Data Act 2023/2854 PL

c)	udostępniania danych przez posiadaczy danych organom sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu i organom Unii – w przypadku wystąpienia wyjątkowej potrzeby wykorzystania tych danych do celów wykonania określonego zadania realizowanego w interesie publicznym;

d)	ułatwiania zmiany dostawcy usług przetwarzania danych;

e)	wprowadzania zabezpieczeń przed niezgodnym z prawem dostępem osób trzecich do danych nieosobowych; oraz

f)	opracowania norm interoperacyjności wobec danych, które mają być udostępniane, przekazywane i wykorzystywane.

2. Niniejsze rozporządzenie dotyczy danych osobowych i nieosobowych, w tym następujących rodzajów danych i następujących kontekstów:

a)	rozdział II ma zastosowanie do danych, z wyjątkiem treści, dotyczących działania, wykorzystywania i środowiska produktów skomunikowanych i usług powiązanych;

b)	rozdział III ma zastosowanie do wszelkich danych sektora prywatnego podlegających ustawowym obowiązkom w zakresie dzielenia się danymi;

c)	rozdział IV ma zastosowanie do wszelkich danych sektora prywatnego udostępnianych i wykorzystywanych na podstawie umów między przedsiębiorcami;

d)	rozdział V ma zastosowanie do wszelkich danych sektora prywatnego ze szczególnym uwzględnieniem danych nieosobowych;

e)	rozdział VI ma zastosowanie do wszelkich danych i usług przetwarzanych przez dostawców usług przetwarzania danych;

f)	rozdział VII ma zastosowanie do wszelkich danych nieosobowych dostawców usług przetwarzania danych przechowywanych na terenie Unii.

3. Niniejsze rozporządzenie ma zastosowanie do:

a)	producentów produktów skomunikowanych wprowadzanych do obrotu w Unii i dostawców usług powiązanych, niezależnie od miejsca siedziby tych producentów i dostawców;

b)	znajdujących się w Unii użytkowników produktów skomunikowanych lub usług powiązanych, o których mowa w lit. a);

c)	posiadaczy danych, którzy udostępniają dane odbiorcom danych w Unii, niezależnie od miejsca siedziby tych posiadaczy;

d)	odbiorców danych w Unii, którym dane są udostępniane;

organów sektora publicznego, Komisji, Europejskiego Banku Centralnego oraz organów Unii, które w przypadku wyjątkowej potrzeby wykorzystania tych danych występują do posiadaczy danych z wnioskiem o udostępnienie danych do celów wykonania określonego zadania realizowanego w interesie publicznym, oraz posiadaczy danych, którzy dostarczają tych danych w odpowiedzi na taki wniosek;

f)	dostawców usług przetwarzania danych świadczących takie usługi klientom w Unii, niezależnie od miejsca siedziby tych dostawców;

g)	uczestników przestrzeni danych oraz sprzedawców aplikacji korzystających z inteligentnych umów, a także osób, których działalność handlowa, gospodarcza lub zawodowa obejmuje wdrażanie inteligentnych umów w ramach wykonywania umowy.

4. W przypadku gdy w niniejszym rozporządzeniu mowa jest o produktach skomunikowanych lub usługach powiązanych, takie odniesienia rozumie się jako obejmujące również wirtualnych asystentów, o ile wchodzą oni w interakcje z produktem skomunikowanym lub usługą powiązaną.

5. Niniejsze rozporządzenie pozostaje bez uszczerbku dla prawa Unii i prawa krajowego dotyczących ochrony danych osobowych, prywatności i poufności komunikacji oraz integralności urządzeń końcowych, które mają zastosowanie do danych osobowych przetwarzanych w związku z prawami i obowiązkami ustanowionymi w niniejszym rozporządzeniu, w szczególności dla rozporządzenia (UE) 2016/679 i rozporządzenia (UE) 2018/1725 oraz dyrektywy 2002/58/WE, w tym dla uprawnień i kompetencji organów nadzorczych oraz praw osób, których dane dotyczą. W przypadku gdy użytkownicy są osobami, których dane dotyczą, prawa ustanowione w rozdziale II niniejszego rozporządzenia są uzupełnieniem ich prawa dostępu i prawa do przenoszenia danych na mocy art. 15 i 20 rozporządzenia (UE) 2016/679. W razie kolizji pomiędzy niniejszym rozporządzeniem a prawem Unii dotyczącym ochrony danych osobowych lub prywatności lub prawem krajowym przyjętym zgodnie z takim prawem Unii pierwszeństwo ma stosowne prawo Unii lub prawo krajowe dotyczące ochrony danych osobowych lub prywatności.

6. Niniejsze rozporządzenie nie ma zastosowania do ani nie wyklucza dobrowolnych uzgodnień dotyczących wymiany danych między podmiotami prywatnymi i publicznymi, w szczególności dobrowolnych uzgodnień dotyczących dzielenia się danymi.

Niniejsze rozporządzenie nie wpływa na unijne i krajowe akty prawne przewidujące dzielenie się danymi, dostęp do nich i ich wykorzystywanie do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania lub ścigania czynów zabronionych lub wykonywania kar, lub do celów celnych i podatkowych, w szczególności na rozporządzenia (UE) 2021/784, (UE) 2022/2065 i (UE) 2023/1543, dyrektywę (UE) 2023/1544, ani na współpracę międzynarodową w tej dziedzinie. Niniejsze rozporządzenie nie ma zastosowania do zbierania danych, dzielenia się nimi i ich wykorzystywania lub dostępu do danych na mocy rozporządzenia (UE) 2015/847 oraz dyrektywy (UE) 2015/849. Niniejsze rozporządzenie nie ma zastosowania do dziedzin niewchodzących w zakres prawa Unii i w żadnym wypadku nie wpływa na kompetencje państw członkowskich dotyczące bezpieczeństwa publicznego, obronności lub bezpieczeństwa narodowego, niezależnie od rodzaju podmiotu, któremu państwa członkowskie powierzyły wykonywanie zadań związanych z tymi kompetencjami, ani od ich uprawnień do ochrony innych zasadniczych funkcji państwa, w tym zapewniania integralności terytorialnej państwa oraz utrzymywania porządku publicznego. Niniejsze rozporządzenie nie wpływa na kompetencje państw członkowskich dotyczące administracji celnej i podatkowej lub zdrowia i bezpieczeństwa obywateli.

7. Niniejsze rozporządzenie uzupełnia podejście samoregulacyjne przewidziane w rozporządzeniu (UE) 2018/1807 poprzez wprowadzenie dodatkowych obowiązków o zasięgu ogólnym dotyczących zmiany dostawców w chmurze.

8. Niniejsze rozporządzenie pozostaje bez uszczerbku dla unijnych i krajowych aktów prawnych przewidujących ochronę praw własności intelektualnej, w szczególności dyrektywy 2001/29/WE, 2004/48/WE oraz (UE) 2019/790.

9. Niniejsze rozporządzenie pozostaje bez uszczerbku dla prawa unijnego i jest uzupełnieniem tego prawa służącego wspieraniu interesów konsumentów, zapewnianiu konsumentom wysokiego poziomu ochrony oraz ochronie ich zdrowia, bezpieczeństwa i interesów ekonomicznych, w szczególności dyrektywy 93/13/EWG, 2005/29/WE i 2011/83/UE.

10. Niniejsze rozporządzenie nie uniemożliwia zawierania umów o dobrowolnym, zgodnym z prawem dzieleniu się danymi, w tym umów zawieranych na zasadzie wzajemności, które są zgodne z wymogami określonymi w niniejszym rozporządzeniu.

Artykuł 2

Definicje

Do celów niniejszego rozporządzenia stosuje się następujące definicje:

1)	„ dane” oznaczają wszelkie cyfrowe odwzorowania działań, faktów lub informacji oraz wszelkie kompilacje takich działań, faktów lub informacji, w tym w formie zapisu dźwiękowego, wizualnego lub audiowizualnego;

2)	„meta dane” oznaczają ustrukturyzowany opis treści danych lub sposobu wykorzystywania danych, który ułatwia wyszukiwanie lub wykorzystywanie tych danych;

3)	„ dane osobowe” oznaczają dane osobowe zdefiniowane w art. 4 pkt 1 rozporządzenia (UE) 2016/679;

4)	„ dane nieosobowe” oznaczają dane inne niż dane osobowe;

„ produkt_skomunikowany” oznacza rzecz, która pozyskuje, generuje lub zbiera dostępne dane dotyczące jej wykorzystywania lub jej otoczenia i która jest w stanie komunikować dane z produktu za pomocą usługi łączności elektronicznej, łącza fizycznego lub dostępu na urządzeniu i której podstawową funkcją nie jest przechowywanie, przetwarzanie ani przesyłanie danych w imieniu strony innej niż użytkownik;

„ usługa_powiązana” oznacza usługę cyfrową, w tym oprogramowanie, ale z wyłączeniem usług łączności elektronicznej, która podczas zakupu, najmu, dzierżawy lub leasingu jest skomunikowana z produktem w taki sposób, że jej brak uniemożliwiłby produktowi skomunikowanemu wykonywanie co najmniej jednej z jego funkcji, lub która zostaje skomunikowana z produktem przez producenta lub osobę trzecią później, aby dodać, uaktualnić lub zmodyfikować funkcje produktu skomunikowanego;

„ przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych lub zestawach danych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

„ usługa_przetwarzania_danych” oznacza świadczoną na rzecz klienta usługę cyfrową umożliwiającą wszechobecny sieciowy dostęp na żądanie do wspólnego zbioru konfigurowalnych, skalowalnych i elastycznych zasobów obliczeniowych o charakterze scentralizowanym, rozproszonym lub wysoce rozproszonym, które mogą być szybko przydzielone i uwolnione przy minimalnym wysiłku pod względem zarządzania lub interakcji z dostawcą usług;

9)	„ usługa_tego_samego_typu” oznacza zestaw usług przetwarzania danych, które mają ten sam główny cel, opierają się na tym samym modelu usługi przetwarzania danych i mają te same najważniejsze funkcje;

10)	„ usługa_pośrednictwa_danych” oznacza usługę pośrednictwa danych zdefiniowaną w art. 2 pkt 11 rozporządzenia (UE) 2022/868;

11)	„osoba, której dane dotyczą” oznacza osobę, której dane dotyczą, o której mowa w art. 4 pkt 1 rozporządzenia (UE) 2016/679;

12)	„ użytkownik” oznacza osobę fizyczną lub prawną, która jest właścicielem produktu skomunikowanego lub której na podstawie umowy przekazane zostały tymczasowe prawa do korzystania z tego produktu skomunikowanego, lub która korzysta z usług powiązanych;

13)

„ posiadacz_danych” oznacza osobę fizyczną lub prawną, która ma prawo lub obowiązek – zgodnie z niniejszym rozporządzeniem, mającym zastosowanie prawem Unii lub prawem krajowym przyjętym zgodnie z prawem Unii – wykorzystywać i udostępniać dane, w tym o ile zostało to przewidziane umową, dane z produktu lub dane z usługi powiązanej pobrane lub wygenerowane przez nią podczas świadczenia powiązanej usługi;

14)

„ odbiorca_danych” oznacza osobę fizyczną lub prawną działającą w celach związanych z jej działalnością handlową, gospodarczą, rzemieślniczą lub zawodową, inną niż użytkownik produktu skomunikowanego lub usługi powiązanej, której to osobie posiadacz_danych udostępnia dane, w tym osobę trzecią na wniosek użytkownika skierowany do posiadacza danych lub zgodnie z obowiązkiem prawnym wynikającym z prawa Unii lub prawem krajowym przyjętym zgodnie z prawem Unii;

15)

„ dane z produktu” oznaczają dane wygenerowane w wyniku korzystania z produktu skomunikowanego, które producent zaprojektował tak, by użytkownik, posiadacz_danych lub osoba trzecia, w tym w stosownym przypadku producent, mogli je pobierać za pomocą usługi łączności elektronicznej, łącza fizycznego lub dostępu na urządzeniu;

16)	„ dane z usługi powiązanej” oznaczają dane stanowiące cyfrowe odwzorowanie czynności lub zdarzeń z udziałem użytkownika związanych z produktem skomunikowanym, utrwalane przez użytkownika celowo lub generowane jako produkt uboczny jego czynności, podczas świadczenia usługi powiązanej przez dostawcę;

17)	„ dane łatwo dostępne” oznaczają dane z produktu i dane z usługi powiązanej, które posiadacz_danych zgodnie z prawem pozyskuje lub może zgodnie z prawem pozyskać z produktu skomunikowanego lub z usługi powiązanej bez nieproporcjonalnie dużego wysiłku wykraczającego poza prostą czynność;

18)	„ tajemnica_przedsiębiorstwa” oznacza tajemnicę przedsiębiorstwa zdefiniowaną w art. 2 pkt 1 dyrektywy (UE) 2016/943;

19)	„ posiadacz_tajemnicy_przedsiębiorstwa” oznacza posiadacza tajemnicy przedsiębiorstwa zdefiniowanego w art. 2 pkt 2 dyrektywy (UE) 2016/943;

20)	„ profilowanie” oznacza profilowanie zdefiniowane w art. 4 pkt 4 rozporządzenia (UE) 2016/679;

21)	„ udostępnienie_na_rynku” oznacza każde dostarczenie produktu skomunikowanego na rynek Unii w celu jego dystrybucji, konsumpcji lub wykorzystywania w ramach działalności handlowej, odpłatnie lub nieodpłatnie;

22)	„ wprowadzenie_do_obrotu” oznacza udostępnienie produktu skomunikowanego na rynku Unii po raz pierwszy;

23)	„ konsument” oznacza osobę fizyczną działającą w celach, które nie mieszczą się w ramach jej działalności handlowej, gospodarczej, rzemieślniczej lub zawodowej;

24)	„ przedsiębiorstwo” oznacza osobę fizyczną lub prawną, która w związku z umowami i praktykami objętymi niniejszym rozporządzeniem działa w celach związanych z jej działalnością handlową, gospodarczą, rzemieślniczą lub zawodową;

25)	„małe przedsiębiorstwo” oznacza małe przedsiębiorstwo zdefiniowane w art. 2 ust. 2 zalecenia 2003/361/WE;

26)	„mikro przedsiębiorstwo” oznacza mikro przedsiębiorstwo zdefiniowane w art. 2 ust. 3 załącznika do zalecenia 2003/361/WE;

27)	„ organy_Unii” oznaczają organy i jednostki organizacyjne Unii ustanowione na mocy aktów przyjętych na podstawie Traktatu o Unii Europejskiej, TFUE lub Traktatu ustanawiającego Europejską Wspólnotę Energii Atomowej lub zgodnie z nimi;

28)	„ organ_sektora_publicznego” oznacza organy krajowe, regionalne lub lokalne państw członkowskich oraz podmioty prawa publicznego państw członkowskich lub związki złożone z co najmniej jednego takiego organu lub z co najmniej jednego takiego podmiotu;

29)

„ niebezpieczeństwo_publiczne” oznacza ograniczoną w czasie sytuację wyjątkową, taką jak stan zagrożenia zdrowia publicznego, sytuacja nadzwyczajna w wyniku klęski żywiołowej, poważna katastrofa spowodowana przez człowieka, w tym poważny cyberincydent, która to sytuacja negatywnie wpływa na ludność Unii, państwa członkowskiego lub ich części i wiąże się z ryzykiem wystąpienia poważnych i trwałych następstw dla warunków życia lub stabilności gospodarczej, stabilności finansowej lub z ryzykiem znacznego i natychmiastowego obniżenia wartości aktywów gospodarczych w Unii lub w danym państwie członkowskim i którą stwierdza się lub oficjalnie ogłasza zgodnie z odpowiednimi procedurami przewidzianymi w prawie Unii lub prawie krajowym;

30)	„ klient” oznacza osobę fizyczną lub prawną, która nawiązała stosunek umowny z dostawcą usług przetwarzania danych w celu skorzystania z co najmniej jednej usługi przetwarzania danych;

31)	„ wirtualni_asystenci” oznaczają oprogramowanie, które może przetwarzać żądania, zadania lub pytania, w tym na podstawie dźwięku, pisma, gestów lub ruchów, i które na podstawie tych żądań, zadań lub pytań zapewnia dostęp do innych usług lub kontroluje funkcje produktów skomunikowanych;

32)	„ aktywa_cyfrowe” oznaczają elementy w formacie cyfrowym, w tym aplikacje, z których klient ma prawo korzystać, niezależnie od stosunku umownego obejmującego usługę przetwarzania danych, której dostawcę zamierza zmienić;

