W ostatnim odcinku krótkiej serii „Data Act Insights” skupiamy się na tym kto i na jakich warunkach ma dostęp do danych nieosobowych – czyli piszemy o zasadach udostępniania danych pomiędzy profesjonalnymi uczestnikami obrotu.
Kto może korzystać z danych generowanych przez inteligentne produkty i usługi powiązane?
Rozporządzenie Data Act przełamuje dotychczasowy monopol producentów na dane z urządzeń. Teraz użytkownik podłączonego produktu (osoba lub firma, która go posiada lub używa) ma prawo dostępu do nieosobowych danych generowanych podczas korzystania z tego produktu lub usługi powiązanej. Użytkownik może wskazać wybranego usługodawcę, który otrzyma te dane od posiadacza danych – np. w celu świadczenia usług serwisowych.
Zasady udostępniania danych – kto udostępnia i na jakich warunkach?
Obowiązek dzielenia się danymi spoczywa na podmiotach posiadających dane – najczęściej na producencie inteligentnego urządzenia lub dostawcy usługi powiązanej (tzw. data holder). Na żądanie użytkownika muszą oni umożliwić dostęp do danych samemu użytkownikowi lub wskazanej stronie trzeciej. Udostępnianie powinno odbywać się sprawnie, w ustandaryzowany sposób i na uczciwych warunkach. Data Act wymaga, by warunki przekazania danych były transparentne oraz niedyskryminacyjne, a także rozsądne i sprawiedliwe. Użytkownik nie powinien ponosić opłat za dostęp do takich danych, natomiast od strony trzeciej dostawca danych może pobrać rozsądną rekompensatę ograniczoną do kosztów udostępnienia.
Ograniczenia dostępu – ochrona tajemnicy przedsiębiorstwa („trade secret handbrake”)
Data Act kładzie nacisk na ochronę tajemnicy przedsiębiorstwa przy udostępnianiu danych. Dostawca danych może wymagać od użytkownika lub strony trzeciej wdrożenia środków zabezpieczających poufność przed przekazaniem danych objętych tajemnicą handlową (np. podpisania umowy o poufności, ograniczeń dostępu, zabezpieczeń technicznych). Nie można jednak po prostu odmówić udostępnienia danych tylko dlatego, że zawierają tajemnicę – Jeśli nie uda się uzgodnić zabezpieczeń lub odbiorca nie przestrzega ustaleń o poufności, dostawca danych może wstrzymać udostępnianie takich danych. Wyjątkowo, gdy mimo zabezpieczeń ujawnienie danych groziłoby poważną, nieodwracalną szkodą ekonomiczną dla dostawcy, może on całkowicie odmówić dostępu do konkretnych danych – ale musi to odpowiednio uzasadnić i zgłosić organom nadzoru. Ten nadzwyczajny wyjątek ma zapobiec nadużyciom, a jednocześnie chronić kluczowe dla przedsiębiorstwa dane przed ujawnieniem.
Inne przesłanki ograniczające dostęp do danych
Poza tajemnicą przedsiębiorstwa, Data Act przewiduje dodatkowe ograniczenia dostępu do danych w uzasadnionych przypadkach:
- Bezpieczeństwo i cyberbezpieczeństwo: dostęp może być ograniczony, opóźniony lub warunkowy, jeśli wymaga tego ochrona bezpieczeństwa – np. gdy ujawnienie danych mogłoby stworzyć luki w zabezpieczeniach lub ryzyko cyberataków.
- Zgodność z prawem: Data Act nie uchyla innych przepisów – udostępnianie danych musi respektować obowiązujące prawo UE i krajowe, w tym ochronę prywatności (RODO) i praw własności intelektualnej.
- Ograniczenia umowne i przeznaczenie danych: dostawca danych ma prawo zabezpieczyć się umownie – np. zobowiązać stronę trzecią, by nie udostępniała dalej otrzymanych danych i wykorzystywała je tylko w uzgodnionym zakresie.
Wezwanie do działania – wsparcie w compliance z Data Act
Nowe reguły zaczną obowiązywać już od 12 września 2025 . To odpowiedni moment, by przygotować się do nadchodzących zmian, w tym opracować wewnętrzne procedury oraz przygotować umowy regulujące dostęp do danych. Jeśli chcesz bezpiecznie wykorzystać potencjał danych w swojej działalności – skontaktuj się z nami. Chętnie pomożemy Ci dostosować organizację do nowych wymogów!
Zapraszamy do kontaktu z Natalią Cieplińską, radczynią prawną i dyrektorem działu nowych technologii: n.cieplinska@dsk-kancelaria.pl
