Jak posiadacz danych może chronić tego rodzaju informacje i jakie wyzwania są z tym związane? Omówimy to dla trzech scenariuszy realizacji prawa dostępu do danych:

1. użytkownik pobiera dane bezpośrednio z produktu / usługi za pomocą funkcjonalności produktu / usługi (bez odrębnego, aktywnego udziału posiadacza danych),
2. posiadacz danych przekazuje dane użytkownikowi na wniosek użytkownika,
3. posiadacz danych przekazuje dane osobie trzeciej wskazanej przez użytkownika na wniosek użytkownika.

Tajemnica przedsiębiorstwa w rozumieniu Data Act, czyli co posiadacz może chronić

Omawiane uprawnienia posiadacza danych dotyczą jedynie takich informacji, które zgodnie z Data Act stanowią tajemnicę przedsiębiorstwa. W rozumieniu Data Act tajemnicą przedsiębiorstwa są informacje, które:

• są poufne w tym sensie, że jako całość lub w szczególnym zestawie i zbiorze ich elementów nie są ogólnie znane lub łatwo dostępne dla osób z kręgów, które zwykle zajmują się tym rodzajem informacji, oraz
• mają wartość handlową dlatego, że są objęte tajemnicą, oraz
• poddane zostały przez osobę, która zgodnie z prawem sprawuje nad nimi kontrolę, rozsądnym, w danych okolicznościach, działaniom dla utrzymania ich w tajemnicy.

W rezultacie uprawnienia ochronne wynikające z Data Act posiadacz danych może realizować tylko w odniesieniu do informacji, które spełniają wszystkie ww. przesłanki, co w szczególności oznacza, że np. nie może realizować ich wobec danych, które nie są poufne lub wobec których nie podjął wcześniej rozsądnych działań w celu utrzymania ich w tajemnicy.

Dlatego posiadacz danych, który zamierza korzystać z mechanizmów ochrony informacji przewidzianych w Data Act, powinien przede wszystkim przeanalizować, które informacje mogące podlegać udostępnieniu spełniają przesłanki uznania za tajemnicę przedsiębiorstwa.

Jakie rozwiązania ochronne może zastosować posiadacz danych?

Rozwiązania ochronne, z których może skorzystać posiadacz danych, będą zależały od scenariusza realizacji prawa dostępu do danych.

Scenariusz 1. Użytkownik pobiera dane bezpośrednio z produktu / usługi za pomocą ich funkcjonalności

Data Act nie przewiduje prawnych mechanizmów ochrony danych uzyskiwanych przez użytkowników bezpośrednio i automatycznie z produktu skomunikowanego / usługi powiązanej za pomocą funkcjonalności produktu / usługi (np. gdy użytkownik może zainicjować proces dostępu do danych na panelu kontrolnym urządzenia). Posiadacz danych powinien wziąć to pod uwagę przy projektowaniu rozwiązań dostępu do danych i zakresu udostępnianych danych.

Data Act określa zasadniczy zakres kategorii danych, które muszą być udostępnione użytkownikowi, dlatego czasem uniknięcie udostępniania informacji objętych tajemnicą przedsiębiorstwa może nie być możliwe. Posiadacz danych nie jest jednak bezradny. Komisja Europejska wyjaśniła, że producent produktu skomunikowanego może zobowiązać użytkownika do ochrony pewnych danych, które są mu bezpośrednio udostępniane, w celu zapewnienia ochrony tajemnicy przedsiębiorstwa, lub zabronić użytkownikowi określonego wykorzystania danych np. w celach wyrobu konkurencyjnych produktów (patrz Frequently Asked Questions, Data Act, 12 September 2025, Version 1.3). Tego rodzaju umowne ograniczenia nie mogą jednak naruszać art. 7 ust. 2 Data Act, zgodnie z którym Postanowienie umowne, które ze szkodą dla użytkownika wyklucza stosowanie praw użytkownika (…), stanowi odstępstwo od nich lub zmienia ich skutek, nie jest dla użytkownika wiążące.

W świetle powyższego posiadacz danych, który wprowadza funkcjonalność umożliwiającą użytkownikowi bezpośredni dostęp do danych z produktu skomunikowanego / usługi powiązanej, powinien w celu zabezpieczenia istotnych dla siebie informacji:

• określić, czy wśród udostępnianych danych są informacje objęte tajemnicą przedsiębiorstwa w rozumieniu Data Act (a jeśli tak, to jakie),
• umownie zobowiązać użytkownika do takich działań/zaniechań, które uzna za konieczne w celu zabezpieczenia swojej tajemnicy przedsiębiorstwa (np. uzyskiwać od użytkownika zobowiązanie do zachowania określonych danych w tajemnicy).