33)	„ lokalna_infrastruktura_ICT” oznacza infrastrukturę ICT i zasoby obliczeniowe będące własnością klienta, przedmiotem najmu, dzierżawy lub leasingu przez niego, znajdujące się w jego własnym centrum danych i obsługiwane przez tego klienta lub osobę trzecią;

34)

„ zmiana_dostawcy” oznacza proces, w którym uczestniczą wyjściowy dostawca usług przetwarzania danych, klient korzystający z usługi przetwarzania danych oraz, w odpowiednich przypadkach, docelowy dostawca usług przetwarzania danych i w ramach którego klient korzystający z usługi przetwarzania danych przechodzi od korzystania z jednej usługi przetwarzania danych do korzystania z innej usługi tego samego typu lub z innej usługi oferowanych przez innego dostawcę usług przetwarzania danych, lub z lokalnej infrastruktury ICT, w tym poprzez ekstrakcję, transformację i załadowanie danych;

35)	„ opłaty_z tytułu_wychodzącego_ruchu_danych” oznaczają opłaty za przekazanie danych pobierane od klientów za ekstrakcję ich danych przez sieć z infrastruktury ICT dostawcy usług przetwarzania danych do systemów innego dostawcy lub do infrastruktury lokalnej ICT;

36)

„ opłaty_z tytułu_zmiany_dostawcy” oznaczają opłaty – inne niż standardowe opłaty za usługę lub kary za wcześniejsze rozwiązanie umowy – nakła dane przez dostawcę usług przetwarzania danych na klienta za działania wymagane zgodnie z niniejszym rozporządzeniem w celu zmiany na system innego dostawcy lub lokalną infrastrukturę ICT, w tym opłaty_z tytułu_wychodzącego_ruchu_danych;

37)

„ równoważność_funkcjonalna” oznacza przywrócenie – na podstawie danych eksportowalnych i aktywów cyfrowych klienta – minimalnego poziomu funkcjonalności w środowisku nowej usługi przetwarzania danych tego samego typu po procesie zmiany dostawcy, przy czym usługa docelowa przetwarzania danych daje zasadniczo porównywalny rezultat w odpowiedzi na te same dane wejściowe dla jednakowych funkcji dostarczanych klientowi na podstawie umowy;

38)

„ dane eksportowalne” do celów art. 23 do 31 i art. 35 oznaczają dane wejściowe i wyjściowe, w tym meta dane, bezpośrednio lub pośrednio wygenerowane bądź współwygenerowane w wyniku korzystania przez klienta z usługi przetwarzania danych zapewnianej przez dostawców usług przetwarzania danych lub osoby trzecie, z wyłączeniem wszelkich aktywów lub danych, które są objęte prawami własności intelektualnej lub są tajemnicami przedsiębiorstwa;

39)	„ inteligentna_umowa” oznacza program komputerowy stosowany do automatycznego wykonywania umowy lub jej części, używający sekwencji elektronicznych rekordów danych i zapewniający ich integralność i dokładność ich chronologicznego uporządkowania;

40)	„ interoperacyjność” oznacza zdolność co najmniej dwóch przestrzeni danych lub sieci komunikacyjnych, systemów, produktów skomunikowanych, aplikacji, usług przetwarzania danych lub komponentów do wymiany i wykorzystywania danych w celu wykonywania swoich funkcji;

41)	„ otwarte_specyfikacje_w zakresie_interoperacyjności” oznaczają specyfikacje techniczne w dziedzinie ICT, które są ukierunkowane na osiągnięcie interoperacyjności między usługami przetwarzania danych;

42)	„ wspólne_specyfikacje” oznaczają dokument inny niż norma, zawierający rozwiązania techniczne zapewniające środki umożliwiające przestrzeganie niektórych wymagań i obowiązków ustanowionych na podstawie niniejszego rozporządzenia;

43)	„ norma_zharmonizowana” oznacza normę zharmonizowaną zdefiniowaną w art. 2 pkt 1 lit. c) rozporządzenia (UE) nr 1025/2012;

ROZDZIAŁ II

DZIELENIE SIĘ DANYMI PRZEZ PRZEDSIĘBIORCÓW Z KONSUMENTAMI I Z INNYMI PRZEDSIĘBIORCAMI

Artykuł 7

Zakres obowiązków dzielenia się danymi przez przedsiębiorców z konsumentami i z innymi przedsiębiorcami

1. Obowiązki przewidziane w niniejszym rozdziale nie mają zastosowania do danych wygenerowanych w wyniku korzystania z wyprodukowanych lub zaprojektowanych produktów skomunikowanych lub z usług powiązanych dostarczonych przez mikro przedsiębiorstwo lub małe przedsiębiorstwo, pod warunkiem że przedsiębiorstwo to nie ma przedsiębiorstwa partnerskiego ani przedsiębiorstwa powiązanego w rozumieniu art. 3 załącznika do zalecenia 2003/361/WE, które nie kwalifikuje się jako mikro przedsiębiorstwo lub małe przedsiębiorstwo, a mikro przedsiębiorstwo lub małe przedsiębiorstwo nie jest podwykonawcą, któremu zlecono wyprodukowanie lub zaprojektowanie produktu skomunikowanego lub też świadczenie usługi powiązanej.

To samo ma zastosowanie do danych wygenerowanych w wyniku korzystania z produktów skomunikowanych wyprodukowanych lub z usług powiązanych dostarczonych przez przedsiębiorstwa, które kwalifikują się jako średnie przedsiębiorstwa zgodnie z art. 2 załącznika do zalecenia 2003/361/WE przez okres krótszy niż rok, oraz do produktów skomunikowanych przez okres jednego roku od dnia wprowadzenia ich do obrotu przez średnie przedsiębiorstwo.

2. Postanowienie umowne, które ze szkodą dla użytkownika wyklucza stosowanie praw użytkownika przewidzianych w niniejszym rozdziale, stanowi odstępstwo od nich lub zmienia ich skutek, nie jest dla użytkownika wiążące.

ROZDZIAŁ III

OBOWIĄZKI POSIADACZY DANYCH ZOBOWIĄZANYCH DO UDOSTĘPNIANIA DANYCH ZGODNIE z prawem UNII

Artykuł 8

Warunki udostępniania danych przez posiadaczy danych odbiorcom danych

1. W przypadku gdy w relacjach między przedsiębiorcami posiadacz_danych jest zobowiązany do udostępnienia danych odbiorcy danych na podstawie art. 5 lub innego mającego zastosowanie prawa Unii, lub prawa krajowego przyjętego zgodnie z prawem Unii, uzgadnia on z odbiorcą danych uzgodnienia dotyczące udostępnienia danych i robi to na sprawiedliwych, rozsądnych i niedyskryminujących zasadach oraz w przejrzysty sposób zgodnie z niniejszym rozdziałem i rozdziałem IV.

2. Postanowienie umowne dotyczące dostępu do danych i ich wykorzystywania lub odpowiedzialności i środków ochrony prawnej wobec naruszenia lub odstąpienia od obowiązków dotyczących danych nie jest wiążące, jeżeli stanowi nieuczciwe postanowienie umowne w rozumieniu art. 13 lub jeżeli na szkodę użytkownika wyłącza stosowanie praw użytkownika wynikających z rozdziału II, stanowi odstępstwo od tych praw lub zmienia ich skutek.

3. Przy udostępnianiu danych posiadacz_danych nie rozróżnia uzgodnień dotyczących udostępniania danych dla porównywalnych kategorii odbiorców danych, w tym przedsiębiorstw partnerskich lub przedsiębiorstw powiązanych posiadacza danych. W przypadku gdy odbiorca_danych uważa, że warunki, na których dane zostały mu udostępnione, są dyskryminujące, posiadacz_danych bez zbędnej zwłoki przedstawia odbiorcy danych na jego uzasadniony wniosek informacje wykazujące, że nie doszło do dyskryminacji.

4. Posiadacz danych nie udostępnia danych odbiorcy danych, w tym na zasadzie wyłączności, chyba że użytkownik wystąpi z wnioskiem o to na podstawie rozdziału II.

5. Posiadacze danych i odbiorcy danych nie mają obowiązku przedstawiania żadnych informacji poza tymi, które są niezbędne do kontroli przestrzegania postanowień umownych uzgodnionych w celu udostępnienia danych lub obowiązków wynikających z niniejszego rozporządzenia lub innego mającego zastosowanie prawa Unii, lub prawa krajowego przyjętego zgodnie z prawem Unii.

6. O ile prawo Unii, w tym art. 4 ust. 6 i art. 5 ust. 9 niniejszego rozporządzenia, lub przepisy krajowe przyjęte zgodnie z prawem Unii nie stanowią inaczej, obowiązek udostępnienia danych odbiorcy danych nie zobowiązuje do ujawnienia tajemnic przedsiębiorstwa.

Artykuł 9

Rekompensata za udostępnienie danych

1. Wszelka rekompensata uzgodniona między posiadaczem danych a odbiorcą danych za udostępnienie danych w relacjach między przedsiębiorcami jest niedyskryminacyjna, zasadna i może obejmować marżę.

2. Przy uzgadnianiu wszelkiej rekompensaty posiadacz_danych i odbiorca_danych uwzględniają w szczególności:

a)	koszty poniesione w celu udostępnienia danych, w tym w szczególności koszty niezbędne do sformatowania danych, rozpowszechnienia danych za pomocą środków elektronicznych i ich przechowywania;

b)	inwestycje poczynione w zebranie i wytworzenie danych, w stosownym przypadku z uwzględnieniem, czy do pozyskania, wygenerowania lub zebrania przedmiotowych danych przyczyniły się inne strony.

3. Rekompensata, o której mowa w ust. 1, może także zależeć od ilości, formatu i charakteru danych.

4. W przypadku gdy odbiorcą danych jest MŚP lub niekomercyjna organizacja badawcza i gdy taki odbiorca_danych nie ma przedsiębiorstw partnerskich ani przedsiębiorstw powiązanych, które nie kwalifikują się jako MŚP, uzgodniona rekompensata nie przekracza kosztów, o których mowa w ust. 2 lit. a).

5. Komisja przyjmuje wytyczne w sprawie obliczania zasadnej rekompensaty, uwzględniając stanowisko Europejskiej Rady ds. Innowacji w zakresie Danych o której mowa w art. 42.

6. Niniejszy artykuł nie stoi na przeszkodzie temu, by inne prawo Unii lub prawo krajowe przyjęte zgodnie z prawem Unii wykluczały rekompensaty za udostępnienie danych lub przewidywały niższe wynagrodzenie.

7. Posiadacz danych przedstawia odbiorcy danych w sposób wystarczająco szczegółowy informacje określające podstawę obliczania rekompensaty, tak aby odbiorca_danych mógł ocenić, czy spełnione zostały wymogi przewidziane w ust. 1—4.

Artykuł 11

Techniczne środki ochrony i przepisy dotyczące nieuprawnionego wykorzystywania lub ujawniania danych

1. Posiadacz danych może stosować odpowiednie techniczne środki ochrony, w tym inteligentne umowy i szyfrowanie, aby zapobiec nieuprawnionemu dostępowi do danych, w tym metadanych, i zapewnić zgodność z art. 5, 6, 8 i 9 oraz uzgodnionymi postanowieniami umownymi dotyczącymi udostępniania danych. Takie techniczne środki ochrony nie powodują różnego traktowania odbiorców danych ani nie ograniczają prawa użytkownika do uzyskania kopii danych, pobrania bądź wykorzystania danych, dostępu do danych lub dostarczenia danych osobom trzecim zgodnie z art. 5 ani jakiegokolwiek prawa osoby trzeciej wynikającego z prawa Unii lub prawa krajowego przyjętego zgodnie z prawem Unii. Użytkownicy, osoby trzecie lub odbiorcy danych nie zmieniają ani nie usuwają takich technicznych środków ochrony, chyba że posiadacz_danych wyraził na to zgodę.

2. W przypadkach, o których mowa w ust. 3, osoba trzecia lub odbiorca_danych na żądanie posiadacza danych oraz w stosownych przypadkach, jeżeli nie są oni tą samą osobą, posiadacza tajemnicy przedsiębiorstwa lub użytkownika:

a)	usuwają dane udostępnione przez posiadacza danych oraz wszelkie ich kopie;

zaprzestają produkcji, oferowania, wprowadzania do obrotu lub wykorzystywania towarów, danych wywnioskowanych lub usług wytworzonych na podstawie wiedzy pozyskanej dzięki takim danym lub przywozu, wywozu lub magazynowania do tych celów towarów naruszających prawo oraz niszczą wszelkie towary naruszające prawo, w przypadku gdy istnieje poważne ryzyko, że niezgodne z prawem wykorzystywanie tych danych spowoduje znaczną szkodę dla posiadacza danych, posiadacza tajemnicy przedsiębiorstwa lub użytkownika, lub gdy taki środek nie byłby nieproporcjonalny w świetle interesów posiadacza danych, posiadacza tajemnicy przedsiębiorstwa lub użytkownika;

c)	informują użytkownika o nieuprawnionym wykorzystaniu lub ujawnieniu danych oraz o środkach zastosowanych, aby położyć kres nieuprawnionemu wykorzystywaniu lub ujawnianiu danych;

d)	rekompensują szkodę stronie, która ją poniosła w wyniku niewłaściwego wykorzystania lub ujawnienia takich danych udostępnionych lub wykorzystanych niezgodnie z prawem.

3. Ust. 2 ma zastosowanie, gdy osoba trzecia lub odbiorca_danych:

a)	w celu pozyskania danych przedstawili posiadaczowi danych nieprawdziwe informacje, zastosowali środki wprowadzające w błąd lub środki przymusu lub wykorzystali lukę w infrastrukturze technicznej posiadacza danych mającą chronić dane;

b)	wykorzystali udostępnione dane w nieuprawnionych celach, w tym do stworzenia konkurencyjnego produktu skomunikowanego w rozumieniu art. 6 ust. 2 lit. e);

c)	niezgodnie z prawem ujawnili dane innej osobie;

d)	nie utrzymali środków technicznych i organizacyjnych uzgodnionych zgodnie z art. 5 ust. 9;

e)	bez zgody posiadacza danych zmienili lub usunęli techniczne środki ochrony stosowane przez posiadacza danych zgodnie z ust. 1 niniejszego artykułu.

4. Ustęp 2 ma również zastosowanie, gdy użytkownik zmienia lub usuwa techniczne środki ochrony zastosowane przez posiadacza danych lub nie utrzymuje środków technicznych i organizacyjnych zastosowanych przez użytkownika w celu ochrony tajemnic przedsiębiorstwa w porozumieniu z posiadaczem danych lub, jeżeli nie jest on tą samą osobą, z posiadaczem tajemnicy przedsiębiorstwa, a także gdy inna osoba otrzymała dane od użytkownika w wyniku naruszenia niniejszego rozporządzenia.

5. W przypadku gdy odbiorca_danych narusza art. 6 ust. 2 lit. a) lub b), użytkownicy mają takie same prawa, jak posiadacze danych na podstawie ust. 2 niniejszego artykułu.

Artykuł 12

Zakres obowiązków posiadaczy danych zobowiązanych zgodnie z prawem Unii do udostępniania danych

1. Niniejszy rozdział ma zastosowanie, w przypadku gdy w stosunkach między przedsiębiorcami posiadacz_danych jest zobowiązany do udostępnienia danych odbiorcy danych na podstawie art. 5 lub mającego zastosowanie prawa Unii lub przepisów krajowych przyjętych zgodnie z prawem Unii.

2. Postanowienie umowne zawarte w umowie w sprawie dzielenia się danymi, które ze szkodą dla jednej ze stron lub w stosownym przypadku ze szkodą dla użytkownika wyłącza stosowanie niniejszego rozdziału, stanowi odstępstwo od niego lub zmienia jego skutki, nie jest dla tej strony wiążące.

ROZDZIAŁ IV

NIEUCZCIWE POSTANOWIENIA UMOWNE MIĘDZY PRZEDSIĘBIORSTWAMI DOTYCZĄCE DOSTĘPU DO DANYCH I ICH WYKORZYSTYWANIA

Artykuł 32

Międzynarodowy dostęp administracji rządowej i przekazywanie

1. Dostawcy usług przetwarzania danych stosują wszelkie odpowiednie środki techniczne, organizacyjne i prawne, w tym umowy, w celu zapobiegania międzynarodowemu dostępowi administracji rządowej państw trzecich do danych nieosobowych przechowywanych na terenie Unii oraz międzynarodowemu przekazywaniu takich danych nieosobowych, w przypadku gdy takie przekazywanie lub taki dostęp byłyby sprzeczne z prawem Unii lub prawem krajowym danego państwa członkowskiego, bez uszczerbku dla ust. 2 lub 3.

