28 listopada, 2024
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 (Data ACT) wprowadza przepisy mające na celu harmonizację zasad dotyczących dostępu do danych i ich wykorzystywania. Wraz z nowymi obowiązkami pojawiają się również sankcje za ich nieprzestrzeganie. Celem kar przewidzianych w Data Act jest nie tylko ukaranie podmiotów naruszających przepisy, ale także zapobieganie powstawaniu nowych naruszeń, stymulowanie innowacji i budowanie zaufania do gospodarki cyfrowej.
Kary – kryteria ogólne
Zgodnie z artykułem 37 Rozporządzenia, kary za naruszenie jego przepisów powinny być:
Państwa członkowskie Unii Europejskiej są zobowiązane do wprowadzenia przepisów krajowych określających szczegółowe zasady kar oraz procedury ich nakładania.
Data ACT pozostawia państwom członkowskim UE kompetencje w zakresie ustanowienia przepisów krajowych określających szczegółowe zasady kar oraz procedury ich nakładania. Państwa członkowskie również są zobligowane do powołania organów odpowiedzialnych za kontrolę i egzekwowanie przepisów (ograny nadzorcze) – mogą to być urzędy regulacyjne, takie jak organy ochrony danych, urzędy ds. konkurencji lub dedykowane jednostki administracyjne.
W tym miejscu należy jednak wskazać, że organy nadzorcze w procesie ustalania dolegliwości kar powinny uwzględniać wytyczne Europejskiej Rady ds. Innowacji w zakresie Danych.
Kary – Kryteria szczegółowe
Zgodnie z przepisami Data Act organy egzekwujące ustanowione przez państwa członkowskie wymierzając kary powinny uwzględniać poniższe kryteria:
Przepisy Data Act nie przewidują katalogu kar możliwych do nałożenia wskazując, że państwa członkowskie mają w tym zakresie autonomię działania, jednakże do 12 września 2025 roku państwa członkowskie muszą przekazać pełną informację o przepisach, procedurach jak i przyjętych środkach, gdyż Komisja będzie prowadzić ich publiczny rejestr.
Przykładowe naruszenia podlegające karom:
Dodać należy, że w przypadku naruszenia ochrony danych osobowych (np. nieuprawnionego ujawnienia danych użytkownika urządzenia skomunikowanego), zastosowanie będą miały przepisy Rozporządzenia o Ochronie Danych nr 2016/679 (RODO), które przewidują możliwość nałożenia kar wynoszących nawet 20 mln EUR lub 4% rocznego obrotu przedsiębiorstwa.
Kary
Podsumowanie
Najważniejsze kwestie dotyczące kar w Data ACT: