Data Act 2023/2854 PL

1)	„ dane” oznaczają wszelkie cyfrowe odwzorowania działań, faktów lub informacji oraz wszelkie kompilacje takich działań, faktów lub informacji, w tym w formie zapisu dźwiękowego, wizualnego lub audiowizualnego;

2)	„meta dane” oznaczają ustrukturyzowany opis treści danych lub sposobu wykorzystywania danych, który ułatwia wyszukiwanie lub wykorzystywanie tych danych;

3)	„ dane osobowe” oznaczają dane osobowe zdefiniowane w art. 4 pkt 1 rozporządzenia (UE) 2016/679;

4)	„ dane nieosobowe” oznaczają dane inne niż dane osobowe;

„ produkt_skomunikowany” oznacza rzecz, która pozyskuje, generuje lub zbiera dostępne dane dotyczące jej wykorzystywania lub jej otoczenia i która jest w stanie komunikować dane z produktu za pomocą usługi łączności elektronicznej, łącza fizycznego lub dostępu na urządzeniu i której podstawową funkcją nie jest przechowywanie, przetwarzanie ani przesyłanie danych w imieniu strony innej niż użytkownik;

„ usługa_powiązana” oznacza usługę cyfrową, w tym oprogramowanie, ale z wyłączeniem usług łączności elektronicznej, która podczas zakupu, najmu, dzierżawy lub leasingu jest skomunikowana z produktem w taki sposób, że jej brak uniemożliwiłby produktowi skomunikowanemu wykonywanie co najmniej jednej z jego funkcji, lub która zostaje skomunikowana z produktem przez producenta lub osobę trzecią później, aby dodać, uaktualnić lub zmodyfikować funkcje produktu skomunikowanego;

„ przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych lub zestawach danych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

„ usługa_przetwarzania_danych” oznacza świadczoną na rzecz klienta usługę cyfrową umożliwiającą wszechobecny sieciowy dostęp na żądanie do wspólnego zbioru konfigurowalnych, skalowalnych i elastycznych zasobów obliczeniowych o charakterze scentralizowanym, rozproszonym lub wysoce rozproszonym, które mogą być szybko przydzielone i uwolnione przy minimalnym wysiłku pod względem zarządzania lub interakcji z dostawcą usług;

9)	„ usługa_tego_samego_typu” oznacza zestaw usług przetwarzania danych, które mają ten sam główny cel, opierają się na tym samym modelu usługi przetwarzania danych i mają te same najważniejsze funkcje;

10)	„ usługa_pośrednictwa_danych” oznacza usługę pośrednictwa danych zdefiniowaną w art. 2 pkt 11 rozporządzenia (UE) 2022/868;

11)	„osoba, której dane dotyczą” oznacza osobę, której dane dotyczą, o której mowa w art. 4 pkt 1 rozporządzenia (UE) 2016/679;

12)	„ użytkownik” oznacza osobę fizyczną lub prawną, która jest właścicielem produktu skomunikowanego lub której na podstawie umowy przekazane zostały tymczasowe prawa do korzystania z tego produktu skomunikowanego, lub która korzysta z usług powiązanych;

13)

„ posiadacz_danych” oznacza osobę fizyczną lub prawną, która ma prawo lub obowiązek – zgodnie z niniejszym rozporządzeniem, mającym zastosowanie prawem Unii lub prawem krajowym przyjętym zgodnie z prawem Unii – wykorzystywać i udostępniać dane, w tym o ile zostało to przewidziane umową, dane z produktu lub dane z usługi powiązanej pobrane lub wygenerowane przez nią podczas świadczenia powiązanej usługi;

14)

„ odbiorca_danych” oznacza osobę fizyczną lub prawną działającą w celach związanych z jej działalnością handlową, gospodarczą, rzemieślniczą lub zawodową, inną niż użytkownik produktu skomunikowanego lub usługi powiązanej, której to osobie posiadacz_danych udostępnia dane, w tym osobę trzecią na wniosek użytkownika skierowany do posiadacza danych lub zgodnie z obowiązkiem prawnym wynikającym z prawa Unii lub prawem krajowym przyjętym zgodnie z prawem Unii;

15)

„ dane z produktu” oznaczają dane wygenerowane w wyniku korzystania z produktu skomunikowanego, które producent zaprojektował tak, by użytkownik, posiadacz_danych lub osoba trzecia, w tym w stosownym przypadku producent, mogli je pobierać za pomocą usługi łączności elektronicznej, łącza fizycznego lub dostępu na urządzeniu;

16)	„ dane z usługi powiązanej” oznaczają dane stanowiące cyfrowe odwzorowanie czynności lub zdarzeń z udziałem użytkownika związanych z produktem skomunikowanym, utrwalane przez użytkownika celowo lub generowane jako produkt uboczny jego czynności, podczas świadczenia usługi powiązanej przez dostawcę;

17)	„ dane łatwo dostępne” oznaczają dane z produktu i dane z usługi powiązanej, które posiadacz_danych zgodnie z prawem pozyskuje lub może zgodnie z prawem pozyskać z produktu skomunikowanego lub z usługi powiązanej bez nieproporcjonalnie dużego wysiłku wykraczającego poza prostą czynność;

18)	„ tajemnica_przedsiębiorstwa” oznacza tajemnicę przedsiębiorstwa zdefiniowaną w art. 2 pkt 1 dyrektywy (UE) 2016/943;

19)	„ posiadacz_tajemnicy_przedsiębiorstwa” oznacza posiadacza tajemnicy przedsiębiorstwa zdefiniowanego w art. 2 pkt 2 dyrektywy (UE) 2016/943;

20)	„ profilowanie” oznacza profilowanie zdefiniowane w art. 4 pkt 4 rozporządzenia (UE) 2016/679;

21)	„ udostępnienie_na_rynku” oznacza każde dostarczenie produktu skomunikowanego na rynek Unii w celu jego dystrybucji, konsumpcji lub wykorzystywania w ramach działalności handlowej, odpłatnie lub nieodpłatnie;

22)	„ wprowadzenie_do_obrotu” oznacza udostępnienie produktu skomunikowanego na rynku Unii po raz pierwszy;

23)	„ konsument” oznacza osobę fizyczną działającą w celach, które nie mieszczą się w ramach jej działalności handlowej, gospodarczej, rzemieślniczej lub zawodowej;

24)	„ przedsiębiorstwo” oznacza osobę fizyczną lub prawną, która w związku z umowami i praktykami objętymi niniejszym rozporządzeniem działa w celach związanych z jej działalnością handlową, gospodarczą, rzemieślniczą lub zawodową;

25)	„małe przedsiębiorstwo” oznacza małe przedsiębiorstwo zdefiniowane w art. 2 ust. 2 zalecenia 2003/361/WE;

26)	„mikro przedsiębiorstwo” oznacza mikro przedsiębiorstwo zdefiniowane w art. 2 ust. 3 załącznika do zalecenia 2003/361/WE;

27)	„ organy_Unii” oznaczają organy i jednostki organizacyjne Unii ustanowione na mocy aktów przyjętych na podstawie Traktatu o Unii Europejskiej, TFUE lub Traktatu ustanawiającego Europejską Wspólnotę Energii Atomowej lub zgodnie z nimi;

28)	„ organ_sektora_publicznego” oznacza organy krajowe, regionalne lub lokalne państw członkowskich oraz podmioty prawa publicznego państw członkowskich lub związki złożone z co najmniej jednego takiego organu lub z co najmniej jednego takiego podmiotu;

29)