2. Orzeczenia lub wyroki sądu lub trybunału państwa trzeciego oraz decyzje organu administracyjnego państwa trzeciego nakazujące dostawcy usług przetwarzania danych przekazanie przechowywanych na terenie Unii danych nieosobowych objętych zakresem stosowania niniejszego rozporządzenia lub udzielenie dostępu do tych danych uznaje się lub wykonuje wyłącznie wtedy, gdy są oparte na umowie międzynarodowej, takiej jak traktat o pomocy prawnej, obowiązującej między państwem trzecim, które występuje z wnioskiem, a Unią lub na umowie tego rodzaju między państwem trzecim, które występuje z wnioskiem, a państwem członkowskim.

3. W przypadku braku umowy międzynarodowej, o której mowa w ust. 2, jeżeli dostawca usług przetwarzania danych jest adresatem orzeczenia lub wyroku sądu lub trybunału państwa trzeciego lub decyzji organu administracyjnego państwa trzeciego nakazujących przekazanie przechowywanych na terenie Unii danych nieosobowych objętych zakresem stosowania niniejszego rozporządzenia lub udzielenie dostępu do tych danych, a zastosowanie się do takiego orzeczenia lub takiej decyzji wiązałoby się z ryzykiem naruszenia przez adresata prawa Unii lub prawa krajowego stosownego państwa członkowskiego, przekazanie takich danych temu organowi państwa trzeciego lub udzielenie mu dostępu do takich danych odbywa się wyłącznie gdy:

system państwa trzeciego wymaga, aby uzasadnienie i proporcjonalność takiego orzeczenia, wyroku lub takiej decyzji zostały określone oraz aby takie orzeczenie, wyrok lub taka decyzja miały konkretny charakter, np. poprzez ustalenie wystarczającego związku z niektórymi osobami podejrzanymi lub naruszeniami;

b)	uzasadniony sprzeciw adresata podlega kontroli właściwego sądu lub trybunału państwa trzeciego; oraz

właściwy sąd lub trybunał państwa trzeciego wydający orzeczenie lub wyrok lub dokonujący kontroli decyzji organu administracyjnego są upoważnione na podstawie prawa tego państwa trzeciego do należytego uwzględnienia stosownych interesów prawnych dostawcy danych chronionych na mocy prawa Unii lub prawa krajowego danego państwa członkowskiego.

Adresat decyzji lub orzeczenia może zwrócić się o opinię do stosownego podmiotu lub organu krajowego właściwego ds. współpracy międzynarodowej w kwestiach prawnych w celu ustalenia, czy warunki określone w akapicie pierwszym zostały spełnione, w szczególności jeżeli uzna, że orzeczenie lub decyzja mogą dotyczyć tajemnic przedsiębiorstwa i innych szczególnie chronionych danych handlowych oraz treści chronionych prawami własności intelektualnej lub przekazanie może prowadzić do deanonimizacji. Właściwy podmiot lub organ krajowy może skonsultować się z Komisją. Jeżeli adresat uzna, że decyzja może naruszać bezpieczeństwo narodowe lub interesy obronne Unii lub jej państw członkowskich, zwraca się o opinię do właściwych podmiotów lub organów krajowych w celu ustalenia, czy żą dane dane dotyczą bezpieczeństwa narodowego lub interesów obronnych Unii lub jej państw członkowskich. Jeżeli adresat nie otrzyma odpowiedzi w terminie miesiąca lub jeżeli właściwy podmiot lub organ krajowy stwierdzi w opinii, że warunki określone w akapicie pierwszym nie zostały spełnione, adresat może na tej podstawie odrzucić wniosek o przekazanie danych nieosobowych lub dostęp do nich.

Europejska Rada ds. Innowacji w zakresie Danych, o której mowa w art. 42, doradza Komisji i wspiera ją w opracowywaniu wytycznych w sprawie oceny spełnienia warunków określonych w akapicie pierwszym niniejszego ustępu.

4. Jeżeli spełnione są warunki określone w ust. 2 lub 3, dostawca usług przetwarzania danych w odpowiedzi na wniosek dostarcza jak najmniejszą ilość danych dozwoloną w oparciu o racjonalną interpretację tego wniosku dokonaną przez dostawcę lub właściwy krajowy podmiot lub organ, o którym mowa w ust. 3 akapit drugi.

5. Zanim dostawca usług przetwarzania danych zastosuje się do tego wniosku, informuje on klienta o wniosku organu państwa trzeciego o dostęp do jego danych, z wyjątkiem przypadków, w których wniosek służy do celów ścigania przestępstw i tak długo, jak jest to niezbędne do zachowania skuteczności działań w tym zakresie.

ROZDZIAŁ VIII

INTEROPERACYJNOŚĆ

Artykuł 37

Właściwe organy i koordynatorzy danych

1. Każde państwo członkowskie wyznacza właściwy organ lub właściwe organy odpowiedzialne za stosowanie i egzekwowanie niniejszego rozporządzenia (zwane dalej „właściwymi organami”). Państwa członkowskie mogą ustanowić co najmniej jeden nowy organ lub oprzeć się na organach już istniejących.

2. W przypadku gdy państwo członkowskie wyznaczy więcej niż jeden właściwy organ, wyznacza spośród nich koordynatora danych, który ułatwia współpracę między właściwymi organami i pomaga podmiotom objętym zakresem stosowania niniejszego rozporządzenia we wszystkich sprawach związanych z jego stosowaniem i egzekwowaniem. Właściwe organy, wykonując zadania i uprawnienia przyznane im na podstawie ust. 5, współpracują ze sobą nawzajem.

3. Organy nadzorcze odpowiedzialne za monitorowanie stosowania rozporządzenia (UE) 2016/679 są odpowiedzialne za monitorowanie stosowania niniejszego rozporządzenia w zakresie ochrony danych osobowych. Stosuje się odpowiednio rozdziały VI i VII rozporządzenia (UE) 2016/679.

Europejski Inspektor Ochrony Danych jest odpowiedzialny za monitorowanie stosowania niniejszego rozporządzenia w zakresie, w jakim dotyczy ono Komisji, Europejskiego Banku Centralnego lub organów Unii. W stosownym przypadku stosuje się odpowiednio art. 62 rozporządzenia (UE) 2018/1725.

Zadania i uprawnienia organów nadzorczych, o których mowa w niniejszym ustępie, są wykonywane w odniesieniu do przetwarzania danych osobowych.

4. Bez uszczerbku dla ust. 1 niniejszego artykułu:

a)	w odniesieniu do konkretnych kwestii sektorowych dotyczących dostępu do danych i wykorzystywania danych w związku ze stosowaniem niniejszego rozporządzenia respektuje się kompetencje organów sektorowych;

b)	właściwy organ odpowiedzialny za stosowanie i egzekwowanie art. 23 do 31 oraz art. 34 i 35 posiada doświadczenie w dziedzinie usług opartych na danych i usług łączności elektronicznej.

5. Państwa członkowskie zapewniają, aby zadania i uprawnienia właściwych organów były jasno określone i obejmowały:

a)	propagowanie wśród użytkowników i podmiotów objętych zakresem stosowania niniejszego rozporządzenia umiejętności korzystania z danych oraz wiedzy na temat praw i obowiązków wynikających z niniejszego rozporządzenia;

rozpatrywanie skarg wynikających z domniemanych naruszeń niniejszego rozporządzenia, w tym związanych z tajemnicami przedsiębiorstwa, oraz prowadzenie postępowań, w odpowiednim zakresie, w przedmiocie skarg i regularne informowanie skarżącego, w stosownym przypadku zgodnie z prawem krajowym, w rozsądnym terminie o postępach i wynikach postępowania, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowania lub koordynacja działań z innym właściwym organem;

c)	prowadzenie postępowań w sprawach dotyczących stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego właściwego organu lub innego organu publicznego;

d)	nakładanie skutecznych, proporcjonalnych i odstraszających kar pieniężnych, które mogą obejmować kary okresowe i kary z mocą wsteczną, lub wszczynanie postępowań sądowych w celu nałożenia grzywny;

e)	monitorowanie rozwoju technologicznego i sytuacji gospodarczej mających znaczenie dla udostępniania i wykorzystywania danych;

współpracę z właściwymi organami innych państw członkowskich oraz w stosownym przypadku z Komisją lub Europejską Radą ds. Innowacji w zakresie Danych w celu zapewnienia spójnego i skutecznego stosowania niniejszego rozporządzenia, w tym wymianę wszystkich istotnych informacji drogą elektroniczną bez zbędnej zwłoki, w tym w odniesieniu do ust. 10 niniejszego artykułu.;

współpracę ze stosownymi właściwymi organami odpowiedzialnymi za wdrażanie innych unijnych lub krajowych aktów prawnych, w tym organami właściwymi do spraw usług opartych na danych i usług łączności elektronicznej, organem nadzorczym odpowiedzialnym za monitorowanie stosowania rozporządzenia (UE) 2016/679 lub z organami sektorowymi w celu zapewnienia, aby niniejsze rozporządzenie było egzekwowane spójnie z innym prawem Unii i prawem krajowym;

h)	współpracę ze stosownymi właściwymi organami w celu zapewnienia, aby obowiązki określone w art. 23 do 31 oraz art. 34 i 35 były egzekwowane spójnie z innymi prawem Unii i samoregulacją mającymi zastosowanie do dostawców usług przetwarzania danych;

i)	zapewnienie wycofania opłat z tytułu zmiany dostawcy zgodnie z art. 29;

j)	analizę wniosków o dane złożonych na podstawie rozdziału V.

W przypadku gdy wyznaczony został koordynator danych, ułatwia on współpracę o której mowa w lit. f), g) i h) akapitu pierwszego i na żądanie wspiera właściwe organy.

6. Koordynator danych, w przypadku gdy taki właściwy organ został wyznaczony:

a)	działa jako pojedynczy punkt kontaktu we wszystkich sprawach związanych ze stosowaniem niniejszego rozporządzenia;

b)	zapewnia publiczną dostępność w internecie wniosków o udostępnienie danych składanych przez organy sektora publicznego w przypadku wyjątkowej potrzeby na podstawie przepisów rozdziału V i promuje dobrowolne umowy o dzieleniu się danymi między organami sektora publicznego a posiadaczami danych;

c)	co roku informuje Komisję o odmowach, o których powiadomiono go na podstawie art. 4 ust. 2 i 8 i art. 5 ust. 11.

7. Państwa członkowskie przekazują Komisji nazwy właściwych organów oraz ich zadania i uprawnienia, a także w stosownym przypadku nazwę koordynatora danych. Komisja prowadzi publiczny rejestr tych organów.

8. Wykonując swoje zadania i uprawnienia zgodnie z niniejszym rozporządzeniem, właściwe organy pozostają bezstronne i wolne od jakichkolwiek bezpośrednich i pośrednich wpływów zewnętrznych ani nie zwracają się o instrukcje w indywidualnych sprawach do żadnego innego organu publicznego ani podmiotu prywatnego ani nie przyjmują takich instrukcji.

9. Państwa członkowskie zapewniają, aby właściwe organy dysponowały wystarczającymi zasobami ludzkimi i technicznymi oraz stosowną wiedzą ekspercką umożliwiającymi im skuteczne wykonywanie zadań zgodnie z niniejszym rozporządzeniem.

10. Podmioty objęte zakresem stosowania niniejszego rozporządzenia podlegają kompetencji państwa członkowskiego, w którym dany podmiot ma siedzibę. W przypadku gdy podmiot ma siedzibę w więcej niż jednym państwie członkowskim, uznaje się, że podlega kompetencji państwa członkowskiego, w którym ma główną siedzibę, to znaczy w którym mieści się jego siedziba zarządu lub siedziba statutowa, z których wykonywane są podstawowe funkcje finansowe i sprawowana jest kontrola operacyjna.

11. Podmiot objęty zakresem stosowania niniejszego rozporządzenia, który udostępnia produkty skomunikowane lub oferuje usługi w Unii i który nie ma siedziby w Unii, wyznacza przedstawiciela prawnego w jednym z państw członkowskich.

12. Do celów przestrzegania niniejszego rozporządzenia przedstawiciel prawny zostaje upoważniony przez podmiot objęty zakresem stosowania niniejszego rozporządzenia, który udostępnia produkty skomunikowane lub oferuje usługi w Unii, by oprócz tego podmiotu lub zamiast niego właściwe organy kontaktowały się z nim we wszystkich kwestiach związanych z tym podmiotem. Przedstawiciel prawny współpracuje z właściwymi organami i na żądanie szczegółowo przedstawia im działania podjęte i przepisy przyjęte w celu zapewnienia przestrzegania niniejszego rozporządzenia przez podmiot objęty zakresem stosowania niniejszego rozporządzenia, który udostępnia produkty skomunikowane lub oferuje usługi w Unii.

13. Uznaje się, że podmiot objęty zakresem stosowania niniejszego rozporządzenia, który udostępnia produkty skomunikowane lub oferuje usługi w Unii, podlega kompetencji państwa członkowskiego, w którym zlokalizowany jest przedstawiciel prawny. Wyznaczenie przedstawiciela prawnego przez taki podmiot pozostaje bez uszczerbku dla odpowiedzialności i wszelkich postępowań, które mogą zostać wszczęte przeciwko, takiego podmiotu. Do czasu aż podmiot wyznaczy przedstawiciela prawnego zgodnie z niniejszym artykułem, w stosownym przypadku podlega on kompetencji wszystkich państw członkowskich do celów zapewnienia stosowania i egzekwowania niniejszego rozporządzenia. Dowolny właściwy organ może wykonać swoją właściwość, w tym nakładając skuteczne, proporcjonalne i odstraszające kary, pod warunkiem że dany podmiot nie podlega postępowaniu w sprawie egzekucji niniejszego rozporządzenia w związku z tym samymi faktami przez inny właściwy organ.

14. Właściwe organy mogą żądać od użytkowników, posiadaczy danych, odbiorców danych lub ich przedstawicieli prawnych podlegających kompetencji ich państwa członkowskiego wszelkich informacji niezbędnych do zweryfikowania przestrzegania niniejszego rozporządzenia. Każdy wniosek o informacje musi być proporcjonalny do zadania będącego jego podstawą i musi być uzasadniony.

15. W przypadku gdy właściwy organ jednego państwa członkowskiego zwraca się o pomoc lub środki egzekucji do właściwego organu innego państwa członkowskiego, przedkłada uzasadniony wniosek. Właściwy organ po otrzymaniu takiego wniosku bez zbędnej zwłoki odpowiada, szczegółowo przedstawiając podjęte lub planowane działania.

16. Właściwe organy przestrzegają zasad poufności oraz tajemnic służbowych i handlowych oraz chronią dane osobowe zgodnie z prawem Unii lub prawem krajowym. Wszelkie informacje wymienione w ramach wniosku o pomoc i zapewnione zgodnie z niniejszym artykułem są wykorzystywane wyłącznie w odniesieniu do sprawy, w której o nie wystąpiono.

Artykuł 38

Prawo do wniesienia skargi

1. Bez uszczerbku dla innych administracyjnych lub sądowych środków ochrony prawnej osoby fizyczne i prawne mają prawo wnieść skargę, indywidualnie lub w stosownym przypadku zbiorowo, do stosownego właściwego organu w państwie członkowskim, w którym mają miejsce zwykłego pobytu, miejsce pracy lub siedzibę, jeżeli sądzą, że ich prawa wynikające z niniejszego rozporządzenia zostały naruszone. Koordynator danych na wniosek przedstawia osobom fizycznym i prawnym wszelkie informacje niezbędne do wniesienia skargi do odpowiedniego właściwego organu.

2. Właściwy organ, do którego wniesiono skargę, informuje skarżącego zgodnie z prawem krajowym o przebiegu postępowania i podjętej decyzji.

3. Właściwe organy współpracują w celu skutecznego i terminowego rozpatrywania i rozstrzygania skarg, w tym poprzez wymianę wszelkich istotnych informacji drogą elektroniczną, bez zbędnej zwłoki. Współpraca ta nie wpływa na mechanizmy współpracy przewidziane w rozdziałach VI i VII rozporządzenia (UE) 2016/679 i w rozporządzeniu (UE) 2017/2394.

