Spis treści:
-
-
- Rewolucja czy ewolucja?
- Korzystanie z danych pod pewnymi warunkami
- „Przyjmij albo zrezygnuj”
- Na straży poufnych informacji
- Siła napędowa cyfrowej gospodarki
Współcześnie różnego rodzaju dane stają się siłą napędową rozwoju gospodarki, jeśli są odpowiednio wykorzystywane, a dostęp do nich nie jest ograniczany. Usunięcie barier w dostępności danych to jedno z założeń unijnej regulacji prawnej – Data Act.
Dynamiczny rozwój technologii przyczynił się do cyfrowej rewolucji w wielu obszarach gospodarki. Hasła takie jak robotyzacja, sztuczna inteligencja, czy internet rzeczy (IoT) nie wywołują wśród większości społeczeństwa negatywnych emocji. Wręcz przeciwnie, stały się powszechne, a dostępne w tym zakresie rozwiązania informatyczne są coraz częściej wdrażane w organizacjach. Według raportu Głównego Urzędu Statystycznego (dalej: GUS) „Społeczeństwo Informacyjne w Polsce w 2025 r.” systemy bazujące na sztucznej inteligencji wykorzystywane w administracji publicznej zwiększają m.in. efektywność i dostępność usług publicznych. Ponadto, jak wskazuje GUS, systematycznie zwiększa się także liczba narzędzi IT wykorzystywanych przez jednostki z sektora publicznego, które generują i przetwarzają tekst, obrazy, filmy i inne rodzaje danych.
Jednocześnie istotnie wzrosło znaczenie tych przybywających danych. W motywie 1 preambuły do Data Act (DzUrz UE L 2854 z 22.12.2023; dalej także: akt w sprawie danych) zaznaczono, że „(…) technologie oparte na danych doprowadziły do przemian we wszystkich sektorach gospodarki. W szczególności szybki wzrost liczby produktów podłączonych do internetu przyczynił się do zwiększenia ilości danych i ich potencjalnej wartości dla konsumentów, przedsiębiorstw i ogółu społeczeństwa”. Rozporządzenie reguluje kwestie sprawiedliwego dostępu do danych i ich wykorzystania. W celu usunięcia barier stojących na drodze do sprawnie funkcjonującego wewnętrznego rynku danych, jak wskazano w motywie 4 Data Act, należy określić, kto jest uprawniony do wykorzystywania danych z produktu lub usługi powiązanej oraz na jakich warunkach i na jakiej podstawie.
Akt w sprawie danych gwarantuje swobodny dostęp do danych, które powinny zostać udostępnione użytkownikowi przez posiadacza danych bez zbędnej zwłoki, w sposób łatwy i bezpieczny oraz nieodpłatnie. Przez pojęcie „użytkownik” rozumieć należy osobę fizyczną lub prawną, która jest właścicielem produktu skomunikowanego lub której na podstawie umowy przekazane zostały tymczasowe prawa do korzystania z produktu skomunikowanego, lub która korzysta z usług powiązanych (art. 2 pkt 12 Data Act). Użytkownik powinien legitymować się tytułem prawnym do danego urządzenia lub umownym prawem do korzystania. Biorąc pod uwagę powyższe, użytkownikiem w rozumieniu omawianej regulacji prawnej nie będzie „(…) np. pracownik, który używa samochodu z puli samochodów udostępnianych przez pracodawcę, ale nie zawarł z nim specjalnej umowy oddającej mu do używania ten konkretny pojazd” [1]. Data Act zawiera także definicję posiadacza danych, który określony został jako osoba fizyczna lub prawna mająca prawo lub obowiązek wykorzystywać i udostępniać dane, w tym (o ile zostało to przewidziane umową) dane z produktu lub dane z usługi powiązanej pobrane lub wygenerowane przez nią podczas świadczenia powiązanej usługi (art. 2 pkt 13 Data Act).
