Rozporządzenie UE – akt w sprawie danych – weszło w życie

Do dnia 12 września 2025 r. przedsiębiorcy mają czas na wdrożenie zmian, które według zapisów rozporządzenia UE – akt w sprawie danych mają zapewnić użytkownikom sprawiedliwy dostęp do danych i ich wykorzystywania.

W celu realizacji jednolitego rynku danych na terytorium UE w dniu 11 stycznia 2024 roku weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 (akt w sprawie danych).

Regulacja zapewniająca użytkownikom dostęp do danych generowanych przez urządzenia skomunikowane, a organom sektora publicznego – do zasobów sektora prywatnego będzie stosowana we wszystkich państwach członkowskich po upływie okresu przejściowego, tj. od dnia 12 września 2025 r.

Kogo i czego dotyczy rozporządzenie?

Akt w sprawie danych obejmuje swoim zakresem szeroki krąg podmiotów, do których zalicza się m.in.

  • producentów produktów skomunikowanych (rzeczy, które pozyskują, generują lub zbierają dostępne dane dotyczące wykorzystywania tego produktu), wprowadzanych do obrotu w UE,
  • dostawców usług powiązanych (usług cyfrowych, które są skomunikowane z produktem w taki sposób, że ich brak uniemożliwiłby produktowi skomunikowanemu wykonywanie co najmniej jednej z jego funkcji),
  • dostawców usług przetwarzania danych świadczących takie usługi w UE,
  • odbiorców danych w Unii, którym dane są udostępniane.

 

Tym samym, rozporządzenie będzie mieć zastosowanie nie tylko do przedsiębiorstw, ale również podmiotów fizycznych nieprowadzących działalności gospodarczej. W szczególności nowo wprowadzone przepisy będą dotyczyć dostawców usług przetwarzania danych w chmurze, takich jak Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) i Software-as-a-Service (SaaS).

Dostawcy usług chmury obliczeniowej zostali zobowiązani do zastosowania środków, które będą umożliwiać użytkownikom nieskomplikowaną zmianę usługi w chmurze, która może m.in. polegać na zmianie dostawcy chmury lub korzystaniu z usług kilku dostawców chmury równocześnie.

Dodatkowo, posiadacze danych, bez zbędnej zwłoki, w sposób łatwy i bezpieczny, mają obowiązek nieodpłatnie udostępnić użytkownikowi dane łatwo dostępne, wraz z odpowiednimi metadanymi niezbędnymi do interpretacji i wykorzystania tych danych, o takiej samej jakości, jaka jest dostępna dla posiadacza danych, w powszechnie używanym, nadającym się do odczytu maszynowego formacie i – jeżeli jest to technicznie wykonalne – w sposób ciągły i w czasie rzeczywistym.

Ponadto na dostawców usług przetwarzania został nałożony zakaz stawiania użytkownikom przeszkód o charakterze organizacyjnym, handlowym, umownym lub technicznym, które to przeszkody utrudniają m.in. rozwiązanie umowy o świadczenie usług oraz zmianę dostawcy, przeniesienie danych do innego dostawcy, zawarcie nowych umów z innym dostawcą usług.

Warto również zaznaczyć, iż prawa klienta oraz obowiązki dostawcy usługi przetwarzania danych muszą zostać jasno określone w umowie zawartej na piśmie. Dostawca ma obowiązek udostępnić umowę klientowi przed podpisaniem w sposób umożliwiający klientowi jej przechowywanie i reprodukowanie.

Co więcej, od dnia 12. stycznia 2027 r. dostawcy usługi przetwarzania danych będą zobowiązani do zniesienia opłat nakładanych dotychczas tytułem zmiany dostawcy usługi, a do tego czasu dostawcy są zobligowani do stosowania jedynie opłat obniżonych, które nie przekraczają kosztów poniesionych przez dostawcę, bezpośrednio związanych z danym procesem zmiany dostawcy.

Stosowanie rozporządzenia a RODO

Zgodnie z art. 1 ust. 5 Rozporządzenia przepisy aktu w sprawie danych pozostają bez uszczerbku dla prawa Unii i prawa krajowego dotyczących ochrony danych osobowych. Tym samym, w przypadku czynności przetwarzania danych osobowych zastosowanie będą mieć nie tylko mechanizmy przewidziane w akcie w sprawie danych, ale również ogólne przepisy o ochronie danych osobowych uregulowane w RODO i w obowiązującej w Niemczech ustawie o ochronie danych osobowych (Bundesdatenschutzgesetz). Natomiast w przypadku kolizji pomiędzy rozporządzeniem a RODO bądź niemiecką ustawą o ochronie danych osobowych, pierwszeństwo będzie mieć stosowne prawo Unii lub prawo krajowe dotyczące ochrony danych osobowych.

Naruszenia rozporządzenia i ich skutki

Za naruszenie ustawy o danych osobowych przewidziane są określone sankcje. Zasadniczo wysokość grzywien wynosi nawet do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

W przypadku dalszych pytań prosimy o kontakt z naszą kancelarią pod numerem +49 (0) 40 180 364 020 lub office@graulaw.eu.

MASZ PYTANIA LUB POTRZEBUJESZ PORADY PRAWNEJ?

Jesteśmy do Twojej dyspozycji i chętnie udzielimy Ci porady prawnej.