keyboard_tab Data Act 2023/2854 PL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 4 Artykuł 4 Prawa i obowiązki użytkowników i posiadaczy danych w odniesieniu do dostępu do danych z produktu i z usługi powiązanej, ich wykorzystywania i udostępniania
- 1 Artykuł 5 Prawo użytkownika do dzielenia się danymi z osobami trzecimi
- 3 Artykuł 6 Obowiązki osób trzecich otrzymujących dane na wniosek użytkownika
ROZDZIAŁ I
PRZEPISY OGÓLNE
ROZDZIAŁ II
DZIELENIE SIĘ DANYMI PRZEZ PRZEDSIĘBIORCÓW Z KONSUMENTAMI I Z INNYMI PRZEDSIĘBIORCAMI
ROZDZIAŁ III
OBOWIĄZKI POSIADACZY DANYCH ZOBOWIĄZANYCH DO UDOSTĘPNIANIA DANYCH ZGODNIE Z PRAWEM UNII
ROZDZIAŁ IV
NIEUCZCIWE POSTANOWIENIA UMOWNE MIĘDZY PRZEDSIĘBIORSTWAMI DOTYCZĄCE DOSTĘPU DO DANYCH I ICH WYKORZYSTYWANIA
ROZDZIAŁ V
UDOSTĘPNIANIE DANYCH ORGANOM SEKTORA PUBLICZNEGO, KOMISJI, EUROPEJSKIEMU BANKOWI CENTRALNEMU I ORGANOM UNII NA PODSTAWIE WYJĄTKOWEJ POTRZEBY
ROZDZIAŁ VI
ZMIANA DOSTAWCY USŁUG PRZETWARZANIA DANYCH
ROZDZIAŁ VII
BEZPRAWNY MIĘDZYNARODOWY DOSTĘP ADMINISTRACJI RZĄDOWEJ DO DANYCH NIEOSOBOWYCH I BEZPRAWNE MIĘDZYNARODOWE PRZEKAZYWANIE DANYCH NIEOSOBOWYCH
ROZDZIAŁ VIII
INTEROPERACYJNOŚĆ
ROZDZIAŁ IX
WDRAŻANIE I EGZEKWOWANIE
ROZDZIAŁ X
PRAWO SUI GENERIS PRZEWIDZIANE W DYREKTYWIE 96/9/WE
ROZDZIAŁ XI
PRZEPISY KOŃCOWE
- dane
- metadane
- dane osobowe
- dane nieosobowe
- produkt skomunikowany
- usługa powiązana
- przetwarzanie
- usługa przetwarzania danych
- usługa tego samego typu
- usługa pośrednictwa danych
- osoba, której dane dotyczą
- użytkownik
- posiadacz danych
- odbiorca danych
- dane z produktu
- dane z usługi powiązanej
- dane łatwo dostępne
- tajemnica przedsiębiorstwa
- posiadacz tajemnicy przedsiębiorstwa
- profilowanie
- udostępnienie na rynku
- wprowadzenie do obrotu
- konsument
- przedsiębiorstwo
- małe przedsiębiorstwo
- mikroprzedsiębiorstwo
- organy Unii
- organ sektora publicznego
- niebezpieczeństwo publiczne
- klient
- wirtualni asystenci
- aktywa cyfrowe
- lokalna infrastruktura ICT
- zmiana dostawcy
- opłaty z tytułu wychodzącego ruchu danych
- opłaty z tytułu zmiany dostawcy
- równoważność funkcjonalna
- dane eksportowalne
- inteligentna umowa
- interoperacyjność
- otwarte specyfikacje w zakresie interoperacyjności
- wspólne specyfikacje
- norma zharmonizowana
- danych 76
- się 33
- zgodnie 25
- dane 21
- użytkownika 20
- z art 18
- podstawie 18
- przedsiębiorstwa 17
- danymi 15
- ust 14
- przez 14
- posiadacz_danych 14
- posiadacza 13
- w tym 13
- użytkownik 12
- jest 12
- osoba 12
- przypadku 11
- oraz 11
- niezbędne 11
- środków 11
- dostępu 11
- tajemnic 11
- trzecia 10
- w stosownym 9
- trzeciej 9
- poufności 9
- które 9
- rozporządzenia 9
- jako 9
- niniejszego 8
- może 8
- wykorzystuje 8
- informacji 8
- zwłoki 8
- ue / 8
- trzecią 8
- dzielenia 8
- zbędnej 8
- skomunikowanego 7
- z produktu 7
- użytkownikiem 7
- w sposób 7
- artykułu 7
- powiązanej 7
- umowy 7
- osoby 7
- tajemnice 6
- decyzję 6
- z ust 6
Artykuł 4
Prawa i obowiązki użytkowników i posiadaczy danych w odniesieniu do dostępu do danych z produktu i z usługi powiązanej, ich wykorzystywania i udostępniania
1. W przypadku gdy użytkownik nie może uzyskać bezpośredniego dostępu do danych z produktu skomunikowanego lub z usługi powiązanej, posiadacze danych bez zbędnej zwłoki, w sposób łatwy i bezpieczny, nieodpłatnie udostępniają użytkownikowi dane łatwo dostępne, wraz z odpowiednimi metadanymi niezbędnymi do interpretacji i wykorzystania tych danych, cechujące się taką samą jakością, jaka jest dostępna dla posiadacza danych, w całościowym, ustrukturyzowanym, powszechnie używanym, nadającym się do odczytu maszynowego formacie oraz w stosownym przypadku i jeżeli jest to technicznie wykonalne – w sposób ciągły i w czasie rzeczywistym. Odbywa się to na podstawie zwykłego wniosku złożonego drogą elektroniczną, jeżeli jest to technicznie możliwe.
2. Użytkownicy i posiadacze danych mogą umownie ograniczyć lub zakazać dostępu do danych, ich wykorzystywania lub dalszego dzielenia się nimi, jeżeli takie przetwarzanie mogłoby zagrozić wymaganiom bezpieczeństwa produktu skomunikowanego określonym w prawie Unii lub prawie krajowym i mieć poważny negatywny wpływ na zdrowie, bezpieczeństwo lub ochronę osób fizycznych. Organy sektorowe mogą zapewnić użytkownikom i posiadaczom danych fachową wiedzę techniczną w tym kontekście. W przypadku gdy posiadacz_danych odmawia dzielenia się danymi na podstawie niniejszego artykułu, powiadamia on właściwy organ wyznaczony zgodnie z art. 37.
3. Bez uszczerbku dla przysługującego użytkownikowi w dowolnym momencie prawa do dochodzenia roszczeń przed sądem lub trybunałem państwa członkowskiego, użytkownik może w związku ze sporem z posiadaczem danych w sprawie ograniczeń umownych lub zakazów, o których mowa w ust. 2:
| a) | wnieść skargę do właściwego organu zgodnie z art. 37 ust. 5 lit. b); lub |
| b) | uzgodnić z posiadaczem danych wniesienie sprawy do organu rozstrzygania sporów zgodnie z art. 10 ust. 1. |
4. Posiadacze danych nie utrudniają bezzasadnie użytkownikom dokonywania wyborów ani wykonywania praw na podstawie niniejszego artykułu, w tym poprzez oferowanie użytkownikom wyboru w sposób nieneutralny lub poprzez podważanie lub ograniczanie autonomii, zdolności decyzyjnych lub wyborów użytkownika za pomocą struktury, projektu, funkcji lub sposobu działania interfejsu cyfrowego użytkownika bądź jego części.
5. W celu kontroli, czy osoba fizyczna lub prawna kwalifikuje się jako użytkownik na potrzeby ust. 1, posiadacz_danych nie wymaga od użytkownika dostarczenia żadnych informacji poza tymi, które są niezbędne. Posiadacze danych nie zachowują żadnych informacji, w szczególności danych z rejestru zdarzeń, na temat dostępu użytkownika do żądanych danych poza informacjami, które są niezbędne do należytego wykonania wniosku użytkownika o dostęp oraz do zapewnienia bezpieczeństwa i utrzymania infrastruktury danych.
6. Chroni się tajemnice przedsiębiorstwa i ujawnia się je wyłącznie wtedy, gdy posiadacz_danych i użytkownik przed ujawnieniem zastosują wszelkie środki niezbędne do ochrony ich poufności, w szczególności w odniesieniu do osób trzecich. Posiadacz danych lub, jeżeli nie jest to ta sama osoba, posiadacz_tajemnicy_przedsiębiorstwa identyfikują dane chronione, w tym stosowne meta dane, jako tajemnice przedsiębiorstwa i uzgadniają z użytkownikiem proporcjonalne środki techniczne i organizacyjne niezbędne do ochrony poufności danych podlegających dzieleniu się, w szczególności w odniesieniu do osób trzecich, takie jak modelowe postanowienia umowne, umowy o poufności, protokoły ścisłego dostępu, normy techniczne oraz stosowanie kodeksów postępowania.
7. W przypadku gdy nie uzgodniono niezbędnych środków technicznych, o których mowa w ust. 6, lub gdy użytkownik nie wdraża środków uzgodnionych zgodnie z ust. 6 lub zagraża poufności tajemnic przedsiębiorstwa, posiadacz_danych może wstrzymać lub w stosownym przypadku zawiesić dzielenie się danymi zidentyfikowanymi jako tajemnice przedsiębiorstwa. Posiadacz danych należycie uzasadnia decyzję i bez zbędnej zwłoki przekazuje ją na piśmie użytkownikowi. W takich przypadkach posiadacz_danych powiadamia właściwy organ wyznaczony zgodnie z art. 37, że wstrzymał lub zawiesił dzielenie się danymi, i wskazuje, których środków nie wdrożono lub nie zastosowano, lub w stosownym przypadku poufność których tajemnic przedsiębiorstwa zagrożono.
8. W wyjątkowych okolicznościach, w przypadku gdy posiadacz_danych będący posiadaczem tajemnicy przedsiębiorstwa może wykazać, że mimo środków technicznych i organizacyjnych zastosowanych przez użytkownika zgodnie z ust. 6 niniejszego artykułu ujawnienie tajemnic handlowych z dużym prawdopodobieństwem poskutkuje poważną szkodą ekonomiczną, posiadacz_danych może w tym konkretnym przypadku odrzucić wniosek o dostęp do tych konkretnych danych. Wykazane informacje zostają należycie uzasadnione na podstawie obiektywnych elementów, w szczególności egzekwowalności tajemnic przedsiębiorstwa w krajach trzecich, charakteru i poziomu poufności żądanych danych oraz niepowtarzalności i nowatorskości produktu skomunikowanego, i przedstawione na piśmie bez zbędnej zwłoki. W przypadku gdy posiadacz_danych odmawia dzielenia się danymi na podstawie niniejszego ustępu, powiadamia on właściwy organ wyznaczony zgodnie z art. 37.
9. Bez uszczerbku dla przysługującego użytkownikowi w dowolnym momencie prawa do dochodzenia roszczeń przed sądem lub trybunałem państwa członkowskiego, użytkownik chcący zaskarżyć decyzję posiadacza danych o odmowie, wstrzymaniu lub zawieszeniu dzielenia się danymi zgodnie z ust. 7 i 8 może:
| a) | wnieść skargę zgodnie z art. 37 ust. 5 lit. b) do właściwego organu, który bez zbędnej zwłoki podejmuje decyzję, czy i na jakich warunkach dzielenie się danymi powinno się rozpocząć lub zostać wznowione; lub |
| b) | uzgodnić z posiadaczem danych wniesienie sprawy do organu rozstrzygania sporów zgodnie z art. 10 ust. 1. |
10. Użytkownik nie wykorzystuje danych pozyskanych na podstawie wniosku, o którym mowa w ust. 1, do opracowania produktu skomunikowanego konkurującego z produktem skomunikowanym, z którego pochodzą dane, ani nie dzieli się w tym celu danymi z osobą trzecią i nie wykorzystuje takich danych do pozyskania informacji o sytuacji ekonomicznej, aktywach i metodach produkcji producenta lub w stosownym przypadku posiadacza danych.
11. Użytkownik nie stosuje środków przymusu ani nie nadużywa luk w infrastrukturze technicznej posiadacza danych, która ma chronić dane, w celu uzyskania dostępu do danych.