Artykuł 39

Prawo do skutecznego sądowego środka ochrony prawnej

1. Niezależnie od administracyjnych lub innych pozasądowych środków ochrony prawnej każda osoba fizyczna i prawna, których to dotyczy, ma prawo do skutecznego sądowego środka ochrony prawnej przeciwko prawnie wiążącej decyzji właściwych organów.

2. W przypadku gdy właściwy organ nie podejmie działań w odpowiedzi na skargę, każda osoba fizyczna i prawna, których to dotyczy, ma zgodnie z prawem krajowym prawo do skutecznego sądowego środka ochrony prawnej albo do skorzystania z kontroli dokonywanej przez bezstronny organ dysponujący odpowiednią wiedzą specjalistyczną.

3. Postępowania na podstawie niniejszego artykułu toczą się przed sądami lub trybunałami państwa członkowskiego, w którym znajduje się właściwy organ, przeciwko któremu sądowy środek ochrony prawnej został wniesiony indywidualnie lub – w stosownym przypadku – zbiorowo przez przedstawicieli osoby fizycznej lub prawnej lub kilka takich osób.

Artykuł 49

Ocena i przegląd

1. Do dnia 12 września 2028 r. Komisja przeprowadza ocenę niniejszego rozporządzenia i przedkłada Parlamentowi Europejskiemu i Radzie, a także Europejskiemu Komitetowi Ekonomiczno-Społecznemu sprawozdanie na temat głównych ustaleń. Ocena ta obejmuje w szczególności:

sytuacje uznawane za sytuacje wyjątkowej potrzeby do celów art. 15 niniejszego rozporządzenia i stosowanie rozdziału V niniejszego rozporządzenia w praktyce, w szczególności doświadczenie organów sektora publicznego, Komisji, Europejskiego Banku Centralnego oraz organów Unii w stosowaniu rozdziału V niniejszego rozporządzenia; liczbę i wynik postępowań wniesionych do właściwego organu na podstawie art. 18 ust. 5 w sprawie stosowania rozdziału V niniejszego rozporządzenia, zgodnie ze zgłoszeniami właściwych organów; skutki innych obowiązków ustanowionych w prawie Unii i prawie krajowym do celów realizacji wniosków o dostęp do informacji; wpływ mechanizmów dobrowolnego dzielenia się danymi, takich jak tych ustanowionych przez organizacje altruizmu danych uznane na podstawie rozporządzenia (UE) 2022/868, na realizację celów rozdziału V niniejszego rozporządzenia oraz rolę danych osobowych w kontekście art. 15 niniejszego rozporządzenia, w tym ewolucję technologii zwiększających prywatność;

b)	wpływ niniejszego rozporządzenia na wykorzystywanie danych w gospodarce, w tym na innowacje w zakresie danych, monetyzację danych oraz usługi pośrednictwa danych oraz na dzielenie się danymi w ramach wspólnych europejskich przestrzeni danych;

c)	dostępność i wykorzystywanie różnych kategorii i rodzajów danych;

d)	wyłączenie niektórych kategorii przedsiębiorstw jako beneficjentów na mocy art. 5;

e)	brak wpływu na prawa własności intelektualnej;

wpływ na tajemnice przedsiębiorstwa, w tym ochronę przed ich niezgodnym z prawem nabywaniem, wykorzystywaniem i ujawnianiem, oraz wpływ mechanizmu umożliwiającego posiadaczowi danych odrzucenie wniosku użytkownika na podstawie art. 4 ust. 8 i art. 5 ust. 11, przy uwzględnieniu w jak największym zakresie wszelkiej zmiany dyrektywy (UE) 2016/943;

g)	czy wykaz nieuczciwych postanowień umownych, o których mowa w art. 13, jest aktualny w świetle nowych praktyk prowadzenia działalności gospodarczej i szybkiego tempa innowacji na rynku;

h)	zmiany w praktykach umownych dostawców usług przetwarzania danych oraz czy prowadzi to do wystarczającego przestrzegania art. 25;

i)	obniżenie opłat za proces zmiany dostawcy nakładanych przez dostawców usług przetwarzania danych, zgodnie ze stopniowym wycofywaniem opłat z tytułu zmiany dostawcy na podstawie art. 29;

j)	wzajemne oddziaływanie między niniejszym rozporządzeniem a innymi aktami prawnymi Unii istotnymi dla gospodarki opartej na danych;

k)	zapobieganie niezgodnemu z prawem dostępowi administracji rządowej do danych nieosobowych;

l)	efektywność systemu egzekwowania przepisów wymaganego na podstawie art. 37;

m)	wpływ niniejszego rozporządzenia na MŚP w odniesieniu do ich innowacyjności i do dostępności usług przetwarzania danych dla unijnych użytkowników oraz do obciążeń związanych z przestrzeganiem nowych obowiązków.

2. Do dnia 12 września 2028 r. Komisja przeprowadza ocenę niniejszego rozporządzenia i przedkłada sprawozdanie na temat jej głównych ustaleń Parlamentowi Europejskiemu i Radzie, a także Europejskiemu Komitetowi Ekonomiczno-Społecznemu. Ocena ta uwzględnia wpływ art. 23 do 31 oraz art. 34 i 35, w szczególności na wycenę i różnorodność usług przetwarzania danych oferowanych w Unii, ze szczególnym uwzględnieniem dostawców będących MŚP.

3. Państwa członkowskie przekazują Komisji informacje niezbędne do przygotowania sprawozdań, o których mowa w ust. 1 i 2.

4. Na podstawie sprawozdań, o których mowa w ust. 1 i 2, Komisja może w stosownym przypadku przedłożyć Parlamentowi Europejskiemu i Radzie wniosek ustawodawczy dotyczący zmiany niniejszego rozporządzenia.

Artykuł 50

Wejście w życie i rozpoczęcie stosowania

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie stosuje się od dnia 12 września 2025 r.

Obowiązki wynikające z art. 3 ust. 1 mają zastosowanie do produktów skomunikowanych i usług z nimi powiązanych wprowadzonych na rynek po dniu 12 września 2026 r.

Rozdział III ma zastosowanie wyłącznie do obowiązków udostępniania danych ustanowionych na mocy prawa Unii lub prawa krajowego przyjętego zgodnie z prawem Unii, które to prawo Unii lub prawo krajowe przyjęte zgodnie z prawem Unii wchodzi w życie po dniu 12 września 2025 r.

Rozdział IV ma zastosowanie do umów zawartych po dniu 12 września 2025 r.

Rozdział IV ma zastosowanie od dnia 12 września 2027 r. do umów zawartych do dnia 12 września 2025 r. włącznie, pod warunkiem że:

a)	zostały zawarte na czas nieokreślony; lub

b)	wygasają co najmniej 10 lat po dniu 11 stycznia 2024 r.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Sporządzono w Strasburgu dnia 13 grudnia 2023 r.

W imieniu Parlamentu Europejskiego

Przewodnicząca

R. METSOLA

W imieniu Rady

Przewodniczący

P. NAVARRO RÍOS

(1) Dz.U. C 402 z 19.10.2022, s. 5.

(2) Dz.U. C 365 z 23.9.2022, s. 18.

(3) Dz.U. C 375 z 30.9.2022, s. 112.

(4) Stanowisko Parlamentu Europejskiego z dnia 9 listopada 2023 r. (dotychczas nieopublikowane w Dzienniku Urzędowym) oraz decyzja Rady z dnia 27 listopada 2023 r.

(5) Zalecenie Komisji 2003/361/WE z dnia 6 maja 2003 r. dotyczące definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw (Dz.U. L 124 z 20.5.2003, s. 36).

(6) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).

(7) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).

(8) Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37).

(9) Dyrektywa Rady 93/13/EWG z dnia 5 kwietnia 1993 r. w sprawie nieuczciwych warunków w umowach konsumenckich (Dz.U. L 95 z 21.4.1993, s. 29).

(10) Dyrektywa 2005/29/WE Parlamentu Europejskiego i Rady z dnia 11 maja 2005 r. dotycząca nieuczciwych praktyk handlowych stosowanych przez przedsiębiorstwa wobec konsumentów na rynku wewnętrznym oraz zmieniająca dyrektywę Rady 84/450/EWG, dyrektywy 97/7/WE, 98/27/WE i 2002/65/WE Parlamentu Europejskiego i Rady oraz rozporządzenie (WE) nr 2006/2004 Parlamentu Europejskiego i Rady („Dyrektywa o nieuczciwych praktykach handlowych”) (Dz.U. L 149 z 11.6.2005, s. 22).

