keyboard_tab Data Act 2023/2854 PL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artykuł 11 Techniczne środki ochrony i przepisy dotyczące nieuprawnionego wykorzystywania lub ujawniania danych
- 1 Artykuł 28 Umowne obowiązki dotyczące przejrzystości w zakresie dostępu międzynarodowego i przekazywania międzynarodowego
- 1 Artykuł 32 Międzynarodowy dostęp administracji rządowej i przekazywanie
- 1 Artykuł 49 Ocena i przegląd
- Artykuł 50 Wejście w życie i rozpoczęcie stosowania
ROZDZIAŁ I
PRZEPISY OGÓLNE
ROZDZIAŁ II
DZIELENIE SIĘ DANYMI PRZEZ PRZEDSIĘBIORCÓW Z KONSUMENTAMI I Z INNYMI PRZEDSIĘBIORCAMI
ROZDZIAŁ III
OBOWIĄZKI POSIADACZY DANYCH ZOBOWIĄZANYCH DO UDOSTĘPNIANIA DANYCH ZGODNIE Z PRAWEM UNII
ROZDZIAŁ IV
NIEUCZCIWE POSTANOWIENIA UMOWNE MIĘDZY PRZEDSIĘBIORSTWAMI DOTYCZĄCE DOSTĘPU DO DANYCH I ICH WYKORZYSTYWANIA
ROZDZIAŁ V
UDOSTĘPNIANIE DANYCH ORGANOM SEKTORA PUBLICZNEGO, KOMISJI, EUROPEJSKIEMU BANKOWI CENTRALNEMU I ORGANOM UNII NA PODSTAWIE WYJĄTKOWEJ POTRZEBY
ROZDZIAŁ VI
ZMIANA DOSTAWCY USŁUG PRZETWARZANIA DANYCH
ROZDZIAŁ VII
BEZPRAWNY MIĘDZYNARODOWY DOSTĘP ADMINISTRACJI RZĄDOWEJ DO DANYCH NIEOSOBOWYCH I BEZPRAWNE MIĘDZYNARODOWE PRZEKAZYWANIE DANYCH NIEOSOBOWYCH
ROZDZIAŁ VIII
INTEROPERACYJNOŚĆ
ROZDZIAŁ IX
WDRAŻANIE I EGZEKWOWANIE
ROZDZIAŁ X
PRAWO SUI GENERIS PRZEWIDZIANE W DYREKTYWIE 96/9/WE
ROZDZIAŁ XI
PRZEPISY KOŃCOWE
- dane
- metadane
- dane osobowe
- dane nieosobowe
- produkt skomunikowany
- usługa powiązana
- przetwarzanie
- usługa przetwarzania danych
- usługa tego samego typu
- usługa pośrednictwa danych
- osoba, której dane dotyczą
- użytkownik
- posiadacz danych
- odbiorca danych
- dane z produktu
- dane z usługi powiązanej
- dane łatwo dostępne
- tajemnica przedsiębiorstwa
- posiadacz tajemnicy przedsiębiorstwa
- profilowanie
- udostępnienie na rynku
- wprowadzenie do obrotu
- konsument
- przedsiębiorstwo
- małe przedsiębiorstwo
- mikroprzedsiębiorstwo
- organy Unii
- organ sektora publicznego
- niebezpieczeństwo publiczne
- klient
- wirtualni asystenci
- aktywa cyfrowe
- lokalna infrastruktura ICT
- zmiana dostawcy
- opłaty z tytułu wychodzącego ruchu danych
- opłaty z tytułu zmiany dostawcy
- równoważność funkcjonalna
- dane eksportowalne
- inteligentna umowa
- interoperacyjność
- otwarte specyfikacje w zakresie interoperacyjności
- wspólne specyfikacje
- norma zharmonizowana
- danych 67
- oraz 18
- rozporządzenia 15
- unii 15
- usług 15
- przetwarzania 14
- państwa 14
- niniejszego 13
- prawa 12
- się 11
- posiadacza 11
- art 11
- trzeciego 10
- podstawie 10
- przez 10
- w tym 8
- mowa 8
- środki 8
- ust 8
- nieosobowych 7
- użytkownika 7
- dane 7
- ochrony 7
- przedsiębiorstwa 7
- w ust 7
- z prawem 7
- jeżeli 7
- może 7
- organu 6
- wpływ 6
- w celu 6
- techniczne 6
- zgodnie 6
- takich 6
- dostępu 5
- celów 5
- tych 5
- krajowego 5
- o których 5
- decyzji 5
- zmiany 5
- takie 5
- europejskiemu 5
- przekazanie 5
- jest 4
- właściwy 4
- v niniejszego 4
- rozdziału 4
- wniosek 4
- organów 4
Artykuł 11
Techniczne środki ochrony i przepisy dotyczące nieuprawnionego wykorzystywania lub ujawniania danych
