Data Act 2023/2854 PL

1)	„ dane” oznaczają wszelkie cyfrowe odwzorowania działań, faktów lub informacji oraz wszelkie kompilacje takich działań, faktów lub informacji, w tym w formie zapisu dźwiękowego, wizualnego lub audiowizualnego;

2)	„meta dane” oznaczają ustrukturyzowany opis treści danych lub sposobu wykorzystywania danych, który ułatwia wyszukiwanie lub wykorzystywanie tych danych;

3)	„ dane osobowe” oznaczają dane osobowe zdefiniowane w art. 4 pkt 1 rozporządzenia (UE) 2016/679;

4)	„ dane nieosobowe” oznaczają dane inne niż dane osobowe;

„ produkt_skomunikowany” oznacza rzecz, która pozyskuje, generuje lub zbiera dostępne dane dotyczące jej wykorzystywania lub jej otoczenia i która jest w stanie komunikować dane z produktu za pomocą usługi łączności elektronicznej, łącza fizycznego lub dostępu na urządzeniu i której podstawową funkcją nie jest przechowywanie, przetwarzanie ani przesyłanie danych w imieniu strony innej niż użytkownik;

„ usługa_powiązana” oznacza usługę cyfrową, w tym oprogramowanie, ale z wyłączeniem usług łączności elektronicznej, która podczas zakupu, najmu, dzierżawy lub leasingu jest skomunikowana z produktem w taki sposób, że jej brak uniemożliwiłby produktowi skomunikowanemu wykonywanie co najmniej jednej z jego funkcji, lub która zostaje skomunikowana z produktem przez producenta lub osobę trzecią później, aby dodać, uaktualnić lub zmodyfikować funkcje produktu skomunikowanego;

„ przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych lub zestawach danych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

„ usługa_przetwarzania_danych” oznacza świadczoną na rzecz klienta usługę cyfrową umożliwiającą wszechobecny sieciowy dostęp na żądanie do wspólnego zbioru konfigurowalnych, skalowalnych i elastycznych zasobów obliczeniowych o charakterze scentralizowanym, rozproszonym lub wysoce rozproszonym, które mogą być szybko przydzielone i uwolnione przy minimalnym wysiłku pod względem zarządzania lub interakcji z dostawcą usług;

9)	„ usługa_tego_samego_typu” oznacza zestaw usług przetwarzania danych, które mają ten sam główny cel, opierają się na tym samym modelu usługi przetwarzania danych i mają te same najważniejsze funkcje;

10)	„ usługa_pośrednictwa_danych” oznacza usługę pośrednictwa danych zdefiniowaną w art. 2 pkt 11 rozporządzenia (UE) 2022/868;

11)	„osoba, której dane dotyczą” oznacza osobę, której dane dotyczą, o której mowa w art. 4 pkt 1 rozporządzenia (UE) 2016/679;

12)	„ użytkownik” oznacza osobę fizyczną lub prawną, która jest właścicielem produktu skomunikowanego lub której na podstawie umowy przekazane zostały tymczasowe prawa do korzystania z tego produktu skomunikowanego, lub która korzysta z usług powiązanych;

13)

„ posiadacz_danych” oznacza osobę fizyczną lub prawną, która ma prawo lub obowiązek – zgodnie z niniejszym rozporządzeniem, mającym zastosowanie prawem Unii lub prawem krajowym przyjętym zgodnie z prawem Unii – wykorzystywać i udostępniać dane, w tym o ile zostało to przewidziane umową, dane z produktu lub dane z usługi powiązanej pobrane lub wygenerowane przez nią podczas świadczenia powiązanej usługi;

14)

„ odbiorca_danych” oznacza osobę fizyczną lub prawną działającą w celach związanych z jej działalnością handlową, gospodarczą, rzemieślniczą lub zawodową, inną niż użytkownik produktu skomunikowanego lub usługi powiązanej, której to osobie posiadacz_danych udostępnia dane, w tym osobę trzecią na wniosek użytkownika skierowany do posiadacza danych lub zgodnie z obowiązkiem prawnym wynikającym z prawa Unii lub prawem krajowym przyjętym zgodnie z prawem Unii;

15)