(11) Dyrektywa Parlamentu Europejskiego i Rady 2011/83/UE z dnia 25 października 2011 r. w sprawie praw konsumentów, zmieniająca dyrektywę Rady 93/13/EWG i dyrektywę 1999/44/WE Parlamentu Europejskiego i Rady oraz uchylająca dyrektywę Rady 85/577/EWG i dyrektywę 97/7/WE Parlamentu Europejskiego i Rady (Dz.U. L 304 z 22.11.2011, s. 64).

(12) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2021/784 z dnia 29 kwietnia 2021 r. w sprawie przeciwdziałania rozpowszechnianiu w internecie treści o charakterze terrorystycznym (Dz.U. L 172 z 17.5.2021, s. 79).

(13) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 z dnia 19 października 2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (akt o usługach cyfrowych) (Dz.U. L 277 z 27.10.2022, s. 1).

(14) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/1543 z dnia 12 lipca 2023 r. w sprawie europejskich nakazów wydania i europejskich nakazów zabezpieczenia dowodów elektronicznych w postępowaniu karnym oraz w postępowaniu karnym wykonawczym w związku z wykonaniem kar pozbawienia wolności (Dz.U. L 191 z 28.7.2023, s. 118).

(15) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2023/1544 z dnia 12 lipca 2023 r. w sprawie zharmonizowanych przepisów dotyczących wskazywania wyznaczonych zakładów i ustanawiania przedstawicieli prawnych w celu gromadzenia dowodów elektronicznych w postępowaniach karnych (Dz.U. L 191 z 28.7.2023, s. 181).

(16) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2015/847 z dnia 20 maja 2015 r. w sprawie informacji towarzyszących transferom środków pieniężnych i uchylenia rozporządzenia (WE) nr 1781/2006 (Dz.U. L 141 z 5.6.2015, s. 1).

(17) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/849 z dnia 20 maja 2015 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu, zmieniająca rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 i uchylająca dyrektywę Parlamentu Europejskiego i Rady 2005/60/WE oraz dyrektywę Komisji 2006/70/WE (Dz.U. L 141 z 5.6.2015, s. 73);

(18) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/882 z dnia 17 kwietnia 2019 r. w sprawie wymogów dostępności produktów i usług (Dz.U. L 151 z 7.6.2019, s. 70).

(19) Dyrektywa 2001/29/WE Parlamentu Europejskiego i Rady z dnia 22 maja 2001 r. w sprawie harmonizacji niektórych aspektów praw autorskich i pokrewnych w społeczeństwie informacyjnym (Dz.U. L 167 z 22.6.2001, s. 10).

(20) Dyrektywa 2004/48/WE Parlamentu Europejskiego i Rady z dnia 29 kwietnia 2004 r. w sprawie egzekwowania praw własności intelektualnej (Dz.U. L 157 z 30.4.2004, s. 45).

(21) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/790 z dnia 17 kwietnia 2019 r. w sprawie prawa autorskiego i praw pokrewnych na jednolitym rynku cyfrowym oraz zmiany dyrektyw 96/9/WE i 2001/29/WE (Dz.U. L 130 z 17.5.2019, s. 92).

(22) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/868 z dnia 30 maja 2022 r. w sprawie europejskiego zarządzania danymi i zmieniające rozporządzenie (UE) 2018/1724 (akt w sprawie zarządzania danymi) (Dz.U. L 152 z 3.6.2022, s. 1).

(23) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/943 z dnia 8 czerwca 2016 r. w sprawie ochrony niejawnego know-how i niejawnych informacji handlowych (tajemnic przedsiębiorstwa) przed ich bezprawnym pozyskiwaniem, wykorzystywaniem i ujawnianiem (Dz.U. L 157 z 15.6.2016, s. 1).

(24) Dyrektywa 98/6/WE Parlamentu Europejskiego i Rady z dnia 16 lutego 1998 r. w sprawie ochrony konsumenta przez podawanie cen produktów oferowanych konsumentom (Dz.U. L 80 z 18.3.1998, s. 27).

(25) Dyrektywa 2000/31/WE Parlamentu Europejskiego i Rady z dnia 8 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego w ramach rynku wewnętrznego (dyrektywa o handlu elektronicznym) (Dz.U. L 178 z 17.7.2000, s. 1).

(26) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/1925 z dnia 14 września 2022 r. w sprawie kontestowalnych i uczciwych rynków w sektorze cyfrowym oraz zmiany dyrektyw (UE) 2019/1937 i (UE) 2020/1828 (akt o rynkach cyfrowych) (Dz.U. L 265 z 12.10.2022, s. 1).

(27) Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 223/2009 z dnia 11 marca 2009 r. w sprawie statystyki europejskiej oraz uchylające rozporządzenie Parlamentu Europejskiego i Rady (WE, Euratom) nr 1101/2008 w sprawie przekazywania do Urzędu Statystycznego Wspólnot Europejskich danych statystycznych objętych zasadą poufności, rozporządzenie Rady (WE) nr 322/97 w sprawie statystyk Wspólnoty oraz decyzję Rady 89/382/EWG, Euratom w sprawie ustanowienia Komitetu ds. Programów Statystycznych Wspólnot Europejskich (Dz.U. L 87 z 31.3.2009, s. 164).

(28) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1024 z dnia 20 czerwca 2019 r. w sprawie otwartych danych i ponownego wykorzystywania informacji sektora publicznego (Dz.U. L 172 z 26.6.2019, s. 56).

(29) Dyrektywa 96/9/WE Parlamentu Europejskiego i Rady z dnia 11 marca 1996 r. w sprawie ochrony prawnej baz danych (Dz.U. L 77 z 27.3.1996, s. 20).

(30) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1807 z dnia 14 listopada 2018 r. w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej (Dz.U. L 303 z 28.11.2018, s. 59).

(31) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/770 z dnia 20 maja 2019 r. w sprawie niektórych aspektów umów o dostarczanie treści cyfrowych i usług cyfrowych (Dz.U. L 136 z 22.5.2019, s. 1).

(32) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz.U. L 333 z 27.12.2022, s. 1).

(33) Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1025/2012 z dnia 25 października 2012 r. w sprawie normalizacji europejskiej, zmieniające dyrektywy Rady 89/686/EWG i 93/15/EWG oraz dyrektywy Parlamentu Europejskiego i Rady 94/9/WE, 94/25/WE, 95/16/WE, 97/23/WE, 98/34/WE, 2004/22/WE, 2007/23/WE, 2009/23/WE i 2009/105/WE oraz uchylające decyzję Rady 87/95/EWG i decyzję Parlamentu Europejskiego i Rady nr 1673/2006/WE (Dz.U. L 316 z 14.11.2012, s. 12).

(34) Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 765/2008 z dnia 9 lipca 2008 r. ustanawiające wymagania w zakresie akredytacji i nadzoru rynku odnoszące się do warunków wprowadzania produktów do obrotu i uchylające rozporządzenie (EWG) nr 339/93 (Dz.U. L 218 z 13.8.2008, s. 30).

(35) Decyzja Parlamentu Europejskiego i Rady nr 768/2008/WE z dnia 9 lipca 2008 r. w sprawie wspólnych ram dotyczących wprowadzania produktów do obrotu, uchylająca decyzję Rady 93/465/EWG (Dz.U. L 218 z 13.8.2008, s. 82).

(36) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2017/2394 z dnia 12 grudnia 2017 r. w sprawie współpracy między organami krajowymi odpowiedzialnymi za egzekwowanie przepisów prawa w zakresie ochrony konsumentów i uchylające rozporządzenie (WE) nr 2006/2004 (Dz.U. L 345 z 27.12.2017, s. 1).

(37) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2020/1828 z dnia 25 listopada 2020 r. w sprawie powództw przedstawicielskich wytaczanych w celu ochrony zbiorowych interesów konsumentów i uchylająca dyrektywę 2009/22/WE (Dz.U. L 409 z 4.12.2020, s. 1).

(38) Dz.U. L 123 z 12.5.2016, s. 1.

(39) Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 182/2011 z dnia 16 lutego 2011 r. ustanawiające przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję (Dz.U. L 55 z 28.2.2011, s. 13).

ELI: http://data.europa.eu/eli/reg/2023/2854/oj

ISSN 1977-0766 (electronic edition)

whereas

keyboard_tab Data Act 2023/2854 PL

Data Act 2023/2854 PL