Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 roku w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 wprowadziło szczegółowe zasady dotyczące udostępniania danych oraz praw i obowiązków z tym związanych. Sprawdź, co jeszcze warto wiedzieć o nowej regulacji i jak ma wyglądać dostęp do danych i ich wykorzystywania!
Przedmiot i zakres stosowania rozporządzenia
W rozporządzeniu ustanowione zostały zharmonizowane przepisy między innymi dotyczące:
- udostępniania danych z produktu i z usługi powiązanej użytkownikowi produktu skomunikowanego lub usługi powiązanej;
- udostępniania danych przez posiadaczy danych odbiorcom danych;
- udostępniania danych przez posiadaczy danych organom sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu i organom Unii – w przypadku wystąpienia wyjątkowej potrzeby wykorzystania tych danych do celów wykonania określonego zadania realizowanego w interesie publicznym;
- ułatwiania zmiany dostawcy usług przetwarzania danych;
- wprowadzania zabezpieczeń przed niezgodnym z prawem dostępem osób trzecich do danych nieosobowych oraz
- opracowania norm interoperacyjności wobec danych, które mają być udostępniane, przekazywane i wykorzystywane.
Rozporządzenie dotyczy danych osobowych i nieosobowych, w tym następujących rodzajów danych (w zależności od przypadku):
- danych, z wyjątkiem treści, dotyczących działania, wykorzystywania i środowiska produktów skomunikowanych i usług powiązanych;
- danych sektora prywatnego podlegających ustawowym obowiązkom w zakresie dzielenia się danymi;
- danych sektora prywatnego udostępnianych i wykorzystywanych na podstawie umów między przedsiębiorcami;
- danych sektora prywatnego ze szczególnym uwzględnieniem danych nieosobowych;
- danych i usług przetwarzanych przez dostawców usług przetwarzania danych;
- danych nieosobowych dostawców usług przetwarzania danych przechowywanych na terenie Unii.
Obowiązek udostępniania danych z produktu i z usługi powiązanej użytkownikowi
Produkty skomunikowane są projektowane i produkowane, a usługi powiązane projektowane i świadczone w taki sposób, aby dane z produktu i z usługi powiązanej, w tym stosowne metadane niezbędne do interpretacji i wykorzystania danych, były domyślnie łatwo, bezpiecznie, bezpłatnie, w całościowym, ustrukturyzowanym, powszechnie używanym i nadającym się do odczytu maszynowego formacie oraz, w stosownym przypadku i jeśli jest to technicznie możliwe, bezpośrednio dostępne dla użytkownika.
Dostęp do danych i ich wykorzystywania - prawa i obowiązki użytkowników oraz posiadaczy danych
W przypadku, gdy użytkownik nie może uzyskać bezpośredniego dostępu do danych z produktu skomunikowanego lub z usługi powiązanej, posiadacze danych bez zbędnej zwłoki, w sposób łatwy i bezpieczny, nieodpłatnie udostępniają użytkownikowi dane łatwo dostępne, wraz z odpowiednimi metadanymi niezbędnymi do interpretacji i wykorzystania tych danych, cechujące się taką samą jakością, jaka jest dostępna dla posiadacza danych, w całościowym, ustrukturyzowanym, powszechnie używanym, nadającym się do odczytu maszynowego formacie oraz w stosownym przypadku i jeżeli jest to technicznie wykonalne – w sposób ciągły i w czasie rzeczywistym. Odbywa się to na podstawie zwykłego wniosku złożonego drogą elektroniczną, jeżeli jest to technicznie możliwe.
Użytkownicy i posiadacze danych mogą umownie ograniczyć lub zakazać dostępu do danych, ich wykorzystywania lub dalszego dzielenia się nimi, jeżeli takie przetwarzanie mogłoby zagrozić wymaganiom bezpieczeństwa produktu skomunikowanego określonym w prawie Unii lub prawie krajowym i mieć poważny negatywny wpływ na zdrowie, bezpieczeństwo lub ochronę osób fizycznych.
Bez uszczerbku dla przysługującego użytkownikowi w dowolnym momencie prawa do dochodzenia roszczeń przed sądem lub trybunałem państwa członkowskiego, użytkownik może w związku ze sporem z posiadaczem danych w sprawie ograniczeń umownych lub zakazów:
- wnieść skargę do właściwego organu lub
- uzgodnić z posiadaczem danych wniesienie sprawy do organu rozstrzygania sporów.
