keyboard_tab Data Act 2023/2854 PL
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artykuł 1 Przedmiot i zakres stosowania
- 3 Artykuł 2 Definicje
- 1 Artykuł 4 Prawa i obowiązki użytkowników i posiadaczy danych w odniesieniu do dostępu do danych z produktu i z usługi powiązanej, ich wykorzystywania i udostępniania
- 1 Artykuł 6 Obowiązki osób trzecich otrzymujących dane na wniosek użytkownika
- 1 Artykuł 19 Obowiązki organów sektora publicznego, Komisji, Europejskiego Banku Centralnego i organów Unii
ROZDZIAŁ I
PRZEPISY OGÓLNE
ROZDZIAŁ II
DZIELENIE SIĘ DANYMI PRZEZ PRZEDSIĘBIORCÓW Z KONSUMENTAMI I Z INNYMI PRZEDSIĘBIORCAMI
ROZDZIAŁ III
OBOWIĄZKI POSIADACZY DANYCH ZOBOWIĄZANYCH DO UDOSTĘPNIANIA DANYCH ZGODNIE Z PRAWEM UNII
ROZDZIAŁ IV
NIEUCZCIWE POSTANOWIENIA UMOWNE MIĘDZY PRZEDSIĘBIORSTWAMI DOTYCZĄCE DOSTĘPU DO DANYCH I ICH WYKORZYSTYWANIA
ROZDZIAŁ V
UDOSTĘPNIANIE DANYCH ORGANOM SEKTORA PUBLICZNEGO, KOMISJI, EUROPEJSKIEMU BANKOWI CENTRALNEMU I ORGANOM UNII NA PODSTAWIE WYJĄTKOWEJ POTRZEBY
ROZDZIAŁ VI
ZMIANA DOSTAWCY USŁUG PRZETWARZANIA DANYCH
ROZDZIAŁ VII
BEZPRAWNY MIĘDZYNARODOWY DOSTĘP ADMINISTRACJI RZĄDOWEJ DO DANYCH NIEOSOBOWYCH I BEZPRAWNE MIĘDZYNARODOWE PRZEKAZYWANIE DANYCH NIEOSOBOWYCH
ROZDZIAŁ VIII
INTEROPERACYJNOŚĆ
ROZDZIAŁ IX
WDRAŻANIE I EGZEKWOWANIE
ROZDZIAŁ X
PRAWO SUI GENERIS PRZEWIDZIANE W DYREKTYWIE 96/9/WE
ROZDZIAŁ XI
PRZEPISY KOŃCOWE
- dane
- metadane
- dane osobowe
- dane nieosobowe
- produkt skomunikowany
- usługa powiązana
- przetwarzanie
- usługa przetwarzania danych
- usługa tego samego typu
- usługa pośrednictwa danych
- osoba, której dane dotyczą
- użytkownik
- posiadacz danych
- odbiorca danych
- dane z produktu
- dane z usługi powiązanej
- dane łatwo dostępne
- tajemnica przedsiębiorstwa
- posiadacz tajemnicy przedsiębiorstwa
- profilowanie
- udostępnienie na rynku
- wprowadzenie do obrotu
- konsument
- przedsiębiorstwo
- małe przedsiębiorstwo
- mikroprzedsiębiorstwo
- organy Unii
- organ sektora publicznego
- niebezpieczeństwo publiczne
- klient
- wirtualni asystenci
- aktywa cyfrowe
- lokalna infrastruktura ICT
- zmiana dostawcy
- opłaty z tytułu wychodzącego ruchu danych
- opłaty z tytułu zmiany dostawcy
- równoważność funkcjonalna
- dane eksportowalne
- inteligentna umowa
- interoperacyjność
- otwarte specyfikacje w zakresie interoperacyjności
- wspólne specyfikacje
- norma zharmonizowana
- danych 133
- dane 48
- się 33
- oznacza 28
- w tym 27
- unii 26
- przetwarzania 24
- oraz 24
- zgodnie 23
- podstawie 23
- przez 22
- ue / 20
- usług 18
- przedsiębiorstwa 17
- usługi 17
- które 17
- użytkownika 16
- rozporządzenia 16
- oznaczają 15
- danymi 15
- skomunikowanego 15
- jest 14
- powiązanej 14
- publicznego 12
- posiadacz_danych 12
- dostępu 12
- rozporządzenie 12
- prawa 12
- z produktu 12
- produktu 12
- ust 11
- posiadacza 11
- tych 10
- w art 10
- użytkownik 10
- która 10
- osobę 10
- zastosowanie 10
- sektora 10
- umowy 10
- w szczególności 10
- ochrony 9
- przypadku 9
- niezbędne 9
- z usługi 9
- tajemnic 9
- z art 9
- niniejszego 8
- osobowych 8
- niniejsze 8
Artykuł 1
Przedmiot i zakres stosowania
1. W niniejszym rozporządzeniu ustanawia się zharmonizowane przepisy między innymi dotyczące:
| a) | udostępniania danych z produktu i z usługi powiązanej użytkownikowi produktu skomunikowanego lub usługi powiązanej; |
| b) | udostępniania danych przez posiadaczy danych odbiorcom danych; |
| c) | udostępniania danych przez posiadaczy danych organom sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu i organom Unii – w przypadku wystąpienia wyjątkowej potrzeby wykorzystania tych danych do celów wykonania określonego zadania realizowanego w interesie publicznym; |
| d) | ułatwiania zmiany dostawcy usług przetwarzania danych; |
| e) | wprowadzania zabezpieczeń przed niezgodnym z prawem dostępem osób trzecich do danych nieosobowych; oraz |
| f) | opracowania norm interoperacyjności wobec danych, które mają być udostępniane, przekazywane i wykorzystywane. |