„ dane z produktu” oznaczają dane wygenerowane w wyniku korzystania z produktu skomunikowanego, które producent zaprojektował tak, by użytkownik, posiadacz_danych lub osoba trzecia, w tym w stosownym przypadku producent, mogli je pobierać za pomocą usługi łączności elektronicznej, łącza fizycznego lub dostępu na urządzeniu;

16)	„ dane z usługi powiązanej” oznaczają dane stanowiące cyfrowe odwzorowanie czynności lub zdarzeń z udziałem użytkownika związanych z produktem skomunikowanym, utrwalane przez użytkownika celowo lub generowane jako produkt uboczny jego czynności, podczas świadczenia usługi powiązanej przez dostawcę;

17)	„ dane łatwo dostępne” oznaczają dane z produktu i dane z usługi powiązanej, które posiadacz_danych zgodnie z prawem pozyskuje lub może zgodnie z prawem pozyskać z produktu skomunikowanego lub z usługi powiązanej bez nieproporcjonalnie dużego wysiłku wykraczającego poza prostą czynność;

18)	„ tajemnica_przedsiębiorstwa” oznacza tajemnicę przedsiębiorstwa zdefiniowaną w art. 2 pkt 1 dyrektywy (UE) 2016/943;

19)	„ posiadacz_tajemnicy_przedsiębiorstwa” oznacza posiadacza tajemnicy przedsiębiorstwa zdefiniowanego w art. 2 pkt 2 dyrektywy (UE) 2016/943;

20)	„ profilowanie” oznacza profilowanie zdefiniowane w art. 4 pkt 4 rozporządzenia (UE) 2016/679;

21)	„ udostępnienie_na_rynku” oznacza każde dostarczenie produktu skomunikowanego na rynek Unii w celu jego dystrybucji, konsumpcji lub wykorzystywania w ramach działalności handlowej, odpłatnie lub nieodpłatnie;

22)	„ wprowadzenie_do_obrotu” oznacza udostępnienie produktu skomunikowanego na rynku Unii po raz pierwszy;

23)	„ konsument” oznacza osobę fizyczną działającą w celach, które nie mieszczą się w ramach jej działalności handlowej, gospodarczej, rzemieślniczej lub zawodowej;

24)	„ przedsiębiorstwo” oznacza osobę fizyczną lub prawną, która w związku z umowami i praktykami objętymi niniejszym rozporządzeniem działa w celach związanych z jej działalnością handlową, gospodarczą, rzemieślniczą lub zawodową;

25)	„małe przedsiębiorstwo” oznacza małe przedsiębiorstwo zdefiniowane w art. 2 ust. 2 zalecenia 2003/361/WE;

26)	„mikro przedsiębiorstwo” oznacza mikro przedsiębiorstwo zdefiniowane w art. 2 ust. 3 załącznika do zalecenia 2003/361/WE;

27)	„ organy_Unii” oznaczają organy i jednostki organizacyjne Unii ustanowione na mocy aktów przyjętych na podstawie Traktatu o Unii Europejskiej, TFUE lub Traktatu ustanawiającego Europejską Wspólnotę Energii Atomowej lub zgodnie z nimi;

28)	„ organ_sektora_publicznego” oznacza organy krajowe, regionalne lub lokalne państw członkowskich oraz podmioty prawa publicznego państw członkowskich lub związki złożone z co najmniej jednego takiego organu lub z co najmniej jednego takiego podmiotu;

29)

„ niebezpieczeństwo_publiczne” oznacza ograniczoną w czasie sytuację wyjątkową, taką jak stan zagrożenia zdrowia publicznego, sytuacja nadzwyczajna w wyniku klęski żywiołowej, poważna katastrofa spowodowana przez człowieka, w tym poważny cyberincydent, która to sytuacja negatywnie wpływa na ludność Unii, państwa członkowskiego lub ich części i wiąże się z ryzykiem wystąpienia poważnych i trwałych następstw dla warunków życia lub stabilności gospodarczej, stabilności finansowej lub z ryzykiem znacznego i natychmiastowego obniżenia wartości aktywów gospodarczych w Unii lub w danym państwie członkowskim i którą stwierdza się lub oficjalnie ogłasza zgodnie z odpowiednimi procedurami przewidzianymi w prawie Unii lub prawie krajowym;

30)	„ klient” oznacza osobę fizyczną lub prawną, która nawiązała stosunek umowny z dostawcą usług przetwarzania danych w celu skorzystania z co najmniej jednej usługi przetwarzania danych;