Posiadacze danych nie powinni utrudniać bezzasadnie użytkownikom dokonywania wyborów ani wykonywania praw na podstawie niniejszego artykułu, w tym poprzez oferowanie użytkownikom wyboru w sposób nieneutralny lub poprzez podważanie lub ograniczanie autonomii, zdolności decyzyjnych lub wyborów użytkownika za pomocą struktury, projektu, funkcji lub sposobu działania interfejsu cyfrowego użytkownika bądź jego części.
Przykład 1.
Czy dane objęte tajemnicą przedsiębiorstwa podlegają ochronie?
Tak, zgodnie z rozporządzeniem chroni się tajemnice przedsiębiorstwa i ujawnia się je wyłącznie wtedy, gdy posiadacz danych i użytkownik przed ujawnieniem zastosują wszelkie środki niezbędne do ochrony ich poufności, w szczególności w odniesieniu do osób trzecich. Posiadacz danych lub, jeżeli nie jest to ta sama osoba, posiadacze tajemnicy przedsiębiorstwa identyfikują dane chronione, w tym stosowne metadane, jako tajemnice przedsiębiorstwa i uzgadniają z użytkownikiem proporcjonalne środki techniczne i organizacyjne niezbędne do ochrony poufności danych podlegających dzieleniu się, w szczególności w odniesieniu do osób trzecich, takie jak modelowe postanowienia umowne, umowy o poufności, protokoły ścisłego dostępu, normy techniczne oraz stosowanie kodeksów postępowania.
Użytkownik nie powinien wykorzystywać danych pozyskanych na podstawie wniosku opracowania produktu skomunikowanego konkurującego z produktem skomunikowanym, z którego pochodzą dane, ani nie dzieli się w tym celu danymi z osobą trzecią i nie wykorzystuje takich danych do pozyskania informacji o sytuacji ekonomicznej, aktywach i metodach produkcji producenta lub w stosownym przypadku posiadacza danych.
Użytkownik nie powinien także stosować środków przymusu ani nadużywać luk w infrastrukturze technicznej posiadacza danych, która ma chronić dane, w celu uzyskania dostępu do nich.
Posiadacz danych wykorzystuje dane łatwo dostępne będące danymi nieosobowymi wyłącznie na podstawie umowy z użytkownikiem. Nie wykorzystuje takich danych do pozyskania informacji o sytuacji ekonomicznej, aktywach i metodach produkcji użytkownika lub korzystaniu przez użytkownika, które to informacje mogłyby w inny sposób osłabić pozycję handlową użytkownika na rynkach jego działalności.
Prawo użytkownika do dzielenia się danymi z osobami trzecimi
Na wniosek użytkownika lub strony działającej w jego imieniu posiadacz danych bez zbędnej zwłoki w sposób łatwy i bezpieczny oraz nieodpłatnie dla użytkownika udostępnia osobie trzeciej dane łatwo dostępne wraz z odpowiednimi metadanymi niezbędnymi do interpretacji i wykorzystania tych danych, cechujące się taką samą jakością, jaka jest dostępna dla posiadacza danych, w całościowym, ustrukturyzowanym, powszechnie używanym, nadającym się do odczytu maszynowego formacie oraz w stosownym przypadku i jeżeli jest to technicznie możliwe – w sposób ciągły i w czasie rzeczywistym.
Osoba trzecia przetwarza dane udostępnione jej na wniosek użytkownika wyłącznie do celów i na warunkach uzgodnionych z użytkownikiem i – jeżeli spełnione są wszystkie warunki i zasady przewidziane w mającym zastosowanie prawie Unii lub prawie krajowym dotyczącym ochrony danych osobowych lub prywatności w tym prawach osoby, której dane dotyczą, w odniesieniu do danych osobowych. Osoba trzecia usuwa dane, gdy nie są one już niezbędne do uzgodnionego celu, chyba że uzgodniono inaczej z użytkownikiem w odniesieniu do danych nieosobowych.
Warunki udostępniania danych przez posiadaczy danych ich odbiorcom
W przypadku, gdy w relacjach między przedsiębiorcami posiadacz danych jest zobowiązany do udostępnienia ich odbiorcy danych lub innego mającego zastosowanie prawa Unii, lub prawa krajowego przyjętego zgodnie z prawem Unii, omawia on z odbiorcą danych uzgodnienia dotyczące udostępnienia danych i robi to na sprawiedliwych, rozsądnych i niedyskryminujących zasadach oraz w przejrzysty sposób.
Postanowienie umowne dotyczące dostępu do danych i ich wykorzystywania lub odpowiedzialności i środków ochrony prawnej wobec naruszenia lub odstąpienia od obowiązków dotyczących danych nie jest wiążące, jeżeli stanowi nieuczciwe postanowienie umowne lub jeżeli na szkodę użytkownika wyłącza stosowanie praw użytkownika, stanowi odstępstwo od tych praw lub zmienia ich skutek.
Przy udostępnianiu danych ich posiadacz nie rozróżnia uzgodnień dotyczących udostępniania danych dla porównywalnych kategorii odbiorców danych, w tym przedsiębiorstw partnerskich lub przedsiębiorstw powiązanych posiadacza danych. W przypadku, gdy odbiorca danych uważa, że warunki, na których dane zostały mu udostępnione, są dyskryminujące, posiadacz danych bez zbędnej zwłoki przedstawia odbiorcy na jego uzasadniony wniosek informacje wykazujące, że nie doszło do dyskryminacji.
Posiadacze danych i odbiorcy danych nie mają obowiązku przedstawiania żadnych informacji poza tymi, które są niezbędne do kontroli przestrzegania postanowień umownych uzgodnionych w celu udostępnienia danych lub obowiązków wynikających z niniejszego rozporządzenia bądź innego mającego zastosowanie prawa Unii lub prawa krajowego przyjętego zgodnie z prawem Unii.
Nieuczciwe postanowienia umowne nałożone jednostronnie na inne przedsiębiorstwo
Postanowienie umowne dotyczące dostępu do danych i ich wykorzystywania lub odpowiedzialności i środków ochrony prawnej wobec naruszenia lub odstąpienia od obowiązków dotyczących danych i nałożone jednostronnie na inne przedsiębiorstwo nie jest dla tego innego przedsiębiorstwa wiążące, jeżeli postanowienie to jest nieuczciwe.
Postanowienie umowne nie jest uznawane za nieuczciwe, jeżeli stanowi odzwierciedlenie bezwzględnie obowiązujących przepisów prawa Unii, które miałyby zastosowanie, gdyby przedmiotowej sprawy nie regulowały postanowienia umowne.
Postanowienie umowne jest nieuczciwe, jeżeli cechuje się tym, że jego stosowanie rażąco odbiega od dobrej praktyki handlowej w zakresie dostępu do danych i ich wykorzystywania, w przeciwieństwie do zasady dobrej wiary i uczciwego obrotu.
W szczególności postanowienie umowne jest nieuczciwe, jeżeli jego celem lub skutkiem jest:
- wyłączenie lub ograniczenie odpowiedzialności strony, która jednostronnie narzuciła postanowienie, za czyny umyślne lub wynikające z rażącego niedbalstwa;
- wyłączenie środków ochrony prawnej dostępnych stronie, na którą jednostronnie narzucono postanowienie, w przypadku niewykonania zobowiązań umownych lub wyłączenie odpowiedzialności strony, która jednostronnie narzuciła postanowienie, w przypadku naruszenia tych zobowiązań;
- przyznanie stronie, która jednostronnie narzuciła postanowienie, wyłącznego prawa do ustalania, czy dostarczone dane są zgodne z umową, lub wyłącznego prawa do interpretowania postanowienia umownego.
Postanowienie umowne uważa się za jednostronnie narzucone w rozumieniu niniejszego artykułu, jeżeli zaproponowała je jedna umawiająca się strona, a druga umawiająca się strona nie była w stanie wpłynąć na jego treść pomimo próby jej negocjacji. Ciężar udowodnienia, że postanowienie umowne nie zostało jednostronnie narzucone, spoczywa na umawiającej się stronie, która zaproponowała to postanowienie. Umawiająca się strona, która zaproponowała sporne postanowienie, nie może twierdzić, że jest to nieuczciwe postanowienie umowne.
W przypadku, gdy nieuczciwe postanowienie umowne można oddzielić od pozostałych postanowień umowy, pozostałe postanowienia pozostają wiążące.
Niniejszy artykuł nie ma zastosowania do postanowień umownych określających główny przedmiot umowy lub do relacji ceny do dostarczonych w zamian danych.