„ niebezpieczeństwo_publiczne” oznacza ograniczoną w czasie sytuację wyjątkową, taką jak stan zagrożenia zdrowia publicznego, sytuacja nadzwyczajna w wyniku klęski żywiołowej, poważna katastrofa spowodowana przez człowieka, w tym poważny cyberincydent, która to sytuacja negatywnie wpływa na ludność Unii, państwa członkowskiego lub ich części i wiąże się z ryzykiem wystąpienia poważnych i trwałych następstw dla warunków życia lub stabilności gospodarczej, stabilności finansowej lub z ryzykiem znacznego i natychmiastowego obniżenia wartości aktywów gospodarczych w Unii lub w danym państwie członkowskim i którą stwierdza się lub oficjalnie ogłasza zgodnie z odpowiednimi procedurami przewidzianymi w prawie Unii lub prawie krajowym;

30)	„ klient” oznacza osobę fizyczną lub prawną, która nawiązała stosunek umowny z dostawcą usług przetwarzania danych w celu skorzystania z co najmniej jednej usługi przetwarzania danych;

31)	„ wirtualni_asystenci” oznaczają oprogramowanie, które może przetwarzać żądania, zadania lub pytania, w tym na podstawie dźwięku, pisma, gestów lub ruchów, i które na podstawie tych żądań, zadań lub pytań zapewnia dostęp do innych usług lub kontroluje funkcje produktów skomunikowanych;

32)	„ aktywa_cyfrowe” oznaczają elementy w formacie cyfrowym, w tym aplikacje, z których klient ma prawo korzystać, niezależnie od stosunku umownego obejmującego usługę przetwarzania danych, której dostawcę zamierza zmienić;

33)	„ lokalna_infrastruktura_ICT” oznacza infrastrukturę ICT i zasoby obliczeniowe będące własnością klienta, przedmiotem najmu, dzierżawy lub leasingu przez niego, znajdujące się w jego własnym centrum danych i obsługiwane przez tego klienta lub osobę trzecią;

34)

„ zmiana_dostawcy” oznacza proces, w którym uczestniczą wyjściowy dostawca usług przetwarzania danych, klient korzystający z usługi przetwarzania danych oraz, w odpowiednich przypadkach, docelowy dostawca usług przetwarzania danych i w ramach którego klient korzystający z usługi przetwarzania danych przechodzi od korzystania z jednej usługi przetwarzania danych do korzystania z innej usługi tego samego typu lub z innej usługi oferowanych przez innego dostawcę usług przetwarzania danych, lub z lokalnej infrastruktury ICT, w tym poprzez ekstrakcję, transformację i załadowanie danych;

35)	„ opłaty_z tytułu_wychodzącego_ruchu_danych” oznaczają opłaty za przekazanie danych pobierane od klientów za ekstrakcję ich danych przez sieć z infrastruktury ICT dostawcy usług przetwarzania danych do systemów innego dostawcy lub do infrastruktury lokalnej ICT;

36)

„ opłaty_z tytułu_zmiany_dostawcy” oznaczają opłaty – inne niż standardowe opłaty za usługę lub kary za wcześniejsze rozwiązanie umowy – nakła dane przez dostawcę usług przetwarzania danych na klienta za działania wymagane zgodnie z niniejszym rozporządzeniem w celu zmiany na system innego dostawcy lub lokalną infrastrukturę ICT, w tym opłaty_z tytułu_wychodzącego_ruchu_danych;

37)

„ równoważność_funkcjonalna” oznacza przywrócenie – na podstawie danych eksportowalnych i aktywów cyfrowych klienta – minimalnego poziomu funkcjonalności w środowisku nowej usługi przetwarzania danych tego samego typu po procesie zmiany dostawcy, przy czym usługa docelowa przetwarzania danych daje zasadniczo porównywalny rezultat w odpowiedzi na te same dane wejściowe dla jednakowych funkcji dostarczanych klientowi na podstawie umowy;

38)

„ dane eksportowalne” do celów art. 23 do 31 i art. 35 oznaczają dane wejściowe i wyjściowe, w tym meta dane, bezpośrednio lub pośrednio wygenerowane bądź współwygenerowane w wyniku korzystania przez klienta z usługi przetwarzania danych zapewnianej przez dostawców usług przetwarzania danych lub osoby trzecie, z wyłączeniem wszelkich aktywów lub danych, które są objęte prawami własności intelektualnej lub są tajemnicami przedsiębiorstwa;

39)	„ inteligentna_umowa” oznacza program komputerowy stosowany do automatycznego wykonywania umowy lub jej części, używający sekwencji elektronicznych rekordów danych i zapewniający ich integralność i dokładność ich chronologicznego uporządkowania;

40)	„ interoperacyjność” oznacza zdolność co najmniej dwóch przestrzeni danych lub sieci komunikacyjnych, systemów, produktów skomunikowanych, aplikacji, usług przetwarzania danych lub komponentów do wymiany i wykorzystywania danych w celu wykonywania swoich funkcji;

41)	„ otwarte_specyfikacje_w zakresie_interoperacyjności” oznaczają specyfikacje techniczne w dziedzinie ICT, które są ukierunkowane na osiągnięcie interoperacyjności między usługami przetwarzania danych;

42)	„ wspólne_specyfikacje” oznaczają dokument inny niż norma, zawierający rozwiązania techniczne zapewniające środki umożliwiające przestrzeganie niektórych wymagań i obowiązków ustanowionych na podstawie niniejszego rozporządzenia;

43)	„ norma_zharmonizowana” oznacza normę zharmonizowaną zdefiniowaną w art. 2 pkt 1 lit. c) rozporządzenia (UE) nr 1025/2012;

ROZDZIAŁ II

DZIELENIE SIĘ DANYMI PRZEZ PRZEDSIĘBIORCÓW Z KONSUMENTAMI I Z INNYMI PRZEDSIĘBIORCAMI

Artykuł 4

Prawa i obowiązki użytkowników i posiadaczy danych w odniesieniu do dostępu do danych z produktu i z usługi powiązanej, ich wykorzystywania i udostępniania

1. W przypadku gdy użytkownik nie może uzyskać bezpośredniego dostępu do danych z produktu skomunikowanego lub z usługi powiązanej, posiadacze danych bez zbędnej zwłoki, w sposób łatwy i bezpieczny, nieodpłatnie udostępniają użytkownikowi dane łatwo dostępne, wraz z odpowiednimi metadanymi niezbędnymi do interpretacji i wykorzystania tych danych, cechujące się taką samą jakością, jaka jest dostępna dla posiadacza danych, w całościowym, ustrukturyzowanym, powszechnie używanym, nadającym się do odczytu maszynowego formacie oraz w stosownym przypadku i jeżeli jest to technicznie wykonalne – w sposób ciągły i w czasie rzeczywistym. Odbywa się to na podstawie zwykłego wniosku złożonego drogą elektroniczną, jeżeli jest to technicznie możliwe.

2. Użytkownicy i posiadacze danych mogą umownie ograniczyć lub zakazać dostępu do danych, ich wykorzystywania lub dalszego dzielenia się nimi, jeżeli takie przetwarzanie mogłoby zagrozić wymaganiom bezpieczeństwa produktu skomunikowanego określonym w prawie Unii lub prawie krajowym i mieć poważny negatywny wpływ na zdrowie, bezpieczeństwo lub ochronę osób fizycznych. Organy sektorowe mogą zapewnić użytkownikom i posiadaczom danych fachową wiedzę techniczną w tym kontekście. W przypadku gdy posiadacz_danych odmawia dzielenia się danymi na podstawie niniejszego artykułu, powiadamia on właściwy organ wyznaczony zgodnie z art. 37.

3. Bez uszczerbku dla przysługującego użytkownikowi w dowolnym momencie prawa do dochodzenia roszczeń przed sądem lub trybunałem państwa członkowskiego, użytkownik może w związku ze sporem z posiadaczem danych w sprawie ograniczeń umownych lub zakazów, o których mowa w ust. 2:

a)	wnieść skargę do właściwego organu zgodnie z art. 37 ust. 5 lit. b); lub

b)	uzgodnić z posiadaczem danych wniesienie sprawy do organu rozstrzygania sporów zgodnie z art. 10 ust. 1.

4. Posiadacze danych nie utrudniają bezzasadnie użytkownikom dokonywania wyborów ani wykonywania praw na podstawie niniejszego artykułu, w tym poprzez oferowanie użytkownikom wyboru w sposób nieneutralny lub poprzez podważanie lub ograniczanie autonomii, zdolności decyzyjnych lub wyborów użytkownika za pomocą struktury, projektu, funkcji lub sposobu działania interfejsu cyfrowego użytkownika bądź jego części.

5. W celu kontroli, czy osoba fizyczna lub prawna kwalifikuje się jako użytkownik na potrzeby ust. 1, posiadacz_danych nie wymaga od użytkownika dostarczenia żadnych informacji poza tymi, które są niezbędne. Posiadacze danych nie zachowują żadnych informacji, w szczególności danych z rejestru zdarzeń, na temat dostępu użytkownika do żądanych danych poza informacjami, które są niezbędne do należytego wykonania wniosku użytkownika o dostęp oraz do zapewnienia bezpieczeństwa i utrzymania infrastruktury danych.

6. Chroni się tajemnice przedsiębiorstwa i ujawnia się je wyłącznie wtedy, gdy posiadacz_danych i użytkownik przed ujawnieniem zastosują wszelkie środki niezbędne do ochrony ich poufności, w szczególności w odniesieniu do osób trzecich. Posiadacz danych lub, jeżeli nie jest to ta sama osoba, posiadacz_tajemnicy_przedsiębiorstwa identyfikują dane chronione, w tym stosowne meta dane, jako tajemnice przedsiębiorstwa i uzgadniają z użytkownikiem proporcjonalne środki techniczne i organizacyjne niezbędne do ochrony poufności danych podlegających dzieleniu się, w szczególności w odniesieniu do osób trzecich, takie jak modelowe postanowienia umowne, umowy o poufności, protokoły ścisłego dostępu, normy techniczne oraz stosowanie kodeksów postępowania.

7. W przypadku gdy nie uzgodniono niezbędnych środków technicznych, o których mowa w ust. 6, lub gdy użytkownik nie wdraża środków uzgodnionych zgodnie z ust. 6 lub zagraża poufności tajemnic przedsiębiorstwa, posiadacz_danych może wstrzymać lub w stosownym przypadku zawiesić dzielenie się danymi zidentyfikowanymi jako tajemnice przedsiębiorstwa. Posiadacz danych należycie uzasadnia decyzję i bez zbędnej zwłoki przekazuje ją na piśmie użytkownikowi. W takich przypadkach posiadacz_danych powiadamia właściwy organ wyznaczony zgodnie z art. 37, że wstrzymał lub zawiesił dzielenie się danymi, i wskazuje, których środków nie wdrożono lub nie zastosowano, lub w stosownym przypadku poufność których tajemnic przedsiębiorstwa zagrożono.

8. W wyjątkowych okolicznościach, w przypadku gdy posiadacz_danych będący posiadaczem tajemnicy przedsiębiorstwa może wykazać, że mimo środków technicznych i organizacyjnych zastosowanych przez użytkownika zgodnie z ust. 6 niniejszego artykułu ujawnienie tajemnic handlowych z dużym prawdopodobieństwem poskutkuje poważną szkodą ekonomiczną, posiadacz_danych może w tym konkretnym przypadku odrzucić wniosek o dostęp do tych konkretnych danych. Wykazane informacje zostają należycie uzasadnione na podstawie obiektywnych elementów, w szczególności egzekwowalności tajemnic przedsiębiorstwa w krajach trzecich, charakteru i poziomu poufności żądanych danych oraz niepowtarzalności i nowatorskości produktu skomunikowanego, i przedstawione na piśmie bez zbędnej zwłoki. W przypadku gdy posiadacz_danych odmawia dzielenia się danymi na podstawie niniejszego ustępu, powiadamia on właściwy organ wyznaczony zgodnie z art. 37.

9. Bez uszczerbku dla przysługującego użytkownikowi w dowolnym momencie prawa do dochodzenia roszczeń przed sądem lub trybunałem państwa członkowskiego, użytkownik chcący zaskarżyć decyzję posiadacza danych o odmowie, wstrzymaniu lub zawieszeniu dzielenia się danymi zgodnie z ust. 7 i 8 może:

a)	wnieść skargę zgodnie z art. 37 ust. 5 lit. b) do właściwego organu, który bez zbędnej zwłoki podejmuje decyzję, czy i na jakich warunkach dzielenie się danymi powinno się rozpocząć lub zostać wznowione; lub

b)	uzgodnić z posiadaczem danych wniesienie sprawy do organu rozstrzygania sporów zgodnie z art. 10 ust. 1.

10. Użytkownik nie wykorzystuje danych pozyskanych na podstawie wniosku, o którym mowa w ust. 1, do opracowania produktu skomunikowanego konkurującego z produktem skomunikowanym, z którego pochodzą dane, ani nie dzieli się w tym celu danymi z osobą trzecią i nie wykorzystuje takich danych do pozyskania informacji o sytuacji ekonomicznej, aktywach i metodach produkcji producenta lub w stosownym przypadku posiadacza danych.

11. Użytkownik nie stosuje środków przymusu ani nie nadużywa luk w infrastrukturze technicznej posiadacza danych, która ma chronić dane, w celu uzyskania dostępu do danych.

12. W przypadku gdy użytkownik nie jest osobą, której dotyczą dane osobowe objęte wnioskiem, wszelkie dane osobowe wygenerowane w wyniku korzystania z produktu skomunikowanego lub usługi powiązanej są udostępniane użytkownikowi przez posiadacza danych wyłącznie wtedy, gdy istnieje ważna podstawa prawna przetwarzania zgodnie z art. 6 rozporządzenia (UE) 2016/679 oraz w stosownym przypadku spełnione są warunki określone w art. 9 tego rozporządzenia i w art. 5 ust. 3 dyrektywy (UE) 2002/58.

13. Posiadacz danych wykorzystuje dane łatwo dostępne będące danymi nieosobowymi wyłącznie na podstawie umowy z użytkownikiem. Posiadacz danych nie wykorzystuje takich danych do pozyskania informacji o sytuacji ekonomicznej, aktywach i metodach produkcji użytkownika lub korzystaniu przez użytkownika, które to informacje mogłyby w inny sposób osłabić pozycję handlową użytkownika na rynkach jego działalności.

14. Posiadacze danych nie udostępniają danych nieosobowych z produktu osobom trzecim w celach handlowych lub niehandlowych innych niż realizacja umowy z użytkownikiem. W stosownych przypadkach posiadacze danych umownie zobowiązują osoby trzecie, aby nie dzieliły się dalej otrzymanymi od nich danymi.

Artykuł 5

Prawo użytkownika do dzielenia się danymi z osobami trzecimi

1. Na wniosek użytkownika lub strony działającej w jego imieniu posiadacz_danych bez zbędnej zwłoki w sposób łatwy i bezpieczny oraz nieodpłatnie dla użytkownika udostępnia osobie trzeciej dane łatwo dostępne wraz z odpowiednimi metadanymi niezbędnymi do interpretacji i wykorzystania tych danych cechujące się taką samą jakością, jaka jest dostępna dla posiadacza danych, w całościowym, ustrukturyzowanym, powszechnie używanym, nadającym się do odczytu maszynowego formacie oraz w stosownym przypadku i jeżeli jest to technicznie możliwe – w sposób ciągły i w czasie rzeczywistym. Danych są udostępniane przez posiadacza danych osobie trzeciej zgodnie z art. 8 i 9.

2. Ust. 1 nie ma zastosowania do danych łatwo dostępnych w kontekście testowania nowych produktów skomunikowanych, substancji lub procesów, które nie zostały jeszcze wprowadzone do obrotu, chyba że ich wykorzystanie przez osobę trzecią jest dozwolone na podstawie umowy.

3. Przedsiębiorstwo wskazane jako strażnik dostępu na mocy art. 3 rozporządzenia (UE) 2022/1925 nie kwalifikuje się jako osoba trzecia na mocy niniejszego artykułu, a zatem:

a)	w żaden sposób nie nakłania ani komercyjnie nie zachęca użytkownika, w tym przez zapewnienie rekompensaty pieniężnej lub jakiejkolwiek innej, do udostępnienia danych, które użytkownik pozyskał na podstawie wniosku złożonego zgodnie z art. 4 ust. 1, na potrzeby jednej ze swoich usług;

b)	nie nakłania ani komercyjnie nie zachęca użytkownika do zwrócenia się do posiadacza danych z wnioskiem o udostępnienie danych na potrzeby jednej ze swoich usług zgodnie z ust. 1 niniejszego artykułu;

c)	nie otrzymuje danych od użytkownika, które użytkownik pozyskał na podstawie wniosku złożonego zgodnie z art. 4 ust. 1.

4. W celu kontroli, czy osoba fizyczna lub prawna kwalifikuje się jako użytkownik lub osoba trzecia w świetle ust. 1, użytkownik ani osoba trzecia nie muszą dostarczać żadnych informacji poza tymi, które są niezbędne. Posiadacze danych nie zachowują żadnych informacji na temat dostępu osoby trzeciej do żądanych danych poza informacjami, które są niezbędne do należytego wykonania wniosku osoby trzeciej o dostęp oraz do zapewnienia bezpieczeństwa i utrzymania infrastruktury danych.

5. Osoba trzecia nie stosuje środków przymusu ani nie nadużywa luk w infrastrukturze technicznej posiadacza danych, która ma chronić dane, w celu uzyskania dostępu do danych.

6. Posiadacz danych nie wykorzystuje danych łatwo dostępnych do pozyskania informacji o sytuacji ekonomicznej, aktywach i metodach produkcji osoby trzeciej lub korzystaniu przez osobę trzecią w inny sposób, które to informacje mogłyby osłabić pozycję handlową osoby trzeciej na rynkach jej działalności, chyba że osoba trzecia pozwoliła na takie wykorzystanie i ma techniczną możliwość łatwego wycofania tego pozwolenia w dowolnym momencie.

7. W przypadku gdy użytkownik nie jest osobą, której dotyczą dane osobowe objęte wnioskiem, wszelkie dane osobowe wygenerowane w wyniku korzystania z produktu skomunikowanego lub usługi powiązanej są udostępniane osobie trzeciej przez posiadacza danych, wyłącznie wtedy, gdy istnieje ważna podstawa prawna przetwarzania zgodnie z art. 6 rozporządzenia (UE) 2016/679, oraz gdy w stosownym przypadku spełnione są warunki określone w art. 9 tego rozporządzenia i w art. 5 ust. 3 dyrektywy (UE) 2022/58.

8. Wszelkie przypadki niedokonania przez posiadacza danych i osobę trzecią uzgodnień dotyczących przesyłania danych nie utrudniają, nie uniemożliwiają ani nie zakłócają wykonywania praw przysługujących osobie, której dane dotyczą, na podstawie rozporządzenia (UE) 2016/679, a w szczególności prawa do przenoszenia danych na podstawie w art. 20 tego rozporządzenia.

9. Chroni się tajemnice przedsiębiorstwa i ujawnia się je osobom trzecim wyłącznie w zakresie, w jakim jest to ściśle niezbędne do realizacji celu uzgodnionego przez użytkownika i osobę trzecią. Posiadacz danych lub, jeżeli nie jest to ta sama osoba, posiadacz_tajemnicy_przedsiębiorstwa identyfikują dane chronione jako tajemnice przedsiębiorstwa, w tym stosowne meta dane, i uzgadniają z użytkownikiem wszelkie proporcjonalne środki techniczne i organizacyjne niezbędne do ochrony poufności danych będących przedmiotem dzielenia się, takie jak modelowe postanowienia umowne, umowy o poufności, protokoły ścisłego dostępu, normy techniczne oraz stosowanie kodeksów postępowania.

10. W przypadku gdy nie uzgodniono niezbędnych środków, o których mowa w ust. 9, lub gdy osoba trzecia nie wdraża środków uzgodnionych zgodnie z ust. 9 lub zagraża poufności tajemnic przedsiębiorstwa, posiadacz_danych może wstrzymać lub w stosownym przypadku zawiesić dzielenie się danymi zidentyfikowanymi jako tajemnice przedsiębiorstwa. Posiadacz danych należycie uzasadnia decyzję i bez zbędnej zwłoki przekazuje ją na piśmie osobie trzeciej. W takich przypadkach posiadacz_danych powiadamia właściwy organ wyznaczony zgodnie z art. 37, że wstrzymał lub zawiesił dzielenie się danymi, i wskazuje, których środków nie uzgodniono lub nie wdrożono lub w stosownym przypadku poufność których tajemnic przedsiębiorstwa zagrożono.

11. W wyjątkowych okolicznościach, kiedy posiadacz_danych będący posiadaczem tajemnicy przedsiębiorstwa może wykazać, że mimo środków technicznych i organizacyjnych zastosowanych przez osobę trzecią zgodnie z art. 9 niniejszego artykułu, ujawnienie tajemnic handlowych z dużym prawdopodobieństwem poskutkuje poważną szkodą ekonomiczną, posiadacz_danych może w tym konkretnym przypadku odrzucić wniosek o dostęp do tych konkretnych danych. Wykazane informacje zostają należycie uzasadnione na podstawie obiektywnych elementów, w szczególności egzekwowalności tajemnic przedsiębiorstwa w krajach trzecich, charakteru i poziomu poufności żądanych danych oraz niepowtarzalności i nowatorskości produktu, i przedstawione na piśmie bez zbędnej zwłoki. W przypadku gdy posiadacz_danych odmawia dzielenia się danymi na podstawie niniejszego ustępu, powiadamia on właściwy organ wyznaczony zgodnie z art. 37.

12. Bez uszczerbku dla prawa do dochodzenia roszczeń w dowolnym momencie przed sądem lub trybunałem państwa członkowskiego, osoba trzecia chcąca zaskarżyć decyzję posiadacza danych o odmowie, wstrzymaniu lub zawieszeniu dzielenia się danymi zgodnie z ust. 10 i 11 może:

a)	wnieść skargę do właściwego organu zgodnie z art. 37 ust. 5 lit. b), który bez zbędnej zwłoki podejmuje decyzję, czy i na jakich warunkach dzielenie się danymi powinno się rozpocząć lub zostać wznowione; lub

b)	uzgodnić z posiadaczem danych wniesienie sprawy do organu rozstrzygania sporów zgodnie z art. 10 ust. 1.

13. Prawo, o którym mowa w ust. 1, nie wpływa niekorzystnie na prawa osób, których dane dotyczą, zgodnie z mającym zastosowanie prawem Unii lub prawem krajowym dotyczącym ochrony danych osobowych lub prywatności.

Artykuł 13

Nieuczciwe postanowienia umowne nałożone jednostronnie na inne przedsiębiorstwo

1. Postanowienie umowne dotyczące dostępu do danych i ich wykorzystywania lub odpowiedzialności i środków ochrony prawnej wobec naruszenia lub odstąpienia od obowiązków dotyczących danych i nałożone jednostronnie na inne przedsiębiorstwo nie jest dla tego innego przedsiębiorstwa wiążące, jeżeli postanowienie to jest nieuczciwe.