31)	„ wirtualni_asystenci” oznaczają oprogramowanie, które może przetwarzać żądania, zadania lub pytania, w tym na podstawie dźwięku, pisma, gestów lub ruchów, i które na podstawie tych żądań, zadań lub pytań zapewnia dostęp do innych usług lub kontroluje funkcje produktów skomunikowanych;

32)	„ aktywa_cyfrowe” oznaczają elementy w formacie cyfrowym, w tym aplikacje, z których klient ma prawo korzystać, niezależnie od stosunku umownego obejmującego usługę przetwarzania danych, której dostawcę zamierza zmienić;

33)	„ lokalna_infrastruktura_ICT” oznacza infrastrukturę ICT i zasoby obliczeniowe będące własnością klienta, przedmiotem najmu, dzierżawy lub leasingu przez niego, znajdujące się w jego własnym centrum danych i obsługiwane przez tego klienta lub osobę trzecią;

34)

„ zmiana_dostawcy” oznacza proces, w którym uczestniczą wyjściowy dostawca usług przetwarzania danych, klient korzystający z usługi przetwarzania danych oraz, w odpowiednich przypadkach, docelowy dostawca usług przetwarzania danych i w ramach którego klient korzystający z usługi przetwarzania danych przechodzi od korzystania z jednej usługi przetwarzania danych do korzystania z innej usługi tego samego typu lub z innej usługi oferowanych przez innego dostawcę usług przetwarzania danych, lub z lokalnej infrastruktury ICT, w tym poprzez ekstrakcję, transformację i załadowanie danych;

35)	„ opłaty_z tytułu_wychodzącego_ruchu_danych” oznaczają opłaty za przekazanie danych pobierane od klientów za ekstrakcję ich danych przez sieć z infrastruktury ICT dostawcy usług przetwarzania danych do systemów innego dostawcy lub do infrastruktury lokalnej ICT;

36)

„ opłaty_z tytułu_zmiany_dostawcy” oznaczają opłaty – inne niż standardowe opłaty za usługę lub kary za wcześniejsze rozwiązanie umowy – nakła dane przez dostawcę usług przetwarzania danych na klienta za działania wymagane zgodnie z niniejszym rozporządzeniem w celu zmiany na system innego dostawcy lub lokalną infrastrukturę ICT, w tym opłaty_z tytułu_wychodzącego_ruchu_danych;

37)

„ równoważność_funkcjonalna” oznacza przywrócenie – na podstawie danych eksportowalnych i aktywów cyfrowych klienta – minimalnego poziomu funkcjonalności w środowisku nowej usługi przetwarzania danych tego samego typu po procesie zmiany dostawcy, przy czym usługa docelowa przetwarzania danych daje zasadniczo porównywalny rezultat w odpowiedzi na te same dane wejściowe dla jednakowych funkcji dostarczanych klientowi na podstawie umowy;

38)

„ dane eksportowalne” do celów art. 23 do 31 i art. 35 oznaczają dane wejściowe i wyjściowe, w tym meta dane, bezpośrednio lub pośrednio wygenerowane bądź współwygenerowane w wyniku korzystania przez klienta z usługi przetwarzania danych zapewnianej przez dostawców usług przetwarzania danych lub osoby trzecie, z wyłączeniem wszelkich aktywów lub danych, które są objęte prawami własności intelektualnej lub są tajemnicami przedsiębiorstwa;

39)	„ inteligentna_umowa” oznacza program komputerowy stosowany do automatycznego wykonywania umowy lub jej części, używający sekwencji elektronicznych rekordów danych i zapewniający ich integralność i dokładność ich chronologicznego uporządkowania;

40)	„ interoperacyjność” oznacza zdolność co najmniej dwóch przestrzeni danych lub sieci komunikacyjnych, systemów, produktów skomunikowanych, aplikacji, usług przetwarzania danych lub komponentów do wymiany i wykorzystywania danych w celu wykonywania swoich funkcji;

41)	„ otwarte_specyfikacje_w zakresie_interoperacyjności” oznaczają specyfikacje techniczne w dziedzinie ICT, które są ukierunkowane na osiągnięcie interoperacyjności między usługami przetwarzania danych;

42)	„ wspólne_specyfikacje” oznaczają dokument inny niż norma, zawierający rozwiązania techniczne zapewniające środki umożliwiające przestrzeganie niektórych wymagań i obowiązków ustanowionych na podstawie niniejszego rozporządzenia;

43)	„ norma_zharmonizowana” oznacza normę zharmonizowaną zdefiniowaną w art. 2 pkt 1 lit. c) rozporządzenia (UE) nr 1025/2012;

ROZDZIAŁ II

DZIELENIE SIĘ DANYMI PRZEZ PRZEDSIĘBIORCÓW Z KONSUMENTAMI I Z INNYMI PRZEDSIĘBIORCAMI

Artykuł 23

Usuwanie przeszkód w skutecznej zmianie dostawcy

Dostawcy usług przetwarzania danych stosują środki przewidziane w art. 25, 26, 27, 29 i 30, aby umożliwić klientom zmianę usługi przetwarzania danych na usługę tego samego typu świadczoną przez innego dostawcę usług przetwarzania danych, lokalną infrastrukturę ICT lub w stosownym przypadku korzystanie z usług kilku dostawców usług przetwarzania danych równocześnie. W szczególności dostawcy usług przetwarzania danych nie stawiają przeszkód przedkomercyjnych, handlowych, technicznych, umownych i organizacyjnych i je usuwają, jeżeli utrudniają one klientom:

a)	rozwiązanie umowy o świadczenie usługi przetwarzania danych po upływie maksymalnego okresu wypowiedzenia i pomyślną finalizację procesu zmiany dostawcy, zgodnie z art. 25;

b)	zawarcie nowych umów z innym dostawcą usług przetwarzania danych obejmujących usługi tego samego typu;

c)	przeniesienie danych eksportowalnych i aktywów cyfrowych klienta do innego dostawcy usług przetwarzania danych lub do lokalnej infrastruktury ICT, w tym po skorzystaniu z oferty na poziomie bezpłatnym;

d)	zgodnie z art. 24 uzyskanie równoważności funkcjonalnej w ramach korzystania z nowej usługi przetwarzania danych w środowisku informatycznym innego dostawcy obejmującym usługę tego samego typu;

e)	oddzielenie, jeżeli jest to technicznie możliwe, usług przetwarzania danych, o których mowa w art. 30 ust. 1, od innych usług przetwarzania danych świadczonych przez dostawcę usługi przetwarzania danych.

Artykuł 25

Postanowienia umowne dotyczące zmiany dostawcy

1. Prawa klienta i obowiązki dostawcy usługi przetwarzania danych w odniesieniu do zmiany dostawcy takich usług lub w stosownym przypadku do przeniesienia do lokalnej infrastruktury ICT zostaną jasno określone w umowie zawartej na piśmie. Dostawca usług przetwarzania danych udostępnia taką umowę klientowi przed podpisaniem w sposób umożliwiający klientowi jej przechowywanie i reprodukowanie.

2. Bez uszczerbku dla dyrektywy (UE) 2019/770 w umowie, o której mowa w ust. 1 niniejszego artykułu znajdują się co najmniej następujące elementy:

postanowienia umowne umożliwiające klientowi na wniosek zmianę dostawcy usług przetwarzania danych na innego dostawcę usług przetwarzania danych lub przeniesienie wszystkich danych eksportowalnych i aktywów cyfrowych do lokalnej infrastruktury ICT bez zbędnej zwłoki i w żadnym razie nie później niż po upływie obowiązkowego maksymalnego okresu przejściowego wynoszącego 30 dni kalendarzowych i rozpoczynającego się po maksymalnym okresie wypowiedzenia, o którym mowa w lit. d), kiedy to umowa o świadczenie usług nadal ma zastosowanie, a dostawca usług przetwarzania danych:

(i)	zapewnia klientowi i osobom trzecim upoważnionym przez klienta uzasadnioną pomoc w procesie zmiany dostawcy;

(ii)	postępuje z należytą starannością w celu utrzymania ciągłości działalności i kontynuuje świadczenie funkcji lub usług przewidzianych w umowie;

(iii)

przedstawia jasne informacje o znanych zagrożeniach dla ciągłości świadczenia funkcji lub usług po stronie wyjściowego dostawcy usług przetwarzania danych;

(iv)

zapewnia, aby w trakcie całego procesu zmiany dostawcy utrzymany został wysoki poziom bezpieczeństwa, w szczególności bezpieczeństwa danych podczas ich przekazywania i dalszego bezpieczeństwa danych podczas okresu zatrzymywania, o którym mowa w lit. c), zgodnie z mającymi zastosowanie przepisami prawa Unii lub prawa krajowego;

b)	zobowiązanie dostawcy usług przetwarzania danych do wsparcia strategii odejścia klienta w odniesieniu do usług objętych umową, w tym poprzez przekazanie wszelkich istotnych informacji;

postanowienie umowne określające, że umowa zostaje uznana za rozwiązaną, a klient zostaje poinformowany o jej rozwiązaniu w jednym z następujących przypadków:

(i)	w stosownym przypadku po pomyślnym zakończeniu procesu zmiany dostawcy;

(ii)	na zakończenie maksymalnego okresu wypowiedzenia, o którym mowa w lit. d), w przypadku gdy klient nie chce zmienić dostawcy, ale chce usunąć wszystkie swoje dane eksportowalne i aktywa_cyfrowe po zakończeniu usługi;

d)	maksymalny okres wypowiedzenia rozpoczynający proces zmiany dostawcy i nieprzekraczający dwóch miesięcy;

e)	szczegółowa specyfikacja wszystkich kategorii danych i aktywów cyfrowych, które można przenieść w trakcie procesu zmiany dostawcy, w tym co najmniej wszystkich danych eksportowalnych;

szczegółowa specyfikacja kategorii danych specyficznych dla wewnętrznego funkcjonowania dostawcy usługi przetwarzania danych, które są wyłączone spośród danych eksportowalnych przewidzianych w lit. e) niniejszego ustępu, w przypadku gdy istnieje ryzyko naruszenia tajemnic przedsiębiorstwa dostawcy, o ile wyłączenia te nie utrudniają ani nie opóźniają procesu zmiany dostawcy, o którym mowa w art. 23;

g)	minimalny okres, w którym można pobrać dane, wynoszący co najmniej 30 dni kalendarzowych, rozpoczynający się po zakończeniu okresu przejściowego uzgodnionego między klientem a dostawcą usług przetwarzania danych, zgodnie z lit. a) niniejszego ustępu i ust. 4;

postanowienie umowne gwarantujące całkowite usunięcie wszystkich danych eksportowalnych i aktywów cyfrowych wygenerowanych bezpośrednio przez klienta lub bezpośrednio dotyczących klienta po upływie okresu pobierania, o którym mowa w lit. g), lub po upływie alternatywnego uzgodnionego okresu w terminie późniejszym niż termin upływu okresu pobierania, o którym mowa w lit. g), pod warunkiem że pomyślnie ukończony został proces zmiany dostawcy;

i)	opłaty_z tytułu_zmiany_dostawcy, które dostawcy usług przetwarzania danych mogą nałożyć zgodnie z art. 29.

3. Umowa, o której mowa w ust. 1, zawiera postanowienia umowne określające, że klient może powiadomić dostawcę usług przetwarzania danych o swojej decyzji, aby po upływie maksymalnego okresu wypowiedzenia, o którym mowa w ust. 2 lit. d), wykonać co najmniej jedno z następujących działań:

a)	zmienić dostawcę usług przetwarzania danych na innego dostawcę, w którym to przypadku klient przedstawia niezbędne dane tego innego dostawcy;

b)	przejść na lokalną infrastrukturę ICT;

c)	usunąć jego dane eksportowalne i aktywa_cyfrowe.

4. W przypadku gdy obowiązkowy maksymalny okres przejściowy określony w ust. 2 lit. a) jest technicznie niemożliwy, dostawca usług przetwarzania danych powiadamia o tym klienta w terminie 14 dni roboczych od złożenia wniosku o zmianę dostawcy, należycie uzasadnia techniczną niewykonalność i wskazuje zastępczy okres przejściowy, który nie może przekroczyć siedmiu miesięcy. Zgodnie z ust. 1 ciągłość usługi zostaje zapewniona przez cały zastępczy okres przejściowy.

5. Bez uszczerbku dla ust. 4 umowa, o której mowa w ust. 1 zawiera postanowienia umowne zapewniające klientowi prawo do jednokrotnego przedłużenia okresu przejściowego o okres, który klient uznaje za właściwszy z uwagi na własne cele.

Artykuł 29

Stopniowe wycofywanie opłat z tytułu zmiany dostawcy

1. Od dnia 12 stycznia 2027 r. dostawcy usług przetwarzania danych nie nakładają na klienta opłat z tytułu zmiany dostawcy za procedurę zmiany dostawcy.

2. Od dnia 11 stycznia 2024 r. do dnia 12 stycznia 2027 r. dostawcy usług przetwarzania danych mogą nakładać na klienta obniżone opłaty_z tytułu_zmiany_dostawcy za procedurę zmiany dostawcy.

3. Obniżone opłaty_z tytułu_zmiany_dostawcy, o których mowa w ust. 2, nie przekraczają kosztów poniesionych przez dostawcę usług przetwarzania danych i bezpośrednio związanych z danym procesem zmiany dostawcy.

4. Przed zawarciem umowy z klientem dostawca usług przetwarzania danych przedstawia przyszłemu klientowi jasne informacje o standardowych opłatach za usługę i karach za wcześniejsze rozwiązanie umowy, które mogą zostać nałożone, oraz o obniżonych opłatach z tytułu zmiany dostawcy, które mogą zostać nałożone w okresie, o którym mowa w ust. 2.

5. W stosownym przypadku dostawcy usług przetwarzania danych przedstawiają klientowi informacje o usługach przetwarzania danych, które wiążą się z wysoce złożoną lub kosztowną zmianą dostawcy lub z niemożnością zmiany dostawcy bez znacznej ingerencji w dane, aktywa_cyfrowe lub architekturę usługi.

6. W stosownym przypadku dostawcy usług przetwarzania danych publicznie przedstawiają informacje, o których mowa w ust. 4 i 5, klientom za pomocą specjalnej sekcji na swojej stronie internetowej lub w inny łatwo dostępny sposób.

7. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 45 służących uzupełnieniu niniejszego rozporządzenia poprzez wprowadzenie mechanizmu monitorowania, który pozwoli jej monitorować opłaty_z tytułu_zmiany_dostawcy nakła dane na rynku przez dostawców usług przetwarzania danych i tym samym zapewnić, aby wycofanie i obniżenie opłat z tytułu zmiany dostawcy zgodnie z ust. 1 i 2 niniejszego artykułu odbyło się w terminach określonych w tych ustępach.

Artykuł 30

Techniczne aspekty zmiany dostawcy

1. Dostawcy usług przetwarzania danych, które to usługi dotyczą skalowalnych i elastycznych zasobów obliczeniowych ograniczonych do elementów infrastruktury, takich jak serwery, sieci i zasoby wirtualne niezbędne do obsługi infrastruktury, ale nie zapewniają dostępu do usług operacyjnych, oprogramowania i aplikacji, które są przechowywane, w inny sposób przetwarzane lub wdrażane na tych elementach infrastruktury, zgodnie z art. 27 stosują wszelkie uzasadnione środki pozostające w ich mocy, aby ułatwić klientowi – po zmianie dostawcy na dostawcę usługi obejmującej usługę tego samego typu – osiągnięcie równoważności funkcjonalnej w ramach korzystania z docelowej usługi przetwarzania danych. Wyjściowy dostawca usług przetwarzania danych ułatwia proces zmiany dostawcy, zapewniając zasoby, odpowiednie informacje, dokumentację, wsparcie techniczne oraz w stosownym przypadku niezbędne narzędzia.

2. Dostawcy usług przetwarzania danych inni niż dostawcy, o których mowa w ust. 1, aby ułatwić zmianę dostawcy, nieodpłatnie udostępniają otwarte interfejsy w równym zakresie wszystkim swoim klientom i zainteresowanym docelowym dostawcom usług przetwarzania danych. Interfejsy te zawierają wystarczająco dużo informacji o danej usłudze, aby można było opracować oprogramowanie do komunikacji z tymi usługami do celów przenoszenia i interoperacyjności danych.

3. W przypadku usług przetwarzania danych innych niż usługi, o których mowa w ust. 1 niniejszego artykułu, dostawcy usług przetwarzania danych zapewniają zgodność ze wspólnymi specyfikacjami opartymi na otwartych specyfikacjach w zakresie interoperacyjności lub zharmonizowanych normach w zakresie interoperacyjności co najmniej 12 miesięcy po tym, jak odniesienia do tych wspólnych specyfikacji lub do norm zharmonizowanych w zakresie interoperacyjności usług przetwarzania danych zostaną opublikowane w centralnym repozytorium norm Unii dotyczących interoperacyjności usług przetwarzania danych, po publikacji w Dzienniku Urzędowym Unii Europejskiej aktów wykonawczych będących ich podstawą zgodnie z art. 35 ust. 7.

