Data Act 2023/2854 PL

1)	„ dane” oznaczają wszelkie cyfrowe odwzorowania działań, faktów lub informacji oraz wszelkie kompilacje takich działań, faktów lub informacji, w tym w formie zapisu dźwiękowego, wizualnego lub audiowizualnego;

2)	„meta dane” oznaczają ustrukturyzowany opis treści danych lub sposobu wykorzystywania danych, który ułatwia wyszukiwanie lub wykorzystywanie tych danych;

3)	„ dane osobowe” oznaczają dane osobowe zdefiniowane w art. 4 pkt 1 rozporządzenia (UE) 2016/679;

4)	„ dane nieosobowe” oznaczają dane inne niż dane osobowe;

„ produkt_skomunikowany” oznacza rzecz, która pozyskuje, generuje lub zbiera dostępne dane dotyczące jej wykorzystywania lub jej otoczenia i która jest w stanie komunikować dane z produktu za pomocą usługi łączności elektronicznej, łącza fizycznego lub dostępu na urządzeniu i której podstawową funkcją nie jest przechowywanie, przetwarzanie ani przesyłanie danych w imieniu strony innej niż użytkownik;

„ usługa_powiązana” oznacza usługę cyfrową, w tym oprogramowanie, ale z wyłączeniem usług łączności elektronicznej, która podczas zakupu, najmu, dzierżawy lub leasingu jest skomunikowana z produktem w taki sposób, że jej brak uniemożliwiłby produktowi skomunikowanemu wykonywanie co najmniej jednej z jego funkcji, lub która zostaje skomunikowana z produktem przez producenta lub osobę trzecią później, aby dodać, uaktualnić lub zmodyfikować funkcje produktu skomunikowanego;

„ przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych lub zestawach danych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

„ usługa_przetwarzania_danych” oznacza świadczoną na rzecz klienta usługę cyfrową umożliwiającą wszechobecny sieciowy dostęp na żądanie do wspólnego zbioru konfigurowalnych, skalowalnych i elastycznych zasobów obliczeniowych o charakterze scentralizowanym, rozproszonym lub wysoce rozproszonym, które mogą być szybko przydzielone i uwolnione przy minimalnym wysiłku pod względem zarządzania lub interakcji z dostawcą usług;

9)	„ usługa_tego_samego_typu” oznacza zestaw usług przetwarzania danych, które mają ten sam główny cel, opierają się na tym samym modelu usługi przetwarzania danych i mają te same najważniejsze funkcje;

10)	„ usługa_pośrednictwa_danych” oznacza usługę pośrednictwa danych zdefiniowaną w art. 2 pkt 11 rozporządzenia (UE) 2022/868;

11)	„osoba, której dane dotyczą” oznacza osobę, której dane dotyczą, o której mowa w art. 4 pkt 1 rozporządzenia (UE) 2016/679;

12)	„ użytkownik” oznacza osobę fizyczną lub prawną, która jest właścicielem produktu skomunikowanego lub której na podstawie umowy przekazane zostały tymczasowe prawa do korzystania z tego produktu skomunikowanego, lub która korzysta z usług powiązanych;

13)

„ posiadacz_danych” oznacza osobę fizyczną lub prawną, która ma prawo lub obowiązek – zgodnie z niniejszym rozporządzeniem, mającym zastosowanie prawem Unii lub prawem krajowym przyjętym zgodnie z prawem Unii – wykorzystywać i udostępniać dane, w tym o ile zostało to przewidziane umową, dane z produktu lub dane z usługi powiązanej pobrane lub wygenerowane przez nią podczas świadczenia powiązanej usługi;

14)

„ odbiorca_danych” oznacza osobę fizyczną lub prawną działającą w celach związanych z jej działalnością handlową, gospodarczą, rzemieślniczą lub zawodową, inną niż użytkownik produktu skomunikowanego lub usługi powiązanej, której to osobie posiadacz_danych udostępnia dane, w tym osobę trzecią na wniosek użytkownika skierowany do posiadacza danych lub zgodnie z obowiązkiem prawnym wynikającym z prawa Unii lub prawem krajowym przyjętym zgodnie z prawem Unii;

15)

„ dane z produktu” oznaczają dane wygenerowane w wyniku korzystania z produktu skomunikowanego, które producent zaprojektował tak, by użytkownik, posiadacz_danych lub osoba trzecia, w tym w stosownym przypadku producent, mogli je pobierać za pomocą usługi łączności elektronicznej, łącza fizycznego lub dostępu na urządzeniu;

16)	„ dane z usługi powiązanej” oznaczają dane stanowiące cyfrowe odwzorowanie czynności lub zdarzeń z udziałem użytkownika związanych z produktem skomunikowanym, utrwalane przez użytkownika celowo lub generowane jako produkt uboczny jego czynności, podczas świadczenia usługi powiązanej przez dostawcę;

17)	„ dane łatwo dostępne” oznaczają dane z produktu i dane z usługi powiązanej, które posiadacz_danych zgodnie z prawem pozyskuje lub może zgodnie z prawem pozyskać z produktu skomunikowanego lub z usługi powiązanej bez nieproporcjonalnie dużego wysiłku wykraczającego poza prostą czynność;

18)	„ tajemnica_przedsiębiorstwa” oznacza tajemnicę przedsiębiorstwa zdefiniowaną w art. 2 pkt 1 dyrektywy (UE) 2016/943;

19)	„ posiadacz_tajemnicy_przedsiębiorstwa” oznacza posiadacza tajemnicy przedsiębiorstwa zdefiniowanego w art. 2 pkt 2 dyrektywy (UE) 2016/943;

20)	„ profilowanie” oznacza profilowanie zdefiniowane w art. 4 pkt 4 rozporządzenia (UE) 2016/679;

21)	„ udostępnienie_na_rynku” oznacza każde dostarczenie produktu skomunikowanego na rynek Unii w celu jego dystrybucji, konsumpcji lub wykorzystywania w ramach działalności handlowej, odpłatnie lub nieodpłatnie;

22)	„ wprowadzenie_do_obrotu” oznacza udostępnienie produktu skomunikowanego na rynku Unii po raz pierwszy;

23)	„ konsument” oznacza osobę fizyczną działającą w celach, które nie mieszczą się w ramach jej działalności handlowej, gospodarczej, rzemieślniczej lub zawodowej;

24)	„ przedsiębiorstwo” oznacza osobę fizyczną lub prawną, która w związku z umowami i praktykami objętymi niniejszym rozporządzeniem działa w celach związanych z jej działalnością handlową, gospodarczą, rzemieślniczą lub zawodową;

25)	„małe przedsiębiorstwo” oznacza małe przedsiębiorstwo zdefiniowane w art. 2 ust. 2 zalecenia 2003/361/WE;

26)	„mikro przedsiębiorstwo” oznacza mikro przedsiębiorstwo zdefiniowane w art. 2 ust. 3 załącznika do zalecenia 2003/361/WE;

27)	„ organy_Unii” oznaczają organy i jednostki organizacyjne Unii ustanowione na mocy aktów przyjętych na podstawie Traktatu o Unii Europejskiej, TFUE lub Traktatu ustanawiającego Europejską Wspólnotę Energii Atomowej lub zgodnie z nimi;

28)	„ organ_sektora_publicznego” oznacza organy krajowe, regionalne lub lokalne państw członkowskich oraz podmioty prawa publicznego państw członkowskich lub związki złożone z co najmniej jednego takiego organu lub z co najmniej jednego takiego podmiotu;

29)

„ niebezpieczeństwo_publiczne” oznacza ograniczoną w czasie sytuację wyjątkową, taką jak stan zagrożenia zdrowia publicznego, sytuacja nadzwyczajna w wyniku klęski żywiołowej, poważna katastrofa spowodowana przez człowieka, w tym poważny cyberincydent, która to sytuacja negatywnie wpływa na ludność Unii, państwa członkowskiego lub ich części i wiąże się z ryzykiem wystąpienia poważnych i trwałych następstw dla warunków życia lub stabilności gospodarczej, stabilności finansowej lub z ryzykiem znacznego i natychmiastowego obniżenia wartości aktywów gospodarczych w Unii lub w danym państwie członkowskim i którą stwierdza się lub oficjalnie ogłasza zgodnie z odpowiednimi procedurami przewidzianymi w prawie Unii lub prawie krajowym;

30)	„ klient” oznacza osobę fizyczną lub prawną, która nawiązała stosunek umowny z dostawcą usług przetwarzania danych w celu skorzystania z co najmniej jednej usługi przetwarzania danych;

31)	„ wirtualni_asystenci” oznaczają oprogramowanie, które może przetwarzać żądania, zadania lub pytania, w tym na podstawie dźwięku, pisma, gestów lub ruchów, i które na podstawie tych żądań, zadań lub pytań zapewnia dostęp do innych usług lub kontroluje funkcje produktów skomunikowanych;

32)	„ aktywa_cyfrowe” oznaczają elementy w formacie cyfrowym, w tym aplikacje, z których klient ma prawo korzystać, niezależnie od stosunku umownego obejmującego usługę przetwarzania danych, której dostawcę zamierza zmienić;

33)	„ lokalna_infrastruktura_ICT” oznacza infrastrukturę ICT i zasoby obliczeniowe będące własnością klienta, przedmiotem najmu, dzierżawy lub leasingu przez niego, znajdujące się w jego własnym centrum danych i obsługiwane przez tego klienta lub osobę trzecią;

34)

„ zmiana_dostawcy” oznacza proces, w którym uczestniczą wyjściowy dostawca usług przetwarzania danych, klient korzystający z usługi przetwarzania danych oraz, w odpowiednich przypadkach, docelowy dostawca usług przetwarzania danych i w ramach którego klient korzystający z usługi przetwarzania danych przechodzi od korzystania z jednej usługi przetwarzania danych do korzystania z innej usługi tego samego typu lub z innej usługi oferowanych przez innego dostawcę usług przetwarzania danych, lub z lokalnej infrastruktury ICT, w tym poprzez ekstrakcję, transformację i załadowanie danych;

35)	„ opłaty_z tytułu_wychodzącego_ruchu_danych” oznaczają opłaty za przekazanie danych pobierane od klientów za ekstrakcję ich danych przez sieć z infrastruktury ICT dostawcy usług przetwarzania danych do systemów innego dostawcy lub do infrastruktury lokalnej ICT;

36)

„ opłaty_z tytułu_zmiany_dostawcy” oznaczają opłaty – inne niż standardowe opłaty za usługę lub kary za wcześniejsze rozwiązanie umowy – nakła dane przez dostawcę usług przetwarzania danych na klienta za działania wymagane zgodnie z niniejszym rozporządzeniem w celu zmiany na system innego dostawcy lub lokalną infrastrukturę ICT, w tym opłaty_z tytułu_wychodzącego_ruchu_danych;

37)

„ równoważność_funkcjonalna” oznacza przywrócenie – na podstawie danych eksportowalnych i aktywów cyfrowych klienta – minimalnego poziomu funkcjonalności w środowisku nowej usługi przetwarzania danych tego samego typu po procesie zmiany dostawcy, przy czym usługa docelowa przetwarzania danych daje zasadniczo porównywalny rezultat w odpowiedzi na te same dane wejściowe dla jednakowych funkcji dostarczanych klientowi na podstawie umowy;

38)

„ dane eksportowalne” do celów art. 23 do 31 i art. 35 oznaczają dane wejściowe i wyjściowe, w tym meta dane, bezpośrednio lub pośrednio wygenerowane bądź współwygenerowane w wyniku korzystania przez klienta z usługi przetwarzania danych zapewnianej przez dostawców usług przetwarzania danych lub osoby trzecie, z wyłączeniem wszelkich aktywów lub danych, które są objęte prawami własności intelektualnej lub są tajemnicami przedsiębiorstwa;

39)	„ inteligentna_umowa” oznacza program komputerowy stosowany do automatycznego wykonywania umowy lub jej części, używający sekwencji elektronicznych rekordów danych i zapewniający ich integralność i dokładność ich chronologicznego uporządkowania;

40)	„ interoperacyjność” oznacza zdolność co najmniej dwóch przestrzeni danych lub sieci komunikacyjnych, systemów, produktów skomunikowanych, aplikacji, usług przetwarzania danych lub komponentów do wymiany i wykorzystywania danych w celu wykonywania swoich funkcji;

41)	„ otwarte_specyfikacje_w zakresie_interoperacyjności” oznaczają specyfikacje techniczne w dziedzinie ICT, które są ukierunkowane na osiągnięcie interoperacyjności między usługami przetwarzania danych;

42)	„ wspólne_specyfikacje” oznaczają dokument inny niż norma, zawierający rozwiązania techniczne zapewniające środki umożliwiające przestrzeganie niektórych wymagań i obowiązków ustanowionych na podstawie niniejszego rozporządzenia;

43)	„ norma_zharmonizowana” oznacza normę zharmonizowaną zdefiniowaną w art. 2 pkt 1 lit. c) rozporządzenia (UE) nr 1025/2012;

ROZDZIAŁ II

DZIELENIE SIĘ DANYMI PRZEZ PRZEDSIĘBIORCÓW Z KONSUMENTAMI I Z INNYMI PRZEDSIĘBIORCAMI

Artykuł 10

Rozstrzyganie sporów

1. Użytkownicy, posiadacze danych i odbiorcy danych mają dostęp do organów rozstrzygania sporów, certyfikowanych zgodnie z ust. 5 niniejszego artykułu, na potrzeby rozstrzygania sporów na podstawie art. 4 ust. 3 i ust. 9 oraz art. 5 ust. 12, a także sporów w sprawie sprawiedliwych, rozsądnych i niedyskryminujących zasad i przejrzystego sposobu udostępnienia danych zgodnie z niniejszym rozdziałem i rozdziałem IV.

2. Organy rozstrzygania sporów informują zainteresowane strony o wysokości opłat lub o mechanizmach stosowanych do ustalania wysokości opłat, zanim strony te wystąpią o wydanie decyzji.

3. W przypadku sporów wniesionych do organu rozstrzygania sporów na podstawie art. 4 ust. 3 i ust. 9 oraz art. 5 ust. 12, jeżeli organ rozstrzygania sporów rozstrzygnie spór na korzyść użytkownika lub odbiorcy danych, posiadacz_danych ponosi wszelkie opłaty nałożone przez organ rozstrzygania sporów i zwraca użytkownikowi lub odbiorcy danych wszelkie inne rozsądne koszty poniesione w związku z rozstrzygnięciem sporu. Jeżeli organ rozstrzygania sporów rozstrzygnie spór na korzyść posiadacza danych, użytkownik lub odbiorca_danych nie są zobowiązani do zwrócenia opłat ani innych kosztów, które posiadacz_danych poniósł lub ma ponieść w związku z rozstrzygnięciem sporu, chyba że organ rozstrzygania sporów uzna, że użytkownik lub odbiorca_danych w oczywisty sposób działali w złej wierze.

4. Klienci i dostawcy usług przetwarzania danych mają dostęp do organów rozstrzygania sporów, certyfikowanych zgodnie z ust. 5 niniejszego artykułu, na potrzeby rozstrzygania sporów dotyczących naruszeń praw klientów i niewywiązania się z obowiązków przez dostawców usług przetwarzania danych, zgodnie z art. 23 do 31.

5. Państwo członkowskie, w którym ma siedzibę organ rozstrzygania sporów, na wniosek tego organu dokonuje jego certyfikacji, jeżeli organ ten wykazał, że spełnia wszystkie następujące warunki:

a)	jest bezstronny i niezależny oraz będzie wydawać decyzje zgodnie z jasnym, niedyskryminującym i sprawiedliwym regulaminem wewnętrznym;

b)	dysponuje niezbędną wiedzą ekspercką, w szczególności na temat sprawiedliwych, stosownych i niedyskryminujących zasad, w tym rekompensaty, oraz przejrzystego sposobu udostępniania danych, która to wiedza pozwala organowi na skuteczne ustalanie tych zasad;

c)	jest łatwo dostępny za pośrednictwem technologii łączności elektronicznej;

d)	ma możliwość przyjmowania decyzji w sposób szybki, skuteczny i oszczędny w co najmniej jednym języku urzędowym Unii.

6. Państwa członkowskie zgłaszają Komisji organy rozstrzygania sporów certyfikowane zgodnie z ust. 5. Komisja publikuje wykaz tych organów na specjalnej stronie internetowej i na bieżąco go aktualizuje.

7. Organy rozstrzygania sporów odmawiają rozpatrzenia wniosku o rozstrzygnięcie sporu, który został już wniesiony do innego organu rozstrzygania sporów, bądź do sądu lub trybunału państwa członkowskiego.

8. Organy rozstrzygania sporów dają stronom możliwość wyrażenia, w rozsądnym terminie, swojego stanowiska w sprawach wniesionych przez te strony do tych organów. W tym kontekście każda strona sporu otrzyma stanowiska drugiej strony sporu oraz wszelkie opinie ekspertów. Stronom zapewnia się możliwość ustosunkowania się do tych stanowisk i opinii.

9. Organy rozstrzygania sporów przyjmują decyzję w skierowanych do nich sprawach w ciągu 90 dni od otrzymania wniosku zgodnie z ust. 1 i 4. Decyzje te sporządza się na piśmie lub na trwałym nośniku i opatruje uzasadnieniem.

10. Organy rozstrzygania sporów sporządzają i podają do wiadomości publicznej roczne sprawozdania z działalności. Roczne sprawozdania zawierają w szczególności następujące informacje ogólne:

a)	zbiorcze podsumowanie wyników sporów;

b)	średni czas rozstrzygania sporów;

c)	najczęstsze powody sporów.

11. Aby ułatwić wymianę informacji i najlepszych praktyk, organ rozstrzygania sporów może zdecydować o dodaniu do sprawozdania, o którym mowa w ust. 10, zaleceń dotyczących metod zapobiegania problemom lub ich rozwiązywania.

12. Decyzja organu rozstrzygającego spory jest wiążąca dla stron wyłącznie wtedy, gdy strony wyraźnie zgodziły się na jej wiążący charakter przed rozpoczęciem postępowania w sprawie rozstrzygnięcia sporu.

13. Niniejszy artykuł nie wpływa na prawa stron do dochodzenia skutecznego środka prawnego przed sądem lub trybunałem państwa członkowskiego.

Artykuł 17

Wnioski o udostępnienie danych

1. Występując z wnioskiem o dane na podstawie art. 14, organ_sektora_publicznego, Komisja, Europejski Bank Centralny lub organ Unii:

a)	określają, jakie dane, w tym odpowiednie meta dane niezbędne do interpretacji i wykorzystania tych danych, są potrzebne;

b)	wykazują, że spełnione zostały warunki wyjątkowej potrzeby, o której mowa w art. 15 i na podstawie której występuje się z wnioskiem o dane;

c)	wyjaśniają cel wniosku, planowane wykorzystanie żądanych danych, w tym, w stosownym przypadku, przez osobę trzecią zgodnie z ust. 4 niniejszego artykułu, czas tego wykorzystywania oraz w stosownym przypadku sposób, w jaki przetwarzanie danych osobowych ma odpowiedzieć na wyjątkową potrzebę;

d)	w miarę możliwości określają, kiedy można się spodziewać, że dane zostaną usunięte przez wszystkie strony, które mają do nich dostęp;

e)	uzasadniają wybór posiadacza danych, do którego skierowany jest wniosek;

f)	wymieniają inne organy sektora publicznego, lub Komisję, Europejski Bank Centralny lub organy_Unii oraz osoby trzecie, z którymi żą dane dane mają być dzielone;

jeżeli żądanymi danymi są dane osobowe, określają niezbędne i proporcjonalne środki techniczne i organizacyjne służące wdrożeniu zasad ochrony danych i niezbędnych zabezpieczeń, takich jak poziom agregacji lub pseudonimizacji, oraz czy posiadacz_danych może dokonać pseudonimizacji przed udostępnieniem danych;

h)	podają podstawę prawną konkretnego zadania realizowanego w interesie publicznym organu publicznego, Komisji, Europejskiego Banku Centralnego lub organu Unii, w związku z którym występuje się z wnioskiem o dane;

i)	określają termin, w którym dane mają zostać udostępnione oraz termin, o którym mowa w art. 18 ust. 2, w którym posiadacz_danych może odmówić lub wnosić o zmianę wniosku;

j)	dokładają wszelkich starań, aby zastosowanie się do wniosku o dane nie skutkowało odpowiedzialnością posiadacza danych za naruszenie prawa Unii lub prawa krajowego.