Akt w sprawie danych to wzmocnienie gospodarki cyfrowej poprzez zwiększenie nie tylko dostępności danych, ale także ich użyteczności. Nowe regulacje prawne gwarantują użytkownikom większą kontrolę nad danymi, a jednocześnie zapewniają ochronę posiadaczom danych przed nieuczciwymi postanowieniami umownymi dotyczącymi ich udostępniania oraz przed naruszeniem tajemnicy przedsiębiorstwa.
Rewolucja czy ewolucja?
Podstawowym założeniem aktu w sprawie danych jest zapewnienie użytkownikom dostępu do danych generowanych w trakcie korzystania z danego produktu skomunikowanego lub usługi powiązanej. Daje im on też możliwość ich wykorzystywania, w tym dzielenia się nimi z wybranymi przez użytkowników osobami trzecimi. Przez pojęcie „dane” należy rozumieć wszelkie cyfrowe odwzorowania działań, faktów lub informacji oraz wszelkie kompilacje takich działań, faktów lub informacji, w tym w formie zapisu dźwiękowego, wizualnego lub audiowizualnego (art. 2 pkt 1 Data Act). Na gruncie Data Act nie wszystkie dane podlegają udostępnieniu. Zakresem zastosowania rozporządzenia objęte są wyłącznie tzw. dane surowe (zwane także danymi źródłowymi czy pierwotnymi) oraz dane, które zostały wstępnie przetworzone po to, aby przed dalszym przetwarzaniem i analizą były zrozumiałe i użyteczne.
Regulacje prawne ujęte w rozporządzeniu obowiązują od 12 września 2025 r. Znajdują one zastosowanie do bardzo szerokiego kręgu podmiotów, tj. do producentów produktów skomunikowanych i dostawców usług powiązanych, użytkowników produktów skomunikowanych lub usług powiązanych, posiadaczy danych, odbiorców danych, organów sektora publicznego, dostawców usług przetwarzania danych czy też uczestników przestrzeni danych oraz sprzedawców aplikacji korzystających z inteligentnych umów.
Analizę zasad w zakresie udostępniania danych – w tym obowiązków leżących po stronie posiadaczy danych – poprzedzić należy wyjaśnieniem, co kryje się pod pojęciami „produkt skomunikowany” oraz „usługa powiązana”.
Zgodnie z definicją ujętą w art. 2 pkt 5 aktu w sprawie danych produkt skomunikowany „oznacza rzecz, która pozyskuje, generuje lub zbiera dostępne dane dotyczące jej wykorzystywania lub jej otoczenia i która jest w stanie komunikować dane z produktu za pomocą usługi łączności elektronicznej, łącza fizycznego lub dostępu na urządzeniu i której podstawową funkcją nie jest przechowywanie, przetwarzanie ani przesyłanie danych w imieniu strony innej niż użytkownik”. Produktem skomunikowanym może być chociażby autonomiczny wózek widłowy, turbina wiatrowa, rezonans magnetyczny, tomograf, czy też chociażby samochód osobowy, urządzenie AGD (np. smart tv, pralka), smartwatch.
Stosownie zaś do art. 2 pkt 6 Data Act usługa powiązana „oznacza usługę cyfrową, w tym oprogramowanie, ale z wyłączeniem usług łączności elektronicznej, która podczas zakupu, najmu, dzierżawy lub leasingu jest skomunikowana z produktem w taki sposób, że jej brak uniemożliwiłby produktowi skomunikowanemu wykonywanie co najmniej jednej z jego funkcji, lub która zostaje skomunikowana z produktem przez producenta lub osobę trzecią później, aby dodać, uaktualnić lub zmodyfikować funkcje produktu skomunikowanego”. Przykładowo: system zdalnej diagnostyki i lokalizacji (usługa udostępniania przez producentów samochodów osobowych), oprogramowanie do zdalnej kalibracji maszyn przemysłowych.