1. Posiadacz danych może stosować odpowiednie techniczne środki ochrony, w tym inteligentne umowy i szyfrowanie, aby zapobiec nieuprawnionemu dostępowi do danych, w tym metadanych, i zapewnić zgodność z art. 5, 6, 8 i 9 oraz uzgodnionymi postanowieniami umownymi dotyczącymi udostępniania danych. Takie techniczne środki ochrony nie powodują różnego traktowania odbiorców danych ani nie ograniczają prawa użytkownika do uzyskania kopii danych, pobrania bądź wykorzystania danych, dostępu do danych lub dostarczenia danych osobom trzecim zgodnie z art. 5 ani jakiegokolwiek prawa osoby trzeciej wynikającego z prawa Unii lub prawa krajowego przyjętego zgodnie z prawem Unii. Użytkownicy, osoby trzecie lub odbiorcy danych nie zmieniają ani nie usuwają takich technicznych środków ochrony, chyba że posiadacz_danych wyraził na to zgodę.
2. W przypadkach, o których mowa w ust. 3, osoba trzecia lub odbiorca_danych na żądanie posiadacza danych oraz w stosownych przypadkach, jeżeli nie są oni tą samą osobą, posiadacza tajemnicy przedsiębiorstwa lub użytkownika:
| a) | usuwają dane udostępnione przez posiadacza danych oraz wszelkie ich kopie; |
| b) | zaprzestają produkcji, oferowania, wprowadzania do obrotu lub wykorzystywania towarów, danych wywnioskowanych lub usług wytworzonych na podstawie wiedzy pozyskanej dzięki takim danym lub przywozu, wywozu lub magazynowania do tych celów towarów naruszających prawo oraz niszczą wszelkie towary naruszające prawo, w przypadku gdy istnieje poważne ryzyko, że niezgodne z prawem wykorzystywanie tych danych spowoduje znaczną szkodę dla posiadacza danych, posiadacza tajemnicy przedsiębiorstwa lub użytkownika, lub gdy taki środek nie byłby nieproporcjonalny w świetle interesów posiadacza danych, posiadacza tajemnicy przedsiębiorstwa lub użytkownika; |
| c) | informują użytkownika o nieuprawnionym wykorzystaniu lub ujawnieniu danych oraz o środkach zastosowanych, aby położyć kres nieuprawnionemu wykorzystywaniu lub ujawnianiu danych; |
| d) | rekompensują szkodę stronie, która ją poniosła w wyniku niewłaściwego wykorzystania lub ujawnienia takich danych udostępnionych lub wykorzystanych niezgodnie z prawem. |
3. Ust. 2 ma zastosowanie, gdy osoba trzecia lub odbiorca_danych:
| a) | w celu pozyskania danych przedstawili posiadaczowi danych nieprawdziwe informacje, zastosowali środki wprowadzające w błąd lub środki przymusu lub wykorzystali lukę w infrastrukturze technicznej posiadacza danych mającą chronić dane; |
| b) | wykorzystali udostępnione dane w nieuprawnionych celach, w tym do stworzenia konkurencyjnego produktu skomunikowanego w rozumieniu art. 6 ust. 2 lit. e); |
| c) | niezgodnie z prawem ujawnili dane innej osobie; |
| d) | nie utrzymali środków technicznych i organizacyjnych uzgodnionych zgodnie z art. 5 ust. 9; |
| e) | bez zgody posiadacza danych zmienili lub usunęli techniczne środki ochrony stosowane przez posiadacza danych zgodnie z ust. 1 niniejszego artykułu. |
4. Ustęp 2 ma również zastosowanie, gdy użytkownik zmienia lub usuwa techniczne środki ochrony zastosowane przez posiadacza danych lub nie utrzymuje środków technicznych i organizacyjnych zastosowanych przez użytkownika w celu ochrony tajemnic przedsiębiorstwa w porozumieniu z posiadaczem danych lub, jeżeli nie jest on tą samą osobą, z posiadaczem tajemnicy przedsiębiorstwa, a także gdy inna osoba otrzymała dane od użytkownika w wyniku naruszenia niniejszego rozporządzenia.
