowiedzialności za rażące naruszenia,
  • ograniczać dostępnych środków prawnych,
  • dawać jednej stronie prawa do jednostronnej interpretacji umowy.

Dodatkowo:

  • dane nie mogą być przekazywane jednemu odbiorcy na zasadzie wyłączności (chyba że sam użytkownik o to zawnioskuje),
  • posiadacz danych nie może żądać od osoby trzeciej nadmiarowych informacji.

Harmonogram wejścia w życie

  • od 12 września 2025 r. – stosowanie ogólne,
  • rozdział IV (dot. umów) stosuje się do kontraktów zawartych po 12 września 2025 r.,
  • do starszych umów – od 12 września 2027 r., jeśli zawarte były na czas nieokreślony lub dłużej niż 10 lat od 11 stycznia 2024 r.

Wzorcowe klauzule

Art. 41 Data Act przewiduje, że Komisja Europejska opracuje modelowe postanowienia umowne, aby ułatwić stronom zawieranie kontraktów zgodnych z rozporządzeniem.

Podsumowanie – kluczowe wnioski dla przedsiębiorców

Data Act to jedno z najważniejszych unijnych rozporządzeń w ostatnich latach dotyczących danych. Od września 2025 r. przedsiębiorcy muszą być przygotowani na nowe obowiązki i prawa użytkowników.

Najważniejsze punkty do zapamiętania:

  • ✅ Użytkownik ma prawo żądać, aby dane zostały przekazane wskazanej osobie trzeciej – nawet jeśli sam ma już dostęp do tych danych.
  • ✅ Strażnicy dostępu (gatekeepers), czyli największe platformy cyfrowe, nie mogą korzystać z tego mechanizmu.
  • ✅ Dane łatwo dostępne muszą być udostępniane szybko, w formacie maszynowo czytelnym, bezpiecznie i bez opłat dla użytkownika.
  • ✅ Wyłączenia obejmują m.in. mikro i małe przedsiębiorstwa, średnie firmy w pierwszym roku po wprowadzeniu produktu, a także dane z prototypów.
  • ✅ Ochrona tajemnicy przedsiębiorstwa pozostaje nienaruszona – możliwe jest zastosowanie NDA, środków technicznych i „hamulca bezpieczeństwa” w razie groźby poważnej szkody gospodarczej.
  • ✅ RODO nadal obowiązuje – dane osobowe mogą być przekazywane tylko przy zachowaniu podstawy prawnej z art. 6 lub 9 RODO.
  • ✅ Osoby trzecie muszą przestrzegać szeregu zakazów, m.in. zakazu tworzenia konkurencyjnych produktów, udostępniania danych dalej czy przekazywania ich strażnikom dostępu.
  • ✅ Umowy regulujące dostęp do danych muszą być sprawiedliwe, przejrzyste i niedyskryminujące. Od 2027 r. zasady Data Act obejmą także starsze umowy.

Dzięki tym regulacjom przedsiębiorcy – zarówno użytkownicy, jak i firmy świadczące usługi – zyskają większą elastyczność i nowe możliwości rozwoju opartych na danych.

Podstawa prawna

  • art. 2 pkt 13–19, art. 4–6, art. 7–11, art. 13, art. 37, art. 41 – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania (Data Act)
  • art. 3 – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/1925 z dnia 14 września 2022 r. w sprawie kontestowalnych i uczciwych rynków w sektorze cyfrowym (Digital Markets Act)
  • art. 6 ust. 1, art. 9 ust. 2 lit. a, art. 20 – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO)
  • art. 5 ust. 3 – dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. (dyrektywa o prywatności i łączności elektronicznej)
  • art. 2 pkt 2 – dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/943 z dnia 8 czerwca 2016 r. w sprawie ochrony tajemnic przedsiębiorstwa

Tematy porad zawartych w poradniku

  • prawo do udostępniania danych Data Act
  • obowiązki posiadacza danych w UE 2025
  • Data Act a tajemnica przedsiębiorstwa
  • relacja Data Act z RODO
  • obowiązki osób trzecich w Data Act

Przydatne linki urzędowe

Ostatnia aktualizacja: 30.08.2025
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: