?

Dziennik Urzędowy Unii Europejskiej | PL | Serie LOfficial Journal of the European Union | EN | Series L
2023/2854 | 22.12.20232023/2854 | 22.12.2023
ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2023/2854REGULATION (EU) 2023/2854 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL
z dnia 13 grudnia 2023 r.of 13 December 2023
w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 (akt w sprawie danych)on harmonised rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828 (Data Act)
(Tekst mający znaczenie dla EOG)(Text with EEA relevance)
PARLAMENT EUROPEJSKI I RADA UNII EUROPEJSKIEJ,THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 114,Having regard to the Treaty on the Functioning of the European Union, and in particular Article 114 thereof,
uwzględniając wniosek Komisji Europejskiej,Having regard to the proposal from the European Commission,
po przekazaniu projektu aktu ustawodawczego parlamentom narodowym,After transmission of the draft legislative act to the national parliaments,
uwzględniając opinię Europejskiego Banku Centralnego (1),Having regard to the opinion of the European Central Bank (1),
uwzględniając opinię Europejskiego Komitetu Ekonomiczno-Społecznego (2),Having regard to the opinion of the European Economic and Social Committee (2),
uwzględniając opinię Komitetu Regionów (3),Having regard to the opinion of the Committee of the Regions (3),
stanowiąc zgodnie ze zwykłą procedurą ustawodawczą (4),Acting in accordance with the ordinary legislative procedure (4),
a także mając na uwadze, co następuje:Whereas:
(1) | Na przestrzeni ostatnich lat technologie oparte na danych doprowadziły do przemian we wszystkich sektorach gospodarki. W szczególności szybki wzrost liczby produktów podłączonych do internetu przyczynił się do zwiększenia ilości danych i ich potencjalnej wartości dla konsumentów, przedsiębiorstw i ogółu społeczeństwa. Wysokiej jakości interoperacyjne dane z różnych dziedzin sprzyjają konkurencyjności i innowacyjności oraz zapewniają zrównoważony wzrost gospodarczy. Te same dane mogą zostać wykorzystane i być ponownie wykorzystywane do wielu różnych celów i w nieograniczonym zakresie, bez jakiegokolwiek uszczerbku dla jakości czy ilości.(1) | In recent years, data-driven technologies have had transformative effects on all sectors of the economy. The proliferation of products connected to the internet in particular has increased the volume and potential value of data for consumers, businesses and society. High-quality and interoperable data from different domains increase competitiveness and innovation and ensure sustainable economic growth. The same data may be used and reused for a variety of purposes and to an unlimited degree, without any loss of quality or quantity.
(2) | Bariery utrudniające dzielenie się danymi uniemożliwiają optymalne wykorzystywanie danych z pożytkiem dla społeczeństwa. Bariery te obejmują brak czynników zachęcających posiadaczy danych do dobrowolnego zawierania umów o dzieleniu się danymi, brak pewności w kwestii praw i obowiązków związanych z danymi, koszty zawierania umów na interfejsy techniczne i wdrażania tych interfejsów, wysoki poziom rozdrobnienia informacji w silosach danych, niezadowalająca jakość zarządzania metadanymi, brak norm interoperacyjności semantycznej i technicznej, wąskie gardła utrudniające dostęp do danych, brak wspólnych praktyk w dziedzinie dzielenia się danymi oraz nadużywanie braku równowagi kontraktowej w kwestiach dotyczących dostępu do danych i ich wykorzystywania.(2) | Barriers to data sharing prevent an optimal allocation of data for the benefit of society. Those barriers include a lack of incentives for data holders to enter voluntarily into data sharing agreements, uncertainty about rights and obligations in relation to data, the costs of contracting and implementing technical interfaces, the high level of fragmentation of information in data silos, poor metadata management, the absence of standards for semantic and technical interoperability, bottlenecks impeding data access, a lack of common data sharing practices and the abuse of contractual imbalances with regard to data access and use.
(3) | W sektorach charakteryzujących się znacznym udziałem mikroprzedsiębiorstw, małych przedsiębiorstw i średnich przedsiębiorstw, zdefiniowanych w art. 2 załącznika do zalecenia Komisji 2003/361/WE (5) (MŚP), niejednokrotnie można zaobserwować niedobór zdolności cyfrowych oraz umiejętności zbierania, analizowania i wykorzystywania danych; ponadto dostęp do danych często jest ograniczony z uwagi na fakt, że jeden podmiot ma je w posiadaniu w swoim systemie, lub z uwagi na brak interoperacyjności między danymi, brak interoperacyjności między usługami w zakresie danych czy brak interoperacyjności transgranicznej.(3) | In sectors characterised by the presence of microenterprises, small enterprises and medium-sized enterprises as defined in Article 2 of the Annex to Commission Recommendation 2003/361/EC (5) (SMEs), there is often a lack of digital capacities and skills to collect, analyse and use data, and access is frequently restricted where one actor holds them in the system or due to a lack of interoperability between data, between data services or across borders.
(4) | Aby zaspokoić potrzeby gospodarki cyfrowej i usunąć bariery stojące na drodze do dobrze prosperującego wewnętrznego rynku danych, należy ustanowić zharmonizowane ramy określające, kto jest uprawniony do wykorzystywania danych z produktu lub z usługi powiązanej, na jakich warunkach i na jakiej podstawie. Państwa członkowskie nie powinny zatem przyjmować ani utrzymywać dodatkowych wymagań krajowych w odniesieniu do kwestii wchodzących w zakres stosowania niniejszego rozporządzenia, chyba że wyraźnie stanowi ono inaczej, ponieważ miałoby to wpływ to na jego bezpośrednie i jednolite stosowanie. Ponadto działanie na poziomie Unii powinno pozostawać bez uszczerbku dla obowiązków i zobowiązań ustanowionych w międzynarodowych umowach handlowych zawartych przez Unię.(4) | In order to respond to the needs of the digital economy and to remove barriers to a well-functioning internal market for data, it is necessary to lay down a harmonised framework specifying who is entitled to use product data or related service data, under which conditions and on what basis. Accordingly, Member States should not adopt or maintain additional national requirements regarding matters falling within the scope of this Regulation, unless explicitly provided for herein, since this would affect its direct and uniform application. Moreover, action at Union level should be without prejudice to obligations and commitments in the international trade agreements concluded by the Union.
(5) | Celem niniejszego rozporządzenia jest zapewnienie użytkownikom produktu skomunikowanego lub usługi powiązanej w Unii możliwości terminowego dostępu do danych generowanych w wyniku korzystania z danego produktu skomunikowanego lub z danej usługi powiązanej oraz wykorzystywania tych danych, w tym dzielenia się nimi z wybranymi przez siebie osobami trzecimi. Nakłada ono na posiadaczy danych obowiązek udostępniania danych w określonych okolicznościach użytkownikom i osobom trzecim wybranym przez użytkowników. Zapewnia również, aby posiadacze danych udostępniali dane odbiorcom danych w Unii na sprawiedliwych, rozsądnych i niedyskryminujących zasadach oraz w sposób przejrzysty. Kluczowe znaczenie w ramach dzielenia się danymi mają przepisy prawa prywatnego. Z tego względu w niniejszym rozporządzeniu dostosowuje się przepisy prawa zobowiązań i zapobiega nadużywaniu braku równowagi kontraktowej, która utrudnia sprawiedliwy dostęp do danych i ich uczciwe wykorzystywanie. W przypadku wystąpienia wyjątkowej potrzeby, niniejsze rozporządzenie nakłada również na posiadaczy danych obowiązek udostępniania organom sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu lub organom Unii danych niezbędnych do wykonywania określonego zadania realizowanego w interesie publicznym. Celem niniejszego rozporządzenia jest ponadto ułatwienie zmiany dostawcy usług przetwarzania danych, zwiększenie interoperacyjności danych oraz mechanizmów i usług dzielenia się danymi w Unii. Przepisów niniejszego rozporządzenia nie należy interpretować jako uznających ani przyznających posiadaczom danych jakiekolwiek nowe prawo do wykorzystywania danych generowanych w wyniku korzystania z produktu skomunikowanego lub usługi powiązanej.(5) | This Regulation ensures that users of a connected product or related service in the Union can access, in a timely manner, the data generated by the use of that connected product or related service and that those users can use the data, including by sharing them with third parties of their choice. It imposes the obligation on data holders to make data available to users and third parties of the user’s choice in certain circumstances. It also ensures that data holders make data available to data recipients in the Union under fair, reasonable and non-discriminatory terms and conditions and in a transparent manner. Private law rules are key in the overall framework for data sharing. Therefore, this Regulation adapts rules of contract law and prevents the exploitation of contractual imbalances that hinder fair access to and use of data. This Regulation also ensures that data holders make available to public sector bodies, the Commission, the European Central Bank or Union bodies, where there is an exceptional need, the data that are necessary for the performance of a specific task carried out in the public interest. In addition, this Regulation seeks to facilitate switching between data processing services and to enhance the interoperability of data and of data sharing mechanisms and services in the Union. This Regulation should not be interpreted as recognising or conferring any new right on data holders to use data generated by the use of a connected product or related service.
(6) | Generowanie danych stanowi rezultat działań co najmniej dwóch podmiotów, w szczególności twórców lub producentów produktu skomunikowanego, którzy w wielu przypadkach mogą być także dostawcami usług powiązanych, i użytkownika tego produktu skomunikowanego lub usług powiązanych. Rodzi to pytania o sprawiedliwość w gospodarce cyfrowej, ponieważ dane utrwalane przez takie produkty skomunikowane lub usługi powiązane są istotnymi danymi wejściowymi dla usług świadczonych na rynkach posprzedażowych, usług pomocniczych oraz innego rodzaju usług. Aby czerpać z danych znaczne korzyści gospodarcze, w tym poprzez dzielenie się danymi na podstawie dobrowolnych umów i szersze tworzenie wartości ekonomicznej na podstawie danych przez unijne przedsiębiorstwa, należy przyjąć ogólne podejście regulujące udzielanie praw dostępu do danych i ich wykorzystywania, zamiast przyznawania w tym celu prawa wyłącznego. W niniejszym rozporządzeniu ustanowione są przepisy horyzontalne, a kolejnym krokiem może być ustanowienie prawa Unii lub prawa krajowego uwzględniającego konkretną sytuację określonych sektorów.(6) | Data generation is the result of the actions of at least two actors, in particular the designer or manufacturer of a connected product, who may in many cases also be a provider of related services, and the user of the connected product or related service. It gives rise to questions of fairness in the digital economy as the data recorded by connected products or related services are an important input for aftermarket, ancillary and other services. In order to realise the important economic benefits of data, including by way of data sharing on the basis of voluntary agreements and the development of data-driven value creation by Union enterprises, a general approach to assigning rights regarding access to and the use of data is preferable to awarding exclusive rights of access and use. This Regulation provides for horizontal rules which could be followed by Union or national law that addresses the specific situations of the relevant sectors.
(7) | Prawo podstawowe do ochrony danych osobowych zostało zagwarantowane w szczególności w rozporządzeniach Parlamentu Europejskiego i Rady (UE) 2016/679 (6) i (UE) 2018/1725 (7). Dodatkową ochronę życia prywatnego i poufności komunikacji zapewnia dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady (8), w tym poprzez określenie warunków przechowywania wszelkich danych osobowych i nieosobowych w urządzeniach końcowych oraz warunków uzyskiwania dostępu do tych danych z urządzeń końcowych. Te unijne akty prawne stanowią podstawę zrównoważonego i odpowiedzialnego przetwarzania danych, również w sytuacjach, w których zestawy danych zawierają równocześnie dane osobowe i dane nieosobowe. Niniejsze rozporządzenie uzupełnia prawo Unii w zakresie ochrony danych osobowych i prywatności, w szczególności rozporządzenia (UE) 2016/679 i (UE) 2018/1725 oraz dyrektywę 2002/58/WE, i pozostaje bez uszczerbku dla tego prawa. Żaden przepis niniejszego rozporządzenia nie powinien być stosowany ani interpretowany w sposób umniejszający lub ograniczający prawo do ochrony danych osobowych lub prawo do prywatności i poufności komunikacji. Wszelkie przetwarzanie danych osobowych zgodnie z niniejszym rozporządzeniem powinno być zgodne z prawem Unii dotyczącym ochrony danych, w tym m.in. z wymogiem istnienia ważnej podstawy prawnej do przetwarzania na podstawie art. 6 rozporządzenia (UE) 2016/679 oraz, w stosownym przypadku, z warunkami przewidzianymi w art. 9 tego rozporządzenia oraz w art. 5 ust. 3 dyrektywy 2002/58/WE. Niniejsze rozporządzenie nie stanowi podstawy prawnej do zbierania ani generowania danych osobowych przez posiadacza danych. Niniejsze rozporządzenie nakłada na posiadaczy danych obowiązek udostępniania danych osobowych użytkownikom oraz, na wniosek użytkownika, wybranym przez niego osobom trzecim. Taki dostęp powinien dotyczyć danych osobowych przetwarzanych przez posiadacza danych na mocy którejkolwiek z podstaw prawnych, o których mowa w art. 6 rozporządzenia (UE) 2016/679. W przypadku gdy użytkownik nie jest osobą, której dane dotyczą, niniejsze rozporządzenie nie stanowi podstawy prawnej do zapewniania dostępu do danych osobowych ani do ich udostępniania osobie trzeciej i nie należy go interpretować jako przyznającego posiadaczowi danych jakiekolwiek nowe prawo do wykorzystywania danych osobowych generowanych w wyniku korzystania z produktu skomunikowanego lub usługi powiązanej. W takich przypadkach w interesie użytkownika może być ułatwienie wypełnienia wymagań przewidzianych w art. 6 rozporządzenia (UE) 2016/679. Ponieważ niniejsze rozporządzenie nie powinno negatywnie wpływać na prawa do ochrony danych osobowych osób, których dane dotyczą, w takich przypadkach posiadacz danych może stosować się do wniosków m.in. przez zastosowanie anonimizacji danych osobowych lub, gdy łatwo dostępne dane zawierają dane osobowe kilku osób, których dane dotyczą, przez przekazanie wyłącznie danych osobowych dotyczących użytkownika.(7) | The fundamental right to the protection of personal data is safeguarded, in particular, by Regulations (EU) 2016/679 (6) and (EU) 2018/1725 (7) of the European Parliament and of the Council. Directive 2002/58/EC of the European Parliament and of the Council (8) additionally protects private life and the confidentiality of communications, including by way of conditions on any personal and non-personal data storing in, and access from, terminal equipment. Those Union legislative acts provide the basis for sustainable and responsible data processing, including where datasets include a mix of personal and non-personal data. This Regulation complements and is without prejudice to Union law on the protection of personal data and privacy, in particular Regulations (EU) 2016/679 and (EU) 2018/1725 and Directive 2002/58/EC. No provision of this Regulation should be applied or interpreted in such a way as to diminish or limit the right to the protection of personal data or the right to privacy and confidentiality of communications. Any processing of personal data pursuant to this Regulation should comply with Union data protection law, including the requirement of a valid legal basis for processing under Article 6 of Regulation (EU) 2016/679 and, where relevant, the conditions of Article 9 of that Regulation and of Article 5(3) of Directive 2002/58/EC. This Regulation does not constitute a legal basis for the collection or generation of personal data by the data holder. This Regulation imposes an obligation on data holders to make personal data available to users or third parties of a user’s choice upon that user’s request. Such access should be provided to personal data that are processed by the data holder on the basis of any of the legal bases referred to in Article 6 of Regulation (EU) 2016/679. Where the user is not the data subject, this Regulation does not create a legal basis for providing access to personal data or for making personal data available to a third party and should not be understood as conferring any new right on the data holder to use personal data generated by the use of a connected product or related service. In those cases, it could be in the interest of the user to facilitate meeting the requirements of Article 6 of Regulation (EU) 2016/679. As this Regulation should not adversely affect the data protection rights of data subjects, the data holder can comply with requests in those cases, inter alia, by anonymising personal data or, where the readily available data contains personal data of several data subjects, transmitting only personal data relating to the user.
(8) | Zasady minimalizacji danych, uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych mają kluczowe znaczenie w sytuacji, gdy przetwarzanie danych wiąże się z istotnym ryzykiem dla praw podstawowych osób fizycznych. Biorąc pod uwagę aktualny stan wiedzy naukowej i technicznej, wszystkie strony procesu dzielenia się danymi, w tym również dzielenia się danymi w ramach zakresu stosowania niniejszego rozporządzenia, powinny wdrożyć środki techniczne i organizacyjne pozwalające na ochronę tych praw. Środki takie obejmują nie tylko pseudonimizację i szyfrowanie, lecz także korzystanie z coraz powszechniej dostępnej technologii umożliwiającej przekazywanie algorytmów do danych (ang. bring algorithm to the data), co pozwala wywnioskować wartościowe informacje bez konieczności przesyłania danych między stronami lub zbędnego kopiowania samych surowych lub ustrukturyzowanych danych.(8) | The principles of data minimisation and data protection by design and by default are essential when processing involves significant risks to the fundamental rights of individuals. Taking into account the state of the art, all parties to data sharing, including data sharing falling within scope of this Regulation, should implement technical and organisational measures to protect those rights. Such measures include not only pseudonymisation and encryption, but also the use of increasingly available technology that permits algorithms to be brought to the data and allow valuable insights to be derived without the transmission between parties or unnecessary copying of the raw or structured data themselves.
(9) | O ile nie zostało to odmiennie uregulowane niniejszym rozporządzeniem, niniejsze rozporządzenie nie wpływa na krajowe prawo zobowiązań, w tym na przepisy dotyczące zawierania, ważności lub skutków umów, lub konsekwencji rozwiązania umów. Niniejsze rozporządzenie uzupełnia prawo Unii mające na celu wspieranie interesów konsumentów, zapewnianie konsumentom wysokiego poziomu ochrony oraz ochronę ich zdrowia, bezpieczeństwa i interesów ekonomicznych, w szczególności dyrektywę Rady 93/13/EWG (9) oraz dyrektywy Parlamentu Europejskiego i Rady 2005/29/WE (10) i 2011/83/UE (11), i pozostaje bez uszczerbku dla tego prawa.(9) | Unless otherwise provided for in this Regulation, it does not affect national contract law, including rules on the formation, validity or effect of contracts, or the consequences of the termination of a contract. This Regulation complements and is without prejudice to Union law which aims to promote the interests of consumers and ensure a high level of consumer protection, and to protect their health, safety and economic interests, in particular Council Directive 93/13/EEC (9) and Directives 2005/29/EC (10) and 2011/83/EU (11) of the European Parliament and of the Council.
(10) | Niniejsze rozporządzenie pozostaje bez uszczerbku dla aktów prawnych Unii i krajowych aktów prawnych ustanawiających dzielenie się danymi, dostęp do danych oraz wykorzystywanie danych do celów związanych z zapobieganiem przestępczości, prowadzeniem postępowań przygotowawczych, wykrywaniem lub ściganiem czynów zabronionych lub wykonywaniem kar lub do celów celnych i podatkowych, niezależnie od podstawy prawnej przewidzianej w Traktacie o funkcjonowaniu Unii Europejskiej (TFUE), w oparciu o którą te akty prawne Unii zostały przyjęte, a także dla w tym zakresie prowadzonej współpracy międzynarodowej w szczególności na podstawie Konwencji Rady Europy o cyberprzestępczości sporządzonej w Budapeszcie dnia 23 listopada 2001 r. (CETS nr 185). Akty te obejmują rozporządzenia Parlamentu Europejskiego i Rady (UE) 2021/784 (12), (UE) 2022/2065 (13), (UE) 2023/1543 (14) oraz dyrektywę Parlamentu Europejskiego i Rady (UE) 2023/1544 (15). Niniejsze rozporządzenie nie ma zastosowania do gromadzenia lub udostępniania danych, dostępu do nich ani ich wykorzystywania na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2015/847 (16) i dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/849 (17). Niniejsze rozporządzenie nie ma zastosowania do dziedzin niewchodzących w zakres prawa Unii i w żadnym wypadku nie wpływa na kompetencje państw członkowskich w dziedzinie bezpieczeństwa publicznego, obronności lub bezpieczeństwa narodowego, administracji celnej i podatkowej lub zdrowia i bezpieczeństwa obywateli, niezależnie od rodzaju podmiotu, któremu państwo członkowskie powierzyło realizowanie zadań związanych z tymi kompetencjami.(10) | This Regulation is without prejudice to Union and national legal acts providing for the sharing of, access to and the use of data for the purpose of the prevention, investigation, detection or prosecution of criminal offences or for the execution of criminal penalties, or for customs and taxation purposes, irrespective of the legal basis under the Treaty on the Functioning of the European Union (TFEU) on which such Union legal acts were adopted, as well as to international cooperation in that area, in particular on the basis of the Council of Europe Convention on Cybercrime, (ETS No 185), done at Budapest on 23 November 2001. Such acts include Regulations (EU) 2021/784 (12), (EU) 2022/2065 (13) and (EU) 2023/1543 (14) of the European Parliament and of the Council and Directive (EU) 2023/1544 of the European Parliament and of the Council (15). This Regulation does not apply to the collection or sharing of, access to or the use of data under Regulation (EU) 2015/847 of the European Parliament and of the Council (16) and Directive (EU) 2015/849 of the European Parliament and of the Council (17). This Regulation does not apply to areas that fall outside the scope of Union law and in any event does not affect the competences of the Member States concerning public security, defence or national security, customs and tax administration or the health and safety of citizens, regardless of the type of entity entrusted by the Member States to carry out tasks in relation to those competences.
(11) | Niniejsze rozporządzenie nie powinno wpływać na prawo Unii określające wymagania dotyczące fizycznego projektu i wymogi dotyczące danych w przypadku produktów wprowadzanych do obrotu w Unii, chyba że niniejsze rozporządzenie wyraźnie stanowi inaczej.(11) | Union law establishing physical design and data requirements for products to be placed on the Union market should not be affected unless specifically provided for by this Regulation.
(12) | Niniejsze rozporządzenie jest uzupełnieniem i pozostaje bez uszczerbku dla prawa Unii określającego wymagania dostępności niektórych produktów i usług, w szczególności dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/882 (18).(12) | This Regulation complements and is without prejudice to Union law aiming to establish accessibility requirements on certain products and services, in particular Directive (EU) 2019/882 of the European Parliament and of the Council (18).
(13) | Niniejsze rozporządzenie pozostaje bez uszczerbku dla aktów prawnych Unii i krajowych aktów prawnych przewidujących ochronę praw własności intelektualnej, w tym dyrektyw Parlamentu Europejskiego i Rady 2001/29/WE (19), 2004/48/WE (20) oraz (UE) 2019/790 (21).(13) | This Regulation is without prejudice to Union and national legal acts providing for the protection of intellectual property rights, including Directives 2001/29/EC (19), 2004/48/EC (20) and (EU) 2019/790 (21) of the European Parliament and of the Council.
(14) | Zakres stosowania niniejszego rozporządzenia powinien obejmować produkty skomunikowane, które za pomocą elementów składowych lub systemów operacyjnych pozyskują, generują lub zbierają dane dotyczące swojego działania, wykorzystywania lub środowiska, i które mogą komunikować te dane za pomocą usługi łączności elektronicznej, łącza fizycznego lub dostępu na urządzeniu, często określanych jako internet rzeczy, z wyjątkiem prototypów. Przykładem takich usług łączności elektronicznej są w szczególności naziemne sieci telefoniczne, sieci telewizji kablowej, sieci satelitarne i sieci komunikacji zbliżeniowej. Produkty skomunikowane można znaleźć we wszystkich segmentach gospodarki i życia społecznego, w tym w infrastrukturze prywatnej, cywilnej i handlowej, w pojazdach, w sprzęcie związanym ze zdrowiem i stylem życia, na statkach, w statkach powietrznych, w sprzętach domowych i towarach konsumpcyjnych, wyrobach medycznych i zdrowotnych lub maszynach rolniczych i przemysłowych. O tym, jakie dane jest w stanie udostępniać produkt skomunikowany, powinny decydować wybory projektowe producenta oraz w stosownym przypadku prawo Unii lub prawo krajowe uwzględniające potrzeby i cele danego sektora lub stosowne decyzje właściwych organów.(14) | Connected products that obtain, generate or collect, by means of their components or operating systems, data concerning their performance, use or environment and that are able to communicate those data via an electronic communications service, a physical connection, or on-device access, often referred to as the Internet of Things, should fall within the scope of this Regulation, with the exception of prototypes. Examples of such electronic communications services include, in particular, land-based telephone networks, television cable networks, satellite-based networks and near-field communication networks. Connected products are found in all aspects of the economy and society, including in private, civil or commercial infrastructure, vehicles, health and lifestyle equipment, ships, aircraft, home equipment and consumer goods, medical and health devices or agricultural and industrial machinery. Manufacturers’ design choices, and, where relevant, Union or national law that addresses sector-specific needs and objectives or relevant decisions of competent authorities, should determine which data a connected product is capable of making available.
(15) | Dane stanowią cyfrowe odwzorowanie czynności i zdarzeń z udziałem użytkownika i w związku z tym powinny być dla niego dostępne. Przepisy niniejszego rozporządzenia dotyczące dostępu do danych z produktów skomunikowanych i usług powiązanych oraz dotyczące ich wykorzystywania odnoszą się zarówno do danych z produktu, jak i do danych z usługi powiązanej. Dane z produktu to dane wygenerowane w wyniku korzystania z produktu skomunikowanego, które producent zaprojektował tak, by mogły być pobierane przez użytkownika, posiadacza danych lub osobę trzecią, w tym w stosownym przypadku producenta. Dane z usługi powiązanej to dane stanowiące cyfrowe odwzorowanie czynności lub zdarzeń z udziałem użytkownika związanych z produktem skomunikowanym, generowane podczas świadczenia usługi powiązanej przez dostawcę. Dane wygenerowane w wyniku korzystania z produktu skomunikowanego lub z usługi powiązanej należy rozumieć jako dane utrwalone celowo lub dane niebezpośrednio wynikające z czynności użytkownika, takie jak dane o środowisku produktu skomunikowanego lub o jego interakcjach. Powinny one obejmować dane o korzystaniu z produktu skomunikowanego wygenerowane przez interfejs użytkownika lub poprzez usługę powiązaną i nie powinny ograniczać się do informacji, że takie korzystanie miało miejsce, lecz powinny obejmować wszelkie dane, które generuje produkt skomunikowany w wyniku takiego korzystania, takie jak dane wygenerowane automatycznie przez czujniki oraz dane utrwalone przez wbudowane aplikacje, w tym aplikacje wskazujące stan i nieprawidłowe działanie urządzenia. Powinny one także obejmować dane wygenerowane przez produkt skomunikowany lub usługę powiązaną podczas bezczynności użytkownika, np. gdy użytkownik postanawia nie korzystać z produktu skomunikowanego przez określony czas i pozostawić go w trybie czuwania lub nawet go wyłączyć, z uwagi na to, że stan produktu skomunikowanego lub jego elementów składowych, takich jak baterie, może się różnić, gdy produkt skomunikowany znajduje się w trybie czuwania lub jest wyłączony. W zakres stosowania niniejszego rozporządzenia wchodzą dane, które nie są w znaczny sposób zmodyfikowane, tzn. dane surowe, nazywane także danymi źródłowymi czy danymi pierwotnymi, oznaczające punkty danych automatycznie generowane bez dalszego przetwarzania oraz dane, które zostały wstępnie przetworzone, po to aby przed dalszym przetwarzaniem i analizą były zrozumiałe i użyteczne. Takie dane obejmują dane zebrane przez pojedynczy czujnik lub przez skomunikowaną grupę czujników do celów uczynienia zebranych danych zrozumiałymi na potrzeby ich szerszego wykorzystania, poprzez określenie wielkości lub właściwości fizycznej lub zmiany wielkości fizycznej, np. temperatury, ciśnienia, natężenia przepływu, dźwięku, wartości pH, poziomu cieczy, pozycji, przyspieszenia lub prędkości. Pojęcia „dane wstępnie przetworzone” nie należy interpretować w sposób nakładający na posiadacza danych obowiązku dokonywania znacznych inwestycji w czyszczenie i transformację danych. Dane, które mają być udostępnione, powinny obejmować stosowne metadane, w tym ich podstawowy kontekst i znacznik czasu, aby dane były użyteczne w połączeniu z innymi danymi, takimi jak dane posortowane i sklasyfikowane z innymi odnoszącymi się do nich punktami danych, lub przeformatowane na powszechnie używany format. Takie dane mogą być cenne dla użytkownika i przyczyniać się do innowacji i do opracowania usług cyfrowych i innych usług chroniących środowisko, zdrowie i gospodarkę o obiegu zamkniętym, w tym poprzez umożliwianie konserwacji i naprawy przedmiotowych produktów skomunikowanych. W zakres niniejszego rozporządzenia nie powinny jednak wchodzić informacje wywiedzione lub wywnioskowane z takich danych, a które są wynikiem dodatkowych inwestycji w przypisywanie wartości do danych lub pozyskiwanie wiedzy z danych, w szczególności za pomocą złożonych algorytmów autorskich, w tym będących częścią oprogramowania zamkniętego, i w związku z tym obowiązek udostępniania tych informacji użytkownikowi lub odbiorcy danych spoczywający na posiadaczu danych nie powinien ich obejmować, chyba że użytkownik i posiadacz danych wspólnie postanowią inaczej. Dane takie mogą obejmować w szczególności informacje wywnioskowane za pomocą fuzji sensorycznej, która wywodzi lub wywnioskowuje dane z wielu czujników zebranych w produkcie skomunikowanym przy użyciu złożonych algorytmów autorskich i która może podlegać prawom własności intelektualnej.(15) | The data represent the digitisation of user actions and events and should accordingly be accessible to the user. The rules for access to and the use of data from connected products and related services under this Regulation address both product data and related service data. Product data refers to data generated by the use of a connected product that the manufacturer designed to be retrievable from the connected product by a user, data holder or a third party, including, where relevant, the manufacturer. Related service data refers to data, which also represent the digitisation of user actions or events related to the connected product which are generated during the provision of a related service by the provider. Data generated by the use of a connected product or related service should be understood to cover data recorded intentionally or data which result indirectly from the user’s action, such as data about the connected product’s environment or interactions. This should include data on the use of a connected product generated by a user interface or via a related service, and should not be limited to the information that such use took place, but should include all data that the connected product generates as a result of such use, such as data generated automatically by sensors and data recorded by embedded applications, including applications indicating hardware status and malfunctions. This should also include data generated by the connected product or related service during times of inaction by the user, such as when the user chooses not to use a connected product for a given period of time and instead to keep it in stand-by mode or even switched off, as the status of a connected product or its components, for example its batteries, can vary when the connected product is in stand-by mode or switched off. Data which are not substantially modified, meaning data in raw form, also known as source or primary data which refer to data points that are automatically generated without any further form of processing, as well as data which have been pre-processed for the purpose of making them understandable and useable prior to subsequent processing and analysis fall within the scope of this Regulation. Such data includes data collected from a single sensor or a connected group of sensors for the purpose of making the collected data comprehensible for wider use-cases by determining a physical quantity or quality or the change in a physical quantity, such as temperature, pressure, flow rate, audio, pH value, liquid level, position, acceleration or speed. The term ‘pre-processed data’ should not be interpreted in such a manner as to impose an obligation on the data holder to make substantial investments in cleaning and transforming the data. The data to be made available should include the relevant metadata, including its basic context and timestamp, to make the data usable, combined with other data, such as data sorted and classified with other data points relating to them, or re-formatted into a commonly used format. Such data are potentially valuable to the user and support innovation and the development of digital and other services to protect the environment, health and the circular economy, including through facilitating the maintenance and repair of the connected products in question. By contrast, information inferred or derived from such data, which is the outcome of additional investments into assigning values or insights from the data, in particular by means of proprietary, complex algorithms, including those that are a part of proprietary software, should not be considered to fall within the scope of this Regulation and consequently should not be subject to the obligation of a data holder to make it available to a user or a data recipient, unless otherwise agreed between the user and the data holder. Such data could include, in particular, information derived by means of sensor fusion, which infers or derives data from multiple sensors, collected in the connected product, using proprietary, complex algorithms and which could be subject to intellectual property rights.
(16) | Niniejsze rozporządzenie pozwala użytkownikom produktów skomunikowanych korzystać z usług świadczonych na rynkach posprzedażowych, z usług pomocniczych oraz z innego rodzaju usług opartych na danych zebranych przez czujniki wbudowane w takie produkty; zbieranie tych danych może być wartościowe dla poprawy działania produktów skomunikowanych. Ważne jest, aby rozróżnić z jednej strony rynki oferujące takie wyposażone w czujniki produkty skomunikowane oraz usługi powiązane, a z drugiej – rynki niepowiązanego oprogramowania i niepowiązanych treści, takich jak treści tekstowe, dźwiękowe lub audiowizualne, często objęte prawami własności intelektualnej. W związku z tym zakresem stosowania niniejszego rozporządzenia nie powinny być objęte dane generowane przez takie wyposażone w czujniki produkty skomunikowane, gdy użytkownik utrwala, przesyła, wyświetla lub odtwarza treści, oraz same treści, często objęte prawami własności intelektualnej, w tym na użytek usługi online. Niniejsze rozporządzenie nie powinno również obejmować danych pozyskiwanych, generowanych lub dostępnych z produktu skomunikowanego lub na niego przesyłanych do celów przechowywania lub innych operacji przetwarzania w imieniu innych osób niebędących użytkownikami, tak jak może to mieć miejsce w przypadku serwerów lub infrastruktury chmury obsługiwanych przez właścicieli wyłącznie w imieniu osób trzecich, w tym na użytek usługi online.(16) | This Regulation enables users of connected products to benefit from aftermarket, ancillary and other services based on data collected by sensors embedded in such products, the collection of those data being of potential value in improving the performance of the connected products. It is important to delineate between, on the one hand, markets for the provision of such sensor-equipped connected products and related services and, on the other, markets for unrelated software and content such as textual, audio or audiovisual content often covered by intellectual property rights. As a result, data that such sensor-equipped connected products generate when the user records, transmits, displays or plays content, as well as the content itself, which is often covered by intellectual property rights, inter alia for use by an online service, should not be covered by this Regulation. This Regulation should also not cover data which was obtained, generated or accessed from the connected product, or which was transmitted to it, for the purpose of storage or other processing operations on behalf of other parties, who are not the user, such as may be the case with regard to servers or cloud infrastructure operated by their owners entirely on behalf of third parties, inter alia for use by an online service.
(17) | Należy ustanowić zasady dotyczące produktów, które podczas zakupu, najmu, dzierżawy lub leasingu są skomunikowane z usługą powiązaną w taki sposób, że jej brak uniemożliwiłby produktowi skomunikowanemu wykonywanie co najmniej jednej z jego funkcji, lub która później zostaje skomunikowana z produktem przez producenta lub osobę trzecią, aby dodać lub zmodyfikować funkcje produktu skomunikowanego. Takie usługi powiązane obejmują wymianę danych między produktem skomunikowanym a dostawcą usługi i należy je rozumieć jako ściśle powiązane z obsługą funkcji produktu skomunikowanego, takie jak usługi, które w stosownym przypadku przesyłają polecenia do produktu skomunikowanego, które są w stanie mieć wpływ na jego czynności lub działanie. Usługi, które nie wpływają na obsługę produktu skomunikowanego i które nie obejmują przesyłania danych ani poleceń do produktu skomunikowanego przez dostawcę usługi, nie powinny być uznawane za usługi powiązane. Wśród usług takich mogą być konsultacje pomocnicze, usługi analityczne lub finansowe, czy też bieżąca naprawa i konserwacja. Usługi powiązane mogą być oferowane w ramach umowy sprzedaży, najmu, dzierżawy czy leasingu. Usługi powiązane mogą też być świadczone w przypadku produktów tego samego rodzaju, a zatem użytkownicy mogą się spodziewać ich świadczenia uwzględniając charakter produktu i wszelkie publiczne oświadczenia ze strony lub w imieniu sprzedawcy, wynajmującego, wydzierżawiającego, leasingodawcy lub innej osoby na wcześniejszych etapach łańcucha transakcji, w tym producenta. Takie usługi powiązane mogą samodzielnie generować dane mające wartość dla użytkownika niezależnie od możliwości zbierania danych przez produkt skomunikowany, z którym są połączone. Niniejsze rozporządzenie powinno również mieć zastosowanie do usługi powiązanej dostarczanej nie przez sprzedawcę, wynajmującego, wydzierżawiającego lub leasingodawcę, lecz świadczonej przez osobę trzecią. W razie wątpliwości, czy dana usługa jest świadczona w ramach umowy sprzedaży, najmu, dzierżawy lub leasingu, niniejsze rozporządzenie powinno mieć zastosowanie. Zasilanie energią lub zapewnianie łączności nie powinny być interpretowane jako usługi powiązane do celów niniejszego rozporządzenia.(17) | It is necessary to lay down rules regarding products that are connected to a related service at the time of the purchase, rent or lease in such a way that its absence would prevent the connected product from performing one or more of its functions, or which is subsequently connected to the product by the manufacturer or a third party to add to or adapt the functionality of the connected product. Such related services involve the exchange of data between the connected product and the service provider and should be understood to be explicitly linked to the operation of the connected product’s functions, such as services that, where applicable, transmit commands to the connected product that are able to have an impact on its action or behaviour. Services which do not have an impact on the operation of the connected product and which do not involve the transmitting of data or commands to the connected product by the service provider should not be considered to be related services. Such services could include, for example, auxiliary consulting, analytics or financial services, or regular repair and maintenance. Related services can be offered as part of the purchase, rent or lease contract. Related services could also be provided for products of the same type and users could reasonably expect them to be provided taking into account the nature of the connected product and any public statement made by or on behalf of the seller, rentor, lessor or other persons in previous links of the chain of transactions, including the manufacturer. Those related services may themselves generate data of value to the user independently of the data collection capabilities of the connected product with which they are interconnected. This Regulation should also apply to a related service that is not supplied by the seller, rentor or lessor itself, but which is provided by a third party. In the event of doubt as to whether the service is provided as part of the purchase, rent or lease contract, this Regulation should apply. Neither the power supply, nor the supply of the connectivity are to be interpreted as related services under this Regulation.
(18) | Przez użytkownika produktu skomunikowanego należy rozumieć osobę fizyczną lub prawną, taką jak przedsiębiorstwo, konsument lub organ sektora publicznego, do której należy produkt skomunikowany, lub która na mocy umowy najmu, dzierżawy lub leasingu otrzymała pewne prawa tymczasowe umożliwiające dostęp do danych pozyskanych z produktu skomunikowanego lub ich wykorzystywanie, lub która korzysta z usług powiązanych z produktem skomunikowanym. Prawa dostępu nie powinny w żaden sposób zmieniać ani ingerować w prawa osób, których dane dotyczą i które mogą wchodzić w interakcje z produktem skomunikowanym lub usługą powiązaną w odniesieniu do danych osobowych generowanych przez produkt skomunikowany lub podczas świadczenia usługi powiązanej. Użytkownik ponosi ryzyko i czerpie korzyści w związku z korzystaniem z produktu skomunikowanego i powinien mieć również dostęp do danych generowanych przez ten produkt. Użytkownik powinien być zatem również uprawniony do czerpania korzyści związanych z danymi generowanymi przez ten produkt skomunikowany i każdą usługę powiązaną. Za użytkownika należy również uznać właściciela, najemcę, dzierżawcę lub leasingobiorcę, w tym gdy za użytkowników można uznać kilka podmiotów. W przypadku kilku użytkowników każdy z nich może w różny sposób przyczyniać się do generowania danych i być zainteresowany różnymi formami ich wykorzystywania, tak jak ma to miejsce między innymi przy zarządzaniu flotą przedsiębiorstwa leasingowego czy w ramach rozwiązań mobilnościowych dla osób fizycznych korzystających z usługi wspólnego użytkowania samochodów osobowych.(18) | The user of a connected product should be understood to be a natural or legal person, such as a business, a consumer or a public sector body, that owns a connected product, has received certain temporary rights, for example by means of a rental or lease agreement, to access or use data obtained from the connected product, or receives related services for the connected product. Those access rights should in no way alter or interfere with the rights of data subjects who may be interacting with a connected product or a related service regarding personal data generated by the connected product or during the provision of the related service. The user bears the risks and enjoys the benefits of using the connected product and should also enjoy access to the data it generates. The user should therefore be entitled to derive benefit from data generated by that connected product and any related service. An owner, renter or lessee should also be considered to be a user, including where several entities can be considered to be users. In the context of multiple users, each user may contribute in a different manner to the data generation and have an interest in several forms of use, such as fleet management for a leasing enterprise, or mobility solutions for individuals using a car sharing service.
(19) | Umiejętność korzystania z danych oznacza umiejętności, wiedzę i zrozumienie, które pozwalają użytkownikom, konsumentom i przedsiębiorstwom, w szczególności MŚP objętym zakresem stosowania niniejszego rozporządzenia, zdawać sobie sprawę z potencjalnej wartości danych, które generują, które tworzą i którymi się dzielą, oraz być zmotywowanymi, by oferować i zapewniać dostęp zgodnie ze stosownymi przepisami prawnymi. Umiejętność korzystania z danych powinna wykraczać poza uczenie się o narzędziach i technologiach i powinna służyć zdobywaniu przez obywateli i przedsiębiorstwa zdolności i potencjału korzystania z inkluzywnego i uczciwego rynku danych. Rozpowszechnienie środków rozwijających umiejętność korzystania z danych oraz wprowadzenie odpowiednich działań następczych mogłyby przyczynić się do poprawy warunków pracy, a w ostatecznym rozrachunku wsparłyby konsolidację i innowacyjną ścieżkę gospodarki opartej na danych w Unii. Właściwe organy powinny promować narzędzia i przyjmować środki zwiększające wśród użytkowników i podmiotów objętych zakresem niniejszego rozporządzenia umiejętność korzystania z danych oraz świadomość przysługujących im na jego podstawie praw i spoczywających na nich obowiązków.(19) | Data literacy refers to the skills, knowledge and understanding that allows users, consumers and businesses, in particular SMEs falling within the scope of this Regulation, to gain awareness of the potential value of the data they generate, produce and share and that they are motivated to offer and provide access to in accordance with relevant legal rules. Data literacy should go beyond learning about tools and technologies and aim to equip and empower citizens and businesses with the ability to benefit from an inclusive and fair data market. The spread of data literacy measures and the introduction of appropriate follow-up actions could contribute to improving working conditions and ultimately sustain the consolidation, and innovation path of, the data economy in the Union. Competent authorities should promote tools and adopt measures to advance data literacy among users and entities falling within the scope of this Regulation and an awareness of their rights and obligations thereunder.
(20) | W praktyce nie wszystkie dane generowane przez produkty skomunikowane lub usługi powiązane są łatwo dostępne dla użytkowników, a możliwość przenoszenia danych generowanych przez produkty podłączone do internetu często jest ograniczona. Użytkownicy nie są w stanie pozyskiwać danych niezbędnych do korzystania z usług naprawy i innych usług oferowanych przez dostawców, a przedsiębiorstwa nie są w stanie wprowadzać innowacyjnych, wygodnych i wydajniejszych usług. W wielu sektorach na podstawie kontroli technicznego projektu produktów skomunikowanych lub usług powiązanych producenci są w stanie ustalić, jakie dane są generowane i w jaki sposób można uzyskać do nich dostęp, mimo że nie mają tytułu prawnego do tych danych. Należy zatem zapewnić, aby produkty skomunikowane były projektowane i wytwarzane, a usługi powiązane projektowane i świadczone, w taki sposób, aby użytkownik zawsze mógł z łatwością i bezpiecznie uzyskać dostęp do danych z produktu i usługi powiązanej, w tym powiązanych metadanych niezbędnych do interpretacji i wykorzystania tych danych, w tym w celu ich pobierania i wykorzystywania oraz dzielenia się nimi – nieodpłatnie, w całościowym, ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego. Dane z produktu i dane z usługi powiązanej, które posiadacz danych zgodnie z prawem pozyskuje lub może zgodnie z prawem pozyskać z produktu skomunikowanego lub z powiązanej usługi, w tym dzięki projektowi produktu skomunikowanego, umowie posiadacza danych z użytkownikiem na świadczenie usług powiązanych oraz dzięki technicznym metodom dostępu do danych, bez nieproporcjonalnego wysiłku, są nazywane „danymi łatwo dostępnymi”. Dane łatwo dostępne nie obejmują danych generowanych w wyniku korzystania z produktu skomunikowanego, jeżeli projekt produktu skomunikowanego nie przewiduje przechowywania lub przesyłania takich danych poza elementem składowym, w którym są one generowane, lub poza całym produktem. Nie należy zatem rozumieć, że niniejsze rozporządzenie wprowadza obowiązek przechowywania danych na centralnej jednostce obliczeniowej produktu skomunikowanego. Brak takiego obowiązku nie powinien uniemożliwiać producentowi lub posiadaczowi danych dokonywania dobrowolnych uzgodnień z użytkownikiem w sprawie wprowadzenia takich adaptacji. Przewidziane w niniejszym rozporządzeniu obowiązki związane z projektem pozostają także bez uszczerbku dla zasady minimalizacji danych określonej w art. 5 ust. 1 lit. c) rozporządzenia (UE) 2016/679 i nie należy ich rozumieć jako wprowadzających obowiązek projektowania produktów skomunikowanych i usług powiązanych w taki sposób, aby przechowywały lub w inny sposób przetwarzały dane osobowe inne niż dane osobowe niezbędne do celów, w jakich są przetwarzane. Prawo Unii lub prawo krajowe może zostać ustanowione w celu doprecyzowania dalszej specyfiki, takiej jak dane z produktu, które powinny być dostępne z produktów skomunikowanych lub usług powiązanych, ponieważ takie dane mogą być nieodzowne do skutecznej obsługi, naprawy lub konserwacji tych produktów skomunikowanych lub usług powiązanych. W przypadku gdy późniejsze aktualizacje lub przeróbki produktu skomunikowanego lub usługi powiązanej przez producenta lub inną osobę skutkują dodatkowymi dostępnymi danymi lub ograniczeniem pierwotnie dostępnych danych, o zmianach takich powinno się poinformować użytkownika w kontekście aktualizacji lub przeróbki.(20) | In practice, not all data generated by connected products or related services are easily accessible to their users and there are often limited possibilities regarding the portability of data generated by products connected to the internet. Users are unable to obtain the data necessary to make use of providers of repair and other services and businesses are unable to launch innovative, convenient and more efficient services. In many sectors, manufacturers are able to determine, through their control of the technical design of the connected products or related services, what data are generated and how they can be accessed, despite having no legal right to those data. It is therefore necessary to ensure that connected products are designed and manufactured, and related services are designed and provided, in such a manner that product data and related service data, including the relevant metadata necessary to interpret and use those data, including for the purpose of retrieving, using or sharing them, are always easily and securely accessible to a user, free of charge, in a comprehensive, structured, commonly used and machine-readable format. Product data and related service data that a data holder lawfully obtains or can lawfully obtain from the connected product or related service, such as by means of the connected product design, the data holder’s contract with the user for the provision of related services, and its technical means of data access, without disproportionate effort, are referred to as ‘readily available data’. Readily available data does not include data generated by the use of a connected product where the design of the connected product does not provide for such data being stored or transmitted outside the component in which they are generated or the connected product as a whole. This Regulation should therefore not be understood to impose an obligation to store data on the central computing unit of a connected product. The absence of such an obligation should not prevent the manufacturer or data holder from voluntarily agreeing with the user on the making of such adaptations. The design obligations in this Regulation are also without prejudice to the data minimisation principle laid down in Article 5(1), point (c), of Regulation (EU) 2016/679 and should not be understood as imposing an obligation to design connected products and related services in such a way that they store or otherwise process any personal data other than the personal data necessary in relation to the purposes for which they are processed. Union or national law could be introduced to outline further specificities, such as the product data that should be accessible from connected products or related services, given that such data may be essential for the efficient operation, repair or maintenance of those connected products or related services. Where subsequent updates or alterations to a connected product or a related service, by the manufacturer or another party, lead to additional accessible data or a restriction of initially accessible data, such changes should be communicated to the user in the context of the update or alteration.
(21) | W przypadku gdy za użytkowników uznawanych jest kilka osób lub podmiotów, np. w razie współwłasności lub w razie gdy właściciel, najemca, dzierżawca lub leasingobiorca współdzielą prawa dostępu do danych lub ich wykorzystywania, projekt produktu skomunikowanego, usługi powiązanej lub stosownego interfejsu powinien umożliwiać każdemu z użytkowników dostęp do generowanych przez niego danych. Użytkownicy produktów skomunikowanych zwykle muszą założyć konto użytkownika. Takie konto umożliwia identyfikację użytkownika przez posiadacza danych, który może być producentem. Może być również wykorzystywane jako środek komunikacji oraz do składania i przetwarzania wniosków o dostęp do danych. W przypadku gdy kilku producentów lub dostawców usług powiązanych sprzedało, wynajęło, wydzierżawiło lub oddało w leasing produkty skomunikowane lub świadczyło usługi powiązane, które są wspólnie zintegrowane, temu samemu użytkownikowi, użytkownik ten powinien zwrócić się do każdej ze stron, z którą zawarł umowę. Producenci lub projektanci produktu skomunikowanego, z którego zwykle korzysta kilka osób, powinni zapewnić niezbędne mechanizmy w stosownym przypadku umożliwiające założenie oddzielnych kont użytkownika dla poszczególnych osób lub korzystanie z tego samego konta użytkownika przez kilka osób. Rozwiązania dotyczące konta powinny pozwalać użytkownikom usuwać konta i związane z nimi dane i mogą pozwalać użytkownikom zakończyć dostęp do danych, ich wykorzystywanie lub dzielenie się nimi lub składać wnioski o takie zakończenie, w szczególności z uwzględnieniem sytuacji, w których zmienia się właściciel produktu skomunikowanego lub sposób jego użytkowania. Użytkownik powinien uzyskiwać dostęp za pomocą zwykłych mechanizmów, które automatycznie wykonują wniosek, bez konieczności analizy lub zatwierdzenia ze strony producenta lub posiadacza danych. Oznacza to, że dane powinny być udostępniane wyłącznie na faktyczne życzenie użytkownika. W przypadku gdy automatyczne wykonanie wniosku o dostęp do danych jest niemożliwe, np. za pomocą konta użytkownika lub aplikacji mobilnej towarzyszącej produktowi skomunikowanemu lub usłudze powiązanej, producent powinien poinformować użytkownika, w jaki sposób może on uzyskać dostęp do danych.(21) | Where several persons or entities are considered to be users, for example in the case of co-ownership or where an owner, renter or lessee shares rights of data access or use, the design of the connected product or related service, or the relevant interface, should enable each user to have access to the data they generate. Use of connected products that generate data typically requires a user account to be set up. Such an account allows the user to be identified by the data holder, which may be the manufacturer. It can also be used as a means of communication and to submit and process data access requests. Where several manufacturers or related services providers have sold, rented or leased connected products or provided related services, integrated together, to the same user, the user should turn to each of the parties with which it has a contract. Manufacturers or designers of a connected product that is typically used by several persons should put in place the necessary mechanisms to allow separate user accounts for individual persons, where relevant, or for the possibility of several persons using the same user account. Account solutions should allow users to delete their accounts and erase the data related to them and could allow users to terminate data access, use or sharing, or submit requests to terminate, in particular taking into account situations in which the ownership or usage of the connected product changes. Access should be granted to the user on the basis of simple request mechanism granting automatic execution and not requiring examination or clearance by the manufacturer or data holder. This means that the data should be made available only when the user actually wants access. Where automated execution of the data access request is not possible, for example via a user account or accompanying mobile application provided with the connected product or related service, the manufacturer should inform the user as to how the data may be accessed.
(22) | Produkty skomunikowane mogą być zaprojektowane tak, aby niektóre dane były bezpośrednio dostępne w pamięci urządzenia lub na zdalnym serwerze, któremu dane są komunikowane. Dostęp do pamięci urządzenia można zapewnić za pomocą kablowych lub bezprzewodowych sieci lokalnych podłączonych do publicznie dostępnych usług łączności elektronicznej lub do sieci mobilnej. Serwerem może być własny lokalny serwer producenta lub serwer osoby trzeciej lub dostawcy usług w chmurze. Podmioty przetwarzające dane zdefiniowane w art. 4 pkt 8) rozporządzenia (UE) 2016/679 nie są uznawane za posiadaczy danych. Jednakże może być im wyznaczone konkretne zadanie udostępniania danych przez administratora danych zdefiniowane w art. 4 pkt 7) rozporządzenia (UE) 2016/679. Produkty skomunikowane mogą być zaprojektowane tak, aby użytkownik lub osoba trzecia mogli przetwarzać dane w produkcie skomunikowanym, w jednostce obliczeniowej producenta lub w wybranym przez użytkownika lub osobę trzecią środowisku informatycznym.(22) | Connected products may be designed to make certain data directly accessible from on-device data storage or from a remote server to which the data are communicated. Access to on-device data storage may be enabled via cable-based or wireless local area networks connected to a publicly available electronic communications service or mobile network. The server may be the manufacturer’s own local server capacity or that of a third party or a cloud service provider. Processors as defined in Article 4, point (8), of Regulation (EU) 2016/679 are not considered to act as data holders. However, they can be specifically tasked with making data available by the controller as defined in Article 4, point (7), of Regulation (EU) 2016/679. Connected products may be designed to permit the user or a third party to process the data on the connected product, on a computing instance of the manufacturer or within an information and communications technology (ICT) environment chosen by the user or the third party.
(23) | Coraz większą rolę w ramach cyfryzacji otoczenia konsumenckiego i zawodowego odgrywają wirtualni asystenci, którzy służą jako łatwy w użyciu interfejs do odtwarzania treści, pozyskiwania informacji lub uruchamiania produktów podłączonych do internetu. Wirtualni asystenci mogą pełnić rolę pojedynczego punktu dostępu, np. w środowisku inteligentnego domu, i utrwalać znaczne ilości istotnych danych o sposobie interakcji użytkowników z produktami podłączonymi do internetu, w tym produktami wyprodukowanymi przez inne podmioty, i mogą zastępować interfejsy zapewniane przez producenta, takie jak ekrany dotykowe czy aplikacje na smartfon. Użytkownik może chcieć udostępniać takie dane zewnętrznym producentom i umożliwiać powstawanie nowatorskich inteligentnych usług. Wirtualni asystenci powinni być objęci prawami dostępu do danych przewidzianymi w niniejszym rozporządzeniu. Powinny być nimi też objęte dane generowane w trakcie interakcji użytkownika z produktem skomunikowanym za pomocą wirtualnego asystenta zapewnionego przez podmiot niebędący producentem produktu skomunikowanego. W zakres stosowania niniejszego rozporządzenia powinny wchodzić jednak wyłącznie dane wynikające z interakcji między użytkownikiem a produktem skomunikowanym lub usługą powiązaną za pośrednictwem wirtualnego asystenta. W zakres stosowania niniejszego rozporządzenia nie wchodzą dane generowane przez wirtualnego asystenta, które nie są związane z korzystaniem z produktu skomunikowanego lub usługi powiązanej.(23) | Virtual assistants play an increasing role in digitising consumer and professional environments and serve as an easy-to-use interface to play content, obtain information, or activate products connected to the internet. Virtual assistants can act as a single gateway in, for example, a smart home environment and record significant amounts of relevant data on how users interact with products connected to the internet, including those manufactured by other parties, and can replace the use of manufacturer-provided interfaces such as touch screens or smartphone apps. The user may wish to make available such data to third party manufacturers and enable novel smart services. Virtual assistants should be covered by the data access rights provided for in this Regulation. Data generated when a user interacts with a connected product via a virtual assistant provided by an entity other than the manufacturer of the connected product should also be covered by the data access rights provided for in this Regulation. However, only the data arising from the interaction between the user and a connected product or related service through the virtual assistant should be covered by this Regulation. Data produced by the virtual assistant which are unrelated to the use of a connected product or related service are not covered by this Regulation.
(24) | Przed zawarciem umowy sprzedaży, najmu, dzierżawy lub leasingu produktu skomunikowanego użytkownik musi otrzymać od sprzedawcy, wynajmującego, wydzierżawiającego lub leasingodawcy, którymi może być producent, jasne i zrozumiałe informacje o danych z produktu, które produkt skomunikowany jest w stanie wygenerować, w tym o rodzaju, formacie i szacowanej ilości takich danych. Może to obejmować, o ile są dostępne, informacje o strukturach danych, formatach danych, słownikach, systemach klasyfikacji, taksonomiach i wykazach kodów oraz jasne i wystarczające informacje, które są istotne dla wykonywania przez użytkownika przysługujących mu praw, o tym, jak można przechowywać dane, pobierać je lub uzyskiwać do nich dostęp, w tym warunki użytkowania i jakość usług interfejsów programowania aplikacji lub w stosownym przypadku warunki dostarczenia narzędzi do programowania. Obowiązek ten zapewnia przejrzystość danych generowanych z produktu i ułatwia użytkownikowi dostęp. Obowiązek informacyjny można wypełnić dzięki utrzymywaniu stabilnego ujednoliconego formatu adresowania zasobów (URL) w internecie, który można rozpowszechniać jako link do strony lub kod QR odsyłający do stosownych informacji i który może zostać wskazany użytkownikowi przez sprzedawcę, wynajmującego, wydzierżawiającego lub leasingodawcę, którymi może być producent, przed zawarciem umowy sprzedaży, najmu, dzierżawy lub leasingu produktu skomunikowanego. W każdym wypadku należy zapewnić użytkownikowi możliwość przechowywania tych informacji w sposób pozwalający na dostęp do nich w przyszłości i na odtworzenie przechowywanych informacji w niezmienionej postaci. Nie można oczekiwać, że posiadacz danych będzie bezterminowo przechowywać dane na potrzeby użytkownika produktu skomunikowanego, powinien on jednak wdrożyć rozsądną politykę zatrzymywania danych, tam, gdzie ma to zastosowanie, zgodnie z zasadą ograniczenia przechowywania zgodnie z art. 5 ust. 1 lit. e) rozporządzenia (UE) 2016/679, która pozwoli na skuteczne stosowanie praw dostępu do danych przewidzianych w niniejszym rozporządzeniu. Ten obowiązek przedstawienia informacji nie wpływa na spoczywający na administratorze danych obowiązek przedstawienia informacji osobie, której dane dotyczą, zgodnie z art. 12, 13 i 14 rozporządzenia (UE) 2016/679. Obowiązek przedstawienia informacji przed zawarciem umowy o świadczenie usługi powiązanej powinien spoczywać na przyszłym posiadaczu danych, niezależnie od tego, czy zawiera on umowę sprzedaży, najmu, dzierżawy lub leasingu produktu skomunikowanego. Użytkownika należy także poinformować, jeżeli w okresie trwałości produktu skomunikowanego lub w okresie obowiązywania umowy na usługę powiązaną informacje te się zmienią, w tym gdy cel, w jakim dane mają być wykorzystywane, zmieni się w stosunku do celu określonego pierwotnie.(24) | Before concluding a contract for the purchase, rent, or lease of a connected product, the seller, rentor or lessor, which may be the manufacturer, should provide to the user information regarding the product data which the connected product is capable of generating, including the type, format and the estimated volume of such data, in a clear and comprehensible manner. This could include information on data structures, data formats, vocabularies, classification schemes, taxonomies and code lists, where available, as well as clear and sufficient information relevant for the exercise of the user’s rights on how the data may be stored, retrieved or accessed, including the terms of use and quality of service of application programming interfaces or, where applicable, the provision of software development kits. That obligation provides transparency over the product data generated and enhances easy access for the user. The information obligation could be fulfilled, for example by maintaining a stable uniform resource locator (URL) on the web, which can be distributed as a web link or QR code, pointing to the relevant information, which could be provided by the seller, rentor or lessor, which may be the manufacturer, to the user before concluding the contract for the purchase, rent or lease of a connected product. It is, in any case, necessary that the user is able to store the information in a way that is accessible for future reference and that allows the unchanged reproduction of the information stored. The data holder cannot be expected to store the data indefinitely in view of the needs of the user of the connected product, but should implement a reasonable data retention policy, where applicable, in line with storage limitation principle pursuant Article 5(1), point (e), of Regulation (EU) 2016/679, that allows for the effective application of the data access rights provided for in this Regulation. The obligation to provide information does not affect the obligation of the controller to provide information to the data subject pursuant to Articles 12, 13 and 14 of Regulation (EU) 2016/679. The obligation to provide information before concluding a contract for the provision of a related service should lie with the prospective data holder, independently of whether the data holder concludes a contract for the purchase, rent or lease of a connected product. Where information changes during the lifetime of the connected product or the contract period for the related service, including where the purpose for which those data are to be used changes from the originally specified purpose, it should also be provided to the user.
(25) | Przepisów niniejszego rozporządzenia nie należy rozumieć jako przyznających posiadaczom danych jakiekolwiek nowe prawo do wykorzystywania danych z produktu lub z usługi powiązanej. W przypadku gdy posiadaczem danych jest producent produktu skomunikowanego, podstawą wykorzystywania przez niego danych nieosobowych powinna być umowa między producentem a użytkownikiem. Taka umowa może być częścią umowy o świadczenie usługi powiązanej, którą można zaoferować wraz z umową sprzedaży, najmu, dzierżawy lub leasingu dotyczącą produktu skomunikowanego. Każde postanowienie umowne stanowiące, że posiadacz danych może wykorzystywać dane z produktu lub z usługi powiązanej, powinno być dla użytkownika przejrzyste, w tym w odniesieniu do celów, w jakich posiadacz danych zamierza wykorzystywać dane. Cele takie mogą obejmować poprawę funkcjonowania produktu skomunikowanego lub usług powiązanych, opracowanie nowych produktów lub usług lub agregację danych w celu udostępnienia wywnioskowanych danych osobom trzecim, o ile takie wywnioskowane dane nie umożliwiają identyfikacji konkretnych danych przesłanych posiadaczowi danych z produktu skomunikowanego ani nie umożliwiają osobie trzeciej wywnioskowania tych danych z zestawu danych. Wszelkie zmiany w umowie powinny zależeć od świadomej zgody użytkownika. Niniejsze rozporządzenie nie uniemożliwia stronom uzgodnienia postanowień umownych skutkujących wykluczeniem lub ograniczeniem wykorzystywania danych nieosobowych lub niektórych kategorii danych nieosobowych przez posiadacza danych. Nie uniemożliwia ono także stronom udostępnienia – bezpośrednio lub pośrednio, albo w stosownym przypadku za pośrednictwem innego posiadacza danych – danych z produktu skomunikowanego lub z usługi powiązanej osobom trzecim. Co więcej, niniejsze rozporządzenie nie uniemożliwia przyjmowania sektorowych wymagań regulacyjnych w prawie Unii lub w prawie krajowym przyjętym zgodnie z prawem Unii, które to wymogi powodowałyby wykluczenie lub ograniczenie wykorzystywania niektórych takich danych przez posiadacza danych w przypadkach uzasadnionych wyraźnie zdefiniowanymi względami porządku publicznego. Niniejsze rozporządzenie nie uniemożliwia użytkownikom, w przypadku stosunków między przedsiębiorcami, udostępniania danych osobom trzecim lub posiadaczom danych na podstawie zgodnych z prawem postanowień umownych, w tym poprzez uzgodnienie ograniczenia lub zawężenia dalszego dzielenia się takimi danymi; nie uniemożliwia im także otrzymania proporcjonalnej rekompensaty, np. w zamian za zrzeczenie się prawa do wykorzystywania takich danych lub dzielenia się nimi. Pojęcie „posiadacz danych” zasadniczo nie obejmuje organów sektora publicznego, może jednak obejmować przedsiębiorstwa publiczne.(25) | This Regulation should not be understood to confer any new right on data holders to use product data or related service data. Where the manufacturer of a connected product is a data holder, the basis for the manufacturer to use non-personal data should be a contract between the manufacturer and the user. Such a contract could be part of an agreement for the provision of the related service, which could be concluded together with the purchase, rent or lease agreement relating to the connected product. Any contractual term stipulating that the data holder may use product data or related service data should be transparent to the user, including regarding the purposes for which the data holder intends to use the data. Such purposes could include improving the functioning of the connected product or related services, developing new products or services, or aggregating data with the aim of making available the resulting derived data to third parties, provided that such derived data do not allow the identification of specific data transmitted to the data holder from the connected product, or allow a third party to derive those data from the dataset. Any change of the contract should depend on the informed agreement of the user. This Regulation does not prevent parties from agreeing on contractual terms the effect of which is to exclude or limit the use of non-personal data, or certain categories of non-personal data, by a data holder. Neither does it prevent parties from agreeing to make product data or related service data available to third parties, directly or indirectly, including, where applicable, via another data holder. Moreover, this Regulation does not prevent sector-specific regulatory requirements under Union law, or national law compatible with Union law, which would exclude or limit the use of certain such data by the data holder on well-defined public policy grounds. This Regulation does not prevent users, in the case of business-to-business relations, from making data available to third parties or data holders under any lawful contractual term, including by agreeing to limit or restrict further sharing of such data, or from being compensated proportionately, for example in exchange for waiving their right to use or share such data. While the notion of ‘data holder’ generally does not include public sector bodies, it may include public undertakings.
(26) | Aby sprzyjać powstawaniu płynnych, uczciwych i wydajnych rynków danych nieosobowych, użytkownicy produktów skomunikowanych powinni mieć możliwość dzielenia się danymi z innymi, w tym do celów komercyjnych, przy minimalnym wysiłku prawnym i technicznym. Obecnie przedsiębiorcom często trudno jest uzasadnić koszty zatrudnienia i koszty oprogramowania, które są niezbędne do przygotowania zestawów danych nieosobowych lub produktów opartych na danych, i zaoferować je potencjalnym kontrahentom za pośrednictwem usług pośrednictwa danych, w tym rynków danych. Istotną przeszkodą w dzieleniu się danymi nieosobowymi przez przedsiębiorców jest zatem brak przewidywalności zwrotu z inwestycji w selekcję i udostępnianie zestawów danych i produktów opartych na danych. Aby umożliwić powstanie płynnych, uczciwych i wydajnych rynków danych nieosobowych w Unii, należy wyraźnie określić, która strona ma prawo oferować takie dane na rynku. Użytkownicy powinni więc mieć prawo do dzielenia się danymi nieosobowymi z odbiorcami danych w celach komercyjnych i niekomercyjnych. Takie dzielenie się danymi może być dokonywane bezpośrednio przez użytkownika, na wniosek użytkownika, za pośrednictwem posiadacza danych lub poprzez usługi pośrednictwa danych. Usługi pośrednictwa danych, regulowane rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2022/868 (22), mogą ułatwić stworzenie gospodarki opartej na danych poprzez ustanowienie stosunków handlowych między użytkownikami, odbiorcami danych i osobami trzecimi oraz mogą wspierać użytkowników w wykonywaniu prawa do wykorzystywania danych, np. poprzez zapewnienie anonimizacji danych lub agregacji dostępu do danych osobowych pochodzących od wielu użytkowników indywidualnych. W przypadku gdy dane nie są objęte spoczywającym na posiadaczu danych obowiązku udostępniania danych użytkownikom lub osobom trzecim, zakres takich danych może zostać określony w umowie o świadczenie usługi powiązanej między użytkownikiem a posiadaczem danych, tak aby użytkownicy mogli łatwo stwierdzić, którymi danymi mogą się dzielić z odbiorcami danych lub osobami trzecimi. Posiadacze danych nie powinni udostępniać danych nieosobowych z produktu osobom trzecim w celach komercyjnych lub niekomercyjnych innych niż realizacja umowy z użytkownikiem, bez uszczerbku dla wymagań prawnych zgodnie z prawem Unii lub prawem krajowym zobowiązujących posiadacza danych do udostępniania danych. W stosownym przypadku posiadacze danych powinni umownie zobowiązać osoby trzecie, by nie dzieliły się dalej otrzymanymi od nich danymi.(26) | To foster the emergence of liquid, fair and efficient markets for non-personal data, users of connected products should be able to share data with others, including for commercial purposes, with minimal legal and technical effort. It is currently often difficult for businesses to justify the personnel or computing costs that are necessary for preparing non-personal datasets or data products and to offer them to potential counterparties via data intermediation services, including data marketplaces. A substantial hurdle to the sharing of non-personal data by businesses therefore results from the lack of predictability of economic returns from investing in the curation and making available of datasets or data products. In order to allow for the emergence of liquid, fair and efficient markets for non-personal data in the Union, the party that has the right to offer such data on a market must be clarified. Users should therefore have the right to share non-personal data with data recipients for commercial and non-commercial purposes. Such data sharing could be performed directly by the user, upon the request of the user via a data holder, or through data intermediation services. Data intermediation services, as regulated by Regulation (EU) 2022/868 of the European Parliament and of the Council (22) could facilitate a data economy by establishing commercial relationships between users, data recipients and third parties and may support users in exercising their right to use data, such as ensuring the anonymisation of personal data or aggregation of access to data from multiple individual users. Where data are excluded from a data holder’s obligation to make them available to users or third parties, the scope of such data could be specified in the contract between the user and the data holder for the provision of a related service so that users can easily determine which data are available to them for sharing with data recipients or third parties. Data holders should not make available non-personal product data to third parties for commercial or non-commercial purposes other than the fulfilment of their contract with the user, without prejudice to legal requirements pursuant to Union or national law for a data holder to make data available. Where relevant, data holders should contractually bind third parties not to further share data received from them.
(27) | W sektorach charakteryzujących się koncentracją małej liczby producentów zaopatrujących użytkowników końcowych w produkty skomunikowane użytkownicy mogą mieć ograniczone możliwości dostępu do danych, ich wykorzystywania i dzielenia się nimi. W takich okolicznościach umowy mogą nie wystarczyć do osiągnięcia celu, którym jest wzmocnienie pozycji użytkownika, tym samym utrudniając użytkownikom czerpanie korzyści z wartości danych generowanych przez produkt skomunikowany, który kupili, wzięli w najem, w dzierżawę lub w leasing. W rezultacie innowacyjne mniejsze przedsiębiorstwa mają ograniczoną możliwość oferowania rozwiązań opartych na danych w sposób konkurencyjny i ograniczona jest możliwość rozwoju w Unii zróżnicowanej gospodarki opartej na danych. W niniejszym rozporządzeniu należy zatem oprzeć się na ostatnich dokonaniach w konkretnych sektorach, np. kodeksie postępowania w zakresie dzielenia się danymi dotyczącymi rolnictwa na podstawie umowy. Można ustanowić prawo Unii lub prawo krajowe służące zaspokojeniu potrzeb sektorowych i osiągnięciu celów sektorowych. Ponadto posiadacze danych nie powinni wykorzystywać dostępnych danych, które nie są danymi nieosobowymi, do pozyskiwania informacji o sytuacji ekonomicznej użytkownika, jego aktywach lub metodach produkcji lub o takim wykorzystywaniu przez użytkownika w żaden inny sposób, który mógłby osłabić pozycję handlową tego użytkownika na rynkach jego działalności. Może to dotyczyć wykorzystywania ze szkodą dla użytkownika wiedzy o ogólnych wynikach działalności gospodarczej lub gospodarstwa rolnego w prowadzonych z użytkownikiem negocjacjach umownych w sprawie potencjalnego nabycia produktów lub produktów rolnych użytkownika lub wprowadzania takich informacji do większych baz danych dotyczących określonych rynków w ramach danych zagregowanych, np. baz danych o wydajności plonów w nadchodzącej porze zbiorów, gdyż takie wykorzystywanie danych może pośrednio negatywnie wpłynąć na użytkownika. Użytkownik powinien otrzymać niezbędny interfejs techniczny do zarządzania zgodami, przy czym najlepiej, aby taki interfejs zawierał opcje szczegółowej kontroli zgód, np. „zezwól tylko raz” lub „zezwól podczas używania aplikacji lub usługi” oraz możliwość cofnięcia takich zgód.(27) | In sectors characterised by the concentration of a small number of manufacturers supplying connected products to end users, there may only be limited options available to users for the access to and the use and sharing of data. In such circumstances, contracts may be insufficient to achieve the objective of user empowerment, making it difficult for users to obtain value from the data generated by the connected product they purchase, rent or lease. Consequently, there is limited potential for innovative smaller businesses to offer data-based solutions in a competitive manner and for a diverse data economy in the Union. This Regulation should therefore build on recent developments in specific sectors, such as the Code of Conduct on agricultural data sharing by contract. Union or national law may be adopted to address sector-specific needs and objectives. Furthermore, data holders should not use any readily available data that is non-personal data in order to derive insights about the economic situation of the user or its assets or production methods or about such use by the user in any other manner that could undermine the commercial position of that user on the markets in which it is active. This could include using knowledge about the overall performance of a business or a farm in contractual negotiations with the user on the potential acquisition of the user’s products or agricultural produce to the user’s detriment, or using such information to feed into larger databases on certain markets in the aggregate, for example databases on crop yields for the upcoming harvesting season, as such use could affect the user negatively in an indirect manner. The user should be given the necessary technical interface to manage permissions, preferably with granular permission options such as ‘allow once’ or ‘allow while using this app or service’, including the option to withdraw such permissions.
(28) | W umowach między posiadaczem danych a konsumentem będącym użytkownikiem produktu skomunikowanego lub usługi powiązanej generującymi dane zastosowanie ma unijne prawo ochrony konsumentów, w szczególności dyrektywy 93/13/EWG i 2005/29/WE, które ma zapewnić, aby konsument nie podlegał nieuczciwym postanowieniom umownym. Na potrzeby niniejszego rozporządzenia nieuczciwe postanowienia umowne nałożone jednostronnie na przedsiębiorstwo nie powinny być dla tego przedsiębiorstwa wiążące.(28) | In contracts between a data holder and a consumer as user of a connected product or related service generating data, Union consumer law, in particular Directives 93/13/EEC and 2005/29/EC, applies to ensure that a consumer is not subject to unfair contractual terms. For the purposes of this Regulation, unfair contractual terms unilaterally imposed on an enterprise should not be binding on that enterprise.
(29) | Posiadacze danych mogą wymagać odpowiedniej identyfikacji użytkownika potrzebnej do zweryfikowania, czy użytkownik jest uprawniony do uzyskania dostępu do danych. W przypadku danych osobowych przetwarzanych przez podmiot przetwarzający w imieniu administratora danych posiadacze danych powinni zapewnić, aby podmiot przetwarzający otrzymał i rozpatrzył wniosek o dostęp.(29) | Data holders may require appropriate user identification to verify a user’s entitlement to access the data. In the case of personal data processed by a processor on behalf of the controller, data holders should ensure that the access request is received and handled by the processor.
(30) | Użytkownik powinien móc wykorzystywać dane w każdym zgodnym z prawem celu. Obejmuje to dostarczenie danych, które użytkownik otrzymał w ramach wykonywania praw przysługujących mu na podstawie niniejszego rozporządzenia, osobie trzeciej oferującej usługę na rynkach posprzedażowych, która może być usługą konkurencyjną względem usługi świadczonej przez posiadacza danych, lub też zlecenie takiego dostarczenia danych posiadaczowi danych. Wniosek powinien zostać złożony przez użytkownika lub przez upoważnioną osobę trzecią działającą w imieniu użytkownika, w tym dostawcę usługi pośrednictwa danych. Posiadacze danych powinni zapewnić, aby dane udostępniane osobie trzeciej były tak samo prawidłowe, kompletne, wiarygodne, stosowne i aktualne, jak dane generowane w wyniku korzystania z produktu skomunikowanego lub z usługi powiązanej, do których danych posiadacz danych sam może uzyskać dostęp lub jest uprawniony do uzyskania dostępu. W ramach posługiwania się danymi należy przestrzegać wszelkich praw własności intelektualnej. Istotnym jest zachowanie zachęt do inwestowania w produkty posiadające funkcje oparte na wykorzystywaniu danych pochodzących z czujników, w które wyposażone są te produkty.(30) | The user should be free to use the data for any lawful purpose. This includes providing the data the user has received while exercising its rights under this Regulation to a third party offering an aftermarket service that may be in competition with a service provided by a data holder, or to instruct the data holder to do so. The request should be submitted by the user or by an authorised third party acting on a user’s behalf, including a provider of a data intermediation service. Data holders should ensure that the data made available to the third party is as accurate, complete, reliable, relevant and up-to-date as the data the data holder itself may be able or entitled to access from the use of the connected product or related service. Any intellectual property rights should be respected in the handling of the data. It is important to preserve incentives to invest in products with functionalities based on the use of data from sensors built into those products.
(31) | Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/943 (23) przewiduje, że pozyskiwanie, wykorzystywanie lub ujawnianie tajemnicy przedsiębiorstwa uznaje się za zgodne z prawem m.in wtedy, gdy takiego pozyskiwania, wykorzystywania lub ujawniania wymagają prawo Unii lub prawo krajowe, lub gdy na nie zezwalają. Choć niniejsze rozporządzenie wymaga od posiadaczy danych ujawniania pewnych danych użytkownikom lub wybranym przez użytkownika osobom trzecim, nawet jeżeli dane te kwalifikują się do ochrony jako tajemnice przedsiębiorstwa, rozporządzenie to należy interpretować w taki sposób, aby zachować ochronę przewidzianą dla tajemnic przedsiębiorstwa na podstawie dyrektywy (UE) 2016/943. W tym kontekście posiadacze danych powinni móc wymagać od użytkowników lub wybranych przez użytkownika osób trzecich zachowania poufności danych uznawanych za tajemnice przedsiębiorstwa. W tym celu posiadacze danych powinni zidentyfikować tajemnice przedsiębiorstwa przed ujawnieniem danych i powinni móc uzgodnić z użytkownikami lub wybranymi przez użytkownika osobami trzecimi niezbędne środki służące zachowaniu poufności, w tym przez zastosowanie modelowych postanowień umownych, umów o poufności, rygorystycznych protokołów dostępu, norm technicznych oraz kodeksów postępowania. Poza posługiwaniem się modelowymi postanowieniami umownymi, które zostaną opracowane i będą zalecane przez Komisję, ustanowienie kodeksów postępowania i norm technicznych związanych z ochroną tajemnic przedsiębiorstwa w posługiwaniu się danymi może pomóc w osiągnięciu celu niniejszego rozporządzenia i powinno być promowane. W przypadku braku umowy w zakresie niezbędnych środków, lub w przypadku gdy użytkownik lub wybrana przez użytkownika osoba trzecia nie stosują uzgodnionych środków lub naruszają poufność tajemnic przedsiębiorstwa, posiadacz danych powinien móc cofnąć lub zawiesić dzielenie się danymi zidentyfikowanymi jako tajemnice przedsiębiorstwa. W takich przypadkach posiadacz danych powinien przedstawić decyzję na piśmie użytkownikowi lub osobie trzeciej bez zbędnej zwłoki i powiadomić właściwy organ państwa członkowskiego, w którym posiadacz danych ma siedzibę, że cofnął lub zawiesił dzielenie się danymi, i wskazać, których środków nie uzgodniono lub nie zastosowano oraz, w stosownym przypadku, poufność których tajemnic przedsiębiorstwa naruszono. Posiadacze danych co do zasady nie mogą odrzucić wniosku o dostęp do danych wystosowanego na podstawie niniejszego rozporządzenia wyłącznie ze względu na to, że niektóre dane uznaje się za tajemnicę przedsiębiorstwa, ponieważ przeczyłoby to zamierzonym celom niniejszego rozporządzenia. Jednak w wyjątkowych okolicznościach posiadacz danych będący posiadaczem tajemnicy przedsiębiorstwa powinien móc w indywidualnym przypadku odrzucić wniosek o dostęp do określonych danych, jeżeli jest w stanie udowodnić użytkownikowi lub osobie trzeciej, że mimo środków technicznych i organizacyjnych podjętych przez użytkownika lub osobę trzecią, istnieje duże prawdopodobieństwo, że ujawnienie tej tajemnicy przedsiębiorstwa poskutkuje poważną szkodą ekonomiczną. „Poważna szkoda ekonomiczna” oznacza poważne i nieodwracalne straty ekonomiczne. Posiadacz danych powinien bez zbędnej zwłoki należycie uzasadnić odmowę użytkownikowi lub osobie trzeciej na piśmie i powiadomić właściwy organ. Uzasadnienie powinno być oparte na obiektywnych elementach i wskazywać konkretne ryzyko poważnej szkody ekonomicznej, która ma wynikać z ujawnienia określonych danych, oraz powody, dla których środki podjęte dla ochrony żądanych danych nie są uznane za wystarczające. W tym kontekście można uwzględnić ewentualny negatywny wpływ na cyberbezpieczeństwo. Bez uszczerbku dla prawa dochodzenia roszczeń przed sądem lub trybunałem państwa członkowskiego, jeżeli użytkownik lub osoba trzecia chcą zaskarżyć decyzję posiadacza danych o odmowie, lub cofnąć lub zawiesić dzielenie się danymi, mogą oni złożyć skargę do właściwego organu, który bez zbędnej zwłoki powinien zdecydować, czy i na jakich warunkach należy rozpocząć lub wznowić dzielenie się danymi, lub uzgodnić z posiadaczem danych odesłanie sprawy do organu rozstrzygania sporów. Wyjątki od praw dostępu do danych przewidzianych w niniejszym rozporządzeniu w żadnym wypadku nie powinny ograniczać przysługujących osobom, których dane dotyczą, praw dostępu ani praw przenoszenia danych na podstawie rozporządzenia (UE) 2016/679.(31) | Directive (EU) 2016/943 of the European Parliament and of the Council (23) provides that the acquisition, use or disclosure of a trade secret shall be considered to be lawful, inter alia, where such acquisition, use or disclosure is required or allowed by Union or national law. While this Regulation requires data holders to disclose certain data to users, or third parties of a user’s choice, even when such data qualify for protection as trade secrets, it should be interpreted in such a manner as to preserve the protection afforded to trade secrets under Directive (EU) 2016/943. In this context, data holders should be able to require users, or third parties of a user’s choice, to preserve the confidentiality of data considered to be trade secrets. To that end, data holders should identify trade secrets prior to the disclosure, and should have the possibility to agree with users, or third parties of a user’s choice, on necessary measures to preserve their confidentiality, including by the use of model contractual terms, confidentiality agreements, strict access protocols, technical standards and the application of codes of conduct. In addition to the use of model contractual terms to be developed and recommended by the Commission, the establishment of codes of conduct and technical standards related to the protection of trade secrets in handling the data could help achieve the aim of this Regulation and should be encouraged. Where there is no agreement on the necessary measures or where a user, or third parties of the user’s choice, fail to implement agreed measures or undermine the confidentiality of the trade secrets, the data holder should be able to withhold or suspend the sharing of data identified as trade secrets. In such cases, the data holder should provide the decision in writing to the user or to the third party without undue delay and notify the competent authority of the Member State in which the data holder is established that it has withheld or suspended data sharing and identify which measures have not been agreed or implemented and, where relevant, which trade secrets have had their confidentiality undermined. Data holders cannot, in principle, refuse a data access request under this Regulation solely on the basis that certain data is considered to be a trade secret, as this would subvert the intended effects of this Regulation. However, in exceptional circumstances, a data holder who is a trade secret holder should be able, on a case-by-case basis, to refuse a request for the specific data in question if it is able to demonstrate to the user or to the third party that, despite the technical and organisational measures taken by the user or by the third party, serious economic damage is highly likely to result from the disclosure of that trade secret. Serious economic damage implies serious and irreparable economic loss. The data holder should duly substantiate its refusal in writing without undue delay to the user or to the third party and notify the competent authority. Such a substantiation should be based on objective elements, demonstrating the concrete risk of serious economic damage expected to result from a specific data disclosure and the reasons why the measures taken to safeguard the requested data are not considered to be sufficient. A possible negative impact on cybersecurity can be taken into account in that context. Without prejudice to the right to seek redress before a court or tribunal of a Member State, where the user or a third party wishes to challenge the data holder’s decision to refuse or to withhold or suspend data sharing, the user or the third party can lodge a complaint with the competent authority, which should, without undue delay, decide whether and under which conditions data sharing should start or resume, or can agree with the data holder to refer the matter to a dispute settlement body. The exceptions to data access rights in this Regulation should not in any case limit the right of access and right to data portability of data subjects under Regulation (EU) 2016/679.
(32) | Celem niniejszego rozporządzenia jest nie tylko sprzyjanie opracowywaniu nowych, innowacyjnych produktów skomunikowanych lub usług powiązanych, pobudzanie innowacji na rynkach posprzedażowych, lecz także pobudzanie opracowywania zupełnie nowatorskich usług z wykorzystaniem określonych danych, w tym na podstawie danych z różnorodnych produktów skomunikowanych lub usług powiązanych. Jednocześnie celem niniejszego rozporządzenia jest uniknięcie osłabiania zachęt do inwestowania w ten rodzaj produktu skomunikowanego, z którego pozyskiwane są dane, np. w wyniku wykorzystywania danych do opracowania konkurencyjnego produktu skomunikowanego, który uznawany jest przez użytkowników za zamienny lub zastępowalny, w szczególności ze względu na jego cechy, cenę i zamierzony użytek. Niniejsze rozporządzenie nie zakazuje opracowywania usług powiązanych z wykorzystaniem danych pozyskanych na podstawie niniejszego rozporządzenia, ponieważ miałoby to niepożądany, zniechęcający wpływ na innowacje. Zakaz wykorzystywania danych, do których dostęp uzyskano na podstawie niniejszego rozporządzenia, do opracowania konkurencyjnego produktu skomunikowanego chroni wysiłki innowacyjne posiadacza danych. To, czy produkt skomunikowany konkuruje z produktem, z którego pochodzą dane, zależy od tego, czy oba produkty skomunikowane konkurują ze sobą na tym samym rynku produktowym. Należy to ustalić na podstawie ugruntowanych zasad unijnego prawa konkurencji służących definiowaniu stosownego rynku produktowego. Jednakże zgodnym z prawem celem wykorzystywania danych może być inżynieria odwrotna, o ile spełnia wymagania określone w niniejszym rozporządzeniu, prawie Unii lub prawie krajowym. Może tak być w przypadku celu, którym jest naprawa lub przedłużenie okresu trwałości produktu skomunikowanego, lub w przypadku świadczenia usług rynku posprzedażowego dla produktów skomunikowanych.(32) | The aim of this Regulation is not only to foster the development of new, innovative connected products or related services, stimulate innovation on aftermarkets, but also to stimulate the development of entirely novel services making use of the data concerned, including based on data from a variety of connected products or related services. At the same time, this Regulations aims to avoid undermining the investment incentives for the type of connected product from which the data are obtained, for instance, by the use of data to develop a competing connected product which is considered to be interchangeable or substitutable by users, in particular on the basis of the connected product’s characteristics, its price and intended use. This Regulation provides for no prohibition on the development of a related service using data obtained under this Regulation as this would have an undesirable discouraging effect on innovation. Prohibiting the use of data accessed under this Regulation for developing a competing connected product protects data holders’ innovation efforts. Whether a connected product competes with the connected product from which the data originates depends on whether the two connected products are in competition on the same product market. This is to be determined on the basis of the established principles of Union competition law for defining the relevant product market. However, lawful purposes for the use of the data could include reverse engineering, provided that it complies with the requirements laid down in this Regulation and in Union or national law. This may be the case for the purposes of repairing or prolonging the lifetime of a connected product or for the provision of aftermarket services to connected products.
(33) | Osobą trzecią, której udostępniane są dane, może być osoba fizyczna lub prawna, np. konsument, przedsiębiorstwo, organizacja badawcza, organizacja niekomercyjna lub podmiot działający w ramach swoich obowiązków zawodowych. Udostępniając dane osobie trzeciej, posiadacz danych nie powinien nadużywać swojej pozycji w celu uzyskania przewagi konkurencyjnej na rynkach, na których posiadacz danych i osoba trzecia mogą bezpośrednio ze sobą konkurować. Posiadacz danych nie powinien zatem wykorzystywać danych łatwo dostępnych do pozyskiwania informacji o sytuacji ekonomicznej takiej osoby trzeciej, jej aktywach lub metodach produkcji ani też nie powinien wykorzystywać takich danych w żaden inny sposób, który mógłby osłabić pozycję handlową osoby trzeciej na rynkach jej działalności. Użytkownik powinien móc dzielić się danymi nieosobowymi z osobami trzecimi w celach komercyjnych. Za zgodą użytkownika i z zastrzeżeniem przepisów niniejszego rozporządzenia osoby trzecie powinny móc przekazywać udostępnione przez użytkownika prawa dostępu do danych innym osobom trzecim, w tym za rekompensatą. Pośrednicy danych między przedsiębiorcami i systemy zarządzania informacjami osobowymi, określeni jako usługi pośrednictwa danych w rozporządzeniu (UE) 2022/868, mogą wspierać użytkowników lub osoby trzecie w ustanawianiu stosunków handlowych z nieokreśloną liczbą potencjalnych kontrahentów w jakimkolwiek zgodnym z prawem celu wchodzącym w zakres stosowania niniejszego rozporządzenia. Mogą oni odgrywać zasadniczą rolę w agregowaniu dostępu do danych, tak aby ułatwić analizę dużych zestawów danych lub uczenie się maszyn, pod warunkiem że użytkownicy zachowują pełną kontrolę nad wnoszeniem swoich danych do takiej agregacji oraz nad warunkami handlowymi wykorzystywania ich danych.(33) | A third party to whom data is made available may be a natural or legal person, such as a consumer, an enterprise, a research organisation, a not-for-profit organisation or an entity acting in a professional capacity. In making the data available to the third party, a data holder should not abuse its position to seek a competitive advantage in markets where the data holder and the third party may be in direct competition. The data holder should not therefore use any readily available data in order to derive insights about the economic situation, assets or production methods of, or the use by, the third party in any other manner that could undermine the commercial position of the third party on the markets in which the third party is active. The user should be able to share non-personal data with third parties for commercial purposes. Upon the agreement with the user, and subject to the provisions of this Regulation, third parties should be able to transfer the data access rights granted by the user to other third parties, including in exchange for compensation. Business-to-business data intermediaries and personal information management systems (PIMS), referred to as data intermediation services in Regulation (EU) 2022/868, may support users or third parties in establishing commercial relations with an undetermined number of potential counterparties for any lawful purpose falling within the scope of this Regulation. They could play an instrumental role in aggregating access to data so that big data analyses or machine learning can be facilitated, provided that users remain in full control of whether to provide their data to such aggregation and the commercial terms under which their data are to be used.
(34) | W wyniku korzystania z produktu skomunikowanego lub usługi powiązanej, zwłaszcza gdy użytkownikiem jest osoba fizyczna, mogą być generowane dane odnoszące się do osoby, której dane dotyczą. Przetwarzanie takich danych podlega zasadom określonym w rozporządzeniu (UE) 2016/679, w tym w przypadku gdy w zestawie danych dane osobowe i nieosobowe są ze sobą nierozerwalnie związane. Osobą, której dane dotyczą, może być użytkownik lub inna osoba fizyczna. Udostępnienia danych osobowych może żądać wyłącznie administrator danych lub osoba, której dane dotyczą. Użytkownik będący osobą, której dane dotyczą, w określonych okolicznościach ma na podstawie rozporządzenia (UE) 2016/679 prawo dostępu do dotyczących go danych osobowych, a niniejsze rozporządzenie nie ma wpływu na takie prawa. Zgodnie z niniejszym rozporządzeniem użytkownik będący osobą fizyczną ma również prawo dostępu do wszystkich danych, osobowych i nieosobowych, generowanych w czasie użytkowania produktu skomunikowanego. Użytkownik uznawany jest za administratora, w przypadku gdy użytkownikiem nie jest osoba, której dane dotyczą, tylko przedsiębiorstwo, w tym przedsiębiorca indywidualny, z wyłączeniem przypadków wspólnego użytkowania produktu skomunikowanego przez członków gospodarstwa domowego. W związku z tym, gdy taki użytkownik, jako administrator danych, zamierza zażądać danych osobowych generowanych w wyniku korzystania z produktu skomunikowanego lub usługi powiązanej, musi on mieć podstawę prawną do przetwarzania danych przewidzianą w art. 6 ust. 1 rozporządzenia (UE) 2016/679, taką jak zgoda osoby, której dane dotyczą, lub wykonanie umowy, którego stroną jest osoba, której dane dotyczą. Taki użytkownik powinien zapewnić, aby osoba, której dane dotyczą, została odpowiednio poinformowana o konkretnych, wyraźnych i prawnie uzasadnionych celach przetwarzania takich danych oraz o tym, w jaki sposób może skutecznie dochodzić swoich praw. Jeżeli posiadacz danych i użytkownik są współadministratorami w rozumieniu art. 26 rozporządzenia (UE) 2016/679, wówczas w drodze wspólnych uzgodnień w przejrzysty sposób muszą określić odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z tego rozporządzenia. Po udostępnieniu danych, uznaje się, że taki użytkownik może stać się posiadaczem danych, jeżeli spełnia kryteria określone w niniejszym rozporządzeniu, i tym samym będzie podlegać obowiązkom udostępniania danych określonym w niniejszym rozporządzeniu.(34) | The use of a connected product or related service may, in particular when the user is a natural person, generate data that relates to the data subject. Processing of such data is subject to the rules established under Regulation (EU) 2016/679, including where personal and non-personal data in a dataset are inextricably linked. The data subject may be the user or another natural person. Personal data may only be requested by a controller or a data subject. A user who is the data subject is, under certain circumstances, entitled under Regulation (EU) 2016/679 to access personal data concerning that user and such rights are unaffected by this Regulation. Under this Regulation, the user who is a natural person is further entitled to access all data generated by the use of a connected product, whether personal or non-personal. Where the user is not the data subject but an enterprise, including a sole trader, and not in cases of shared household use of the connected product, the user is considered to be a controller. Accordingly, such a user who as controller intends to request personal data generated by the use of a connected product or related service is required to have a legal basis for processing the data as required by Article 6(1) of Regulation (EU) 2016/679, such as the consent of the data subject or the performance of a contract to which the data subject is a party. Such user should ensure that the data subject is appropriately informed of the specified, explicit and legitimate purposes for processing those data, and of how the data subject may exercise their rights effectively. Where the data holder and the user are joint controllers within the meaning of Article 26 of Regulation (EU) 2016/679, they are required to determine, in a transparent manner by means of an arrangement between them, their respective responsibilities for compliance with that Regulation. It should be understood that such a user, once data has been made available, may in turn become a data holder if that user meets the criteria under this Regulation and thus becomes subject to the obligations to make data available under this Regulation.
(35) | Dane z produktu lub z usługi powiązanej należy udostępniać osobie trzeciej wyłącznie na wniosek użytkownika. Niniejsze rozporządzenie uzupełnia więc prawo przysługujące osobom, których dane dotyczą, przewidziane w art. 20 rozporządzenia (UE) 2016/679, do otrzymania danych ich dotyczących w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego i do przesłania tych danych innemu administratorowi, jeżeli dane te są przetwarzane w sposób zautomatyzowany na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) lub na podstawie umowy w myśl art. 6 ust. 1 lit. b) tego rozporządzenia. Osoby, których dane dotyczą, mają również prawo żądania, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe. W art. 20 rozporządzenia (UE) 2016/679 wskazano, że artykuł ten dotyczy danych dostarczonych przez osobę, której dane dotyczą, ale nie określono, czy wymaga to czynnego zachowania ze strony osoby, której dane dotyczą, czy też ma on zastosowanie również w sytuacjach, w których produkt skomunikowany lub usługa powiązana, ze względu na sposób swojego zaprojektowania, w bierny sposób rejestrują zachowanie osoby, której dane dotyczą, lub inne informacje związane z osobą, której dane dotyczą. Prawa przewidziane w niniejszym rozporządzeniu na różne sposoby uzupełniają prawo dostępu i przenoszenia danych osobowych na mocy art. 20 rozporządzenia (UE) 2016/679. Niniejsze rozporządzenie przyznaje użytkownikom prawo dostępu do danych z produktu lub z usługi powiązanej oraz prawo udostępniania takich danych osobie trzeciej, niezależnie od ich charakteru jako danych osobowych, podziału na dane czynnie dostarczane i dane rejestrowane w sposób bierny oraz niezależnie od podstawy prawnej przetwarzania. W przeciwieństwie do art. 20 rozporządzenia (UE) 2016/679 niniejsze rozporządzenie nakazuje i zapewnia techniczną możliwość dostępu osób trzecich do wszelkiego rodzaju danych objętych zakresem stosowania niniejszego rozporządzenia, niezależnie od tego, czy są to dane osobowe czy dane nieosobowe, a tym samym zapewnia, aby przeszkody techniczne nie utrudniały ani uniemożliwiały już dostępu do takich danych. Pozwala ono także posiadaczom danych określić zasadną rekompensatę uiszczaną przez osoby trzecie, ale nie przez użytkownika, z tytułu kosztów poniesionych w związku z udzieleniem bezpośredniego dostępu do danych generowanych przez produkt skomunikowany użytkownika. Brak porozumienia między posiadaczem danych a osobą trzecią co do warunków takiego bezpośredniego dostępu nie powinien w żaden sposób uniemożliwiać osobie, której dane dotyczą, wykonywania praw określonych w rozporządzeniu (UE) 2016/679, w tym prawa do przenoszenia danych, poprzez skorzystanie ze środków ochrony prawnej zgodnie z tym rozporządzeniem. W tym kontekście należy rozumieć, że zgodnie z rozporządzeniem (UE) 2016/679 umowa nie umożliwia posiadaczowi danych ani osobie trzeciej przetwarzania szczególnych kategorii danych osobowych.(35) | Product data or related service data should only be made available to a third party at the request of the user. This Regulation complements accordingly the right, provided for in Article 20 of Regulation (EU) 2016/679, of data subjects to receive personal data concerning them in a structured, commonly used and machine-readable format, as well as to port those data to another controller, where those data are processed by automated means on the basis of Article 6(1), point (a), or Article 9(2), point (a), or of a contract pursuant to Article 6(1), point (b) of that Regulation. Data subjects also have the right to have the personal data transmitted directly from one controller to another, but only where that is technically feasible. Article 20 of Regulation (EU) 2016/679 specifies that it pertains to data provided by the data subject but does not specify whether this necessitates active behaviour on the side of the data subject or whether it also applies to situations where a connected product or related service, by its design, observes the behaviour of a data subject or other information in relation to a data subject in a passive manner. The rights provided for under this Regulation complement the right to receive and port personal data under Article 20 of Regulation (EU) 2016/679 in a number of ways. This Regulation grants users the right to access and make available to a third party any product data or related service data, irrespective of their nature as personal data, of the distinction between actively provided or passively observed data, and irrespective of the legal basis of processing. Unlike Article 20 of Regulation (EU) 2016/679, this Regulation mandates and ensures the technical feasibility of third party access for all types of data falling within its scope, whether personal or non-personal, thereby ensuring that technical obstacles no longer hinder or prevent access to such data. It also allows data holders to set reasonable compensation to be met by third parties, but not by the user, for costs incurred in providing direct access to the data generated by the user’s connected product. If a data holder and a third party are unable to agree on terms for such direct access, the data subject should in no way be prevented from exercising the rights laid down in Regulation (EU) 2016/679, including the right to data portability, by seeking remedies in accordance with that Regulation. It is to be understood in this context that, in accordance with Regulation (EU) 2016/679, a contract does not allow for the processing of special categories of personal data by the data holder or the third party.