2. Niniejsze rozporządzenie dotyczy danych osobowych i nieosobowych, w tym następujących rodzajów danych i następujących kontekstów:
| a) | rozdział II ma zastosowanie do danych, z wyjątkiem treści, dotyczących działania, wykorzystywania i środowiska produktów skomunikowanych i usług powiązanych; |
| b) | rozdział III ma zastosowanie do wszelkich danych sektora prywatnego podlegających ustawowym obowiązkom w zakresie dzielenia się danymi; |
| c) | rozdział IV ma zastosowanie do wszelkich danych sektora prywatnego udostępnianych i wykorzystywanych na podstawie umów między przedsiębiorcami; |
| d) | rozdział V ma zastosowanie do wszelkich danych sektora prywatnego ze szczególnym uwzględnieniem danych nieosobowych; |
| e) | rozdział VI ma zastosowanie do wszelkich danych i usług przetwarzanych przez dostawców usług przetwarzania danych; |
| f) | rozdział VII ma zastosowanie do wszelkich danych nieosobowych dostawców usług przetwarzania danych przechowywanych na terenie Unii. |
3. Niniejsze rozporządzenie ma zastosowanie do:
| a) | producentów produktów skomunikowanych wprowadzanych do obrotu w Unii i dostawców usług powiązanych, niezależnie od miejsca siedziby tych producentów i dostawców; |
| b) | znajdujących się w Unii użytkowników produktów skomunikowanych lub usług powiązanych, o których mowa w lit. a); |
| c) | posiadaczy danych, którzy udostępniają dane odbiorcom danych w Unii, niezależnie od miejsca siedziby tych posiadaczy; |
| d) | odbiorców danych w Unii, którym dane są udostępniane; |
| e) | organów sektora publicznego, Komisji, Europejskiego Banku Centralnego oraz organów Unii, które w przypadku wyjątkowej potrzeby wykorzystania tych danych występują do posiadaczy danych z wnioskiem o udostępnienie danych do celów wykonania określonego zadania realizowanego w interesie publicznym, oraz posiadaczy danych, którzy dostarczają tych danych w odpowiedzi na taki wniosek; |
| f) | dostawców usług przetwarzania danych świadczących takie usługi klientom w Unii, niezależnie od miejsca siedziby tych dostawców; |
| g) | uczestników przestrzeni danych oraz sprzedawców aplikacji korzystających z inteligentnych umów, a także osób, których działalność handlowa, gospodarcza lub zawodowa obejmuje wdrażanie inteligentnych umów w ramach wykonywania umowy. |
4. W przypadku gdy w niniejszym rozporządzeniu mowa jest o produktach skomunikowanych lub usługach powiązanych, takie odniesienia rozumie się jako obejmujące również wirtualnych asystentów, o ile wchodzą oni w interakcje z produktem skomunikowanym lub usługą powiązaną.
5. Niniejsze rozporządzenie pozostaje bez uszczerbku dla prawa Unii i prawa krajowego dotyczących ochrony danych osobowych, prywatności i poufności komunikacji oraz integralności urządzeń końcowych, które mają zastosowanie do danych osobowych przetwarzanych w związku z prawami i obowiązkami ustanowionymi w niniejszym rozporządzeniu, w szczególności dla rozporządzenia (UE) 2016/679 i rozporządzenia (UE) 2018/1725 oraz dyrektywy 2002/58/WE, w tym dla uprawnień i kompetencji organów nadzorczych oraz praw osób, których dane dotyczą. W przypadku gdy użytkownicy są osobami, których dane dotyczą, prawa ustanowione w rozdziale II niniejszego rozporządzenia są uzupełnieniem ich prawa dostępu i prawa do przenoszenia danych na mocy art. 15 i 20 rozporządzenia (UE) 2016/679. W razie kolizji pomiędzy niniejszym rozporządzeniem a prawem Unii dotyczącym ochrony danych osobowych lub prywatności lub prawem krajowym przyjętym zgodnie z takim prawem Unii pierwszeństwo ma stosowne prawo Unii lub prawo krajowe dotyczące ochrony danych osobowych lub prywatności.
6. Niniejsze rozporządzenie nie ma zastosowania do ani nie wyklucza dobrowolnych uzgodnień dotyczących wymiany danych między podmiotami prywatnymi i publicznymi, w szczególności dobrowolnych uzgodnień dotyczących dzielenia się danymi.
Niniejsze rozporządzenie nie wpływa na unijne i krajowe akty prawne przewidujące dzielenie się danymi, dostęp do nich i ich wykorzystywanie do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania lub ścigania czynów zabronionych lub wykonywania kar, lub do celów celnych i podatkowych, w szczególności na rozporządzenia (UE) 2021/784, (UE) 2022/2065 i (UE) 2023/1543, dyrektywę (UE) 2023/1544, ani na współpracę międzynarodową w tej dziedzinie. Niniejsze rozporządzenie nie ma zastosowania do zbierania danych, dzielenia się nimi i ich wykorzystywania lub dostępu do danych na mocy rozporządzenia (UE) 2015/847 oraz dyrektywy (UE) 2015/849. Niniejsze rozporządzenie nie ma zastosowania do dziedzin niewchodzących w zakres prawa Unii i w żadnym wypadku nie wpływa na kompetencje państw członkowskich dotyczące bezpieczeństwa publicznego, obronności lub bezpieczeństwa narodowego, niezależnie od rodzaju podmiotu, któremu państwa członkowskie powierzyły wykonywanie zadań związanych z tymi kompetencjami, ani od ich uprawnień do ochrony innych zasadniczych funkcji państwa, w tym zapewniania integralności terytorialnej państwa oraz utrzymywania porządku publicznego. Niniejsze rozporządzenie nie wpływa na kompetencje państw członkowskich dotyczące administracji celnej i podatkowej lub zdrowia i bezpieczeństwa obywateli.
7. Niniejsze rozporządzenie uzupełnia podejście samoregulacyjne przewidziane w rozporządzeniu (UE) 2018/1807 poprzez wprowadzenie dodatkowych obowiązków o zasięgu ogólnym dotyczących zmiany dostawców w chmurze.
8. Niniejsze rozporządzenie pozostaje bez uszczerbku dla unijnych i krajowych aktów prawnych przewidujących ochronę praw własności intelektualnej, w szczególności dyrektywy 2001/29/WE, 2004/48/WE oraz (UE) 2019/790.
9. Niniejsze rozporządzenie pozostaje bez uszczerbku dla prawa unijnego i jest uzupełnieniem tego prawa służącego wspieraniu interesów konsumentów, zapewnianiu konsumentom wysokiego poziomu ochrony oraz ochronie ich zdrowia, bezpieczeństwa i interesów ekonomicznych, w szczególności dyrektywy 93/13/EWG, 2005/29/WE i 2011/83/UE.
10. Niniejsze rozporządzenie nie uniemożliwia zawierania umów o dobrowolnym, zgodnym z prawem dzieleniu się danymi, w tym umów zawieranych na zasadzie wzajemności, które są zgodne z wymogami określonymi w niniejszym rozporządzeniu.
Artykuł 2
Definicje
Do celów niniejszego rozporządzenia stosuje się następujące definicje:
| 1) | „ dane” oznaczają wszelkie cyfrowe odwzorowania działań, faktów lub informacji oraz wszelkie kompilacje takich działań, faktów lub informacji, w tym w formie zapisu dźwiękowego, wizualnego lub audiowizualnego; |
| 2) | „meta dane” oznaczają ustrukturyzowany opis treści danych lub sposobu wykorzystywania danych, który ułatwia wyszukiwanie lub wykorzystywanie tych danych; |
| 3) | „ dane osobowe” oznaczają dane osobowe zdefiniowane w art. 4 pkt 1 rozporządzenia (UE) 2016/679; |
| 4) | „ dane nieosobowe” oznaczają dane inne niż dane osobowe; |
| 5) | „ produkt_skomunikowany” oznacza rzecz, która pozyskuje, generuje lub zbiera dostępne dane dotyczące jej wykorzystywania lub jej otoczenia i która jest w stanie komunikować dane z produktu za pomocą usługi łączności elektronicznej, łącza fizycznego lub dostępu na urządzeniu i której podstawową funkcją nie jest przechowywanie, przetwarzanie ani przesyłanie danych w imieniu strony innej niż użytkownik; |
| 6) | „ usługa_powiązana” oznacza usługę cyfrową, w tym oprogramowanie, ale z wyłączeniem usług łączności elektronicznej, która podczas zakupu, najmu, dzierżawy lub leasingu jest skomunikowana z produktem w taki sposób, że jej brak uniemożliwiłby produktowi skomunikowanemu wykonywanie co najmniej jednej z jego funkcji, lub która zostaje skomunikowana z produktem przez producenta lub osobę trzecią później, aby dodać, uaktualnić lub zmodyfikować funkcje produktu skomunikowanego; |
| 7) | „ przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych lub zestawach danych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie; |
| 8) | „ usługa_przetwarzania_danych” oznacza świadczoną na rzecz klienta usługę cyfrową umożliwiającą wszechobecny sieciowy dostęp na żądanie do wspólnego zbioru konfigurowalnych, skalowalnych i elastycznych zasobów obliczeniowych o charakterze scentralizowanym, rozproszonym lub wysoce rozproszonym, które mogą być szybko przydzielone i uwolnione przy minimalnym wysiłku pod względem zarządzania lub interakcji z dostawcą usług; |
| 9) | „ usługa_tego_samego_typu” oznacza zestaw usług przetwarzania danych, które mają ten sam główny cel, opierają się na tym samym modelu usługi przetwarzania danych i mają te same najważniejsze funkcje; |
| 10) | „ usługa_pośrednictwa_danych” oznacza usługę pośrednictwa danych zdefiniowaną w art. 2 pkt 11 rozporządzenia (UE) 2022/868; |
| 11) | „osoba, której dane dotyczą” oznacza osobę, której dane dotyczą, o której mowa w art. 4 pkt 1 rozporządzenia (UE) 2016/679; |
| 12) | „ użytkownik” oznacza osobę fizyczną lub prawną, która jest właścicielem produktu skomunikowanego lub której na podstawie umowy przekazane zostały tymczasowe prawa do korzystania z tego produktu skomunikowanego, lub która korzysta z usług powiązanych; |
| 13) | „ posiadacz_danych” oznacza osobę fizyczną lub prawną, która ma prawo lub obowiązek – zgodnie z niniejszym rozporządzeniem, mającym zastosowanie prawem Unii lub prawem krajowym przyjętym zgodnie z prawem Unii – wykorzystywać i udostępniać dane, w tym o ile zostało to przewidziane umową, dane z produktu lub dane z usługi powiązanej pobrane lub wygenerowane przez nią podczas świadczenia powiązanej usługi; |
| 14) | „ odbiorca_danych” oznacza osobę fizyczną lub prawną działającą w celach związanych z jej działalnością handlową, gospodarczą, rzemieślniczą lub zawodową, inną niż użytkownik produktu skomunikowanego lub usługi powiązanej, której to osobie posiadacz_danych udostępnia dane, w tym osobę trzecią na wniosek użytkownika skierowany do posiadacza danych lub zgodnie z obowiązkiem prawnym wynikającym z prawa Unii lub prawem krajowym przyjętym zgodnie z prawem Unii; |
| 15) | „ dane z produktu” oznaczają dane wygenerowane w wyniku korzystania z produktu skomunikowanego, które producent zaprojektował tak, by użytkownik, posiadacz_danych lub osoba trzecia, w tym w stosownym przypadku producent, mogli je pobierać za pomocą usługi łączności elektronicznej, łącza fizycznego lub dostępu na urządzeniu; |
| 16) | „ dane z usługi powiązanej” oznaczają dane stanowiące cyfrowe odwzorowanie czynności lub zdarzeń z udziałem użytkownika związanych z produktem skomunikowanym, utrwalane przez użytkownika celowo lub generowane jako produkt uboczny jego czynności, podczas świadczenia usługi powiązanej przez dostawcę; |
| 17) | „ dane łatwo dostępne” oznaczają dane z produktu i dane z usługi powiązanej, które posiadacz_danych zgodnie z prawem pozyskuje lub może zgodnie z prawem pozyskać z produktu skomunikowanego lub z usługi powiązanej bez nieproporcjonalnie dużego wysiłku wykraczającego poza prostą czynność; |
| 18) | „ tajemnica_przedsiębiorstwa” oznacza tajemnicę przedsiębiorstwa zdefiniowaną w art. 2 pkt 1 dyrektywy (UE) 2016/943; |
| 19) | „ posiadacz_tajemnicy_przedsiębiorstwa” oznacza posiadacza tajemnicy przedsiębiorstwa zdefiniowanego w art. 2 pkt 2 dyrektywy (UE) 2016/943; |
| 20) | „ profilowanie” oznacza profilowanie zdefiniowane w art. 4 pkt 4 rozporządzenia (UE) 2016/679; |
| 21) | „ udostępnienie_na_rynku” oznacza każde dostarczenie produktu skomunikowanego na rynek Unii w celu jego dystrybucji, konsumpcji lub wykorzystywania w ramach działalności handlowej, odpłatnie lub nieodpłatnie; |
| 22) | „ wprowadzenie_do_obrotu” oznacza udostępnienie produktu skomunikowanego na rynku Unii po raz pierwszy; |
| 23) | „ konsument” oznacza osobę fizyczną działającą w celach, które nie mieszczą się w ramach jej działalności handlowej, gospodarczej, rzemieślniczej lub zawodowej; |
| 24) | „ przedsiębiorstwo” oznacza osobę fizyczną lub prawną, która w związku z umowami i praktykami objętymi niniejszym rozporządzeniem działa w celach związanych z jej działalnością handlową, gospodarczą, rzemieślniczą lub zawodową; |
| 25) | „małe przedsiębiorstwo” oznacza małe przedsiębiorstwo zdefiniowane w art. 2 ust. 2 zalecenia 2003/361/WE; |
| 26) | „mikro przedsiębiorstwo” oznacza mikro przedsiębiorstwo zdefiniowane w art. 2 ust. 3 załącznika do zalecenia 2003/361/WE; |
| 27) | „ organy_Unii” oznaczają organy i jednostki organizacyjne Unii ustanowione na mocy aktów przyjętych na podstawie Traktatu o Unii Europejskiej, TFUE lub Traktatu ustanawiającego Europejską Wspólnotę Energii Atomowej lub zgodnie z nimi; |
| 28) | „ organ_sektora_publicznego” oznacza organy krajowe, regionalne lub lokalne państw członkowskich oraz podmioty prawa publicznego państw członkowskich lub związki złożone z co najmniej jednego takiego organu lub z co najmniej jednego takiego podmiotu; |
| 29) | „ niebezpieczeństwo_publiczne” oznacza ograniczoną w czasie sytuację wyjątkową, taką jak stan zagrożenia zdrowia publicznego, sytuacja nadzwyczajna w wyniku klęski żywiołowej, poważna katastrofa spowodowana przez człowieka, w tym poważny cyberincydent, która to sytuacja negatywnie wpływa na ludność Unii, państwa członkowskiego lub ich części i wiąże się z ryzykiem wystąpienia poważnych i trwałych następstw dla warunków życia lub stabilności gospodarczej, stabilności finansowej lub z ryzykiem znacznego i natychmiastowego obniżenia wartości aktywów gospodarczych w Unii lub w danym państwie członkowskim i którą stwierdza się lub oficjalnie ogłasza zgodnie z odpowiednimi procedurami przewidzianymi w prawie Unii lub prawie krajowym; |
| 30) | „ klient” oznacza osobę fizyczną lub prawną, która nawiązała stosunek umowny z dostawcą usług przetwarzania danych w celu skorzystania z co najmniej jednej usługi przetwarzania danych; |
| 31) | „ wirtualni_asystenci” oznaczają oprogramowanie, które może przetwarzać żądania, zadania lub pytania, w tym na podstawie dźwięku, pisma, gestów lub ruchów, i które na podstawie tych żądań, zadań lub pytań zapewnia dostęp do innych usług lub kontroluje funkcje produktów skomunikowanych; |
| 32) | „ aktywa_cyfrowe” oznaczają elementy w formacie cyfrowym, w tym aplikacje, z których klient ma prawo korzystać, niezależnie od stosunku umownego obejmującego usługę przetwarzania danych, której dostawcę zamierza zmienić; |
| 33) | „ lokalna_infrastruktura_ICT” oznacza infrastrukturę ICT i zasoby obliczeniowe będące własnością klienta, przedmiotem najmu, dzierżawy lub leasingu przez niego, znajdujące się w jego własnym centrum danych i obsługiwane przez tego klienta lub osobę trzecią; |
| 34) | „ zmiana_dostawcy” oznacza proces, w którym uczestniczą wyjściowy dostawca usług przetwarzania danych, klient korzystający z usługi przetwarzania danych oraz, w odpowiednich przypadkach, docelowy dostawca usług przetwarzania danych i w ramach którego klient korzystający z usługi przetwarzania danych przechodzi od korzystania z jednej usługi przetwarzania danych do korzystania z innej usługi tego samego typu lub z innej usługi oferowanych przez innego dostawcę usług przetwarzania danych, lub z lokalnej infrastruktury ICT, w tym poprzez ekstrakcję, transformację i załadowanie danych; |
| 35) | „ opłaty_z tytułu_wychodzącego_ruchu_danych” oznaczają opłaty za przekazanie danych pobierane od klientów za ekstrakcję ich danych przez sieć z infrastruktury ICT dostawcy usług przetwarzania danych do systemów innego dostawcy lub do infrastruktury lokalnej ICT; |
| 36) | „ opłaty_z tytułu_zmiany_dostawcy” oznaczają opłaty – inne niż standardowe opłaty za usługę lub kary za wcześniejsze rozwiązanie umowy – nakła dane przez dostawcę usług przetwarzania danych na klienta za działania wymagane zgodnie z niniejszym rozporządzeniem w celu zmiany na system innego dostawcy lub lokalną infrastrukturę ICT, w tym opłaty_z tytułu_wychodzącego_ruchu_danych; |
| 37) | „ równoważność_funkcjonalna” oznacza przywrócenie – na podstawie danych eksportowalnych i aktywów cyfrowych klienta – minimalnego poziomu funkcjonalności w środowisku nowej usługi przetwarzania danych tego samego typu po procesie zmiany dostawcy, przy czym usługa docelowa przetwarzania danych daje zasadniczo porównywalny rezultat w odpowiedzi na te same dane wejściowe dla jednakowych funkcji dostarczanych klientowi na podstawie umowy; |
| 38) | „ dane eksportowalne” do celów art. 23 do 31 i art. 35 oznaczają dane wejściowe i wyjściowe, w tym meta dane, bezpośrednio lub pośrednio wygenerowane bądź współwygenerowane w wyniku korzystania przez klienta z usługi przetwarzania danych zapewnianej przez dostawców usług przetwarzania danych lub osoby trzecie, z wyłączeniem wszelkich aktywów lub danych, które są objęte prawami własności intelektualnej lub są tajemnicami przedsiębiorstwa; |
| 39) | „ inteligentna_umowa” oznacza program komputerowy stosowany do automatycznego wykonywania umowy lub jej części, używający sekwencji elektronicznych rekordów danych i zapewniający ich integralność i dokładność ich chronologicznego uporządkowania; |
| 40) | „ interoperacyjność” oznacza zdolność co najmniej dwóch przestrzeni danych lub sieci komunikacyjnych, systemów, produktów skomunikowanych, aplikacji, usług przetwarzania danych lub komponentów do wymiany i wykorzystywania danych w celu wykonywania swoich funkcji; |
| 41) | „ otwarte_specyfikacje_w zakresie_interoperacyjności” oznaczają specyfikacje techniczne w dziedzinie ICT, które są ukierunkowane na osiągnięcie interoperacyjności między usługami przetwarzania danych; |
| 42) | „ wspólne_specyfikacje” oznaczają dokument inny niż norma, zawierający rozwiązania techniczne zapewniające środki umożliwiające przestrzeganie niektórych wymagań i obowiązków ustanowionych na podstawie niniejszego rozporządzenia; |
| 43) | „ norma_zharmonizowana” oznacza normę zharmonizowaną zdefiniowaną w art. 2 pkt 1 lit. c) rozporządzenia (UE) nr 1025/2012; |
ROZDZIAŁ II
DZIELENIE SIĘ DANYMI PRZEZ PRZEDSIĘBIORCÓW Z KONSUMENTAMI I Z INNYMI PRZEDSIĘBIORCAMI
Artykuł 4
Prawa i obowiązki użytkowników i posiadaczy danych w odniesieniu do dostępu do danych z produktu i z usługi powiązanej, ich wykorzystywania i udostępniania
1. W przypadku gdy użytkownik nie może uzyskać bezpośredniego dostępu do danych z produktu skomunikowanego lub z usługi powiązanej, posiadacze danych bez zbędnej zwłoki, w sposób łatwy i bezpieczny, nieodpłatnie udostępniają użytkownikowi dane łatwo dostępne, wraz z odpowiednimi metadanymi niezbędnymi do interpretacji i wykorzystania tych danych, cechujące się taką samą jakością, jaka jest dostępna dla posiadacza danych, w całościowym, ustrukturyzowanym, powszechnie używanym, nadającym się do odczytu maszynowego formacie oraz w stosownym przypadku i jeżeli jest to technicznie wykonalne – w sposób ciągły i w czasie rzeczywistym. Odbywa się to na podstawie zwykłego wniosku złożonego drogą elektroniczną, jeżeli jest to technicznie możliwe.
2. Użytkownicy i posiadacze danych mogą umownie ograniczyć lub zakazać dostępu do danych, ich wykorzystywania lub dalszego dzielenia się nimi, jeżeli takie przetwarzanie mogłoby zagrozić wymaganiom bezpieczeństwa produktu skomunikowanego określonym w prawie Unii lub prawie krajowym i mieć poważny negatywny wpływ na zdrowie, bezpieczeństwo lub ochronę osób fizycznych. Organy sektorowe mogą zapewnić użytkownikom i posiadaczom danych fachową wiedzę techniczną w tym kontekście. W przypadku gdy posiadacz_danych odmawia dzielenia się danymi na podstawie niniejszego artykułu, powiadamia on właściwy organ wyznaczony zgodnie z art. 37.
3. Bez uszczerbku dla przysługującego użytkownikowi w dowolnym momencie prawa do dochodzenia roszczeń przed sądem lub trybunałem państwa członkowskiego, użytkownik może w związku ze sporem z posiadaczem danych w sprawie ograniczeń umownych lub zakazów, o których mowa w ust. 2:
| a) | wnieść skargę do właściwego organu zgodnie z art. 37 ust. 5 lit. b); lub |
| b) | uzgodnić z posiadaczem danych wniesienie sprawy do organu rozstrzygania sporów zgodnie z art. 10 ust. 1. |
4. Posiadacze danych nie utrudniają bezzasadnie użytkownikom dokonywania wyborów ani wykonywania praw na podstawie niniejszego artykułu, w tym poprzez oferowanie użytkownikom wyboru w sposób nieneutralny lub poprzez podważanie lub ograniczanie autonomii, zdolności decyzyjnych lub wyborów użytkownika za pomocą struktury, projektu, funkcji lub sposobu działania interfejsu cyfrowego użytkownika bądź jego części.
5. W celu kontroli, czy osoba fizyczna lub prawna kwalifikuje się jako użytkownik na potrzeby ust. 1, posiadacz_danych nie wymaga od użytkownika dostarczenia żadnych informacji poza tymi, które są niezbędne. Posiadacze danych nie zachowują żadnych informacji, w szczególności danych z rejestru zdarzeń, na temat dostępu użytkownika do żądanych danych poza informacjami, które są niezbędne do należytego wykonania wniosku użytkownika o dostęp oraz do zapewnienia bezpieczeństwa i utrzymania infrastruktury danych.
6. Chroni się tajemnice przedsiębiorstwa i ujawnia się je wyłącznie wtedy, gdy posiadacz_danych i użytkownik przed ujawnieniem zastosują wszelkie środki niezbędne do ochrony ich poufności, w szczególności w odniesieniu do osób trzecich. Posiadacz danych lub, jeżeli nie jest to ta sama osoba, posiadacz_tajemnicy_przedsiębiorstwa identyfikują dane chronione, w tym stosowne meta dane, jako tajemnice przedsiębiorstwa i uzgadniają z użytkownikiem proporcjonalne środki techniczne i organizacyjne niezbędne do ochrony poufności danych podlegających dzieleniu się, w szczególności w odniesieniu do osób trzecich, takie jak modelowe postanowienia umowne, umowy o poufności, protokoły ścisłego dostępu, normy techniczne oraz stosowanie kodeksów postępowania.
