Pojęcie posiadacza danych należy do centralnych kategorii pojęciowych Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 roku, czyli Data Act. Od prawidłowego ustalenia, kto w danej sytuacji pełni funkcję posiadacza danych, zależy określenie podmiotów zobowiązanych do udostępniania danych użytkownikom i odbiorcom danych, podmiotów zobowiązanych do stosowania zasad udostępniania danych na sprawiedliwych, rozsądnych i niedyskryminujących zasadach oraz w sposób przejrzysty, a także podmiotów, na których spoczywają obowiązki związane z ochroną tajemnic przedsiębiorstwa w procesie dzielenia się danymi. Pojęcie posiadacza danych przenika wszystkie rozdziały Data Act – od regulacji dzielenia się danymi między przedsiębiorcami a konsumentami i innymi przedsiębiorcami, przez obowiązki udostępniania danych organom sektora publicznego w przypadku wyjątkowej potrzeby, aż po przepisy dotyczące nieuczciwych postanowień umownych. Dowiedz się więcej o tym, kim jest posiadacz danych.
Definicja legalna posiadacza danych
Data Act definiuje posiadacza danych jako osobę fizyczną lub prawną, która ma prawo lub obowiązek – zgodnie z rozporządzeniem, mającym zastosowanie prawem Unii lub prawem krajowym przyjętym zgodnie z prawem Unii – wykorzystywać i udostępniać dane, w tym o ile zostało to przewidziane umową, dane z produktu lub dane z usługi powiązanej pobrane lub wygenerowane przez nią podczas świadczenia usługi powiązanej.
Posiadacz danych a producent produktu skomunikowanego
W praktyce rynkowej funkcję posiadacza danych najczęściej pełni producent produktu skomunikowanego lub dostawca usługi powiązanej. Produkt skomunikowany to rzecz pozyskująca, generująca lub zbierająca dane dotyczące swojego działania, wykorzystywania lub środowiska i mogąca komunikować te dane za pomocą usługi łączności elektronicznej, łącza fizycznego lub dostępu na urządzeniu, i której podstawową funkcją nie jest przechowywanie, przetwarzanie ani przesyłanie danych w imieniu strony innej niż użytkownik. Producent takiego produktu, który na mocy projektu produktu oraz umów łączących go z użytkownikiem ma prawo do pozyskiwania i wykorzystywania danych z produktu, wypełnia definicję posiadacza danych.
Data Act wyraźnie wskazuje, że w przypadku gdy posiadaczem danych jest producent produktu skomunikowanego, podstawą wykorzystywania przez niego danych nieosobowych powinna być umowa między producentem a użytkownikiem. Taka umowa może być częścią umowy o świadczenie usługi powiązanej, którą można zaoferować wraz z umową sprzedaży, najmu, dzierżawy lub leasingu dotyczącą produktu skomunikowanego.
Każde postanowienie umowne stanowiące, że posiadacz danych może wykorzystywać dane z produktu lub z usługi powiązanej, powinno być dla użytkownika przejrzyste, w tym w odniesieniu do celów, w jakich posiadacz danych zamierza wykorzystywać dane.
Posiadacz danych a podmiot przetwarzający
Data Act wprowadza rozróżnienie między posiadaczem danych a podmiotem przetwarzającym w rozumieniu RODO przez wprowadzenie autonomicznego pojęcia posiadacza danych. Podmioty przetwarzające dane zdefiniowane w RODO nie są z automatu uznawane za posiadaczy danych. Może im jednak zostać wyznaczone konkretne zadanie udostępniania danych przez administratora danych w rozumieniu RODO. Rozróżnienie to ma kluczowe znaczenie praktyczne – podmiot, który jedynie przetwarza dane w imieniu i na polecenie administratora, nie przejmuje automatycznie roli posiadacza danych i nie nabywa związanych z nią praw i obowiązków wynikających z Data Act.
Wielość posiadaczy danych w jednym stosunku prawnym
Data Act dostrzega, że w praktyce dane mogą być generowane przez produkty skomunikowane lub usługi powiązane w sposób angażujący kilka podmiotów, z których każdy może w różnym zakresie spełniać kryteria posiadacza danych. Generowanie danych stanowi rezultat działań co najmniej dwóch podmiotów, w szczególności twórców lub producentów produktu skomunikowanego, którzy w wielu przypadkach mogą być także dostawcami usług powiązanych, i użytkownika tego produktu skomunikowanego lub usług powiązanych.
W przypadku gdy kilku producentów lub dostawców usług powiązanych sprzedało, wynajęło, wydzierżawiło lub oddało w leasing produkty skomunikowane lub świadczyło usługi powiązane, które są wspólnie zintegrowane, temu samemu użytkownikowi, użytkownik ten powinien zwrócić się do każdej ze stron, z którą zawarł umowę. Data Act nie rozstrzyga wprost kwestii konfliktu między wieloma posiadaczami danych, pozostawiając ją do uregulowania w drodze umownej lub przez prawo sektorowe.