W praktyce opracowanie i wprowadzenie odpowiednich postanowień umownych może być trudne. Posiadacz danych musi się bowiem zastanowić:

• gdzie zawrzeć postanowienia umowne, by w sposób prawnie skuteczny wiązały użytkownika, który uzyska dostęp do danych (W zobowiązaniu odbieranym każdorazowo od użytkownika przy dostępie do danych? W ogólnych warunkach korzystania z usługi?),
• czy i w jakim zakresie, w świetle przepisów o danych osobowych, posiadacz może i powinien uzyskiwać od użytkownika jego dane identyfikujące, by móc ewentualnie dochodzić roszczeń w przypadku naruszenia postanowień umownych?
• w jaki sposób odbierać zobowiązania od użytkowników i o jakiej treści, by nie naruszały one ww. art. 7 ust. 2 Data Act?
• jak sformułować zobowiązania użytkowników będących konsumentami, by nie naruszały one przepisów o ochronie konsumentów?

Wdrażanie rozwiązań, o których mowa powyżej, będzie zatem wymagało od posiadaczy danych uważnego i ostrożnego podejścia dostosowanego do natury produktu / usługi.

Scenariusz 2. Posiadacz danych przekazuje dane użytkownikowi na wniosek użytkownika

Scenariusz 2 zakłada, że użytkownik, aby uzyskać dostęp do danych, musi złożyć odpowiedni wniosek do posiadacza danych, a posiadacz danych każdorazowo rozważa dany wniosek i indywidualnie na niego odpowiada. Posiadacz może skorzystać, w zależności od sytuacji, z czterech mechanizmów ochronnych opisanych poniżej.

Pierwszy mechanizm ochronny polega na dokonaniu tzw. uzgodnień pomiędzy posiadaczem danych a użytkownikiem. W takiej sytuacji, zgodnie z Data Act, po złożeniu wniosku o dostęp do danych przez użytkownika a przed ujawnieniem danych posiadacz danych identyfikuje tajemnicę przedsiębiorstwa (w tym stosowne metadane) i uzgadnia z użytkownikiem proporcjonalne środki techniczne i organizacyjne niezbędne do ochrony poufności ujawnianych danych. Przykładowe środki, które mogą być zastosowane, to, jak wskazano w preambule do Data Act: modelowe postanowienia umowne (w opracowaniu przez Komisję Europejską), umowy o poufności, protokoły ścisłego dostępu, normy techniczne oraz stosowanie kodeksów postępowania.

Zastosowanie powyższego mechanizmu może wiązać się w praktyce z wyzwaniami. Po pierwsze, posiadacz danych musi zweryfikować, czy informacje, które chciałby chronić, spełniają przesłanki tajemnicy przedsiębiorstwa w rozumieniu Data Act. Po drugie, posiadacz danych musi określić środki ochrony danych, które jednocześnie:

• będą spełniać funkcję ochronną i zabezpieczać interesy posiadacza danych,
• będą „proporcjonalne” w rozumieniu Data Act a więc, jak się wydaje, adekwatne do ilości, rodzaju danych i ich obiektywnej wartości,
• będą zgodne z ogólnym nakazem ujawnienia i możliwości korzystania z danych wynikającym z Data Act.

Co istotne, użytkownik będzie mógł próbować kwestionować zasadność zastosowania danego mechanizmu ochronnego np. przed sądem czy organem nadzorczym (zakres uprawnień będzie determinowany w szczegółach przez prawo krajowe). W związku z tym wskazane wydaje się, by posiadacze danych z wyprzedzeniem wypracowali odpowiednie podejście do realizacji wniosków, co pozwoli na sprawniejszą ich realizację. W tym celu mogą przygotować uzasadnienia dla wdrażania określonych środków, wzory dokumentów oraz procedury obsługi wniosków. Wdrożenie tego rodzaju rozwiązań wydaje się rekomendowane w odniesieniu do wszystkich czterech mechanizmów ochronnych.

Drugi mechanizm ochronny posiadacz danych może zastosować w sytuacji, w której po złożeniu wniosku o dostęp do danych przez użytkownika nie doszło do ustalenia pomiędzy posiadaczem a użytkownikiem uzgodnień w zakresie środków ochrony danych, o których mowa powyżej.

Data Act nie precyzuje, czy zastosowanie tego mechanizmu wymaga podjęcia przez posiadacza danych próby uzgodnienia odpowiednich środków z użytkownikiem – wydaje się jednak, że tego rodzaju próba, co do zasady, powinna mieć miejsce.

Zgodnie z Data Act, jeśli nie uzgodniono niezbędnych środków ochrony, posiadacz danych może wstrzymać dzielenie się danymi zidentyfikowanymi jako tajemnice przedsiębiorstwa. W takiej sytuacji posiadacz danych należycie uzasadnia swoją decyzję i bez zbędnej zwłoki przekazuje ją na piśmie użytkownikowi. Posiadacz danych powiadamia także o swojej decyzji właściwy organ wyznaczony zgodnie z prawem krajowym i wskazuje, których środków nie uzgodniono.