2. Wniosek o dane złożony na podstawie ust. 1 niniejszego artykułu:

a)	jest składany na piśmie i sformułowany jasnym, zwięzłym i prostym językiem zrozumiałym dla posiadacza danych;

b)	zawiera szczegóły dotyczące rodzaju żądanych danych i odnosi się do danych, nad którymi posiadacz_danych ma kontrolę w momencie składania wniosku;

c)	jest proporcjonalny do wyjątkowej potrzeby i należycie uzasadniony w odniesieniu do szczegółowości i ilości żądanych danych oraz częstotliwości dostępu do żądanych danych;

d)	respektuje prawnie uzasadnione cele posiadacza danych, w tym obowiązek zapewnienia ochrony tajemnic przedsiębiorstwa, zgodnie z art. 19 ust. 3, oraz uwzględniając koszty i działania wymagane do udostępnienia danych;

dotyczy danych nieosobowych i zawiera żądanie udostępnienia spseudonimizowanych danych osobowych wyłącznie wtedy, gdy wykazano, że data nieosobowe nie są wystarczające w celu odpowiedzi na wyjątkową potrzebę wykorzystania danych, zgodnie z art. 15 ust. 1 lit. a), i określa środki techniczne i organizacyjne, które zostaną zastosowane, aby chronić te dane osobowe;

f)	informuje posiadacza danych o karach nakładanych na podstawie art. 40 przez właściwy organ wyznaczony zgodnie z w art. 37 w przypadku niezastosowania się do wniosku;

w przypadku gdy wniosek jest złożony przez organ_sektora_publicznego, zostaje przekazany koordynatorowi danych, o którym mowa w art. 37, w państwie członkowskim, w którym siedzibę ma organ_sektora_publicznego, a organ ten bez zbędnej zwłoki podaje wniosek do wiadomości publicznej w internecie, chyba że koordynator danych uzna takie podanie do wiadomości za zagrożenie dla bezpieczeństwa publicznego;

h)	w przypadku gdy wniosek jest złożony przez Komisję, Europejski Bank Centralny lub organ Unii bez zbędnej zwłoki podają one swoje wnioski do wiadomości publicznej w internecie;

i)	w przypadku gdy dotyczy danych osobowych, bez zbędnej zwłoki zostaje o nim powiadomiony organ nadzorczy odpowiedzialny za monitorowanie stosowania rozporządzenia (UE) 2016/679 w państwie członkowskim, w którym siedzibę ma organ_sektora_publicznego.

Europejski Bank Centralny i organy_Unii informują Komisję o swoich wnioskach.

3. Organ sektora publicznego, Komisja, Europejski Bank Centralny lub organ Unii nie udostępniają danych pozyskanych na podstawie niniejszego rozdziału do ponownego wykorzystania zdefiniowanego w art. 2 pkt 2 rozporządzenia (UE) 2022/868 lub art. 2 pkt 11 dyrektywy (UE) 2019/1024. Rozporządzenie (UE) 2022/868 i dyrektywa (UE) 2019/1024 nie mają zastosowania do danych będących w posiadaniu organów sektora publicznego i pozyskanych na podstawie niniejszego rozdziału.

4. Ust. 3 niniejszego artykułu nie uniemożliwia organowi sektora publicznego ani Komisji, Europejskiemu Bankowi Centralnemu lub organowi Unii wymiany danych pozyskanych na podstawie niniejszego rozdziału z innym organem sektora publicznego, Komisją, Europejskim Bankiem Centralnym lub organem Unii w celu wypełnienia zadań, o których mowa w art. 15, określonych we wniosku zgodnie z ust. 1 lit. f) niniejszego artykułu, ani udostępnienia danych osobie trzeciej, w przypadku gdy zleciły tej osobie trzeciej – w drodze publicznie dostępnej umowy – kontrole techniczne lub inne funkcje. Do takich osób trzecich zastosowanie mają obowiązki nałożone na organy sektora publicznego na podstawie art. 19, w szczególności zabezpieczenia służące ochronie tajemnic przedsiębiorstwa. W przypadku gdy organ_sektora_publicznego, Komisja, Europejski Bank Centralny lub organ Unii przesyłają lub udostępniają dane na podstawie niniejszego ustępu, bez zbędnej zwłoki powiadamiają o tym posiadacza danych, od którego otrzymały dane.

5. W przypadku gdy posiadacz_danych uzna, że naruszone zostały prawa przysługujące mu na podstawie niniejszego rozdziału poprzez przesłanie lub udostępnienie danych, może złożyć skargę do właściwego organu, wyznaczonego zgodnie z art. 37, w państwie członkowskim, w którym posiadacz_danych ma siedzibę.

6. Na podstawie niniejszego artykułu Komisja opracowuje wzór wniosku.

Artykuł 18

Stosowanie się do wniosków o dane

1. Posiadacz danych otrzymujący wniosek o udostępnienie danych na podstawie niniejszego rozdziału bez zbędnej zwłoki udostępnia dane organowi sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu lub organowi Unii, które wystąpiły z wnioskiem, uwzględniając niezbędne środki techniczne, organizacyjne i prawne.

2. Bez uszczerbku dla określonych w prawie Unii lub prawie krajowym szczególnych potrzeb w zakresie dostępności danych posiadacz_danych może odmówić zastosowania się do wniosku o udostępnienie danych przewidzianego w niniejszym rozdziale lub wystąpić o jego zmianę bez zbędnej zwłoki i w żadnym razie nie później niż pięć dni roboczych od otrzymania wniosku o dane niezbędne do zareagowania na niebezpieczeństwo_publiczne oraz bez zbędnej zwłoki i w żadnym razie nie później niż 30 dni roboczych od otrzymania takiego wniosku w innych przypadkach występowania wyjątkowej potrzeby, powołując się na jeden z następujących powodów:

a)	posiadacz_danych nie ma kontroli nad żądanymi danymi;

b)	podobny wniosek w tym samym celu złożyły wcześniej inny organ_sektora_publicznego lub Komisja, Europejski Bank Centralny lub organ Unii, a posiadacza danych nie powiadomiono o usunięciu danych zgodnie z art. 19 ust. 1 lit. c);

c)	wniosek nie spełnia warunków określonych w art. 17 ust. 1 i 2.

3. Jeżeli posiadacz_danych postanowi odmówić zastosowania się do wniosku lub wystąpić o jego zmianę zgodnie z ust. 2 lit. b), wskazuje organ_sektora_publicznego lub Komisję, Europejski Bank Centralny lub organ Unii, które wcześniej złożyły wniosek w tym samym celu.

4. W przypadku gdy żą dane dane zawierają dane osobowe, posiadacz_danych odpowiednio anonimizuje dane, chyba że zastosowanie się do wniosku o udostępnienie danych organowi sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu lub organowi Unii wymaga ujawnienia danych osobowych. W takich przypadkach posiadacz_danych pseudonimizuje dane.

5. W przypadku gdy organ_sektora_publicznego, Komisja, Europejski Bank Centralny lub organ Unii chcą zaskarżyć odmowę dostarczenia żądanych danych przez posiadacza danych lub gdy posiadacz_danych chce zaskarżyć wniosek, a sprawy nie da się rozstrzygnąć poprzez odpowiednią zmianę wniosku, zostaje ona wniesiona do właściwego organu wyznaczonego zgodnie z art. 37 w państwie członkowskim, w którym posiadacz_danych ma siedzibę.

