Do dnia 12 września 2025 r. przedsiębiorcy mają czas na wdrożenie zmian, które według zapisów rozporządzenia UE – akt w sprawie danych mają zapewnić użytkownikom sprawiedliwy dostęp do danych i ich wykorzystywania.
W celu realizacji jednolitego rynku danych na terytorium UE w dniu 11 stycznia 2024 roku weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 (akt w sprawie danych).
Regulacja zapewniająca użytkownikom dostęp do danych generowanych przez urządzenia skomunikowane, a organom sektora publicznego – do zasobów sektora prywatnego będzie stosowana we wszystkich państwach członkowskich po upływie okresu przejściowego, tj. od dnia 12 września 2025 r.
Kogo i czego dotyczy rozporządzenie?
Akt w sprawie danych obejmuje swoim zakresem szeroki krąg podmiotów, do których zalicza się m.in.
- producentów produktów skomunikowanych (rzeczy, które pozyskują, generują lub zbierają dostępne dane dotyczące wykorzystywania tego produktu), wprowadzanych do obrotu w UE,
- dostawców usług powiązanych (usług cyfrowych, które są skomunikowane z produktem w taki sposób, że ich brak uniemożliwiłby produktowi skomunikowanemu wykonywanie co najmniej jednej z jego funkcji),
- dostawców usług przetwarzania danych świadczących takie usługi w UE,
- odbiorców danych w Unii, którym dane są udostępniane.
Tym samym, rozporządzenie będzie mieć zastosowanie nie tylko do przedsiębiorstw, ale również podmiotów fizycznych nieprowadzących działalności gospodarczej. W szczególności nowo wprowadzone przepisy będą dotyczyć dostawców usług przetwarzania danych w chmurze, takich jak Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) i Software-as-a-Service (SaaS).
Dostawcy usług chmury obliczeniowej zostali zobowiązani do zastosowania środków, które będą umożliwiać użytkownikom nieskomplikowaną zmianę usługi w chmurze, która może m.in. polegać na zmianie dostawcy chmury lub korzystaniu z usług kilku dostawców chmury równocześnie.
Dodatkowo, posiadacze danych, bez zbędnej zwłoki, w sposób łatwy i bezpieczny, mają obowiązek nieodpłatnie udostępnić użytkownikowi dane łatwo dostępne, wraz z odpowiednimi metadanymi niezbędnymi do interpretacji i wykorzystania tych danych, o takiej samej jakości, jaka jest dostępna dla posiadacza danych, w powszechnie używanym, nadającym się do odczytu maszynowego formacie i – jeżeli jest to technicznie wykonalne – w sposób ciągły i w czasie rzeczywistym.
Ponadto na dostawców usług przetwarzania został nałożony zakaz stawiania użytkownikom przeszkód o charakterze organizacyjnym, handlowym, umownym lub technicznym, które to przeszkody utrudniają m.in. rozwiązanie umowy o świadczenie usług oraz zmianę dostawcy, przeniesienie danych do innego dostawcy, zawarcie nowych umów z innym dostawcą usług.
Warto również zaznaczyć, iż prawa klienta oraz obowiązki dostawcy usługi przetwarzania danych muszą zostać jasno określone w umowie zawartej na piśmie. Dostawca ma obowiązek udostępnić umowę klientowi przed podpisaniem w sposób umożliwiający klientowi jej przechowywanie i reprodukowanie.
Co więcej, od dnia 12. stycznia 2027 r. dostawcy usługi przetwarzania danych będą zobowiązani do zniesienia opłat nakładanych dotychczas tytułem zmiany dostawcy usługi, a do tego czasu dostawcy są zobligowani do stosowania jedynie opłat obniżonych, które nie przekraczają kosztów poniesionych przez dostawcę, bezpośrednio związanych z danym procesem zmiany dostawcy.
Stosowanie rozporządzenia a RODO
Zgodnie z art. 1 ust. 5 Rozporządzenia przepisy aktu w sprawie danych pozostają bez uszczerbku dla prawa Unii i prawa krajowego dotyczących ochrony danych osobowych. Tym samym, w przypadku czynności przetwarzania danych osobowych zastosowanie będą mieć nie tylko mechanizmy przewidziane w akcie w sprawie danych, ale również ogólne przepisy o ochronie danych osobowych uregulowane w RODO i w obowiązującej w Niemczech ustawie o ochronie danych osobowych (Bundesdatenschutzgesetz). Natomiast w przypadku kolizji pomiędzy rozporządzeniem a RODO bądź niemiecką ustawą o ochronie danych osobowych, pierwszeństwo będzie mieć stosowne prawo Unii lub prawo krajowe dotyczące ochrony danych osobowych.
Naruszenia rozporządzenia i ich skutki
Za naruszenie ustawy o danych osobowych przewidziane są określone sankcje. Zasadniczo wysokość grzywien wynosi nawet do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Grau Rechtsanwälte PartGmbB doradza i wspiera przedsiębiorstwa w zakresie prawa dystrybucji, prawa pracy i ochrony danych jako zewnętrzny inspektor ochrony danych osobowych.
W przypadku dalszych pytań prosimy o kontakt z naszą kancelarią pod numerem +49 (0) 40 180 364 020 lub office@graulaw.eu.