17 października, 2024
Data Act to potoczne określenie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie sharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 (dalej jako: „akt w sprawie danych”).
Jednym z założeń ww. Rozporządzenia jest zapewnienie użytkownikom produktu skomunikowanego lub usługi powiązanej w Unii możliwości terminowego dostępu do danych generowanych w wyniku korzystania z danego produktu skomunikowanego lub z danej usługi powiązanej oraz wykorzystywania tych danych, w tym dzielenia się nimi z wybranymi przez siebie osobami trzecimi. Dalsza analiza tego aktu pozwala stwierdzić, że jego głównym celem jest zwiększenie dostępności danych oraz sprawiedliwego do nich dostępu i ich wykorzystania pomiędzy użytkownikami.
Uwadze nie może umknąć także fakt korelacji aktu w sprawie danych z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie
o ochronie danych) (dalej jako „RODO”), do czego odwołuje się punkt 7. aktu w sprawie danych, określając jego mocą uzupełnienie prawa Unii w zakresie ochrony danych osobowych i prywatności i pozostawanie bez uszczerbku dla tego prawa. Pomimo różnorodności obszarów regulowanych przez oba akty, stanowią one niezbędną całość dla bezpiecznego i równego dostępu do danych technicznych.
O ile akt w sprawie danych reguluje materię związaną z danymi technicznymi (nieosobowymi), tak zadaniem wynikającym z RODO jest ochrona osób fizycznych w związku z przetwarzaniem danych osobowych oraz uregulowanie swobodnego przepływu takich danych. W myśl RODO, dane osobowe stanowią wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, a możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Pomimo określonej powyżej korelacji tych dwóch aktów prawnych, Akt w sprawie danych nie stanowi podstawy prawnej do zbierania ani generowania danych osobowych przez posiadacza danych – innymi słowy, Akt w sprawie danych reguluje materię związaną z dostępem i posiadaniem danych nieosobowych (tj. takich, które zostały wygenerowane przez oprogramowanie cyfrowe), a sam fakt ich posiadania nie może stanowić pretekstu do uzyskania danych osobowych posiadacza. Jeśli jednak udostępnienie danych technicznych wiąże się z koniecznością przetwarzania danych osobowych, to cały proces musi być zgodny tak z Aktem w sprawie danych jak i z RODO.
W celu usystematyzowania zakresów regulacji ww. aktów, warto podkreślić podstawowe różnice pomiędzy aktem w sprawie danych a RODO:
1. Wejście w życie:
a. RODO ma zastosowanie od dnia 25 maja 2018 r. (art. 99 ust. 2 RODO),
b. Akt w sprawie danych wszedł w życie 11 stycznia 2024 r. (tj. dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej), natomiast w życie wejdzie z dniem 12 września 2025 r. (art. 50 Aktu w sprawie danych)
2. Zakres obowiązywania oraz podmioty chronione ww. aktami prawnymi:
a. RODO reguluje ochronę danych osobowych oraz zasady ich przetwarzania wyłącznie dot. osób fizycznych – ochronie tej nie będą podlegać np. spółki. Warto przy tym wskazać, że ochronie podlega każda osoba fizyczna znajdująca się na terenie Unii Europejskiej (krąg ten nie jest ograniczony wyłącznie do obywateli krajów członkowskich),
b. Akt w sprawie danych reguluje zasady udostępniania danych technicznych
(tj. danych nieosobowych) zarówno przez podmioty je generujące jak
i posiadaczy tych danych
3. Cele aktów prawnych:
a. głównym celem RODO jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych, a także zapewnienie transparentności w przetwarzaniu danych i zwiększenia praw poszczególnych jednostek w ww. zakresie,
b. Akt w sprawie danych harmonizuje przepisy dotyczące m. in.:
i. udostępniania danych z produktu i z usługi powiązanej użytkownikowi produktu skomunikowanego lub usługi powiązanej;
ii. udostępniania danych przez posiadaczy danych odbiorcom danych;
iii. udostępniania danych przez posiadaczy danych organom sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu i organom Unii – w przypadku wystąpienia wyjątkowej potrzeby wykorzystania tych danych do celów wykonania określonego zadania realizowanego
w interesie publicznym;
iv. ułatwiania zmiany dostawcy usług przetwarzania danych;
v. wprowadzania zabezpieczeń przed niezgodnym z prawem dostępem osób trzecich do danych nieosobowych;
vi. opracowania norm interoperacyjności wobec danych, które mają być udostępniane, przekazywane i wykorzystywane.
4. Obowiązki wynikające z obu aktów prawnych:
a. RODO obliguje administratorów danych do:
i. uzyskania zgody osoby, której dane dotyczą, na ich przetwarzanie – również muszą być w stanie wykazać uzyskanie takiej zgody,
ii. wdrożenia właściwych środków ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji,
iii. dokonania oceny skutków planowanej operacji przetwarzania dla ochrony danych osobowych, jeżeli dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych,
iv. zgłoszenia nie później niż w terminie 72 godzin zgłoszenia organowi nadzorczemu (Prezesowi UODO) naruszenia ochrony danych osobowych,
b. z Aktu w sprawie danych wynikają natomiast następujące obowiązki:
i. udostępnienie danych technicznych na sprawiedliwych, rozsądnych
i niedyskryminujących zasadach oraz w przejrzysty sposób,
ii. ułatwienie zmiany dostawcy usług przetwarzania danych, zwiększenie interoperacyjności danych oraz mechanizmów i usług dzielenia się danymi w Unii,
iii. stosowanie odpowiednich środków bezpieczeństwa w celu ochrony przetwarzanych danych,
iv. pełnego i rzetelnego przekazania informacji w zakresie danych technicznych przed zawarciem umowy sprzedaży, najmu, dzierżawy lub leasingu produktu skomunikowanego.
5. Organ nadzoru wynikający z aktów prawnych:
a. RODO nie zawiera regulacji odnośnie powołania organu nadzoru na poziomie europejskim, lecz obliguje każde z Państw Członkowskich do powołania niezależnego organu publicznego, który będzie odpowiedzialny za monitorowanie stosowania ww. rozporządzenia. Realizując ten obowiązek, w Polsce powołany został Urząd Ochrony Danych Osobowych, na którego czele stoi Prezes. Warto przy tym wspomnieć, iż powołanie nowego Organu było konieczne w związku z wynikającym z RODO obowiązkiem powołania niezależnego organu – nazwa uprzedniego organu (Główny Inspektor Ochrony Danych Osobowych) mógł mylnie sugerować, że jest on odpowiedzialny wyłącznie za nadzór powoływanych przez Administratorów Ochrony Danych Osobowych inspektorami, co stałoby w sprzeczności z niezależnym charakterem organu wynikającym z RODO. Jako ciekawostkę należy podkreślić, że organ ochrony danych osobowych każdego Państwa Członkowskiego UE jest z urzędu członkiem określonej w RODO Europejskiej Rady Ochrony Danych,
b. Akt w sprawie danych nakłada na każde z Państw Członkowskich obowiązek wyznaczenia właściwego organu bądź organów odpowiedzialnych za stosowanie i egzekwowanie tego aktu – różnicą względem RODO jest pozbawienie ich przymiotu niezależności oraz obowiązek ustanowienia koordynatora danych w przypadku wyznaczenia większej liczby organów odpowiedzialnych za stosowanie i egzekwowanie aktu.
6. Sankcje
a. za naruszenie obowiązków wynikających z RODO przewidziane są następujące sankcje:
i. do 10 milionów euro, a w przypadku przedsiębiorstwa – do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa za naruszenie:
1. obowiązków administratora i podmiotu przetwarzającego,
2. obowiązków podmiotu certyfikującego,
3. obowiązków podmiotu monitorującego,
ii. 20 milionów euro , a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa za naruszenie:
1. podstawowych zasad przetwarzania, w tym warunków zgody,
2. praw osób, których dane dotyczą,
3. przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej z naruszeniem wynikającego z RODO stopnia ochrony,
4. wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX;
5. nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lub niezapewnienia dostępu skutkującego naruszeniem art. 58 ust. 1.
iii. Wartym podkreślenia jest, że oprócz ww. kar administracyjnych Państwa Członkowskie uprawnione były do zawiadomienia Komisji Europejskiej o ustanowieniu innych sankcji obejmujących naruszenia niepodlegające powyższym karom do dnia 25 maja 2018 r.
b. Z aktu w sprawie danych nie wynika tożsame uregulowanie jak w RODO – mocą ww. aktu Państwa Członkowskie zobowiązane zostały do ustanowienia przepisów dotyczących kar mających zastosowanie w przypadku naruszeń niniejszego rozporządzenia i podjęcia wszelkich niezbędnych środków w celu zapewnienia ich wykonywania. Państwa Członkowskie mają pełną swobodę
w kształtowaniu wysokości kar, jednakże muszą być one zgodne z dyrektywami wynikającymi z ww. aktu – tj. kary mają być skuteczne, proporcjonalne
i odstraszające.
Pomimo powyższych różnic, akty te można uznać za wzajemnie się uzupełniające po zaistnieniu określonych przesłanek, tj. konieczności przetworzenia danych osobowych
w przypadku udostępnienia danych technicznych, co wynika bezpośrednio z Aktu w sprawie danych. Funkcjonowanie ww. aktów w obrocie prawnym z pewnością usystematyzuje obowiązki związane z udostępnianiem danych nimi określonych.