2. Postanowienie umowne nie jest uznawane za nieuczciwe, jeżeli stanowi odzwierciedlenie bezwzględnie obowiązujących przepisów prawa Unii, które miałyby zastosowanie, gdyby przedmiotowej sprawy nie regulowały postanowienia umowne.

3. Postanowienie umowne jest nieuczciwe, jeżeli cechuje się tym, że jego stosowanie rażąco odbiega od dobrej praktyki handlowej w zakresie dostępu do danych i ich wykorzystywania, w przeciwieństwie do zasady dobrej wiary i uczciwego obrotu.

4. W szczególności postanowienie umowne jest nieuczciwe do celów ust. 3, jeżeli jego celem lub skutkiem jest:

a)	wyłączenie lub ograniczenie odpowiedzialności strony, która jednostronnie narzuciła postanowienie, za czyny umyślne lub wynikające z rażącego niedbalstwa;

b)	wyłączenie środków ochrony prawnej dostępnych stronie, na którą jednostronnie narzucono postanowienie, w przypadku niewykonania zobowiązań umownych lub wyłączenie odpowiedzialności strony, która jednostronnie narzuciła postanowienie, w przypadku naruszenia tych zobowiązań;

c)	przyznanie stronie, która jednostronnie narzuciła postanowienie, wyłącznego prawa do ustalania, czy dostarczone dane są zgodne z umową, lub wyłącznego prawa do interpretowania postanowienia umownego.

5. Domniemywa się, że postanowienie umowne jest nieuczciwe do celów ust. 3, jeżeli jego celem lub skutkiem jest:

a)	niewłaściwe ograniczenie środków ochrony prawnej w przypadku niewykonania zobowiązań umownych lub niewłaściwe ograniczenie odpowiedzialności w przypadku naruszenia tych zobowiązań, lub rozszerzenie odpowiedzialności przedsiębiorstwa, na które jednostronnie narzucone zostało postanowienie;

umożliwienie stronie, która jednostronnie narzuciła postanowienie, dostępu do danych drugiej umawiającej się strony i ich wykorzystania w sposób znacząco szkodliwy dla uzasadnionych interesów drugiej umawiającej się strony, w szczególności gdy takie dane zawierają szczególnie chronione dane handlowe lub są chronione tajemnicami przedsiębiorstwa lub prawami własności intelektualnej;

uniemożliwienie stronie, na którą jednostronnie nałożono postanowienie, wykorzystywania danych dostarczonych lub wygenerowanych przez tę stronę w okresie obowiązywania umowy lub ograniczenie wykorzystywania takich danych w takim stopniu, że strona ta nie jest uprawniona do wykorzystywania takich danych, pobierania ich, uzyskiwania do nich dostępu, kontrolowania ich lub wykorzystywania ich wartości w odpowiedni sposób;

d)	uniemożliwienie stronie, na którą jednostronnie narzucono postanowienie, rozwiązania umowy w rozsądnym terminie;

e)	uniemożliwienie stronie, na którą jednostronnie narzucono postanowienie, uzyskania kopii danych dostarczonych lub wygenerowanych przez tę stronę w okresie obowiązywania umowy lub w rozsądnym okresie po jego rozwiązaniu;

umożliwienie stronie, która jednostronnie narzuciła postanowienie, rozwiązania umowy ze zbyt krótkim terminem wypowiedzenia, biorąc pod uwagę rozsądną możliwość drugiej umawiającej się strony zmiany usługi na alternatywną i porównywalną oraz szkodę finansową spowodowaną takim rozwiązaniem, chyba że istnieją ku temu poważne podstawy;

umożliwienie stronie, która jednostronnie narzuciła postanowienie, istotnej zmiany ceny ustalonej w umowie lub jakiegokolwiek innego istotnego warunku związanego z charakterem, formatem, jakością lub ilością danych podlegających dzieleniu się, bez ważnej przyczyny określonej w umowie i bez prawa drugiej strony do rozwiązania umowy w razie takiej zmiany.

Akapit pierwszy lit. g) nie wpływa na postanowienia pozwalające stronie, która jednostronnie narzuciła postanowienie, zastrzec sobie prawo do jednostronnej zmiany postanowień umowy na czas nieokreślony, pod warunkiem że w umowie tej określona została ważna przyczyna dla takich jednostronnych zmian, o której strona, która jednostronnie narzuciła postanowienie, jest zobowiązana w rozsądnym terminie poinformować drugą umawiającą się stronę, a druga umawiająca się strona może rozwiązać umowę w razie zmiany bez ponoszenia kosztów.

6. Postanowienie umowne uważa się za jednostronnie narzucone w rozumieniu niniejszego artykułu, jeżeli zaproponowała je jedna umawiająca się strona, a druga umawiająca się strona nie była w stanie wpłynąć na jego treść pomimo próby negocjacji tej treści. Ciężar udowodnienia, że postanowienie umowne nie zostało jednostronnie narzucone, spoczywa na umawiającej się stronie, która zaproponowała to postanowienie. Umawiająca się strona, która zaproponowała sporne postanowienie, nie może twierdzić, że jest to nieuczciwe postanowienie umowne.

7. W przypadku gdy nieuczciwe postanowienie umowne można oddzielić od pozostałych postanowień umowy, pozostałe postanowienia pozostają wiążące.

8. Niniejszy artykuł nie ma zastosowania do postanowień umownych określających główny przedmiot umowy lub do relacji ceny do dostarczonych w zamian danych.

9. Strony umowy objętej ust. 1 nie wyłączają stosowania niniejszego artykułu, nie odstępują od niego ani nie zmieniają jego skutków.

ROZDZIAŁ V

UDOSTĘPNIANIE DANYCH ORGANOM SEKTORA PUBLICZNEGO, KOMISJI, EUROPEJSKIEMU BANKOWI CENTRALNEMU I ORGANOM UNII NA PODSTAWIE WYJĄTKOWEJ POTRZEBY

Artykuł 33

Zasadnicze wymagania w zakresie interoperacyjności danych, mechanizmów i usług dzielenia się danymi oraz wspólnych europejskich przestrzeni danych

1. Uczestnicy przestrzeni danych oferujący innym uczestnikom dane lub usługi oparte na danych spełniają następujące zasadnicze wymagania w celu ułatwienia interoperacyjności danych, mechanizmów i usług dzielenia się danymi oraz wspólnych europejskich przestrzeni danych, które są interoperacyjnymi ramami wspólnych norm i praktyk, szczególnymi dla danego celu lub sektora bądź międzysektorowymi, służącymi dzieleniu się danymi lub ich wspólnemu przetwarzaniu na potrzeby m.in. opracowywania nowych produktów i usług, badań naukowych lub inicjatyw społeczeństwa obywatelskiego:

a)	dostatecznie opisane są zawartość zestawu danych, ograniczenia wykorzystania, licencje, metody zbierania danych, jakość danych i niepewność, w stosownym przypadku w formacie nadającym się do odczytu maszynowego, aby umożliwić odbiorcy znalezienie danych, dostęp do nich i ich wykorzystanie;

b)	w ogólnodostępny i spójny sposób opisane są struktury danych, formaty danych, słowniki, systemy klasyfikacji, taksonomie i wykazy kodów, jeżeli są dostępne;

dostatecznie opisane są techniczne środki dostępu do danych, takie jak interfejsy programowania aplikacji, oraz warunki korzystania z tych środków i jakość usługi, aby umożliwić automatyczny dostęp do danych i ich przesyłanie między stronami, w tym w sposób ciągły, w sposób masowy lub w czasie rzeczywistym w formacie nadającym się do odczytu maszynowego, jeżeli jest to techniczne możliwe i nie utrudnia prawidłowego funkcjonowania produktu skomunikowanego;

d)	w stosownym przypadku zapewnione są środki umożliwiające interoperacyjność narzędzi automatycznego wykonywania umów w sprawie dzielenia się danymi, takich jak inteligentne umowy.

Wymagania te mogą mieć charakter ogólny lub dotyczyć konkretnych sektorów, przy czym należy w pełni uwzględnić ich wzajemne powiązania z wymaganiami wynikającymi z prawa Unii lub z prawa krajowego.

2. Komisja jest uprawniona do przyjmowania aktów delegowanych, zgodnie z art. 45 niniejszego rozporządzenia, w celu uzupełnienia niniejszego rozporządzenia poprzez doprecyzowanie zasadniczych wymagań określonych w ust. 1 niniejszego artykułu, w odniesieniu do tych wymagań, które ze względu na swój charakter nie mogą przynieść zamierzonego efektu, chyba że zostaną doprecyzowane w wiążących aktach prawnych Unii, i w celu właściwego odzwierciedlenia zmian technologicznych i rynkowych.

Przyjmując te akty delegowane, Komisja uwzględnia opinię Europejskiej Rady ds. Innowacji w zakresie Danych zgodnie z art. 42 lit. c) ppkt (iii).

3. Domniemywa się, że uczestnicy przestrzeni danych oferujący dane lub usługi oparte na danych innym uczestnikom przestrzeni danych i spełniający normy zharmonizowane lub części tych norm, do których odniesienia są opublikowane w Dzienniku Urzędowym Unii Europejskiej, spełniają zasadnicze wymagania, o których mowa w ust. 1, w zakresie, w jakim wspomniane wymagania objęte są takimi normami zharmonizowanymi lub ich częściami.

4. Komisja, zgodnie z art. 10 rozporządzenia (UE) nr 1025/2012, zwraca się do co najmniej jednej europejskiej organizacji normalizacyjnej z wnioskiem o przygotowanie norm zharmonizowanych spełniających zasadnicze wymagania określone w ust. 1 niniejszego artykułu.

5. Komisja może przyjąć – w drodze aktów wykonawczych – wspólne_specyfikacje, obejmujące dowolny lub wszystkie zasadnicze wymagania określone w ust. 1, jeżeli spełnione zostały następujące warunki:

Komisja zwróciła się, zgodnie z art. 10 ust. 1 rozporządzenia (UE) nr 1025/2012, do co najmniej jednej europejskiej organizacji normalizacyjnej z wnioskiem o przygotowanie normy zharmonizowanej spełniającej zasadnicze wymagania określone w ust. 1 niniejszego artykułu, a w dodatku:

(i)	wniosek nie został zaakceptowany;

(ii)	normy zharmonizowane dotyczące tego wniosku nie zostały dostarczone w terminie określonym zgodnie z art. 10 ust. 1 rozporządzenia (UE) nr 1025/2012; lub

(iii)

normy zharmonizowane nie są zgodne z wnioskiem; oraz

b)	w Dzienniku Urzędowym Unii Europejskiej nie jest opublikowane odniesienie do norm zharmonizowanych obejmujących stosowne zasadnicze wymagania określone w ust. 1 niniejszego artykułu zgodnie z rozporządzeniem (UE) nr 1025/2012 i nie przewiduje się publikacji takiego odniesienia w rozsądnym terminie.

Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 46 ust. 2.

6. Przed sporządzeniem projektu aktu wykonawczego, o którym mowa w ust. 5 niniejszego artykułu Komisja informuje komitet, o którym mowa w art. 22 rozporządzenia (UE) nr 1025/2012, że jej zdaniem spełnione zostały warunki przewidziane w ust. 5 niniejszego artykułu.

7. Sporządzając projekt aktu wykonawczego, o którym mowa w ust. 5, Komisja uwzględnia opinie Europejskiej Rady ds. Innowacji w zakresie Danych i innych stosownych podmiotów lub grup ekspertów i należycie konsultuje się ze wszystkimi stosownymi zainteresowanymi stronami.

8. Domniemywa się, że uczestnicy przestrzeni danych oferujący dane lub usługi oparte na danych innym uczestnikom przestrzeni danych i spełniający wspólne_specyfikacje ustanowione aktami wykonawczymi, o których mowa w ust. 5, lub ich części spełniają zasadnicze wymagania określone w ust. 1 objęte tymi wspólnymi specyfikacjami lub ich częściami.

9. W przypadku gdy norma_zharmonizowana zostaje przyjęta przez europejską organizację normalizacyjną i przedstawiona Komisji w celu opublikowania odniesienia do niej w Dzienniku Urzędowym Unii Europejskiej, Komisja ocenia tę normę zharmonizowaną zgodnie z rozporządzeniem (UE) nr 1025/2012. W przypadku opublikowania odniesienia do normy zharmonizowanej w Dzienniku Urzędowym Unii Europejskiej Komisja uchyla akty wykonawcze, o których mowa w ust. 5 niniejszego artykułu, lub ich części, które obejmują te same zasadnicze wymagania, jak te objęte normą zharmonizowaną.

10. W przypadku gdy państwo członkowskie uzna, że wspólna specyfikacja nie w pełni spełnia zasadnicze wymagania określone w ust. 1, informuje o tym Komisję, przedstawiając szczegółowe wyjaśnienie. Komisja ocenia to szczegółowe wyjaśnienie i w stosownym przypadku może zmienić akt wykonawczy ustanawiający daną wspólną specyfikację.

11. Komisja może przyjąć wytyczne, uwzględniając propozycję Europejskiej Rady ds. Innowacji w zakresie Danych zgodnie z art. 30 lit. h) rozporządzenia (UE) 2022/868, ustanawiającym specyfikacje w zakresie interoperacyjnych ram wspólnych norm i praktyk na potrzeby funkcjonowania wspólnych europejskich przestrzeni danych.

Artykuł 36

Zasadnicze wymagania dotyczące inteligentnych umów na potrzeby wykonywania umów w sprawie dzielenia się danymi

1. Dostawca aplikacji wykorzystującej inteligentne umowy lub w przypadku jego braku osoba, której działalność handlowa, gospodarcza lub zawodowa obejmuje wdrażanie inteligentnych umów dla innych osób w kontekście wykonywania umowy o udostępnianie danych lub jej części zapewnia, aby inteligentne umowy spełniały następujące zasadnicze wymagania:

a)	odporność i kontrola dostępu, zapewniające, aby inteligentna_umowa została opracowana w sposób umożliwiający mechanizmy kontroli dostępu i bardzo wysoki poziom odporności na błędy funkcjonalne i manipulacje ze strony osób trzecich;

bezpieczne zakończenie i przerwanie, zapewniające, aby istniał mechanizm umożliwiający zakończenie dalszej realizacji transakcji oraz, aby inteligentna_umowa obejmowała funkcje wewnętrzne, które mogą zresetować umowę lub polecić umowie zakończenie lub przerwanie działania, w szczególności w celu uniknięcia przyszłego przypadkowego wykonania;

archiwizacja i ciągłość danych, zapewniające, aby w warunkach, w których inteligentna_umowa musi zostać zakończona lub dezaktywowana, istniała możliwość archiwizacji danych transakcyjnych oraz logiki i kodu inteligentnej umowy w celu zachowania rejestru operacji wykonanych na danych w przeszłości (możliwość kontroli);

d)	kontrola dostępu, zapewniająca, aby inteligentna_umowa była chroniona za pomocą rygorystycznych mechanizmów kontroli dostępu w warstwach zarządzania i inteligentnych umów; oraz

e)	spójność, zapewniająca spójność z postanowieniami umowy o dzieleniu się danymi, którą inteligentna_umowa wykonuje.

2. Dostawca inteligentnej umowy lub w przypadku jego braku osoba, której działalność handlowa, gospodarcza lub zawodowa obejmuje wdrażanie inteligentnych umów dla innych osób w kontekście wykonywania umowy lub jej części w sprawie udostępniania danych, przeprowadza ocenę zgodności w celu spełnienia zasadniczych wymagań określonych w ust. 1 i wydaje deklarację zgodności UE, jeżeli wymagania te są spełnione.

3. Sporządzając deklarację zgodności UE, dostawca aplikacji wykorzystującej inteligentne umowy lub w przypadku jego braku osoba, której działalność handlowa, gospodarcza lub zawodowa obejmuje wdrażanie inteligentnych umów dla innych osób w kontekście wykonania umowy, lub jej części, w sprawie udostępniania danych, są odpowiedzialni za przestrzeganie wymagań określonych w ust. 1.

4. Domniemywa się, że inteligentna_umowa, która spełnia normy zharmonizowane lub stosowne części tych norm, do których odniesienia są opublikowane w Dzienniku Urzędowym Unii Europejskiej, jest zgodna z zasadniczymi wymaganiami określonymi w ust. 1 w zakresie, w jakim wymagania te są objęte takimi normami zharmonizowanymi lub ich częścią.

5. Komisja, zgodnie z art. 10 rozporządzenia (UE) nr 1025/2012, zwraca się do co najmniej jednej europejskiej organizacji normalizacyjnej z wnioskiem o przygotowanie norm zharmonizowanych spełniających zasadnicze wymagania określone w ust. 1 niniejszego artykułu.

6. Komisja może przyjąć – w drodze aktów wykonawczych – wspólne_specyfikacje, obejmujące dowolne lub wszystkie zasadnicze wymagania określone w ust. 1, jeżeli spełnione zostały następujące warunki:

(i)	wniosek nie został zaakceptowany;

(ii)	normy zharmonizowane dotyczące tego wniosku nie zostały dostarczone w terminie określonym zgodnie z art. 10 ust. 1 rozporządzenia (UE) nr 1025/2012; lub

(iii)

normy zharmonizowane nie są zgodne z wnioskiem; oraz

b)	w Dzienniku Urzędowym Unii Europejskiej nie jest opublikowane odniesienie do norm zharmonizowanych obejmujących stosowne zasadnicze wymagania określone w ust. 1 niniejszego artykułu zgodnie z rozporządzeniem (UE) nr 1025/2012 i nie przewiduje się publikacji takiego odniesienia w rozsądnym terminie.

Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 46 ust. 2.

7. Przed sporządzeniem projektu aktu wykonawczego, o którym mowa w ust. 6 niniejszego artykułu Komisja informuje komitet, o którym mowa w art. 22 rozporządzenia (UE) nr 1025/2012, że jej zdaniem spełnione zostały warunki przewidziane w ust. 6 niniejszego artykułu.

8. Sporządzając projekt aktu wykonawczego, o którym mowa w ust. 6, Komisja uwzględnia opinie Europejskiej Rady ds. Innowacji w zakresie Danych i innych stosownych podmiotów lub grup ekspertów i należycie konsultuje się ze wszystkimi stosownymi zainteresowanymi stronami.

9. Domniemywa się, że dostawca inteligentnej umowy lub w przypadku jego braku osoba, której działalność handlowa, gospodarcza lub zawodowa obejmuje wdrażanie inteligentnych umów dla innych osób w kontekście wykonywania umowy o udostępnianiu danych lub jej części, spełniający wspólne_specyfikacje ustanowione aktami wykonawczymi, o których mowa w ust. 6, lub ich częściami, spełniają zasadnicze wymagania określone w ust. 1 w takim zakresie, że wymagania te objęte są takimi wspólnymi specyfikacjami lub ich częściami.

10. W przypadku gdy norma_zharmonizowana zostaje przyjęta przez europejską organizację normalizacyjną i przedstawiona Komisji w celu opublikowania odniesienia do niej w Dzienniku Urzędowym Unii Europejskiej, Komisja ocenia normę zharmonizowaną zgodnie z rozporządzeniem (UE) nr 1025/2012. W przypadku publikacji odniesienia do normy zharmonizowanej w Dzienniku Urzędowym Unii Europejskiej Komisja uchyla akty wykonawcze, o których mowa w ust. 6 niniejszego artykułu, lub ich części, które obejmują te same zasadnicze wymagania, takie jak te objęte przez tę normę zharmonizowaną.

11. W przypadku gdy państwo członkowskie uzna, że wspólna specyfikacja niecałkowicie spełnia zasadnicze wymagania określone w ust. 1, informuje o tym Komisję, przedstawiając szczegółowe wyjaśnienie. Komisja ocenia to szczegółowe wyjaśnienie i w stosownym przypadku może zmienić akt wykonawczy ustanawiający daną wspólną specyfikację.

ROZDZIAŁ IX

WDRAŻANIE I EGZEKWOWANIE

Artykuł 37

Właściwe organy i koordynatorzy danych

1. Każde państwo członkowskie wyznacza właściwy organ lub właściwe organy odpowiedzialne za stosowanie i egzekwowanie niniejszego rozporządzenia (zwane dalej „właściwymi organami”). Państwa członkowskie mogą ustanowić co najmniej jeden nowy organ lub oprzeć się na organach już istniejących.

2. W przypadku gdy państwo członkowskie wyznaczy więcej niż jeden właściwy organ, wyznacza spośród nich koordynatora danych, który ułatwia współpracę między właściwymi organami i pomaga podmiotom objętym zakresem stosowania niniejszego rozporządzenia we wszystkich sprawach związanych z jego stosowaniem i egzekwowaniem. Właściwe organy, wykonując zadania i uprawnienia przyznane im na podstawie ust. 5, współpracują ze sobą nawzajem.

3. Organy nadzorcze odpowiedzialne za monitorowanie stosowania rozporządzenia (UE) 2016/679 są odpowiedzialne za monitorowanie stosowania niniejszego rozporządzenia w zakresie ochrony danych osobowych. Stosuje się odpowiednio rozdziały VI i VII rozporządzenia (UE) 2016/679.

Europejski Inspektor Ochrony Danych jest odpowiedzialny za monitorowanie stosowania niniejszego rozporządzenia w zakresie, w jakim dotyczy ono Komisji, Europejskiego Banku Centralnego lub organów Unii. W stosownym przypadku stosuje się odpowiednio art. 62 rozporządzenia (UE) 2018/1725.

Zadania i uprawnienia organów nadzorczych, o których mowa w niniejszym ustępie, są wykonywane w odniesieniu do przetwarzania danych osobowych.

4. Bez uszczerbku dla ust. 1 niniejszego artykułu:

a)	w odniesieniu do konkretnych kwestii sektorowych dotyczących dostępu do danych i wykorzystywania danych w związku ze stosowaniem niniejszego rozporządzenia respektuje się kompetencje organów sektorowych;

b)	właściwy organ odpowiedzialny za stosowanie i egzekwowanie art. 23 do 31 oraz art. 34 i 35 posiada doświadczenie w dziedzinie usług opartych na danych i usług łączności elektronicznej.

5. Państwa członkowskie zapewniają, aby zadania i uprawnienia właściwych organów były jasno określone i obejmowały:

a)	propagowanie wśród użytkowników i podmiotów objętych zakresem stosowania niniejszego rozporządzenia umiejętności korzystania z danych oraz wiedzy na temat praw i obowiązków wynikających z niniejszego rozporządzenia;

rozpatrywanie skarg wynikających z domniemanych naruszeń niniejszego rozporządzenia, w tym związanych z tajemnicami przedsiębiorstwa, oraz prowadzenie postępowań, w odpowiednim zakresie, w przedmiocie skarg i regularne informowanie skarżącego, w stosownym przypadku zgodnie z prawem krajowym, w rozsądnym terminie o postępach i wynikach postępowania, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowania lub koordynacja działań z innym właściwym organem;

c)	prowadzenie postępowań w sprawach dotyczących stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego właściwego organu lub innego organu publicznego;

d)	nakładanie skutecznych, proporcjonalnych i odstraszających kar pieniężnych, które mogą obejmować kary okresowe i kary z mocą wsteczną, lub wszczynanie postępowań sądowych w celu nałożenia grzywny;

e)	monitorowanie rozwoju technologicznego i sytuacji gospodarczej mających znaczenie dla udostępniania i wykorzystywania danych;

współpracę z właściwymi organami innych państw członkowskich oraz w stosownym przypadku z Komisją lub Europejską Radą ds. Innowacji w zakresie Danych w celu zapewnienia spójnego i skutecznego stosowania niniejszego rozporządzenia, w tym wymianę wszystkich istotnych informacji drogą elektroniczną bez zbędnej zwłoki, w tym w odniesieniu do ust. 10 niniejszego artykułu.;

współpracę ze stosownymi właściwymi organami odpowiedzialnymi za wdrażanie innych unijnych lub krajowych aktów prawnych, w tym organami właściwymi do spraw usług opartych na danych i usług łączności elektronicznej, organem nadzorczym odpowiedzialnym za monitorowanie stosowania rozporządzenia (UE) 2016/679 lub z organami sektorowymi w celu zapewnienia, aby niniejsze rozporządzenie było egzekwowane spójnie z innym prawem Unii i prawem krajowym;

h)	współpracę ze stosownymi właściwymi organami w celu zapewnienia, aby obowiązki określone w art. 23 do 31 oraz art. 34 i 35 były egzekwowane spójnie z innymi prawem Unii i samoregulacją mającymi zastosowanie do dostawców usług przetwarzania danych;

i)	zapewnienie wycofania opłat z tytułu zmiany dostawcy zgodnie z art. 29;

j)	analizę wniosków o dane złożonych na podstawie rozdziału V.

W przypadku gdy wyznaczony został koordynator danych, ułatwia on współpracę o której mowa w lit. f), g) i h) akapitu pierwszego i na żądanie wspiera właściwe organy.

6. Koordynator danych, w przypadku gdy taki właściwy organ został wyznaczony:

a)	działa jako pojedynczy punkt kontaktu we wszystkich sprawach związanych ze stosowaniem niniejszego rozporządzenia;

b)	zapewnia publiczną dostępność w internecie wniosków o udostępnienie danych składanych przez organy sektora publicznego w przypadku wyjątkowej potrzeby na podstawie przepisów rozdziału V i promuje dobrowolne umowy o dzieleniu się danymi między organami sektora publicznego a posiadaczami danych;

c)	co roku informuje Komisję o odmowach, o których powiadomiono go na podstawie art. 4 ust. 2 i 8 i art. 5 ust. 11.

7. Państwa członkowskie przekazują Komisji nazwy właściwych organów oraz ich zadania i uprawnienia, a także w stosownym przypadku nazwę koordynatora danych. Komisja prowadzi publiczny rejestr tych organów.

8. Wykonując swoje zadania i uprawnienia zgodnie z niniejszym rozporządzeniem, właściwe organy pozostają bezstronne i wolne od jakichkolwiek bezpośrednich i pośrednich wpływów zewnętrznych ani nie zwracają się o instrukcje w indywidualnych sprawach do żadnego innego organu publicznego ani podmiotu prywatnego ani nie przyjmują takich instrukcji.

9. Państwa członkowskie zapewniają, aby właściwe organy dysponowały wystarczającymi zasobami ludzkimi i technicznymi oraz stosowną wiedzą ekspercką umożliwiającymi im skuteczne wykonywanie zadań zgodnie z niniejszym rozporządzeniem.

10. Podmioty objęte zakresem stosowania niniejszego rozporządzenia podlegają kompetencji państwa członkowskiego, w którym dany podmiot ma siedzibę. W przypadku gdy podmiot ma siedzibę w więcej niż jednym państwie członkowskim, uznaje się, że podlega kompetencji państwa członkowskiego, w którym ma główną siedzibę, to znaczy w którym mieści się jego siedziba zarządu lub siedziba statutowa, z których wykonywane są podstawowe funkcje finansowe i sprawowana jest kontrola operacyjna.

11. Podmiot objęty zakresem stosowania niniejszego rozporządzenia, który udostępnia produkty skomunikowane lub oferuje usługi w Unii i który nie ma siedziby w Unii, wyznacza przedstawiciela prawnego w jednym z państw członkowskich.

12. Do celów przestrzegania niniejszego rozporządzenia przedstawiciel prawny zostaje upoważniony przez podmiot objęty zakresem stosowania niniejszego rozporządzenia, który udostępnia produkty skomunikowane lub oferuje usługi w Unii, by oprócz tego podmiotu lub zamiast niego właściwe organy kontaktowały się z nim we wszystkich kwestiach związanych z tym podmiotem. Przedstawiciel prawny współpracuje z właściwymi organami i na żądanie szczegółowo przedstawia im działania podjęte i przepisy przyjęte w celu zapewnienia przestrzegania niniejszego rozporządzenia przez podmiot objęty zakresem stosowania niniejszego rozporządzenia, który udostępnia produkty skomunikowane lub oferuje usługi w Unii.

13. Uznaje się, że podmiot objęty zakresem stosowania niniejszego rozporządzenia, który udostępnia produkty skomunikowane lub oferuje usługi w Unii, podlega kompetencji państwa członkowskiego, w którym zlokalizowany jest przedstawiciel prawny. Wyznaczenie przedstawiciela prawnego przez taki podmiot pozostaje bez uszczerbku dla odpowiedzialności i wszelkich postępowań, które mogą zostać wszczęte przeciwko, takiego podmiotu. Do czasu aż podmiot wyznaczy przedstawiciela prawnego zgodnie z niniejszym artykułem, w stosownym przypadku podlega on kompetencji wszystkich państw członkowskich do celów zapewnienia stosowania i egzekwowania niniejszego rozporządzenia. Dowolny właściwy organ może wykonać swoją właściwość, w tym nakładając skuteczne, proporcjonalne i odstraszające kary, pod warunkiem że dany podmiot nie podlega postępowaniu w sprawie egzekucji niniejszego rozporządzenia w związku z tym samymi faktami przez inny właściwy organ.

14. Właściwe organy mogą żądać od użytkowników, posiadaczy danych, odbiorców danych lub ich przedstawicieli prawnych podlegających kompetencji ich państwa członkowskiego wszelkich informacji niezbędnych do zweryfikowania przestrzegania niniejszego rozporządzenia. Każdy wniosek o informacje musi być proporcjonalny do zadania będącego jego podstawą i musi być uzasadniony.

15. W przypadku gdy właściwy organ jednego państwa członkowskiego zwraca się o pomoc lub środki egzekucji do właściwego organu innego państwa członkowskiego, przedkłada uzasadniony wniosek. Właściwy organ po otrzymaniu takiego wniosku bez zbędnej zwłoki odpowiada, szczegółowo przedstawiając podjęte lub planowane działania.

16. Właściwe organy przestrzegają zasad poufności oraz tajemnic służbowych i handlowych oraz chronią dane osobowe zgodnie z prawem Unii lub prawem krajowym. Wszelkie informacje wymienione w ramach wniosku o pomoc i zapewnione zgodnie z niniejszym artykułem są wykorzystywane wyłącznie w odniesieniu do sprawy, w której o nie wystąpiono.

whereas

keyboard_tab Data Act 2023/2854 PL

Data Act 2023/2854 PL