Warto wskazać, że w treści motywu 6 preambuły do Data Act zaznaczono, iż dane utrwalane przez produkty skomunikowane lub usługi powiązane są istotnymi danymi wejściowymi dla usług świadczonych na rynkach posprzedażowych, usług pomocniczych oraz innego rodzaju usług. Zwiększenie dostępności danych ma zniwelować dotychczasowe nierówności pomiędzy podmiotami w tym zakresie oraz przyczynić się do wzrostu konkurencyjności i innowacyjności w gospodarce.
Przed zawarciem umowy, której przedmiotem jest produkt skomunikowany lub usługa powiązana (np. umowy sprzedaży, leasingu, umowy o świadczenie usług), użytkownik powinien zostać poinformowany o tym, jakiego rodzaju dane i w jakiej ilości generuje produkt, gdzie dane są przechowywane (na urządzeniu czy też zdalnym serwerze), w jaki sposób można uzyskać dostęp do danych, pobrać je i usunąć (art. 3 ust. 2 Data Act), a w przypadku usług powiązanych dostawca usługi powinien poinformować użytkownika, czy posiadacz danych zamierza sam je wykorzystywać i w jakich celach będą one wykorzystywane oraz przekazać informacje o posiadaczu danych (art. 3 ust. 3 Data Act). Według motywu 24 aktu w sprawie danych obowiązek informacyjny może zostać wykonany poprzez udostępnienie linku do strony lub kodu QR, które odsyłają do stosownych informacji. Posiadacz danych jest zobowiązany poinformować użytkownika o wszelkich zmianach dotyczących informacji objętych obowiązkiem informacyjnym, jeżeli będą one miały miejsce w okresie trwałości produktu lub w trakcie obowiązywania umowy o świadczenie usług powiązanych.
Jak zostało wskazane powyżej, istotną zmianą wprowadzoną w drodze Data Act jest przyznanie użytkownikom większej kontroli nad danymi generowanymi przez ich urządzenia lub usługi. Podmioty dysponujące danymi zobligowane zostały do ścisłej współpracy w zakresie udostępniania danych. Producenci (dostawcy usług) już na wstępnym etapie ich tworzenia są zobowiązani projektować je w taki sposób, aby dane z produktu i z usługi powiązanej (w tym stosowne metadane niezbędne do ich interpretacji i wykorzystania) były dostępne domyślnie łatwo, bezpiecznie, bezpłatnie oraz w formacie ustrukturyzowanym, powszechnie używanym i nadającym się do odczytu maszynowego. Jednocześnie należy mieć na uwadze, że jeśli jest to technicznie możliwe, dostęp do danych dla użytkownika powinien być bezpośredni (art. 3 ust. 1 aktu w sprawie danych).
W przypadku gdy użytkownik nie może uzyskać bezpośredniego dostępu do generowanych przez siebie danych, wówczas posiadacz danych, na wniosek użytkownika (złożony drogą elektroniczną, jeśli jest to technicznie możliwe), jest zobowiązany bez zbędnej zwłoki, w sposób łatwy i bezpieczny oraz nieodpłatnie udostępnić dane łatwo dostępne, wraz z odpowiednimi metadanymi niezbędnymi do interpretacji i wykorzystania tych danych (art. 4 ust. 1 Data Act).
Ponadto, jak już wspomniano, akt w sprawie danych umożliwia także wykorzystywanie danych użytkownika przez osoby trzecie. Osobą trzecią może być m.in. konsument, przedsiębiorca, organizacja non profit, instytut badawczy. Stosownie do obowiązujących przepisów, tj. art. 5 ust. 1 Data Act, posiadacz danych udostępnia dane osobie trzeciej na wniosek użytkownika. Przykładowo: organizacja posiadająca flotę pojazdów występuje do producenta pojazdów (posiadacza danych) z wnioskiem o udostępnienie danych o stanie technicznym pojazdów oraz kodach błędów niezależnemu warsztatowi, który nie jest częścią autoryzowanej sieci, w celu przeprowadzenia diagnostyki pojazdów. Osoba trzecia może korzystać z danych wyłącznie w celach i na warunkach uzgodnionych z użytkownikiem oraz dzielić się nimi z inną osobą trzecią wyłącznie za zgodą użytkownika. Co do zasady, osoba trzecia jest zobowiązana usunąć dane, jeżeli nie są one niezbędne do realizacji uzgodnionego z użytkownikiem celu.
Korzystanie z danych pod pewnymi warunkami
Wykorzystywanie danych – pomimo zniesienia barier utrudniających dzielenie się nimi – podlega pewnym ograniczeniom zarówno po stronie posiadacza danych, jak i użytkownika.
Po pierwsze użytkownicy i posiadacze danych mogą w drodze umowy ich łączącej ograniczyć dostęp do danych lub go zakazać, pozwolić na ich wykorzystywanie lub tego zabronić, podobnie jak dalszego dzielenia się nimi, jeżeli takie przetwarzanie mogłoby zagrozić wymaganiom bezpieczeństwa produktu skomunikowanego i mieć poważny negatywny wpływ na zdrowie, bezpieczeństwo lub ochronę osób fizycznych.
Po drugie w przypadku wykorzystywania danych przez posiadacza danych Data Act wymaga zawarcia umowy pomiędzy posiadaczem danych a użytkownikiem, w ramach której strony określą sposób korzystania z danych, tj. „(…) wskazując go w sposób konkretny, np. w celu rozwoju produktów i usług, bądź ogólnie wskazując, że może wykorzystywać je w każdym celu, lub z określonymi wyjątkami” [2]. Posiadacze danych nie powinni udostępniać danych z produktu osobom trzecim w celach innych niż realizacja umowy z użytkownikiem (art. 4 ust. 14 Data Act).
Po trzecie, stosownie do brzmienia przepisu art. 4 ust. 10 Data Act, użytkownik nie może wykorzystywać pozyskanych danych do:
- opracowania produktu skomunikowanego konkurującego z produktem skomunikowanym, z którego pochodzą dane, oraz nie może dzielić się tymi danymi w tym celu z osobą trzecią;
- uzyskania informacji o sytuacji ekonomicznej, aktywach i metodach produkcji producenta (posiadacza danych).
„Przyjmij albo zrezygnuj”
Akt w sprawie danych wprowadza regulacje mające na celu zwalczanie postanowień implementowanych do obrotu między przedsiębiorcami na zasadzie „przyjmij albo zrezygnuj”. Unijny ustawodawca dąży do zachowania w obszarze zarządzania danymi równowagi kontraktowej między organizacjami. Stosownie do zapisów ujętych w Data Act wszelkie nieuczciwe postanowienia umowne regulujące dostęp do danych i ich wykorzystywanie lub regulujące odpowiedzialność i środki ochrony prawnej wobec naruszenia lub odstąpienia od obowiązków dotyczących danych nie są wiążące dla jednostek, jeżeli zostały narzucone jednostronnie. Jak zostało wskazane w motywie rozporządzenia, dotyczy to sytuacji, w której dany podmiot nie jest w stanie wywrzeć wpływu na treść postanowienia umownego zaproponowanego przez drugą stronę pomimo prób negocjacji w jego sprawie. Stosownie do obowiązujących przepisów prawa ciężar udowodnienia, że postanowienie umowne nie zostało jednostronnie narzucone, spoczywa na tej stronie umowy, która zaproponowała to postanowienie (art. 13 ust. 6 Data Act).
Przepis art. 13 Data Act znajdzie zastosowanie do każdej umowy, która zawiera postanowienia związane z udostępnianiem danych, np. do umów NDA czy też umów sprzedaży baz danych. Zakres zastosowania tej normy prawnej jest szeroki i może oddziaływać na wiele umów powszechnie zawieranych [3].
Na straży poufnych informacji
Szeroki dostęp do danych generowanych przez urządzenia IoT może wzbudzać niepokój wśród podmiotów zobowiązanych do udostępniania danych przed naruszeniem ich tajemnicy przedsiębiorstwa oraz osłabieniem przewagi konkurencyjnej. Wychodząc naprzeciw ewentualnym niepokojom, w ramach Data Act wprowadzono mechanizmy mające na celu ochronę poufności danych.
Sam fakt, że określone informacje są uważane za tajemnicę przedsiębiorstwa, nie wyłącza ich z obowiązku udostępnienia danych. Posiadacz danych nie jest uprawniony do odrzucenia wniosku o dostęp do danych tylko dlatego, że uznaje dane objęte wnioskiem za podlegające ochronie jako tajemnica przedsiębiorstwa.
Wśród instrumentów mających na celu ochronę informacji poufnych wymienić należy następujące regulacje:
- Informacje uznane za tajemnice przedsiębiorstwa ujawnia się wyłącznie wtedy, gdy posiadacz danych i użytkownik przed ich ujawnieniem zastosują wszelkie środki niezbędne do ochrony ich poufności, w szczególności w odniesieniu do osób trzecich. Posiadacz danych uzgadnia z użytkownikiem proporcjonalne środki techniczne i organizacyjne niezbędne do ochrony poufności danych podlegających udostępnieniu, takie jak modelowe postanowienia umowne, umowy o poufności, protokoły ścisłego dostępu, normy techniczne oraz stosowanie kodeksów postępowania (art. 4 ust. 6 oraz art. 5 ust. 9 Data Act).
- W przypadku gdy nie uzgodniono niezbędnych środków technicznych (patrz art. 4 ust. 6 oraz art. 5 ust. 9 Data Act) lub gdy użytkownik (bądź osoba trzecia) nie wdraża uzgodnionych środków lub zagraża poufności tajemnic przedsiębiorstwa, posiadacz danych może wstrzymać lub w stosownym przypadku zawiesić dzielenie się danymi zidentyfikowanymi jako tajemnice przedsiębiorstwa (art. 4 ust. 7 oraz art. 5 ust. 10 Data Act).
- Wyjątkowo, gdy mimo wdrożonych środków technicznych i organizacyjnych zastosowanych przez użytkownika (osobę trzecią) ujawnienie tajemnic handlowych z dużym prawdopodobieństwem będzie skutkować poważną szkodą ekonomiczną, posiadacz danych może odrzucić wniosek o dostęp do tych konkretnych danych (art. 4 ust. 8 oraz art. 5 ust. 11 Data Act).
- Osoba trzecia nie powinna udostępniać otrzymanych danych innej osobie trzeciej, chyba że robi to na podstawie umowy z użytkownikiem, i to pod warunkiem, że ta inna osoba trzecia zastosuje wszystkie niezbędne środki uzgodnione między posiadaczem danych a osobą trzecią w celu ochrony poufności tajemnic przedsiębiorstwa (art. 6 ust. 2 lit. c Data Act).
Posiadacz danych w pierwszej kolejności powinien zweryfikować, czy dane, które będzie zobowiązany udostępnić, kwalifikują się jako tajemnica przedsiębiorstwa, a następnie – wspólnie z użytkownikiem uzgodnić odpowiednie środki techniczne oraz organizacyjne niezbędne do zapewnienia poufności danych. Środki służące ochronie tajemnicy przedsiębiorstwa powinny mieć charakter proporcjonalny, a ową proporcjonalność należy oceniać z perspektywy obu stron umowy o udostępnienie danych [4]. Ponadto, jak zostało wskazane w literaturze „(…) właściwe określenie i implementacja takich zabezpieczeń pełni więc funkcję nie tylko ochronną i prewencyjną, lecz także porządkującą relacje kontraktowe i zmniejszającą ryzyko sporów” [5]. W praktyce stosowanie Data Act będzie oznaczało balansowanie pomiędzy zapewnieniem wzrostu konkurencyjności i innowacyjności a ochroną know-how przedsiębiorstwa.
Siła napędowa cyfrowej gospodarki
W dobie cyfryzacji organizacje coraz częściej wdrażają zaawansowane rozwiązania technologiczne, co sprawia że systematycznie rośnie liczba przetwarzanych danych. Dane stały się jednym z kluczowych zasobów gospodarki cyfrowej. Są podstawą rozwoju innowacyjnych usług, budowania przewagi konkurencyjnej oraz rozwoju rynków wtórnych i posprzedażowych. Wraz z dynamicznym wzrostem wykorzystania urządzeń z dostępem do internetu rośnie ilość generowanych danych.
Data Act tworzy ramy prawne dla sprawiedliwego dostępu do danych oraz zwiększa interoperacyjność danych. Rozporządzenie wzmacnia dotychczasowe uprawnienia po stronie użytkowników produktów skomunikowanych oraz usług powiązanych i zapewnia możliwość ich wykorzystania (także poprzez udostępnienie danych osobom trzecim). Akt ten jasno określa prawa i obowiązki po stronie posiadaczy danych oraz użytkowników.
Regulacje ujęte w Data Act umożliwiają optymalne wykorzystanie danych oraz tworzą warunki sprzyjające rozwojowi konkurencyjności oraz innowacyjności, jak również podnoszą ich użyteczność. Dla organizacji nowe ramy prawne oznaczają w szczególności konieczność:
- przeprowadzenia inwentaryzacji urządzeń, które generują oraz zbierają dane celem ustalenia, które urządzenia są objęte rozporządzeniem;
- dokonania analizy danych pod kątem obowiązku ich udostępniania na gruncie nowych regulacji prawnych;
- przeanalizowania umów zawieranych dotychczas pomiędzy przedsiębiorstwami pod kątem niedozwolonych klauzul umów (art. 13 Data Act);
- przygotowania procedur oraz procesów dotyczących udostępniania danych.
Rozwiązania przyjęte w Data Act otwierają nowe możliwości rozwoju oraz bardziej efektywnego wykorzystywania danych. Omawiane regulacje prawne przyczynią się do rozwoju gospodarki cyfrowej opartej na danych, jak również do tworzenia nowych usług. Data Act to nie kolejne obciążenia regulacyjne dla organizacji, ale przede wszystkim zniesienie dotychczasowych barier w obszarze zarządzania danymi i otwarcie na szeroką skalę dostępu do danych, które uznawane są za paliwo współczesnej gospodarki.
Przypisy:
- A. Szeliga, Podstawowe modele obowiązkowego udostępniania danych na podstawie Aktu w sprawie danych (Data Act), „Prawo Nowych Technologii” 2024, nr 2, opubl. Legalis.
- Tamże.
- por. A. Ptak, P. Nepelski, Nieuczciwe postanowienia umowne między przedsiębiorstwami w zakresie dostępu do danych i ich wykorzystywania – perspektywa Data Act, „Prawo Nowych Technologii” 2025, nr 2, opubl. Legalis.
- por. A. Jelińska-Sabatowska, Między ochroną tajemnicy przedsiębiorstwa a prawem dostępu do danych: kolizje w świetle Data Act, „Prawo Nowych Technologii” 2025, nr 2, opubl. Legalis.
- Tamże.
Autor
Katarzyna Blachowicz
Autorka jest radczynią prawną oraz menedżerką z wieloletnim doświadczeniem – także w branży IT. Laureatka „Rising Stars. Prawnicy – liderzy jutra”. W 2015 r. Forbes Women umieścił ją na liście liderek „23 na 2023”, a w roku 2023 została wymieniona w raporcie „Strong Women in IT”. Stworzyła unikatowy program CSR „Nowa TY w IT. Profesjonalizm nie ma płci”, którego celem było zachęcenie kobiet do rozpoczęcia kariery w branży IT.