7. W przypadku gdy nie uzgodniono niezbędnych środków technicznych, o których mowa w ust. 6, lub gdy użytkownik nie wdraża środków uzgodnionych zgodnie z ust. 6 lub zagraża poufności tajemnic przedsiębiorstwa, posiadacz_danych może wstrzymać lub w stosownym przypadku zawiesić dzielenie się danymi zidentyfikowanymi jako tajemnice przedsiębiorstwa. Posiadacz danych należycie uzasadnia decyzję i bez zbędnej zwłoki przekazuje ją na piśmie użytkownikowi. W takich przypadkach posiadacz_danych powiadamia właściwy organ wyznaczony zgodnie z art. 37, że wstrzymał lub zawiesił dzielenie się danymi, i wskazuje, których środków nie wdrożono lub nie zastosowano, lub w stosownym przypadku poufność których tajemnic przedsiębiorstwa zagrożono.
8. W wyjątkowych okolicznościach, w przypadku gdy posiadacz_danych będący posiadaczem tajemnicy przedsiębiorstwa może wykazać, że mimo środków technicznych i organizacyjnych zastosowanych przez użytkownika zgodnie z ust. 6 niniejszego artykułu ujawnienie tajemnic handlowych z dużym prawdopodobieństwem poskutkuje poważną szkodą ekonomiczną, posiadacz_danych może w tym konkretnym przypadku odrzucić wniosek o dostęp do tych konkretnych danych. Wykazane informacje zostają należycie uzasadnione na podstawie obiektywnych elementów, w szczególności egzekwowalności tajemnic przedsiębiorstwa w krajach trzecich, charakteru i poziomu poufności żądanych danych oraz niepowtarzalności i nowatorskości produktu skomunikowanego, i przedstawione na piśmie bez zbędnej zwłoki. W przypadku gdy posiadacz_danych odmawia dzielenia się danymi na podstawie niniejszego ustępu, powiadamia on właściwy organ wyznaczony zgodnie z art. 37.
9. Bez uszczerbku dla przysługującego użytkownikowi w dowolnym momencie prawa do dochodzenia roszczeń przed sądem lub trybunałem państwa członkowskiego, użytkownik chcący zaskarżyć decyzję posiadacza danych o odmowie, wstrzymaniu lub zawieszeniu dzielenia się danymi zgodnie z ust. 7 i 8 może:
| a) | wnieść skargę zgodnie z art. 37 ust. 5 lit. b) do właściwego organu, który bez zbędnej zwłoki podejmuje decyzję, czy i na jakich warunkach dzielenie się danymi powinno się rozpocząć lub zostać wznowione; lub |
| b) | uzgodnić z posiadaczem danych wniesienie sprawy do organu rozstrzygania sporów zgodnie z art. 10 ust. 1. |
10. Użytkownik nie wykorzystuje danych pozyskanych na podstawie wniosku, o którym mowa w ust. 1, do opracowania produktu skomunikowanego konkurującego z produktem skomunikowanym, z którego pochodzą dane, ani nie dzieli się w tym celu danymi z osobą trzecią i nie wykorzystuje takich danych do pozyskania informacji o sytuacji ekonomicznej, aktywach i metodach produkcji producenta lub w stosownym przypadku posiadacza danych.
11. Użytkownik nie stosuje środków przymusu ani nie nadużywa luk w infrastrukturze technicznej posiadacza danych, która ma chronić dane, w celu uzyskania dostępu do danych.
12. W przypadku gdy użytkownik nie jest osobą, której dotyczą dane osobowe objęte wnioskiem, wszelkie dane osobowe wygenerowane w wyniku korzystania z produktu skomunikowanego lub usługi powiązanej są udostępniane użytkownikowi przez posiadacza danych wyłącznie wtedy, gdy istnieje ważna podstawa prawna przetwarzania zgodnie z art. 6 rozporządzenia (UE) 2016/679 oraz w stosownym przypadku spełnione są warunki określone w art. 9 tego rozporządzenia i w art. 5 ust. 3 dyrektywy (UE) 2002/58.
13. Posiadacz danych wykorzystuje dane łatwo dostępne będące danymi nieosobowymi wyłącznie na podstawie umowy z użytkownikiem. Posiadacz danych nie wykorzystuje takich danych do pozyskania informacji o sytuacji ekonomicznej, aktywach i metodach produkcji użytkownika lub korzystaniu przez użytkownika, które to informacje mogłyby w inny sposób osłabić pozycję handlową użytkownika na rynkach jego działalności.
14. Posiadacze danych nie udostępniają danych nieosobowych z produktu osobom trzecim w celach handlowych lub niehandlowych innych niż realizacja umowy z użytkownikiem. W stosownych przypadkach posiadacze danych umownie zobowiązują osoby trzecie, aby nie dzieliły się dalej otrzymanymi od nich danymi.
Artykuł 6
Obowiązki osób trzecich otrzymujących dane na wniosek użytkownika
1. Osoba trzecia przetwarza dane udostępnione jej na podstawie art. 5 wyłącznie do celów i na warunkach uzgodnionych z użytkownikiem i – jeżeli spełnione są wszystkie warunki i zasady przewidziane w mającym zastosowanie prawie Unii lub prawie krajowym dotyczącym ochrony danych osobowych lub prywatności w tym prawach osoby, której dane dotyczą, w odniesieniu do danych osobowych. Osoba trzecia usuwa dane, gdy nie są one już niezbędne do uzgodnionego celu, chyba że uzgodniono inaczej z użytkownikiem w odniesieniu do danych nieosobowych.