Artykuł 19

Obowiązki organów sektora publicznego, Komisji, Europejskiego Banku Centralnego i organów Unii

1. Organ sektora publicznego, Komisja, Europejski Bank Centralny lub organ Unii, które otrzymały dane zgodnie z wnioskiem złożonym na podstawie art. 14:

a)	nie wykorzystują danych w sposób niezgodny z celem, w którym o nie wystąpiono;

b)	wdrożyły środki techniczne i organizacyjne chroniące poufność i integralność żądanych danych oraz bezpieczeństwo przekazywania danych, w szczególności danych osobowych, oraz chronią prawa i wolności osób, których dane dotyczą;

usuwają dane, gdy tylko przestaną one być niezbędne do określonego celu, i bez zbędnej zwłoki informują o ich usunięciu posiadacza danych oraz osoby fizyczne lub organizacje, które otrzymały dane na podstawie art. 21 ust. 1, chyba że prawo Unii lub prawo krajowe dotyczące publicznego dostępu do dokumentów wymaga archiwizacji danych w kontekście obowiązków dotyczących przejrzystości.

2. Organ sektora publicznego, Komisja, Europejski Bank Centralny, organ Unii lub osoba trzecia otrzymujące dane na podstawie niniejszego rozdziału:

a)	nie wykorzystują danych lub informacji o sytuacji ekonomicznej, aktywach oraz metodach produkcji lub działalności posiadacza danych, aby opracować lub udoskonalić produkt_skomunikowany lub usługę powiązaną konkurujące z produktem skomunikowanym lub usługą powiązaną posiadacza danych;

b)	nie dzielą się danymi z inną osobą trzecią w jakimkolwiek z celów, o których mowa w lit. a).

3. Ujawnienie tajemnicy przedsiębiorstwa organowi sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu lub organowi Unii jest wymagane wyłącznie w zakresie, w jakim jest to bezwzględnie konieczne do osiągnięcia celu wniosku złożonego na podstawie art. 15. W takim przypadku posiadacz_danych lub, jeżeli nie jest tą samą osobą, posiadacz_tajemnicy_przedsiębiorstwa identyfikują dane chronione, w tym w stosownych metadanych, jako tajemnice przedsiębiorstwa. Przed ujawnieniem tajemnic przedsiębiorstwa organ_sektora_publicznego, Komisja, Europejski Bank Centralny lub organ Unii stosują wszelkie niezbędne i odpowiednie środki techniczne i organizacyjne, aby chronić poufność tajemnic przedsiębiorstwa, w tym w stosownym przypadku używają modelowych postanowień umownych, norm technicznych oraz kodeksów postępowania.

4. Organ sektora publicznego, Komisja, Europejski Banki Centralny lub organ Unii odpowiadają za bezpieczeństwo otrzymanych danych.

Artykuł 20

Rekompensata w przypadkach wyjątkowej potrzeby

1. Posiadacze danych inni niż mikroprzedsiębiorstwa i małe przedsiębiorstwa nieodpłatnie udostępniają dane niezbędne do zareagowania na niebezpieczeństwo_publiczne na podstawie art. 15 ust. 1 lit. a). Organ sektora publicznego, Komisja, Europejski Banki Centralny lub organ Unii, które otrzymały dane, zapewniają publiczne uznanie posiadaczowi danych, jeżeli posiadacz_danych o to wystąpi.

2. Posiadacz danych jest uprawniony do zasadnej rekompensaty za udostępnienie danych zgodnie z wnioskiem złożonym na podstawie art. 15 ust. 1 lit. b). Rekompensata taka pokrywa koszty techniczne i organizacyjne poniesione w celu zastosowania się do wniosku, w tym w stosownym przypadku koszty anonimizacji, pseudonimizacji, agregacji i dostosowania technicznego, powiększone o rozsądną marżę. Na żądanie organu sektora publicznego, Komisji, Europejskiego Banku Centralnego lub organu Unii posiadacz_danych przedstawia informacje o podstawie obliczenia kosztów i rozsądnej marży.

3. Ust. 2 ma zastosowanie także wtedy, gdy o rekompensatę za udostępnienie danych występują mikro przedsiębiorstwo lub małe przedsiębiorstwo.

4. Posiadacze danych nie mogą domagać się rekompensaty za udostępnienie danych zgodnie z wnioskiem wystosowanym na podstawie art. 15 ust. 1 lit. b), jeżeli konkretnym zadaniem realizowanym w interesie publicznym jest tworzenie statystyki publicznej i jeżeli prawo krajowe nie zezwala na sprzedaż danych. Państwa członkowskie powiadamiają Komisję, jeżeli prawo krajowe nie zezwala na sprzedaż danych na potrzeby tworzenia statystyki publicznej.

5. W przypadku gdy organ_sektora_publicznego, Komisja, Europejski Bank Centralny lub organ Unii nie zgadzają się z wysokością rekompensaty żą danej przez posiadacza danych, mogą złożyć skargę do właściwego organu wyznaczonego zgodnie z art. 37 w państwie członkowskim, w którym posiadacz_danych ma siedzibę.

Artykuł 21

Dzielenie się danymi pozyskanymi w ramach wyjątkowej potrzeby z organizacjami badawczymi lub urzędami statystycznymi

1. Organ sektora publicznego, Komisja, Europejski Bank Centralny lub organ Unii są uprawnione do dzielenia się danymi otrzymanymi w ramach niniejszego rozdziału:

a)	z osobami fizycznymi lub organizacjami na potrzeby prowadzenia badań naukowych lub analiz zgodnych z celem, w którym wystąpiono o dane; lub

b)	z krajowymi urzędami statystycznymi i Eurostatem do celów tworzenia statystyki publicznej.

2. Osoby fizyczne lub organizacje otrzymujące dane na podstawie ust. 1 prowadzą działalność o charakterze niekomercyjnym lub w kontekście misji interesu publicznego uznanej w prawie Unii lub w prawie krajowym. Nie zaliczają się do nich organizacje znajdujące się pod znacznym wpływem przedsiębiorstw komercyjnych, który mógłby skutkować preferencyjnym dostępem do wyników badań.

3. Osoby fizyczne lub organizacje otrzymujące dane na podstawie ust. 1 niniejszego artykułu przestrzegają tych samych obowiązków, które mają zastosowanie do organów sektora publicznego, Komisji, Europejskiego Banku Centralnego lub organów Unii na podstawie art. 17 ust. 3 i art. 19.

4. Niezależnie od art. 19 ust. 1 lit. c) osoby fizyczne lub organizacje otrzymujące dane na podstawie ust. 1 niniejszego artykułu mogą zachować dane otrzymane w celu, w którym o nie wystąpiono, maksymalnie przez sześć miesięcy po usunięciu danych przez organy sektora publicznego, Komisję, Europejski Bank Centralny i organy_Unii.

5. W przypadku gdy organ_sektora_publicznego, Komisja, Europejski Bank Centralny lub organ Unii zamierzają przesłać lub udostępnić dane na podstawie ust. 1 niniejszego artykułu, bez zbędnej zwłoki powiadamiają o tym posiadacza danych, od którego otrzymano dane, podając dane identyfikacyjne i kontaktowe organizacji lub osoby fizycznej otrzymujących dane, cel przesłania lub udostępnienia danych, okres, przez który dane będą wykorzystywane, oraz zastosowane techniczne i organizacyjne środki ochrony, w tym jeżeli w grę wchodzą dane osobowe lub tajemnice przedsiębiorstwa. W przypadku gdy posiadacz_danych nie zgadza się na przesłanie lub udostępnienie danych, może złożyć skargę do właściwego organu wyznaczonego zgodnie z art. 37, w państwie członkowskim, w którym posiadacz_danych ma siedzibę.

Artykuł 22

Wzajemna pomoc i współpraca transgraniczna

1. Organy sektora publicznego, Komisja, Europejski Bank Centralny i organy_Unii współpracują ze sobą i udzielają sobie wzajemnie pomocy w celu spójnego wdrożenia niniejszego rozdziału.

2. Dane wymienione w kontekście pomocy, o którą wystąpiono i której udzielono na podstawie ust. 1, nie są wykorzystywane w sposób niezgodny z celem, w którym o nie wystąpiono.

3. W przypadku gdy organ_sektora_publicznego zamierza wystąpić z wnioskiem o dane do posiadacza danych mającego siedzibę w innym państwie członkowskim, najpierw powiadamia o tym zamiarze właściwy organ wyznaczony zgodnie z art. 37 w tym państwie członkowskim. Wymóg ten ma zastosowanie także do wniosków wystosowywanych przez Komisję, Europejski Bank Centralny i organy_Unii. Właściwy organ państwa członkowskiego, w którym posiadacz_danych ma siedzibę, bada wniosek.

4. Po zbadaniu wniosku w świetle wymogów art. 17 stosowny właściwy organ bez zbędnej zwłoki podejmuje jedno z następujących działań:

przesyła wniosek posiadaczowi danych i w stosownym przypadku doradza organowi sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu lub organowi Unii, które występują z wnioskiem, w sprawie potrzeby, jeżeli taka występuje, o współpracę z organami sektora publicznego w państwie członkowskim, w którym posiadacz_danych ma siedzibę, w celu zmniejszenia obciążeń administracyjnych spoczywających na posiadaczu danych w kwestii zastosowania się do wniosku;

b)	z należycie uzasadnionych powodów, zgodnie z niniejszym rozdziałem, odrzuca wniosek.

W stosownych przypadkach, organ_sektora_publicznego, który wystąpił z wnioskiem, Komisja, Europejski Bank Centralny i organ Unii biorą pod uwagę opinię i powody przedstawione przez odpowiedni właściwy organ zgodnie z akapitem pierwszym, przed podjęciem wszelkich dalszych działań, takich jak ponowne złożenie wniosku.

ROZDZIAŁ VI

ZMIANA DOSTAWCY USŁUG PRZETWARZANIA DANYCH

Artykuł 25

Postanowienia umowne dotyczące zmiany dostawcy

1. Prawa klienta i obowiązki dostawcy usługi przetwarzania danych w odniesieniu do zmiany dostawcy takich usług lub w stosownym przypadku do przeniesienia do lokalnej infrastruktury ICT zostaną jasno określone w umowie zawartej na piśmie. Dostawca usług przetwarzania danych udostępnia taką umowę klientowi przed podpisaniem w sposób umożliwiający klientowi jej przechowywanie i reprodukowanie.

2. Bez uszczerbku dla dyrektywy (UE) 2019/770 w umowie, o której mowa w ust. 1 niniejszego artykułu znajdują się co najmniej następujące elementy:

postanowienia umowne umożliwiające klientowi na wniosek zmianę dostawcy usług przetwarzania danych na innego dostawcę usług przetwarzania danych lub przeniesienie wszystkich danych eksportowalnych i aktywów cyfrowych do lokalnej infrastruktury ICT bez zbędnej zwłoki i w żadnym razie nie później niż po upływie obowiązkowego maksymalnego okresu przejściowego wynoszącego 30 dni kalendarzowych i rozpoczynającego się po maksymalnym okresie wypowiedzenia, o którym mowa w lit. d), kiedy to umowa o świadczenie usług nadal ma zastosowanie, a dostawca usług przetwarzania danych:

(i)	zapewnia klientowi i osobom trzecim upoważnionym przez klienta uzasadnioną pomoc w procesie zmiany dostawcy;

(ii)	postępuje z należytą starannością w celu utrzymania ciągłości działalności i kontynuuje świadczenie funkcji lub usług przewidzianych w umowie;

(iii)

przedstawia jasne informacje o znanych zagrożeniach dla ciągłości świadczenia funkcji lub usług po stronie wyjściowego dostawcy usług przetwarzania danych;

(iv)

zapewnia, aby w trakcie całego procesu zmiany dostawcy utrzymany został wysoki poziom bezpieczeństwa, w szczególności bezpieczeństwa danych podczas ich przekazywania i dalszego bezpieczeństwa danych podczas okresu zatrzymywania, o którym mowa w lit. c), zgodnie z mającymi zastosowanie przepisami prawa Unii lub prawa krajowego;

b)	zobowiązanie dostawcy usług przetwarzania danych do wsparcia strategii odejścia klienta w odniesieniu do usług objętych umową, w tym poprzez przekazanie wszelkich istotnych informacji;

postanowienie umowne określające, że umowa zostaje uznana za rozwiązaną, a klient zostaje poinformowany o jej rozwiązaniu w jednym z następujących przypadków:

(i)	w stosownym przypadku po pomyślnym zakończeniu procesu zmiany dostawcy;

(ii)	na zakończenie maksymalnego okresu wypowiedzenia, o którym mowa w lit. d), w przypadku gdy klient nie chce zmienić dostawcy, ale chce usunąć wszystkie swoje dane eksportowalne i aktywa_cyfrowe po zakończeniu usługi;

d)	maksymalny okres wypowiedzenia rozpoczynający proces zmiany dostawcy i nieprzekraczający dwóch miesięcy;

e)	szczegółowa specyfikacja wszystkich kategorii danych i aktywów cyfrowych, które można przenieść w trakcie procesu zmiany dostawcy, w tym co najmniej wszystkich danych eksportowalnych;

szczegółowa specyfikacja kategorii danych specyficznych dla wewnętrznego funkcjonowania dostawcy usługi przetwarzania danych, które są wyłączone spośród danych eksportowalnych przewidzianych w lit. e) niniejszego ustępu, w przypadku gdy istnieje ryzyko naruszenia tajemnic przedsiębiorstwa dostawcy, o ile wyłączenia te nie utrudniają ani nie opóźniają procesu zmiany dostawcy, o którym mowa w art. 23;

g)	minimalny okres, w którym można pobrać dane, wynoszący co najmniej 30 dni kalendarzowych, rozpoczynający się po zakończeniu okresu przejściowego uzgodnionego między klientem a dostawcą usług przetwarzania danych, zgodnie z lit. a) niniejszego ustępu i ust. 4;

postanowienie umowne gwarantujące całkowite usunięcie wszystkich danych eksportowalnych i aktywów cyfrowych wygenerowanych bezpośrednio przez klienta lub bezpośrednio dotyczących klienta po upływie okresu pobierania, o którym mowa w lit. g), lub po upływie alternatywnego uzgodnionego okresu w terminie późniejszym niż termin upływu okresu pobierania, o którym mowa w lit. g), pod warunkiem że pomyślnie ukończony został proces zmiany dostawcy;

i)	opłaty_z tytułu_zmiany_dostawcy, które dostawcy usług przetwarzania danych mogą nałożyć zgodnie z art. 29.

3. Umowa, o której mowa w ust. 1, zawiera postanowienia umowne określające, że klient może powiadomić dostawcę usług przetwarzania danych o swojej decyzji, aby po upływie maksymalnego okresu wypowiedzenia, o którym mowa w ust. 2 lit. d), wykonać co najmniej jedno z następujących działań:

a)	zmienić dostawcę usług przetwarzania danych na innego dostawcę, w którym to przypadku klient przedstawia niezbędne dane tego innego dostawcy;

b)	przejść na lokalną infrastrukturę ICT;

c)	usunąć jego dane eksportowalne i aktywa_cyfrowe.

4. W przypadku gdy obowiązkowy maksymalny okres przejściowy określony w ust. 2 lit. a) jest technicznie niemożliwy, dostawca usług przetwarzania danych powiadamia o tym klienta w terminie 14 dni roboczych od złożenia wniosku o zmianę dostawcy, należycie uzasadnia techniczną niewykonalność i wskazuje zastępczy okres przejściowy, który nie może przekroczyć siedmiu miesięcy. Zgodnie z ust. 1 ciągłość usługi zostaje zapewniona przez cały zastępczy okres przejściowy.

5. Bez uszczerbku dla ust. 4 umowa, o której mowa w ust. 1 zawiera postanowienia umowne zapewniające klientowi prawo do jednokrotnego przedłużenia okresu przejściowego o okres, który klient uznaje za właściwszy z uwagi na własne cele.

Artykuł 37

Właściwe organy i koordynatorzy danych

1. Każde państwo członkowskie wyznacza właściwy organ lub właściwe organy odpowiedzialne za stosowanie i egzekwowanie niniejszego rozporządzenia (zwane dalej „właściwymi organami”). Państwa członkowskie mogą ustanowić co najmniej jeden nowy organ lub oprzeć się na organach już istniejących.

2. W przypadku gdy państwo członkowskie wyznaczy więcej niż jeden właściwy organ, wyznacza spośród nich koordynatora danych, który ułatwia współpracę między właściwymi organami i pomaga podmiotom objętym zakresem stosowania niniejszego rozporządzenia we wszystkich sprawach związanych z jego stosowaniem i egzekwowaniem. Właściwe organy, wykonując zadania i uprawnienia przyznane im na podstawie ust. 5, współpracują ze sobą nawzajem.

3. Organy nadzorcze odpowiedzialne za monitorowanie stosowania rozporządzenia (UE) 2016/679 są odpowiedzialne za monitorowanie stosowania niniejszego rozporządzenia w zakresie ochrony danych osobowych. Stosuje się odpowiednio rozdziały VI i VII rozporządzenia (UE) 2016/679.

Europejski Inspektor Ochrony Danych jest odpowiedzialny za monitorowanie stosowania niniejszego rozporządzenia w zakresie, w jakim dotyczy ono Komisji, Europejskiego Banku Centralnego lub organów Unii. W stosownym przypadku stosuje się odpowiednio art. 62 rozporządzenia (UE) 2018/1725.

Zadania i uprawnienia organów nadzorczych, o których mowa w niniejszym ustępie, są wykonywane w odniesieniu do przetwarzania danych osobowych.

4. Bez uszczerbku dla ust. 1 niniejszego artykułu:

a)	w odniesieniu do konkretnych kwestii sektorowych dotyczących dostępu do danych i wykorzystywania danych w związku ze stosowaniem niniejszego rozporządzenia respektuje się kompetencje organów sektorowych;

b)	właściwy organ odpowiedzialny za stosowanie i egzekwowanie art. 23 do 31 oraz art. 34 i 35 posiada doświadczenie w dziedzinie usług opartych na danych i usług łączności elektronicznej.

5. Państwa członkowskie zapewniają, aby zadania i uprawnienia właściwych organów były jasno określone i obejmowały:

a)	propagowanie wśród użytkowników i podmiotów objętych zakresem stosowania niniejszego rozporządzenia umiejętności korzystania z danych oraz wiedzy na temat praw i obowiązków wynikających z niniejszego rozporządzenia;

rozpatrywanie skarg wynikających z domniemanych naruszeń niniejszego rozporządzenia, w tym związanych z tajemnicami przedsiębiorstwa, oraz prowadzenie postępowań, w odpowiednim zakresie, w przedmiocie skarg i regularne informowanie skarżącego, w stosownym przypadku zgodnie z prawem krajowym, w rozsądnym terminie o postępach i wynikach postępowania, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowania lub koordynacja działań z innym właściwym organem;

c)	prowadzenie postępowań w sprawach dotyczących stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego właściwego organu lub innego organu publicznego;

d)	nakładanie skutecznych, proporcjonalnych i odstraszających kar pieniężnych, które mogą obejmować kary okresowe i kary z mocą wsteczną, lub wszczynanie postępowań sądowych w celu nałożenia grzywny;

e)	monitorowanie rozwoju technologicznego i sytuacji gospodarczej mających znaczenie dla udostępniania i wykorzystywania danych;

współpracę z właściwymi organami innych państw członkowskich oraz w stosownym przypadku z Komisją lub Europejską Radą ds. Innowacji w zakresie Danych w celu zapewnienia spójnego i skutecznego stosowania niniejszego rozporządzenia, w tym wymianę wszystkich istotnych informacji drogą elektroniczną bez zbędnej zwłoki, w tym w odniesieniu do ust. 10 niniejszego artykułu.;

współpracę ze stosownymi właściwymi organami odpowiedzialnymi za wdrażanie innych unijnych lub krajowych aktów prawnych, w tym organami właściwymi do spraw usług opartych na danych i usług łączności elektronicznej, organem nadzorczym odpowiedzialnym za monitorowanie stosowania rozporządzenia (UE) 2016/679 lub z organami sektorowymi w celu zapewnienia, aby niniejsze rozporządzenie było egzekwowane spójnie z innym prawem Unii i prawem krajowym;

h)	współpracę ze stosownymi właściwymi organami w celu zapewnienia, aby obowiązki określone w art. 23 do 31 oraz art. 34 i 35 były egzekwowane spójnie z innymi prawem Unii i samoregulacją mającymi zastosowanie do dostawców usług przetwarzania danych;

i)	zapewnienie wycofania opłat z tytułu zmiany dostawcy zgodnie z art. 29;

j)	analizę wniosków o dane złożonych na podstawie rozdziału V.

W przypadku gdy wyznaczony został koordynator danych, ułatwia on współpracę o której mowa w lit. f), g) i h) akapitu pierwszego i na żądanie wspiera właściwe organy.

6. Koordynator danych, w przypadku gdy taki właściwy organ został wyznaczony:

a)	działa jako pojedynczy punkt kontaktu we wszystkich sprawach związanych ze stosowaniem niniejszego rozporządzenia;

b)	zapewnia publiczną dostępność w internecie wniosków o udostępnienie danych składanych przez organy sektora publicznego w przypadku wyjątkowej potrzeby na podstawie przepisów rozdziału V i promuje dobrowolne umowy o dzieleniu się danymi między organami sektora publicznego a posiadaczami danych;

c)	co roku informuje Komisję o odmowach, o których powiadomiono go na podstawie art. 4 ust. 2 i 8 i art. 5 ust. 11.

