Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 (Dz. U. UE. L. z 2023 r. poz. 2854 z późn. zm.), czyli Akt w sprawie danych weszło w życie już 11 stycznia 2024 r., jednak zaczęło obowiązywać dopiero od 12 września 2025 r.
Celem rozporządzenia jest zapewnienie użytkownikom dostępu do danych generowanych w związku z korzystaniem przez nich z określonych produktów i usług oraz możliwości wykorzystywania tych danych, w tym dzielenia się nimi z wybranymi przez siebie osobami trzecimi. Przepisy Rozporządzenia nakładają na posiadaczy danych obowiązek ich udostępniania użytkownikom i osobom trzecim wskazanym przez użytkowników. Dodatkowym celem Rozporządzenia jest ułatwienie zmiany dostawcy usług przetwarzania danych, zwiększenie interoperacyjności danych oraz mechanizmów i usług dzielenia się danymi w Unii Europejskiej. Przewidziane w Rozporządzeniu rozwiązania mają wzmocnić pozycję użytkowników (zarówno konsumentów, jak i przedsiębiorców), zapewniając im większą kontrolę nad danymi generowanymi przez należące do nich urządzenia podłączone do Internetu,.
Określone w Akcie o danych obowiązki dotyczą przede wszystkim dostawców produktów skomunikowanych i usług powiązanych. Produkt skomunikowany to rzecz, której podstawową funkcją nie jest przechowywanie, przetwarzanie ani przesyłanie danych w imieniu strony innej niż użytkownik, ale która pozyskuje, generuje lub zbiera dane dotyczące jej wykorzystywania lub jej otoczenia i jest w stanie te dane komunikować dalej. Z kolei usługa powiązana to usługa cyfrowa, w tym oprogramowanie (z wyłączeniem usług łączności elektronicznej), która jest skomunikowana z produktem skomunikowanym w taki sposób, że jej brak uniemożliwiłby temu produktowi wykonywanie co najmniej jednej z jego funkcji, lub która jest wdrażana, aby dodać, uaktualnić lub zmodyfikować funkcje produktu skomunikowanego. Przepisy Rozporządzenia wymagają, aby produkty skomunikowane były projektowane i produkowane, a usługi powiązane projektowane i świadczone w taki sposób, aby dane generowane w wyniku korzystania z nich były domyślnie łatwo, bezpiecznie oraz (w razie potrzeby) bezpośrednio dostępne dla użytkownika i wskazanych przez niego podmiotów.
Akt w sprawie danych określa zasady dotyczące udostępniania danych w trzech głównych obszarach: między przedsiębiorstwami; między przedsiębiorcami a konsumentami oraz pomiędzy przedsiębiorcami a organami administracji publicznej. Na żądanie użytkownika producent produktu skomunikowanego lub dostawca usługi powiązanej będzie zobowiązany umożliwić użytkownikowi dostęp do danych lub przekazać je innemu podmiotowi. Organy administracji publicznej będą mogły żądać udostępnienia im danych generowanych w związku z korzystaniem z produktu skomunikowanego lub z usługi powiązanej w przypadku zagrożenia publicznego, takiego jak stan zagrożenia zdrowia publicznego, sytuacje wyjątkowe związane z klęskami żywiołowymi, zmianą klimatu i degradacją środowiska oraz katastrofami spowodowanymi przez człowieka, takimi jak poważne cyberincydenty.
Inne nowe rozwiązania, które przewidują przepisy Rozporządzenia, dotyczą m.in. ułatwień w zakresie zmiany dostawcy usług chmurowych, w tym zniesienia opłat za przeniesienie do nowego usługodawcy.
Ponieważ danymi generowanymi przy wykorzystaniu Produktów skomunikowanych i usług powiązanych mogą być dane osobowe, pojawia się problem relacji pomiędzy przepisami Aktu o danych a RODO. Do kwestii tej odnosi się art. 1 ust. 5 Aktu w sprawie danych, który zastrzega, że Akt ten pozostaje bez uszczerbku dla przepisów prawa Unii Europejskiej i prawa krajowego dotyczących ochrony danych osobowych, prywatności i poufności komunikacji oraz integralności urządzeń końcowych, które mają zastosowanie do danych osobowych przetwarzanych w związku z prawami i obowiązkami ustanowionymi w Rozporządzeniu, w tym dla uprawnień i kompetencji organów nadzorczych oraz praw osób, których dane dotyczą. Co istotne, przepis ten wprost wskazuje, że zawarte w nim zastrzeżenie dotyczy także RODO. Ustanowione w rozdziale II Rozporządzenia prawa osób, których dane dotyczą mają być traktowane jako uzupełnienie prawa dostępu i prawa do przenoszenia danych, które zostały określone w art. 15 i 20 RODO. Bazując na treści art. 1 ust. 5 Aktu w sprawie danych, Prezes UODO wskazuje, że Akt ten nie wyłącza ani nie zastępuje RODO. W ocenie Prezesa UODO Akt w sprawie danych jest komplementarny w stosunku do RODO i jako taki nie reguluje kwestii ochrony danych osobowych, zaś RODO ma zastosowanie do wszystkich operacji przetwarzania danych osobowych w ramach określonych tym Aktem.
Co istotne art. 37 ust. 3 Aktu o danych wskazuje, że organy nadzorcze odpowiedzialne za monitorowanie stosowania przepisów RODO są odpowiedzialne także za monitorowanie stosowania tego Rozporządzenia w zakresie ochrony danych osobowych i nakazuje odpowiednie stosowanie w tym zakresie rozdziałów VI i VII RODO. Oznacza to, że określone w RODO kompetencje Prezesa UODO będą rozciągały się także na przetwarzanie danych osobowych w oparciu o przepisy Aktu o danych.
Grzegorz Lubeńczuk
Kancelaria Wyrzykowscy
Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej, podatkowej ani jakiejkolwiek innej formy doradztwa. Wszelkie przedstawione w nim treści wyrażają osobiste poglądy autora oraz jego wiedzę na temat omawianych zagadnień. Autor ani wydawca nie ponoszą odpowiedzialności za ewentualne skutki wynikające z zastosowania się do informacji zawartych w artykule bez konsultacji z odpowiednim specjalistą.