2. Osoba trzecia:
| a) | bezzasadnie nie utrudnia użytkownikom dokonywania wyborów i wykonywania praw na podstawie art. 5 i niniejszego artykułu, w tym poprzez oferowanie użytkownikom wyboru w sposób nieneutralny lub zmuszanie, wprowadzanie w błąd użytkownika lub manipulowanie nim, bądź podważanie lub ograniczanie autonomii, zdolności decyzyjnych lub wyborów użytkowników, w tym za pomocą cyfrowego interfejsu użytkownika lub za pomocą jego części; |
| b) | niezależnie od art. 22 ust. 2 lit. a) i c) rozporządzenia (UE) 2016/679 nie wykorzystuje otrzymanych danych do profilowania, chyba że jest to niezbędne do świadczenia usługi żą danej przez użytkownika; |
| c) | nie udostępnia otrzymanych danych innej osobie trzeciej, chyba że udostępnia je na podstawie umowy z użytkownikiem, i pod warunkiem że ta inna osoba trzecia zastosuje wszystkie niezbędne środki uzgodnione między posiadaczem danych a osobą trzecią w celu ochrony poufności tajemnic przedsiębiorstwa; |
| d) | nie udostępnia otrzymanych danych przedsiębiorstwu wskazanemu jako strażnik dostępu na podstawie art. 3 rozporządzenia (UE) 2022/1925; |
| e) | nie wykorzystuje otrzymanych danych do opracowania produktu konkurującego z produktem skomunikowanym, z którego pochodzą dane, ani nie dzieli się nimi w tym celu z inną osobą trzecią; osoby trzecie nie wykorzystują też udostępnionych im danych nieosobowych z produktu lub z usługi powiązanej do pozyskania informacji o sytuacji ekonomicznej, aktywach i metodach produkcji posiadacza danych lub korzystaniu przez niego z produktu lub usługi powiązanej; |
| f) | nie wykorzystuje otrzymanych danych w sposób, który niekorzystnie wpływa na bezpieczeństwo produktu skomunikowanego lub usługi powiązanej; |
| g) | nie ignoruje szczególnych środków uzgodnionych z posiadaczem danych lub posiadaczem tajemnic przedsiębiorstwa zgodnie z art. 5 ust. 9 i nie zagraża poufności tajemnic przedsiębiorstwa; |
| h) | nie uniemożliwia użytkownikowi będącemu konsumentem, w tym w drodze umowy, udostępniania innym osobom otrzymanych przez siebie danych. |
Artykuł 19
Obowiązki organów sektora publicznego, Komisji, Europejskiego Banku Centralnego i organów Unii
1. Organ sektora publicznego, Komisja, Europejski Bank Centralny lub organ Unii, które otrzymały dane zgodnie z wnioskiem złożonym na podstawie art. 14:
| a) | nie wykorzystują danych w sposób niezgodny z celem, w którym o nie wystąpiono; |
| b) | wdrożyły środki techniczne i organizacyjne chroniące poufność i integralność żądanych danych oraz bezpieczeństwo przekazywania danych, w szczególności danych osobowych, oraz chronią prawa i wolności osób, których dane dotyczą; |
| c) | usuwają dane, gdy tylko przestaną one być niezbędne do określonego celu, i bez zbędnej zwłoki informują o ich usunięciu posiadacza danych oraz osoby fizyczne lub organizacje, które otrzymały dane na podstawie art. 21 ust. 1, chyba że prawo Unii lub prawo krajowe dotyczące publicznego dostępu do dokumentów wymaga archiwizacji danych w kontekście obowiązków dotyczących przejrzystości. |
2. Organ sektora publicznego, Komisja, Europejski Bank Centralny, organ Unii lub osoba trzecia otrzymujące dane na podstawie niniejszego rozdziału:
| a) | nie wykorzystują danych lub informacji o sytuacji ekonomicznej, aktywach oraz metodach produkcji lub działalności posiadacza danych, aby opracować lub udoskonalić produkt_skomunikowany lub usługę powiązaną konkurujące z produktem skomunikowanym lub usługą powiązaną posiadacza danych; |
| b) | nie dzielą się danymi z inną osobą trzecią w jakimkolwiek z celów, o których mowa w lit. a). |
3. Ujawnienie tajemnicy przedsiębiorstwa organowi sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu lub organowi Unii jest wymagane wyłącznie w zakresie, w jakim jest to bezwzględnie konieczne do osiągnięcia celu wniosku złożonego na podstawie art. 15. W takim przypadku posiadacz_danych lub, jeżeli nie jest tą samą osobą, posiadacz_tajemnicy_przedsiębiorstwa identyfikują dane chronione, w tym w stosownych metadanych, jako tajemnice przedsiębiorstwa. Przed ujawnieniem tajemnic przedsiębiorstwa organ_sektora_publicznego, Komisja, Europejski Bank Centralny lub organ Unii stosują wszelkie niezbędne i odpowiednie środki techniczne i organizacyjne, aby chronić poufność tajemnic przedsiębiorstwa, w tym w stosownym przypadku używają modelowych postanowień umownych, norm technicznych oraz kodeksów postępowania.
4. Organ sektora publicznego, Komisja, Europejski Banki Centralny lub organ Unii odpowiadają za bezpieczeństwo otrzymanych danych.
whereas