5. W przypadku gdy odbiorca_danych narusza art. 6 ust. 2 lit. a) lub b), użytkownicy mają takie same prawa, jak posiadacze danych na podstawie ust. 2 niniejszego artykułu.
Artykuł 28
Umowne obowiązki dotyczące przejrzystości w zakresie dostępu międzynarodowego i przekazywania międzynarodowego
1. Dostawcy usług przetwarzania danych udostępniają na swoich stronach internetowych i na bieżąco aktualizują następujące informacje:
| a) | jurysdykcja, której podlega infrastruktura ICT używana do przetwarzania danych w ramach ich poszczególnych usług; |
| b) | ogólny opis środków technicznych, organizacyjnych i umownych przyjętych przez dostawcę usług przetwarzania danych w celu zapobieżenia międzynarodowemu dostępowi do danych nieosobowych przechowywanych na terenie Unii lub ich przekazania administracji rządowej, w przypadku gdy taki dostęp lub takie przekazanie skutkowałyby naruszeniem prawa Unii lub prawa krajowego danego państwa członkowskiego. |
2. Odniesienie do stron internetowych, o których mowa w ust. 1, znajduje się w umowach w odniesieniu do wszystkich usług przetwarzania danych oferowanych przez dostawców usług przetwarzania danych.
Artykuł 32
Międzynarodowy dostęp administracji rządowej i przekazywanie
1. Dostawcy usług przetwarzania danych stosują wszelkie odpowiednie środki techniczne, organizacyjne i prawne, w tym umowy, w celu zapobiegania międzynarodowemu dostępowi administracji rządowej państw trzecich do danych nieosobowych przechowywanych na terenie Unii oraz międzynarodowemu przekazywaniu takich danych nieosobowych, w przypadku gdy takie przekazywanie lub taki dostęp byłyby sprzeczne z prawem Unii lub prawem krajowym danego państwa członkowskiego, bez uszczerbku dla ust. 2 lub 3.
2. Orzeczenia lub wyroki sądu lub trybunału państwa trzeciego oraz decyzje organu administracyjnego państwa trzeciego nakazujące dostawcy usług przetwarzania danych przekazanie przechowywanych na terenie Unii danych nieosobowych objętych zakresem stosowania niniejszego rozporządzenia lub udzielenie dostępu do tych danych uznaje się lub wykonuje wyłącznie wtedy, gdy są oparte na umowie międzynarodowej, takiej jak traktat o pomocy prawnej, obowiązującej między państwem trzecim, które występuje z wnioskiem, a Unią lub na umowie tego rodzaju między państwem trzecim, które występuje z wnioskiem, a państwem członkowskim.