Przykład 1.
Przedsiębiorstwo leasingowe oddaje w leasing flotę pojazdów ciężarowych wyposażonych w systemy telematyczne generujące dane dotyczące eksploatacji pojazdów. Leasingobiorcy wykorzystują pojazdy w działalności transportowej. Producent pojazdów, na podstawie umowy serwisowej, uzyskuje dostęp do danych i wykorzystuje je do celów diagnostycznych oraz utrzymania pojazdów. Pojawia się wątpliwość, kto w tej sytuacji jest użytkownikiem oraz czy przedsiębiorstwo leasingowe może zostać uznane za posiadacza danych, a także czy może domagać się dostępu do danych od producenta na podstawie Data Act. Użytkownikiem w rozumieniu Data Act jest podmiot korzystający z produktu skomunikowanego lub mający do niego prawa wynikające z umowy, przy czym w typowej sytuacji leasingowej użytkownikiem będzie przede wszystkim leasingobiorca jako podmiot faktycznie korzystający z pojazdów. Przedsiębiorstwo leasingowe może zostać uznane za użytkownika jedynie w zakresie, w jakim rzeczywiście korzysta z produktu lub ma uprawnienia pozwalające na dostęp do danych. Producent pojazdów, który na podstawie przepisów lub umowy ma prawo wykorzystywać i udostępniać dane z produktu, może spełniać przesłanki uznania za posiadacza danych. Jeżeli przedsiębiorstwo leasingowe nie ma prawa lub obowiązku wykorzystywania i udostępniania danych wynikającego z przepisów prawa, nie będzie posiadaczem danych w rozumieniu Data Act. Uprawnienie do żądania udostępnienia danych na podstawie Data Act przysługuje użytkownikowi wobec posiadacza danych. Oznacza to, że leasingobiorca jako użytkownik może żądać udostępnienia danych od producenta jako posiadacza danych. Ewentualny dostęp przedsiębiorstwa leasingowego do danych może natomiast wynikać z umowy zawartej z producentem lub z użytkownikiem, a nie bezpośrednio z przepisów Data Act.
Obowiązki posiadacza danych wobec użytkownika
Posiadacz danych jest podmiotem, na którym spoczywa szereg obowiązków wynikających z Data Act. Kluczowym z nich jest obowiązek udostępnienia użytkownikowi danych łatwo dostępnych bez zbędnej zwłoki, w sposób łatwy i bezpieczny, nieodpłatnie, w całościowym, ustrukturyzowanym, powszechnie używanym, nadającym się do odczytu maszynowego formacie oraz, w stosownym przypadku i jeżeli jest to technicznie wykonalne, w sposób ciągły i w czasie rzeczywistym. Obowiązek ten realizowany jest na podstawie zwykłego wniosku złożonego drogą elektroniczną, jeżeli jest to technicznie możliwe.
Posiadacz danych nie może także wymagać od użytkownika dostarczenia żadnych informacji poza tymi, które są niezbędne do kontroli, czy dana osoba fizyczna lub prawna kwalifikuje się jako użytkownik uprawniony do dostępu do danych.
Posiadacz danych a ochrona tajemnic przedsiębiorstwa
Data Act przyznaje posiadaczowi danych będącemu posiadaczem tajemnicy przedsiębiorstwa szczególne uprawnienia ochronne. Posiadacz danych lub, jeżeli nie jest to ta sama osoba, posiadacz tajemnicy przedsiębiorstwa identyfikuje dane chronione jako tajemnice przedsiębiorstwa i uzgadnia z użytkownikiem proporcjonalne środki techniczne i organizacyjne niezbędne do ochrony poufności danych podlegających dzieleniu się, w szczególności w odniesieniu do osób trzecich. Środki te mogą obejmować modelowe postanowienia umowne, umowy o poufności, protokoły ścisłego dostępu, normy techniczne oraz stosowanie kodeksów postępowania.
W przypadku gdy nie uzgodniono niezbędnych środków lub użytkownik nie wdraża uzgodnionych środków bądź zagraża poufności tajemnic przedsiębiorstwa, posiadacz danych może wstrzymać lub zawiesić dzielenie się danymi zidentyfikowanymi jako tajemnice przedsiębiorstwa.
W wyjątkowych okolicznościach, gdy posiadacz danych będący posiadaczem tajemnicy przedsiębiorstwa może wykazać, że mimo środków technicznych i organizacyjnych zastosowanych przez użytkownika ujawnienie tajemnic handlowych z dużym prawdopodobieństwem poskutkuje poważną szkodą ekonomiczną, posiadacz danych może w tym konkretnym przypadku odrzucić wniosek o dostęp do tych konkretnych danych.
Wykazane informacje muszą zostać należycie uzasadnione na podstawie obiektywnych elementów i przedstawione na piśmie bez zbędnej zwłoki, a o odmowie posiadacz danych powiadamia właściwy organ wyznaczony zgodnie z Data Act.
Polecamy: