Kary w DATA ACT

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 (Data ACT) wprowadza przepisy mające na celu harmonizację zasad dotyczących dostępu do danych i ich wykorzystywania. Wraz z nowymi obowiązkami pojawiają się również sankcje za ich nieprzestrzeganie. Celem kar przewidzianych w Data Act jest nie tylko ukaranie podmiotów naruszających przepisy, ale także zapobieganie powstawaniu nowych naruszeń, stymulowanie innowacji i budowanie zaufania do gospodarki cyfrowej.

Kary – kryteria ogólne
Zgodnie z artykułem 37 Rozporządzenia, kary za naruszenie jego przepisów powinny być:

• Skuteczne: Kara musi realnie zniechęcać do naruszania przepisów.
• Proporcjonalne: Wysokość sankcji powinna uwzględniać charakter i wagę naruszenia.
• Odstraszające: Sankcje powinny być na tyle wysokie, by nie opłacało się naruszać prawa.

Państwa członkowskie Unii Europejskiej są zobowiązane do wprowadzenia przepisów krajowych określających szczegółowe zasady kar oraz procedury ich nakładania.

Data ACT pozostawia państwom członkowskim UE kompetencje w zakresie ustanowienia przepisów krajowych określających szczegółowe zasady kar oraz procedury ich nakładania. Państwa członkowskie również są zobligowane do powołania organów odpowiedzialnych za kontrolę i egzekwowanie przepisów (ograny nadzorcze) – mogą to być urzędy regulacyjne, takie jak organy ochrony danych, urzędy ds. konkurencji lub dedykowane jednostki administracyjne.

W tym miejscu należy jednak wskazać, że organy nadzorcze w procesie ustalania dolegliwości kar powinny uwzględniać wytyczne Europejskiej Rady ds. Innowacji w zakresie Danych.

Kary – Kryteria szczegółowe

Zgodnie z przepisami Data Act organy egzekwujące ustanowione przez państwa członkowskie wymierzając kary powinny uwzględniać poniższe kryteria:

• Charakter, waga, skala i czas trwania naruszenia: Im poważniejsze i bardziej długotrwałe naruszenie, tym wyższa kara.
• Działania podjęte przez stronę naruszającą: Jeżeli przedsiębiorstwo podjęło kroki w celu naprawienia szkody lub złagodzenia skutków naruszenia, może to wpłynąć łagodząco na wymiar kary.
• Wcześniejsze naruszenia: powtarzalność naruszeń powinna skutkować nałożeniem wyższej kary.
• Korzyści finansowe: Jeżeli przedsiębiorstwo odniosło korzyści finansowe dzięki naruszeniu przepisów, powinno skutkować podwyższeniem kary.
• Inne czynniki obciążające lub łagodzące: Ocenie podlegają również inne okoliczności konkretnej sprawy, które mogą mieć wpływ na wysokość kary.
• Roczny obrót przedsiębiorstwa: Wysokość kary powinna być uzależniona od wielkości przedsiębiorstwa, co ma na celu zapewnienie, że kara będzie odpowiednio uciążliwa.
• wytyczne Europejskiej Rady ds. Innowacji w zakresie Danych.

Przepisy Data Act nie przewidują katalogu kar możliwych do nałożenia wskazując, że państwa członkowskie mają w tym zakresie autonomię działania, jednakże do 12 września 2025 roku państwa członkowskie muszą przekazać pełną informację o przepisach, procedurach jak i przyjętych środkach, gdyż Komisja będzie prowadzić ich publiczny rejestr.

Przykładowe naruszenia podlegające karom:

• Nieudostępnienie danych: Firma odmawia przekazania danych, do których dostęp jest wymagany na mocy Data ACT.
• Naruszenie zasad przejrzystości umów: Używanie nieuczciwych klauzul w umowach o dostęp do danych, które mogą faworyzować jedną z stron.
• Brak wdrożenia środków technicznych i organizacyjnych: Nieprzestrzeganie zasad zapewniających odpowiedni dostęp do danych, np. przez brak interoperacyjności systemów.
• Nieprzestrzeganie obowiązków informacyjnych: Niewywiązywanie się z obowiązku przekazywania szczegółowych informacji o danych użytkownikowi lub osobom trzecim.

Dodać należy, że w przypadku naruszenia ochrony danych osobowych (np. nieuprawnionego ujawnienia danych użytkownika urządzenia skomunikowanego), zastosowanie będą miały przepisy Rozporządzenia o Ochronie Danych nr 2016/679 (RODO), które przewidują możliwość nałożenia kar wynoszących nawet 20 mln EUR lub 4% rocznego obrotu przedsiębiorstwa.

Kary – Podsumowanie

Najważniejsze kwestie dotyczące kar w Data ACT:

• Zakres kar obejmuje m.in. nieprzestrzeganie zasad dostępu do danych, brak przejrzystości w umowach oraz naruszenia obowiązków informacyjnych.
• Kary muszą być skuteczne, proporcjonalne i odstraszające.
• Państwa członkowskie UE wdrażają przepisy szczegółowe dotyczące wysokości i trybu nakładania sankcji.
• Dodatkowo, w przypadku naruszenia ochrony danych osobowych, zastosowanie znajdą przepisy RODO, które mogą przewidywać kary sięgające 20 mln EUR lub 4% rocznego obrotu przedsiębiorstwa.
• Kluczowym celem sankcji jest ochrona transparentności rynku oraz zapewnienie równych warunków dla wszystkich przedsiębiorców, w szczególności dla MŚP.