3. W przypadku braku umowy międzynarodowej, o której mowa w ust. 2, jeżeli dostawca usług przetwarzania danych jest adresatem orzeczenia lub wyroku sądu lub trybunału państwa trzeciego lub decyzji organu administracyjnego państwa trzeciego nakazujących przekazanie przechowywanych na terenie Unii danych nieosobowych objętych zakresem stosowania niniejszego rozporządzenia lub udzielenie dostępu do tych danych, a zastosowanie się do takiego orzeczenia lub takiej decyzji wiązałoby się z ryzykiem naruszenia przez adresata prawa Unii lub prawa krajowego stosownego państwa członkowskiego, przekazanie takich danych temu organowi państwa trzeciego lub udzielenie mu dostępu do takich danych odbywa się wyłącznie gdy:
| a) | system państwa trzeciego wymaga, aby uzasadnienie i proporcjonalność takiego orzeczenia, wyroku lub takiej decyzji zostały określone oraz aby takie orzeczenie, wyrok lub taka decyzja miały konkretny charakter, np. poprzez ustalenie wystarczającego związku z niektórymi osobami podejrzanymi lub naruszeniami; |
| b) | uzasadniony sprzeciw adresata podlega kontroli właściwego sądu lub trybunału państwa trzeciego; oraz |
| c) | właściwy sąd lub trybunał państwa trzeciego wydający orzeczenie lub wyrok lub dokonujący kontroli decyzji organu administracyjnego są upoważnione na podstawie prawa tego państwa trzeciego do należytego uwzględnienia stosownych interesów prawnych dostawcy danych chronionych na mocy prawa Unii lub prawa krajowego danego państwa członkowskiego. |
Adresat decyzji lub orzeczenia może zwrócić się o opinię do stosownego podmiotu lub organu krajowego właściwego ds. współpracy międzynarodowej w kwestiach prawnych w celu ustalenia, czy warunki określone w akapicie pierwszym zostały spełnione, w szczególności jeżeli uzna, że orzeczenie lub decyzja mogą dotyczyć tajemnic przedsiębiorstwa i innych szczególnie chronionych danych handlowych oraz treści chronionych prawami własności intelektualnej lub przekazanie może prowadzić do deanonimizacji. Właściwy podmiot lub organ krajowy może skonsultować się z Komisją. Jeżeli adresat uzna, że decyzja może naruszać bezpieczeństwo narodowe lub interesy obronne Unii lub jej państw członkowskich, zwraca się o opinię do właściwych podmiotów lub organów krajowych w celu ustalenia, czy żą dane dane dotyczą bezpieczeństwa narodowego lub interesów obronnych Unii lub jej państw członkowskich. Jeżeli adresat nie otrzyma odpowiedzi w terminie miesiąca lub jeżeli właściwy podmiot lub organ krajowy stwierdzi w opinii, że warunki określone w akapicie pierwszym nie zostały spełnione, adresat może na tej podstawie odrzucić wniosek o przekazanie danych nieosobowych lub dostęp do nich.
Europejska Rada ds. Innowacji w zakresie Danych, o której mowa w art. 42, doradza Komisji i wspiera ją w opracowywaniu wytycznych w sprawie oceny spełnienia warunków określonych w akapicie pierwszym niniejszego ustępu.
4. Jeżeli spełnione są warunki określone w ust. 2 lub 3, dostawca usług przetwarzania danych w odpowiedzi na wniosek dostarcza jak najmniejszą ilość danych dozwoloną w oparciu o racjonalną interpretację tego wniosku dokonaną przez dostawcę lub właściwy krajowy podmiot lub organ, o którym mowa w ust. 3 akapit drugi.
5. Zanim dostawca usług przetwarzania danych zastosuje się do tego wniosku, informuje on klienta o wniosku organu państwa trzeciego o dostęp do jego danych, z wyjątkiem przypadków, w których wniosek służy do celów ścigania przestępstw i tak długo, jak jest to niezbędne do zachowania skuteczności działań w tym zakresie.
ROZDZIAŁ VIII
INTEROPERACYJNOŚĆ
Artykuł 49
Ocena i przegląd
1. Do dnia 12 września 2028 r. Komisja przeprowadza ocenę niniejszego rozporządzenia i przedkłada Parlamentowi Europejskiemu i Radzie, a także Europejskiemu Komitetowi Ekonomiczno-Społecznemu sprawozdanie na temat głównych ustaleń. Ocena ta obejmuje w szczególności:
| a) | sytuacje uznawane za sytuacje wyjątkowej potrzeby do celów art. 15 niniejszego rozporządzenia i stosowanie rozdziału V niniejszego rozporządzenia w praktyce, w szczególności doświadczenie organów sektora publicznego, Komisji, Europejskiego Banku Centralnego oraz organów Unii w stosowaniu rozdziału V niniejszego rozporządzenia; liczbę i wynik postępowań wniesionych do właściwego organu na podstawie art. 18 ust. 5 w sprawie stosowania rozdziału V niniejszego rozporządzenia, zgodnie ze zgłoszeniami właściwych organów; skutki innych obowiązków ustanowionych w prawie Unii i prawie krajowym do celów realizacji wniosków o dostęp do informacji; wpływ mechanizmów dobrowolnego dzielenia się danymi, takich jak tych ustanowionych przez organizacje altruizmu danych uznane na podstawie rozporządzenia (UE) 2022/868, na realizację celów rozdziału V niniejszego rozporządzenia oraz rolę danych osobowych w kontekście art. 15 niniejszego rozporządzenia, w tym ewolucję technologii zwiększających prywatność; |
| b) | wpływ niniejszego rozporządzenia na wykorzystywanie danych w gospodarce, w tym na innowacje w zakresie danych, monetyzację danych oraz usługi pośrednictwa danych oraz na dzielenie się danymi w ramach wspólnych europejskich przestrzeni danych; |
| c) | dostępność i wykorzystywanie różnych kategorii i rodzajów danych; |
| d) | wyłączenie niektórych kategorii przedsiębiorstw jako beneficjentów na mocy art. 5; |
| e) | brak wpływu na prawa własności intelektualnej; |
| f) | wpływ na tajemnice przedsiębiorstwa, w tym ochronę przed ich niezgodnym z prawem nabywaniem, wykorzystywaniem i ujawnianiem, oraz wpływ mechanizmu umożliwiającego posiadaczowi danych odrzucenie wniosku użytkownika na podstawie art. 4 ust. 8 i art. 5 ust. 11, przy uwzględnieniu w jak największym zakresie wszelkiej zmiany dyrektywy (UE) 2016/943; |
| g) | czy wykaz nieuczciwych postanowień umownych, o których mowa w art. 13, jest aktualny w świetle nowych praktyk prowadzenia działalności gospodarczej i szybkiego tempa innowacji na rynku; |
| h) | zmiany w praktykach umownych dostawców usług przetwarzania danych oraz czy prowadzi to do wystarczającego przestrzegania art. 25; |
| i) | obniżenie opłat za proces zmiany dostawcy nakładanych przez dostawców usług przetwarzania danych, zgodnie ze stopniowym wycofywaniem opłat z tytułu zmiany dostawcy na podstawie art. 29; |
| j) | wzajemne oddziaływanie między niniejszym rozporządzeniem a innymi aktami prawnymi Unii istotnymi dla gospodarki opartej na danych; |
| k) | zapobieganie niezgodnemu z prawem dostępowi administracji rządowej do danych nieosobowych; |
| l) | efektywność systemu egzekwowania przepisów wymaganego na podstawie art. 37; |
| m) | wpływ niniejszego rozporządzenia na MŚP w odniesieniu do ich innowacyjności i do dostępności usług przetwarzania danych dla unijnych użytkowników oraz do obciążeń związanych z przestrzeganiem nowych obowiązków. |
2. Do dnia 12 września 2028 r. Komisja przeprowadza ocenę niniejszego rozporządzenia i przedkłada sprawozdanie na temat jej głównych ustaleń Parlamentowi Europejskiemu i Radzie, a także Europejskiemu Komitetowi Ekonomiczno-Społecznemu. Ocena ta uwzględnia wpływ art. 23 do 31 oraz art. 34 i 35, w szczególności na wycenę i różnorodność usług przetwarzania danych oferowanych w Unii, ze szczególnym uwzględnieniem dostawców będących MŚP.
3. Państwa członkowskie przekazują Komisji informacje niezbędne do przygotowania sprawozdań, o których mowa w ust. 1 i 2.
4. Na podstawie sprawozdań, o których mowa w ust. 1 i 2, Komisja może w stosownym przypadku przedłożyć Parlamentowi Europejskiemu i Radzie wniosek ustawodawczy dotyczący zmiany niniejszego rozporządzenia.
whereas