12. W przypadku gdy użytkownik nie jest osobą, której dotyczą dane osobowe objęte wnioskiem, wszelkie dane osobowe wygenerowane w wyniku korzystania z produktu skomunikowanego lub usługi powiązanej są udostępniane użytkownikowi przez posiadacza danych wyłącznie wtedy, gdy istnieje ważna podstawa prawna przetwarzania zgodnie z art. 6 rozporządzenia (UE) 2016/679 oraz w stosownym przypadku spełnione są warunki określone w art. 9 tego rozporządzenia i w art. 5 ust. 3 dyrektywy (UE) 2002/58.
13. Posiadacz danych wykorzystuje dane łatwo dostępne będące danymi nieosobowymi wyłącznie na podstawie umowy z użytkownikiem. Posiadacz danych nie wykorzystuje takich danych do pozyskania informacji o sytuacji ekonomicznej, aktywach i metodach produkcji użytkownika lub korzystaniu przez użytkownika, które to informacje mogłyby w inny sposób osłabić pozycję handlową użytkownika na rynkach jego działalności.
14. Posiadacze danych nie udostępniają danych nieosobowych z produktu osobom trzecim w celach handlowych lub niehandlowych innych niż realizacja umowy z użytkownikiem. W stosownych przypadkach posiadacze danych umownie zobowiązują osoby trzecie, aby nie dzieliły się dalej otrzymanymi od nich danymi.
Artykuł 5
Prawo użytkownika do dzielenia się danymi z osobami trzecimi
1. Na wniosek użytkownika lub strony działającej w jego imieniu posiadacz_danych bez zbędnej zwłoki w sposób łatwy i bezpieczny oraz nieodpłatnie dla użytkownika udostępnia osobie trzeciej dane łatwo dostępne wraz z odpowiednimi metadanymi niezbędnymi do interpretacji i wykorzystania tych danych cechujące się taką samą jakością, jaka jest dostępna dla posiadacza danych, w całościowym, ustrukturyzowanym, powszechnie używanym, nadającym się do odczytu maszynowego formacie oraz w stosownym przypadku i jeżeli jest to technicznie możliwe – w sposób ciągły i w czasie rzeczywistym. Danych są udostępniane przez posiadacza danych osobie trzeciej zgodnie z art. 8 i 9.
2. Ust. 1 nie ma zastosowania do danych łatwo dostępnych w kontekście testowania nowych produktów skomunikowanych, substancji lub procesów, które nie zostały jeszcze wprowadzone do obrotu, chyba że ich wykorzystanie przez osobę trzecią jest dozwolone na podstawie umowy.
3. Przedsiębiorstwo wskazane jako strażnik dostępu na mocy art. 3 rozporządzenia (UE) 2022/1925 nie kwalifikuje się jako osoba trzecia na mocy niniejszego artykułu, a zatem:
| a) | w żaden sposób nie nakłania ani komercyjnie nie zachęca użytkownika, w tym przez zapewnienie rekompensaty pieniężnej lub jakiejkolwiek innej, do udostępnienia danych, które użytkownik pozyskał na podstawie wniosku złożonego zgodnie z art. 4 ust. 1, na potrzeby jednej ze swoich usług; |
| b) | nie nakłania ani komercyjnie nie zachęca użytkownika do zwrócenia się do posiadacza danych z wnioskiem o udostępnienie danych na potrzeby jednej ze swoich usług zgodnie z ust. 1 niniejszego artykułu; |
| c) | nie otrzymuje danych od użytkownika, które użytkownik pozyskał na podstawie wniosku złożonego zgodnie z art. 4 ust. 1. |
4. W celu kontroli, czy osoba fizyczna lub prawna kwalifikuje się jako użytkownik lub osoba trzecia w świetle ust. 1, użytkownik ani osoba trzecia nie muszą dostarczać żadnych informacji poza tymi, które są niezbędne. Posiadacze danych nie zachowują żadnych informacji na temat dostępu osoby trzeciej do żądanych danych poza informacjami, które są niezbędne do należytego wykonania wniosku osoby trzeciej o dostęp oraz do zapewnienia bezpieczeństwa i utrzymania infrastruktury danych.
5. Osoba trzecia nie stosuje środków przymusu ani nie nadużywa luk w infrastrukturze technicznej posiadacza danych, która ma chronić dane, w celu uzyskania dostępu do danych.