7. Państwa członkowskie przekazują Komisji nazwy właściwych organów oraz ich zadania i uprawnienia, a także w stosownym przypadku nazwę koordynatora danych. Komisja prowadzi publiczny rejestr tych organów.

8. Wykonując swoje zadania i uprawnienia zgodnie z niniejszym rozporządzeniem, właściwe organy pozostają bezstronne i wolne od jakichkolwiek bezpośrednich i pośrednich wpływów zewnętrznych ani nie zwracają się o instrukcje w indywidualnych sprawach do żadnego innego organu publicznego ani podmiotu prywatnego ani nie przyjmują takich instrukcji.

9. Państwa członkowskie zapewniają, aby właściwe organy dysponowały wystarczającymi zasobami ludzkimi i technicznymi oraz stosowną wiedzą ekspercką umożliwiającymi im skuteczne wykonywanie zadań zgodnie z niniejszym rozporządzeniem.

10. Podmioty objęte zakresem stosowania niniejszego rozporządzenia podlegają kompetencji państwa członkowskiego, w którym dany podmiot ma siedzibę. W przypadku gdy podmiot ma siedzibę w więcej niż jednym państwie członkowskim, uznaje się, że podlega kompetencji państwa członkowskiego, w którym ma główną siedzibę, to znaczy w którym mieści się jego siedziba zarządu lub siedziba statutowa, z których wykonywane są podstawowe funkcje finansowe i sprawowana jest kontrola operacyjna.

11. Podmiot objęty zakresem stosowania niniejszego rozporządzenia, który udostępnia produkty skomunikowane lub oferuje usługi w Unii i który nie ma siedziby w Unii, wyznacza przedstawiciela prawnego w jednym z państw członkowskich.

12. Do celów przestrzegania niniejszego rozporządzenia przedstawiciel prawny zostaje upoważniony przez podmiot objęty zakresem stosowania niniejszego rozporządzenia, który udostępnia produkty skomunikowane lub oferuje usługi w Unii, by oprócz tego podmiotu lub zamiast niego właściwe organy kontaktowały się z nim we wszystkich kwestiach związanych z tym podmiotem. Przedstawiciel prawny współpracuje z właściwymi organami i na żądanie szczegółowo przedstawia im działania podjęte i przepisy przyjęte w celu zapewnienia przestrzegania niniejszego rozporządzenia przez podmiot objęty zakresem stosowania niniejszego rozporządzenia, który udostępnia produkty skomunikowane lub oferuje usługi w Unii.

13. Uznaje się, że podmiot objęty zakresem stosowania niniejszego rozporządzenia, który udostępnia produkty skomunikowane lub oferuje usługi w Unii, podlega kompetencji państwa członkowskiego, w którym zlokalizowany jest przedstawiciel prawny. Wyznaczenie przedstawiciela prawnego przez taki podmiot pozostaje bez uszczerbku dla odpowiedzialności i wszelkich postępowań, które mogą zostać wszczęte przeciwko, takiego podmiotu. Do czasu aż podmiot wyznaczy przedstawiciela prawnego zgodnie z niniejszym artykułem, w stosownym przypadku podlega on kompetencji wszystkich państw członkowskich do celów zapewnienia stosowania i egzekwowania niniejszego rozporządzenia. Dowolny właściwy organ może wykonać swoją właściwość, w tym nakładając skuteczne, proporcjonalne i odstraszające kary, pod warunkiem że dany podmiot nie podlega postępowaniu w sprawie egzekucji niniejszego rozporządzenia w związku z tym samymi faktami przez inny właściwy organ.

14. Właściwe organy mogą żądać od użytkowników, posiadaczy danych, odbiorców danych lub ich przedstawicieli prawnych podlegających kompetencji ich państwa członkowskiego wszelkich informacji niezbędnych do zweryfikowania przestrzegania niniejszego rozporządzenia. Każdy wniosek o informacje musi być proporcjonalny do zadania będącego jego podstawą i musi być uzasadniony.

15. W przypadku gdy właściwy organ jednego państwa członkowskiego zwraca się o pomoc lub środki egzekucji do właściwego organu innego państwa członkowskiego, przedkłada uzasadniony wniosek. Właściwy organ po otrzymaniu takiego wniosku bez zbędnej zwłoki odpowiada, szczegółowo przedstawiając podjęte lub planowane działania.

16. Właściwe organy przestrzegają zasad poufności oraz tajemnic służbowych i handlowych oraz chronią dane osobowe zgodnie z prawem Unii lub prawem krajowym. Wszelkie informacje wymienione w ramach wniosku o pomoc i zapewnione zgodnie z niniejszym artykułem są wykorzystywane wyłącznie w odniesieniu do sprawy, w której o nie wystąpiono.

Artykuł 38

Prawo do wniesienia skargi

1. Bez uszczerbku dla innych administracyjnych lub sądowych środków ochrony prawnej osoby fizyczne i prawne mają prawo wnieść skargę, indywidualnie lub w stosownym przypadku zbiorowo, do stosownego właściwego organu w państwie członkowskim, w którym mają miejsce zwykłego pobytu, miejsce pracy lub siedzibę, jeżeli sądzą, że ich prawa wynikające z niniejszego rozporządzenia zostały naruszone. Koordynator danych na wniosek przedstawia osobom fizycznym i prawnym wszelkie informacje niezbędne do wniesienia skargi do odpowiedniego właściwego organu.

2. Właściwy organ, do którego wniesiono skargę, informuje skarżącego zgodnie z prawem krajowym o przebiegu postępowania i podjętej decyzji.

3. Właściwe organy współpracują w celu skutecznego i terminowego rozpatrywania i rozstrzygania skarg, w tym poprzez wymianę wszelkich istotnych informacji drogą elektroniczną, bez zbędnej zwłoki. Współpraca ta nie wpływa na mechanizmy współpracy przewidziane w rozdziałach VI i VII rozporządzenia (UE) 2016/679 i w rozporządzeniu (UE) 2017/2394.

Artykuł 39

Prawo do skutecznego sądowego środka ochrony prawnej

1. Niezależnie od administracyjnych lub innych pozasądowych środków ochrony prawnej każda osoba fizyczna i prawna, których to dotyczy, ma prawo do skutecznego sądowego środka ochrony prawnej przeciwko prawnie wiążącej decyzji właściwych organów.

2. W przypadku gdy właściwy organ nie podejmie działań w odpowiedzi na skargę, każda osoba fizyczna i prawna, których to dotyczy, ma zgodnie z prawem krajowym prawo do skutecznego sądowego środka ochrony prawnej albo do skorzystania z kontroli dokonywanej przez bezstronny organ dysponujący odpowiednią wiedzą specjalistyczną.

3. Postępowania na podstawie niniejszego artykułu toczą się przed sądami lub trybunałami państwa członkowskiego, w którym znajduje się właściwy organ, przeciwko któremu sądowy środek ochrony prawnej został wniesiony indywidualnie lub – w stosownym przypadku – zbiorowo przez przedstawicieli osoby fizycznej lub prawnej lub kilka takich osób.

whereas

keyboard_tab Data Act 2023/2854 PL

Data Act 2023/2854 PL