Z praktycznego punktu widzenia – w szczególności z uwagi na fakt, że o ewentualnej odmowie posiadacz danych będzie musiał zawiadomić organ nadzorczy – wskazane jest, by posiadacz danych, podobnie jak w przypadku pierwszego mechanizmu, z wyprzedzeniem opracował pewne rozwiązania. Chodzi m.in. o to:

• w jaki sposób posiadacz danych wykaże, że informacje, o których uzyskanie wnosił użytkownik, stanowią tajemnicę przedsiębiorstwa w rozumieniu Data Act,
• w jaki sposób udokumentuje próbę dokonania uzgodnień i brak ich dokonania,
• jakich argumentów użyje do uzasadnienia swojej decyzji o odmowie ujawnienia danych.

Trzeci mechanizm ochronny posiadacz danych może zastosować w sytuacji, gdy po złożeniu wniosku przez użytkownika oceni, że nie ma możliwości uzgodnienia odpowiednich środków ochrony danych.

Zgodnie z art. 4 ust. 8 Data Act w wyjątkowych okolicznościach, kiedy posiadacz danych będący posiadaczem tajemnicy przedsiębiorstwa może wykazać, że mimo środków technicznych i organizacyjnych ujawnienie tajemnic handlowych z dużym prawdopodobieństwem poskutkuje poważną szkodą ekonomiczną, posiadacz danych może w tym konkretnym przypadku odrzucić wniosek o dostęp do tych konkretnych danych.

Zgodnie z Data Act decyzja o odmowie wymaga należytego uzasadnienia na podstawie obiektywnych elementów, w szczególności egzekwowalności tajemnic przedsiębiorstwa w krajach trzecich, charakteru i poziomu poufności żądanych danych oraz niepowtarzalności i nowatorskości produktu. Co ważne, uzasadnienie powinno wskazywać konkretne ryzyko poważnej szkody ekonomicznej, która ma wynikać z ujawnienia określonych danych, oraz powody, dla których środki podjęte dla ochrony żądanych danych nie są uznane za wystarczające.

Data Act nakazuje w takiej sytuacji posiadaczowi danych przedstawić uzasadnienie swojej decyzji na piśmie użytkownikowi bez zbędnej zwłoki oraz powiadomić o odmowie ujawnienia danych właściwy organ wyznaczony zgodnie z prawem krajowym.

Podobnie jak w przypadku innych mechanizmów ochronnych wskazane jest, by posiadacz danych z wyprzedzeniem opracował pewne rozwiązania, które ułatwią mu skorzystanie z tego mechanizmu. Chodzi m.in. o to:

• w jaki sposób posiadacz danych wykaże, że informacje, o których uzyskanie wnosił użytkownik, stanowią tajemnicę przedsiębiorstwa w rozumieniu Data Act,
• jak uzasadni duże prawdopodobieństwo ryzyka zaistnienia „poważnej szkody ekonomicznej” w przypadku ujawnienia danych,
• jak wykaże obiektywną niemożliwość wdrożenia odpowiednich środków ich ochrony.

Szczególnie istotne wydaje się uzasadnienie zaistnienia ryzyka poważnej szkody ekonomicznej, w szczególności z uwagi na nieostrość tego pojęcia. Data Act go nie definiuje, ograniczając się do stwierdzenia w preambule, że „poważna szkoda ekonomiczna” oznacza poważne i nieodwracalne straty ekonomiczne. Trudne może także okazać się wykazanie obiektywnej niemożliwości wdrożenia odpowiednich środków ochrony, co jak się wydaje, będzie wymagało odniesienia się do okoliczności konkretnego wniosku, w tym potencjalnie do kwestii takich jak:

• osoba wnioskodawcy,
• grupa kapitałowa, do której wnioskodawca należy,
• jurysdykcja, której wnioskodawca podlega,
• cechy produktu.

Czwarty mechanizm ochronny posiadacz danych może zastosować po ujawnieniu danych użytkownikowi na jego wniosek.

Zgodnie z art. 4 ust. 7 Data Act, w przypadku gdy użytkownik nie wdraża uzgodnionych środków lub zagraża poufności tajemnic przedsiębiorstwa, posiadacz danych może zawiesić dzielenie się danymi zidentyfikowanymi jako tajemnice przedsiębiorstwa.

Data Act nakłada na posiadacza danych obowiązek, by w takiej sytuacji należycie uzasadnił swoją decyzję i bez zbędnej zwłoki przekazał ją na piśmie użytkownikowi oraz powiadomił właściwy organ wyznaczony zgodnie z prawem krajowym o wstrzymaniu dzielenia się danymi i wskazał, których środków nie wdrożono lub poufność których tajemnic przedsiębiorstwa jest zagrożona.