4. Dostawcy usług przetwarzania danych inni niż dostawcy, o których mowa w ust. 1 niniejszego artykułu, uaktualniają rejestr internetowy, o którym mowa w art. 26 lit. b), zgodnie ze swoimi obowiązkami przewidzianymi w ust. 3 niniejszego artykułu.

5. W przypadku zmiany dostawcy na dostawcę usługi tego samego typu, dla której wspólne_specyfikacje lub normy zharmonizowane w zakresie interoperacyjności, o których mowa w ust. 3 niniejszego artykułu, nie zostały opublikowane się w centralnym repozytorium Unii dotyczącym interoperacyjności usług przetwarzania danych zgodnie z art. 35 ust. 8, dostawca usług przetwarzania danych na wniosek klienta eksportuje wszystkie dane eksportowalne w uporządkowanym, powszechnie używanym, nadającym się do odczytu maszynowego formacie.

6. Od dostawców usług przetwarzania danych nie wymaga się opracowania nowych technologii lub usług, ujawnienia lub przekazania zasobów cyfrowych chronionych prawami własności intelektualnej lub stanowiących tajemnicę przedsiębiorstwa klientowi lub innemu dostawcy usług przetwarzania danych ani stwarzania zagrożenia dla bezpieczeństwa i integralności usług klienta lub dostawcy.

Artykuł 31

Szczegółowe uregulowania dotyczące niektórych usług przetwarzania danych

1. Obowiązki określone w art. 23 lit. d), art. 29 i art. 30 ust. 1 i 3 nie mają zastosowania do usług przetwarzania danych, w przypadku których większość głównych cech została opracowana na zamówienie, tak aby dostosować je do konkretnych potrzeb indywidualnego klienta, lub w przypadku których wszystkie komponenty zostały opracowane na potrzeby indywidualnego klienta i w przypadku gdy te usługi przetwarzania danych nie są oferowane komercyjnie na szeroką skalę poprzez katalog usług dostawcy usług przetwarzania danych.

2. Obowiązki określone w niniejszym rozdziale nie mają zastosowania do usług przetwarzania danych świadczonych przez ograniczony okres jako nieprzeznaczona do produkcji wersja do celów testowania i oceny.

3. Przed zawarciem umowy o świadczenie usług przetwarzania danych, o których to usługach mowa w niniejszym artykule, dostawca usług przetwarzania danych informuje przyszłego klienta o obowiązkach przewidzianych w niniejszym rozdziale, które nie mają zastosowania.

ROZDZIAŁ VII

BEZPRAWNY MIĘDZYNARODOWY DOSTĘP ADMINISTRACJI RZĄDOWEJ DO DANYCH NIEOSOBOWYCH I BEZPRAWNE MIĘDZYNARODOWE PRZEKAZYWANIE DANYCH NIEOSOBOWYCH

Artykuł 32

Międzynarodowy dostęp administracji rządowej i przekazywanie

1. Dostawcy usług przetwarzania danych stosują wszelkie odpowiednie środki techniczne, organizacyjne i prawne, w tym umowy, w celu zapobiegania międzynarodowemu dostępowi administracji rządowej państw trzecich do danych nieosobowych przechowywanych na terenie Unii oraz międzynarodowemu przekazywaniu takich danych nieosobowych, w przypadku gdy takie przekazywanie lub taki dostęp byłyby sprzeczne z prawem Unii lub prawem krajowym danego państwa członkowskiego, bez uszczerbku dla ust. 2 lub 3.

2. Orzeczenia lub wyroki sądu lub trybunału państwa trzeciego oraz decyzje organu administracyjnego państwa trzeciego nakazujące dostawcy usług przetwarzania danych przekazanie przechowywanych na terenie Unii danych nieosobowych objętych zakresem stosowania niniejszego rozporządzenia lub udzielenie dostępu do tych danych uznaje się lub wykonuje wyłącznie wtedy, gdy są oparte na umowie międzynarodowej, takiej jak traktat o pomocy prawnej, obowiązującej między państwem trzecim, które występuje z wnioskiem, a Unią lub na umowie tego rodzaju między państwem trzecim, które występuje z wnioskiem, a państwem członkowskim.

3. W przypadku braku umowy międzynarodowej, o której mowa w ust. 2, jeżeli dostawca usług przetwarzania danych jest adresatem orzeczenia lub wyroku sądu lub trybunału państwa trzeciego lub decyzji organu administracyjnego państwa trzeciego nakazujących przekazanie przechowywanych na terenie Unii danych nieosobowych objętych zakresem stosowania niniejszego rozporządzenia lub udzielenie dostępu do tych danych, a zastosowanie się do takiego orzeczenia lub takiej decyzji wiązałoby się z ryzykiem naruszenia przez adresata prawa Unii lub prawa krajowego stosownego państwa członkowskiego, przekazanie takich danych temu organowi państwa trzeciego lub udzielenie mu dostępu do takich danych odbywa się wyłącznie gdy:

system państwa trzeciego wymaga, aby uzasadnienie i proporcjonalność takiego orzeczenia, wyroku lub takiej decyzji zostały określone oraz aby takie orzeczenie, wyrok lub taka decyzja miały konkretny charakter, np. poprzez ustalenie wystarczającego związku z niektórymi osobami podejrzanymi lub naruszeniami;

b)	uzasadniony sprzeciw adresata podlega kontroli właściwego sądu lub trybunału państwa trzeciego; oraz

właściwy sąd lub trybunał państwa trzeciego wydający orzeczenie lub wyrok lub dokonujący kontroli decyzji organu administracyjnego są upoważnione na podstawie prawa tego państwa trzeciego do należytego uwzględnienia stosownych interesów prawnych dostawcy danych chronionych na mocy prawa Unii lub prawa krajowego danego państwa członkowskiego.

Adresat decyzji lub orzeczenia może zwrócić się o opinię do stosownego podmiotu lub organu krajowego właściwego ds. współpracy międzynarodowej w kwestiach prawnych w celu ustalenia, czy warunki określone w akapicie pierwszym zostały spełnione, w szczególności jeżeli uzna, że orzeczenie lub decyzja mogą dotyczyć tajemnic przedsiębiorstwa i innych szczególnie chronionych danych handlowych oraz treści chronionych prawami własności intelektualnej lub przekazanie może prowadzić do deanonimizacji. Właściwy podmiot lub organ krajowy może skonsultować się z Komisją. Jeżeli adresat uzna, że decyzja może naruszać bezpieczeństwo narodowe lub interesy obronne Unii lub jej państw członkowskich, zwraca się o opinię do właściwych podmiotów lub organów krajowych w celu ustalenia, czy żą dane dane dotyczą bezpieczeństwa narodowego lub interesów obronnych Unii lub jej państw członkowskich. Jeżeli adresat nie otrzyma odpowiedzi w terminie miesiąca lub jeżeli właściwy podmiot lub organ krajowy stwierdzi w opinii, że warunki określone w akapicie pierwszym nie zostały spełnione, adresat może na tej podstawie odrzucić wniosek o przekazanie danych nieosobowych lub dostęp do nich.

Europejska Rada ds. Innowacji w zakresie Danych, o której mowa w art. 42, doradza Komisji i wspiera ją w opracowywaniu wytycznych w sprawie oceny spełnienia warunków określonych w akapicie pierwszym niniejszego ustępu.

4. Jeżeli spełnione są warunki określone w ust. 2 lub 3, dostawca usług przetwarzania danych w odpowiedzi na wniosek dostarcza jak najmniejszą ilość danych dozwoloną w oparciu o racjonalną interpretację tego wniosku dokonaną przez dostawcę lub właściwy krajowy podmiot lub organ, o którym mowa w ust. 3 akapit drugi.

5. Zanim dostawca usług przetwarzania danych zastosuje się do tego wniosku, informuje on klienta o wniosku organu państwa trzeciego o dostęp do jego danych, z wyjątkiem przypadków, w których wniosek służy do celów ścigania przestępstw i tak długo, jak jest to niezbędne do zachowania skuteczności działań w tym zakresie.

ROZDZIAŁ VIII

INTEROPERACYJNOŚĆ

whereas

keyboard_tab Data Act 2023/2854 PL

Data Act 2023/2854 PL