6. Posiadacz danych nie wykorzystuje danych łatwo dostępnych do pozyskania informacji o sytuacji ekonomicznej, aktywach i metodach produkcji osoby trzeciej lub korzystaniu przez osobę trzecią w inny sposób, które to informacje mogłyby osłabić pozycję handlową osoby trzeciej na rynkach jej działalności, chyba że osoba trzecia pozwoliła na takie wykorzystanie i ma techniczną możliwość łatwego wycofania tego pozwolenia w dowolnym momencie.
7. W przypadku gdy użytkownik nie jest osobą, której dotyczą dane osobowe objęte wnioskiem, wszelkie dane osobowe wygenerowane w wyniku korzystania z produktu skomunikowanego lub usługi powiązanej są udostępniane osobie trzeciej przez posiadacza danych, wyłącznie wtedy, gdy istnieje ważna podstawa prawna przetwarzania zgodnie z art. 6 rozporządzenia (UE) 2016/679, oraz gdy w stosownym przypadku spełnione są warunki określone w art. 9 tego rozporządzenia i w art. 5 ust. 3 dyrektywy (UE) 2022/58.
8. Wszelkie przypadki niedokonania przez posiadacza danych i osobę trzecią uzgodnień dotyczących przesyłania danych nie utrudniają, nie uniemożliwiają ani nie zakłócają wykonywania praw przysługujących osobie, której dane dotyczą, na podstawie rozporządzenia (UE) 2016/679, a w szczególności prawa do przenoszenia danych na podstawie w art. 20 tego rozporządzenia.
9. Chroni się tajemnice przedsiębiorstwa i ujawnia się je osobom trzecim wyłącznie w zakresie, w jakim jest to ściśle niezbędne do realizacji celu uzgodnionego przez użytkownika i osobę trzecią. Posiadacz danych lub, jeżeli nie jest to ta sama osoba, posiadacz_tajemnicy_przedsiębiorstwa identyfikują dane chronione jako tajemnice przedsiębiorstwa, w tym stosowne meta dane, i uzgadniają z użytkownikiem wszelkie proporcjonalne środki techniczne i organizacyjne niezbędne do ochrony poufności danych będących przedmiotem dzielenia się, takie jak modelowe postanowienia umowne, umowy o poufności, protokoły ścisłego dostępu, normy techniczne oraz stosowanie kodeksów postępowania.
10. W przypadku gdy nie uzgodniono niezbędnych środków, o których mowa w ust. 9, lub gdy osoba trzecia nie wdraża środków uzgodnionych zgodnie z ust. 9 lub zagraża poufności tajemnic przedsiębiorstwa, posiadacz_danych może wstrzymać lub w stosownym przypadku zawiesić dzielenie się danymi zidentyfikowanymi jako tajemnice przedsiębiorstwa. Posiadacz danych należycie uzasadnia decyzję i bez zbędnej zwłoki przekazuje ją na piśmie osobie trzeciej. W takich przypadkach posiadacz_danych powiadamia właściwy organ wyznaczony zgodnie z art. 37, że wstrzymał lub zawiesił dzielenie się danymi, i wskazuje, których środków nie uzgodniono lub nie wdrożono lub w stosownym przypadku poufność których tajemnic przedsiębiorstwa zagrożono.
11. W wyjątkowych okolicznościach, kiedy posiadacz_danych będący posiadaczem tajemnicy przedsiębiorstwa może wykazać, że mimo środków technicznych i organizacyjnych zastosowanych przez osobę trzecią zgodnie z art. 9 niniejszego artykułu, ujawnienie tajemnic handlowych z dużym prawdopodobieństwem poskutkuje poważną szkodą ekonomiczną, posiadacz_danych może w tym konkretnym przypadku odrzucić wniosek o dostęp do tych konkretnych danych. Wykazane informacje zostają należycie uzasadnione na podstawie obiektywnych elementów, w szczególności egzekwowalności tajemnic przedsiębiorstwa w krajach trzecich, charakteru i poziomu poufności żądanych danych oraz niepowtarzalności i nowatorskości produktu, i przedstawione na piśmie bez zbędnej zwłoki. W przypadku gdy posiadacz_danych odmawia dzielenia się danymi na podstawie niniejszego ustępu, powiadamia on właściwy organ wyznaczony zgodnie z art. 37.
12. Bez uszczerbku dla prawa do dochodzenia roszczeń w dowolnym momencie przed sądem lub trybunałem państwa członkowskiego, osoba trzecia chcąca zaskarżyć decyzję posiadacza danych o odmowie, wstrzymaniu lub zawieszeniu dzielenia się danymi zgodnie z ust. 10 i 11 może:
| a) | wnieść skargę do właściwego organu zgodnie z art. 37 ust. 5 lit. b), który bez zbędnej zwłoki podejmuje decyzję, czy i na jakich warunkach dzielenie się danymi powinno się rozpocząć lub zostać wznowione; lub |
| b) | uzgodnić z posiadaczem danych wniesienie sprawy do organu rozstrzygania sporów zgodnie z art. 10 ust. 1. |
13. Prawo, o którym mowa w ust. 1, nie wpływa niekorzystnie na prawa osób, których dane dotyczą, zgodnie z mającym zastosowanie prawem Unii lub prawem krajowym dotyczącym ochrony danych osobowych lub prywatności.
Artykuł 6
Obowiązki osób trzecich otrzymujących dane na wniosek użytkownika
1. Osoba trzecia przetwarza dane udostępnione jej na podstawie art. 5 wyłącznie do celów i na warunkach uzgodnionych z użytkownikiem i – jeżeli spełnione są wszystkie warunki i zasady przewidziane w mającym zastosowanie prawie Unii lub prawie krajowym dotyczącym ochrony danych osobowych lub prywatności w tym prawach osoby, której dane dotyczą, w odniesieniu do danych osobowych. Osoba trzecia usuwa dane, gdy nie są one już niezbędne do uzgodnionego celu, chyba że uzgodniono inaczej z użytkownikiem w odniesieniu do danych nieosobowych.
2. Osoba trzecia:
| a) | bezzasadnie nie utrudnia użytkownikom dokonywania wyborów i wykonywania praw na podstawie art. 5 i niniejszego artykułu, w tym poprzez oferowanie użytkownikom wyboru w sposób nieneutralny lub zmuszanie, wprowadzanie w błąd użytkownika lub manipulowanie nim, bądź podważanie lub ograniczanie autonomii, zdolności decyzyjnych lub wyborów użytkowników, w tym za pomocą cyfrowego interfejsu użytkownika lub za pomocą jego części; |
| b) | niezależnie od art. 22 ust. 2 lit. a) i c) rozporządzenia (UE) 2016/679 nie wykorzystuje otrzymanych danych do profilowania, chyba że jest to niezbędne do świadczenia usługi żą danej przez użytkownika; |
| c) | nie udostępnia otrzymanych danych innej osobie trzeciej, chyba że udostępnia je na podstawie umowy z użytkownikiem, i pod warunkiem że ta inna osoba trzecia zastosuje wszystkie niezbędne środki uzgodnione między posiadaczem danych a osobą trzecią w celu ochrony poufności tajemnic przedsiębiorstwa; |
| d) | nie udostępnia otrzymanych danych przedsiębiorstwu wskazanemu jako strażnik dostępu na podstawie art. 3 rozporządzenia (UE) 2022/1925; |
| e) | nie wykorzystuje otrzymanych danych do opracowania produktu konkurującego z produktem skomunikowanym, z którego pochodzą dane, ani nie dzieli się nimi w tym celu z inną osobą trzecią; osoby trzecie nie wykorzystują też udostępnionych im danych nieosobowych z produktu lub z usługi powiązanej do pozyskania informacji o sytuacji ekonomicznej, aktywach i metodach produkcji posiadacza danych lub korzystaniu przez niego z produktu lub usługi powiązanej; |
| f) | nie wykorzystuje otrzymanych danych w sposób, który niekorzystnie wpływa na bezpieczeństwo produktu skomunikowanego lub usługi powiązanej; |
| g) | nie ignoruje szczególnych środków uzgodnionych z posiadaczem danych lub posiadaczem tajemnic przedsiębiorstwa zgodnie z art. 5 ust. 9 i nie zagraża poufności tajemnic przedsiębiorstwa; |
| h) | nie uniemożliwia użytkownikowi będącemu konsumentem, w tym w drodze umowy, udostępniania innym osobom otrzymanych przez siebie danych. |
whereas