Również tu rekomendowane jest, by posiadacz danych z wyprzedzeniem opracował pewne rozwiązania, które ułatwią mu skorzystanie z tego mechanizmu ochronnego. Posiadacz danych powinien rozważyć m.in.:

• w jaki sposób wykaże, że informacje, o których uzyskanie wnosił użytkownik, stanowią tajemnicę przedsiębiorstwa w rozumieniu Data Act,
• w jaki sposób wykaże brak wdrożenia uzgodnionych środków lub zagrożenie poufności tajemnic przedsiębiorstwa.

W tym kontekście przydatne może okazać się wdrożenie rozwiązań organizacyjnych i technicznych, które umożliwią posiadaczowi danych weryfikację wdrożenia środków ochrony przez użytkownika (np. prawo dokonywania audytów czy monitoringu działań użytkownika związanych z udostępnionymi mu danymi).

Niezależnie od powyższych mechanizmów Data Act nakłada także na użytkownika, który uzyskał dane:

• obowiązek niewykorzystywania danych pozyskanych na podstawie wniosku do opracowania produktu skomunikowanego konkurującego z produktem skomunikowanym, z którego pochodzą dane,
• zakaz dzielenia się w tym celu danymi z osobą trzecią,
• zakaz wykorzystywania takich danych do pozyskania informacji o sytuacji ekonomicznej, aktywach i metodach produkcji producenta lub w stosownym przypadku posiadacza danych.

Scenariusz 3. Posiadacz danych przekazuje dane osobie trzeciej wskazanej przez użytkownika na wniosek użytkownika

Scenariusz 3 zakłada, że użytkownik składa do posiadacza danych odpowiedni wniosek o przekazanie danych osobie trzeciej, a posiadacz danych każdorazowo odpowiada na indywidualny wniosek użytkownika.

W scenariuszu 3 mechanizmy ochronne przysługujące posiadaczowi danych są zasadniczo takie same jak w scenariuszu 2, przy czym uprawnienia posiadacza realizowane są wobec wskazanej przez użytkownika osoby trzeciej, a nie wobec samego użytkownika.

Obowiązki odbiorcy danych

Niezależnie od powyższych mechanizmów Data Act nakłada na odbiorcę danych następujące dodatkowe obowiązki służące m.in. ochronie informacji udostępnianych przez posiadacza danych:

• obowiązek nieudostępniania otrzymanych danych innej osobie trzeciej – chyba że udostępnienie nastąpi na podstawie umowy z użytkownikiem i pod warunkiem, że ta inna osoba trzecia zastosuje wszystkie niezbędne środki uzgodnione między posiadaczem danych a osobą trzecią w celu ochrony poufności tajemnic przedsiębiorstwa,
• zakaz wykorzystywania otrzymanych danych do opracowania produktu konkurującego z produktem skomunikowanym, z którego pochodzą dane, oraz zakaz dzielenia się nimi w tym celu z inną osobą trzecią,
• zakaz wykorzystywania udostępnionych danych nieosobowych z produktu lub z usługi powiązanej do pozyskania informacji o sytuacji ekonomicznej, aktywach i metodach produkcji posiadacza danych lub korzystaniu przez niego z produktu lub usługi powiązanej,
• obowiązek nieignorowania szczególnych środków uzgodnionych z posiadaczem danych lub posiadaczem tajemnic przedsiębiorstwa i niezagrażania poufności tajemnic przedsiębiorstwa.

Podsumowanie

Jak widać, posiadacze danych z produktów skomunikowanych / usług powiązanych mają narzędzia do ochrony tajemnicy przedsiębiorstwa w sytuacji, gdy użytkownicy realizują swoje prawo dostępu do danych. Trudno obecnie ocenić, w jakim zakresie narzędzia te będą skuteczne – Data Act jest regulacją nową i nie ma jeszcze przepisów krajowych uzupełniających jego treść.

Niemniej wydaje się, że sprawne i efektywne korzystanie z tych narzędzi będzie zależało w dużej mierze od stopnia gotowości posiadaczy danych. W związku z tym wskazane wydaje się rozważenie proaktywnych działań, takich jak np.:

• inwentaryzacja informacji objętych tajemnicą przedsiębiorstwa,
• opracowanie odpowiednich procedur i wzorów dokumentów,
• szkolenia personelu,
• alokacja odpowiedzialności za poszczególne czynności w ramach odpowiedzi na wniosek,
• opracowanie wzorów uzasadnień dla poszczególnych działań, umożliwiających realizację wniosków użytkowników z jednoczesnym zabezpieczeniem informacji kluczowych z biznesowego punktu widzenia.

Łukasz Rutkowski