(36) | Dostęp do jakichkolwiek danych przechowywanych w urządzeniu końcowym i udostępnianych z tego urządzenia podlega przepisom dyrektywy 2002/58/WE i wymaga zgody abonenta lub użytkownika w rozumieniu tej dyrektywy, chyba że dostęp do takich danych jest ściśle niezbędny w celu świadczenia usługi społeczeństwa informacyjnego, której wyraźnie zażądali użytkownik lub abonent, lub jedynie w celu wykonania transmisji komunikatu. Dyrektywa 2002/58/WE chroni integralność końcowego urządzenia użytkownika w zakresie korzystania z możliwości przetwarzania i przechowywania oraz zbierania informacji. Urządzenie podłączone do internetu rzeczy uznaje się za urządzenie końcowe, jeżeli jest bezpośrednio lub pośrednio podłączone do publicznej sieci łączności.(36) | Access to any data stored in and accessed from terminal equipment is subject to Directive 2002/58/EC and requires the consent of the subscriber or user within the meaning of that Directive unless it is strictly necessary for the provision of an information society service explicitly requested by the user or by the subscriber or for the sole purpose of the transmission of a communication. Directive 2002/58/EC protects the integrity of a user’s terminal equipment regarding the use of processing and storage capabilities and the collection of information. Internet of Things equipment is considered to be terminal equipment if it is directly or indirectly connected to a public communications network.
(37) | Aby nie dopuścić do nadużyć wobec użytkowników, osoby trzecie, którym udostępniono dane na wniosek użytkownika, powinny przetwarzać te dane wyłącznie do celów uzgodnionych z użytkownikiem i dzielić się nimi z inną osobą trzecią wyłącznie za zgodą użytkownika.(37) | In order to prevent the exploitation of users, third parties to whom data has been made available at the request of the user should process those data only for the purposes agreed with the user and share them with another third party only with the agreement of the user to such data sharing.
(38) | Zgodnie z zasadą minimalizacji danych osoby trzecie powinny uzyskać dostęp wyłącznie do tych informacji, które są niezbędne do świadczenia usługi, której zażądał użytkownik. Po uzyskaniu dostępu do danych osoba trzecia powinna przetwarzać je do celów uzgodnionych z użytkownikiem bez ingerencji ze strony posiadacza danych. Odmówienie dostępu do danych osobie trzeciej przez użytkownika lub wycofanie przez użytkownika zgody na dostęp osoby trzeciej do danych powinno być tak samo proste, jak udzielenie zgody na taki dostęp przez użytkownika. Osoby trzecie i posiadacze danych nie powinni bezzasadnie utrudniać użytkownikom wykonywania praw lub dokonywania wyborów, w tym przez oferowanie użytkownikom wyboru w sposób nieneutralny, ani w żaden sposób zmuszać użytkownika, wprowadzać w błąd ani nim manipulować, ani podważać lub ograniczać autonomii, zdolności decyzyjnych lub wyborów użytkownika, w tym za pomocą interfejsu cyfrowego użytkownika lub jego części. W tym kontekście osoby trzecie lub posiadacze danych nie powinni podczas projektowania swoich interfejsów cyfrowych stosować tzw. zwodniczych interfejsów. Zwodnicze interfejsy to techniki projektowe służące do wymuszania na konsumentach decyzji, które mają dla nich negatywne skutki, lub wprowadzenia konsumentów w błąd w celu skłonienia ich do takich decyzji. Te techniki manipulacji mogą być wykorzystywane, by skłonić użytkowników, w szczególności konsumentów podatnych na zagrożenia, do niechcianych zachowań, wprowadzić ich błąd poprzez nakłanianie do decyzji w sprawie udostępnienia danych lub też by nieobiektywnie wpłynąć na zdolności decyzyjne użytkowników usługi w sposób podważający lub ograniczający ich autonomię, zdolności decyzyjne i wybór. Powszechne i uzasadnione praktyki handlowe zgodne z prawem Unii nie powinny same w sobie być uznawane za zwodnicze interfejsy. Osoby trzecie i posiadacze danych powinni wywiązywać się ze swoich obowiązków określonych w stosownym prawie Unii, w szczególności z wymagań określonych w dyrektywach Parlamentu Europejskiego i Rady 98/6/WE (24) i 2000/31/WE (25), oraz dyrektywach 2005/29/WE i 2011/83/UE.(38) | In line with the data minimisation principle, third parties should access only information that is necessary for the provision of the service requested by the user. Having received access to data, the third party should process it for the purposes agreed with the user without interference from the data holder. It should be as easy for the user to refuse or discontinue access by the third party to the data as it is for the user to authorise access. Neither third parties nor data holders should make the exercise of choices or rights by the user unduly difficult, including by offering choices to the user in a non-neutral manner, or by coercing, deceiving or manipulating the user, or by subverting or impairing the autonomy, decision-making or choices of the user, including by means of a user digital interface or a part thereof. In that context, third parties or data holders should not rely on so-called ‘dark patterns’ in designing their digital interfaces. Dark patterns are design techniques that push or deceive consumers into decisions that have negative consequences for them. Those manipulative techniques can be used to persuade users, in particular vulnerable consumers, to engage in unwanted behaviour, to deceive users by nudging them into decisions on data disclosure transactions or to unreasonably bias the decision-making of the users of the service in such a way as to subvert or impair their autonomy, decision-making and choice. Common and legitimate commercial practices that comply with Union law should not in themselves be regarded as constituting dark patterns. Third parties and data holders should comply with their obligations under relevant Union law, in particular the requirements laid down in Directives 98/6/EC (24) and 2000/31/EC (25) of the European Parliament and of the Council and in Directives 2005/29/EC and 2011/83/EU.
(39) | Osoby trzecie nie powinny ponadto wykorzystywać danych wchodzących w zakres stosowania niniejszego rozporządzenia do profilowania osób fizycznych, chyba że takie czynności przetwarzania są ściśle niezbędne do świadczenia usługi, której zażądał użytkownik, w tym w ramach zautomatyzowanego podejmowania decyzji. Wymaganie usunięcia danych, które nie są już niezbędne do celu uzgodnionego z użytkownikiem, o ile w odniesieniu do danych nieosobowych uzgodniono inaczej, stanowi uzupełnienie prawa do usunięcia danych przysługującego osobie, której dane dotyczą, na podstawie art. 17 rozporządzenia (UE) 2016/679. W przypadku gdy osoba trzecia jest dostawcą usługi pośrednictwa, zastosowanie mają zabezpieczenia wobec osoby, której dane dotyczą, przewidziane w rozporządzeniu (UE) 2022/868. Osoba trzecia może wykorzystywać dane do opracowania nowego, innowacyjnego produktu skomunikowanego lub nowej, innowacyjnej usługi powiązanej, lecz nie do opracowania konkurencyjnego produktu skomunikowanego.(39) | Third parties should also refrain from using data falling within the scope of this Regulation to profile individuals unless such processing activities are strictly necessary to provide the service requested by the user, including in the context of automated decision-making. The requirement to erase data when no longer required for the purpose agreed with the user, unless otherwise agreed in relation to non-personal data, complements the data subject’s right to erasure pursuant to Article 17 of Regulation (EU) 2016/679. Where a third party is a provider of a data intermediation service, the safeguards for the data subject provided for by Regulation (EU) 2022/868 apply. The third party may use the data to develop a new and innovative connected product or related service but not to develop a competing connected product.
(40) | Przedsiębiorstwom typu start-up, małym przedsiębiorstwom, przedsiębiorstwom, które kwalifikują się jako średnie przedsiębiorstwa zgodnie z art. 2 załącznika do zalecenia 2003/361/WE, oraz przedsiębiorstwom z tradycyjnych sektorów o mniej rozwiniętych zdolnościach cyfrowych trudno jest uzyskać dostęp do istotnych danych. Niniejsze rozporządzenie ma na celu ułatwienie dostępu do danych takim podmiotom, a jednocześnie zapewnienie, aby odpowiednie obowiązki były jak najbardziej proporcjonalne w celu uniknięcia nadmiernego obciążenia regulacyjnego. Ponadto pojawiła się niewielka liczba bardzo dużych przedsiębiorstw posiadających znaczną siłę gospodarczą w gospodarce cyfrowej dzięki koncentracji i agregacji wielkich ilości danych oraz dzięki infrastrukturze technicznej pozwalającej na czerpanie z nich korzyści finansowych. Te bardzo duże przedsiębiorstwa obejmują przedsiębiorstwa świadczące podstawowe usługi platformowe kontrolujące całe ekosystemy platformowe w gospodarce cyfrowej, z którymi to przedsiębiorstwami istniejący lub nowi uczestnicy rynku nie są w stanie konkurować ani którym nie są w stanie zagrozić. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/1925 (26) ma skorygować te braki i zakłócenia równowagi poprzez umożliwienie Komisji wskazania przedsiębiorstwa jako „strażnika dostępu”; określa ono szereg obowiązków takich strażników dostępu, w tym zakaz łączenia niektórych danych bez uzyskania zgody oraz obowiązek zapewnienia skutecznych praw do przenoszenia danych zgodnie z art. 20 rozporządzenia (UE) 2016/679. Zgodnie z rozporządzeniem (UE) 2022/1925 i mając na uwadze bezkonkurencyjną zdolność tych przedsiębiorstw do pozyskiwania danych, uwzględnienie strażników dostępu wśród beneficjentów prawa dostępu do danych nie jest niezbędne do osiągnięcia celu niniejszego rozporządzenia i tym samym byłoby nieproporcjonalne dla posiadaczy danych, na których ciążą takie obowiązki. Takie uwzględnienie strażników dostępu mogłoby także ograniczyć korzyści wynikające z niniejszego rozporządzenia dla MŚP w zakresie sprawiedliwej dystrybucji wartości danych wśród uczestników rynku. Oznacza to, że przedsiębiorstwo świadczące podstawowe usługi platformowe, które zostało wskazane jako strażnik dostępu, nie może żądać ani uzyskiwać dostępu do danych użytkownika generowanych w wyniku korzystania z produktu skomunikowanego, usługi powiązanej lub wirtualnego asystenta zgodnie z niniejszym rozporządzeniem. Ponadto osoby trzecie, którym udostępniane są dane na wniosek użytkownika, nie mogą udostępniać tych danych strażnikowi dostępu. Na przykład osoba trzecia nie może zlecić strażnikowi dostępu podwykonawstwa świadczenia usługi. Nie oznacza to jednak, że osoby trzecie nie mogą korzystać z usług przetwarzania danych oferowanych przez strażnika dostępu. Nie uniemożliwia to także tym przedsiębiorstwom pozyskiwania ani wykorzystywania tych samych danych innymi zgodnymi z prawem sposobami. Prawa dostępu określone w niniejszym rozporządzeniu pomagają w zapewnieniu konsumentom szerszego wyboru usług. Ponieważ możliwość zawarcia dobrowolnej umowy między strażnikami dostępu a posiadaczami danych pozostaje nienaruszona, ograniczenie udzielania dostępu strażnikom dostępu nie wykluczałoby ich z rynku ani nie uniemożliwiałoby im oferowania usług.(40) | Start-ups, small enterprises, enterprises that qualify as a medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC and enterprises from traditional sectors with less-developed digital capabilities struggle to obtain access to relevant data. This Regulation aims to facilitate access to data for those entities, while ensuring that the corresponding obligations are as proportionate as possible to avoid overreach. At the same time, a small number of very large enterprises have emerged with considerable economic power in the digital economy through the accumulation and aggregation of vast volumes of data and the technological infrastructure for monetising them. Those very large enterprises include undertakings that provide core platform services controlling whole platform ecosystems in the digital economy and which existing or new market operators are unable to challenge or contest. Regulation (EU) 2022/1925 of the European Parliament and of the Council (26) aims to redress those inefficiencies and imbalances by allowing the Commission to designate an undertaking as a ‘gatekeeper’, and imposes a number of obligations on such gatekeepers, including a prohibition to combine certain data without consent and an obligation to ensure effective rights to data portability under Article 20 of Regulation (EU) 2016/679. In accordance with Regulation (EU) 2022/1925, and given the unrivalled ability of those undertakings to acquire data, it is not necessary to achieve the objective of this Regulation, and would therefore be disproportionate for data holders made subject to such obligations, to include gatekeeper as beneficiaries of the data access right. Such inclusion would also likely limit the benefits of this Regulation for SMEs, linked to the fairness of the distribution of data value across market actors. This means that an undertaking that provides core platform services that has been designated as a gatekeeper cannot request or be granted access to users’ data generated by the use of a connected product or related service or by a virtual assistant pursuant to this Regulation. Furthermore, third parties to whom data are made available at the request of the user may not make the data available to a gatekeeper. For instance, the third party may not subcontract the service provision to a gatekeeper. However, this does not prevent third parties from using data processing services offered by a gatekeeper. Nor does it prevent those undertakings from obtaining and using the same data through other lawful means. The access rights provided for in this Regulation contribute to a wider choice of services for consumers. As voluntary agreements between gatekeepers and data holders remain unaffected, the limitation on granting access to gatekeepers would not exclude them from the market or prevent them from offering their services.
(41) | Biorąc pod uwagę obecny stan rozwoju technologii, nakładanie dalszych obowiązków w zakresie projektowania produktów skomunikowanych produkowanych lub projektowanych przez mikroprzedsiębiorstwa i małe przedsiębiorstwa lub usług powiązanych świadczonych przez takie przedsiębiorstwa wiązałoby się dla nich z nadmiernym obciążeniem. Nie dotyczy to jednak sytuacji, w której mikroprzedsiębiorstwo lub małe przedsiębiorstwo ma przedsiębiorstwo partnerskie lub przedsiębiorstwo powiązane w rozumieniu w art. 3 załącznika do zalecenia Komisji 2003/361/WE, które nie kwalifikuje się jako mikroprzedsiębiorstwo lub małe przedsiębiorstwo, i któremu zostaje zlecone wyprodukowanie lub zaprojektowanie produktu skomunikowanego lub świadczenie usługi powiązanej w ramach podwykonawstwa. W takich sytuacjach przedsiębiorstwo, które zleciło produkcję lub projekt w ramach podwykonawstwa mikroprzedsiębiorstwu lub małemu przedsiębiorstwu, jest w stanie zapewnić podwykonawcy odpowiednią rekompensatę. Mikroprzedsiębiorstwo lub małe przedsiębiorstwo, jeżeli nie jest producentem produktu skomunikowanego ani dostawcą usług powiązanych, może jednak podlegać wymaganiom ustanowionym w niniejszym rozporządzeniu jako posiadacz danych. Okres przejściowy powinien mieć zastosowanie do przedsiębiorstwa, które kwalifikuje się jako średnie przedsiębiorstwo przez okres krótszy niż rok, a także do produktów skomunikowanych przez okres jednego roku od dnia wprowadzenia ich do obrotu przez średnie przedsiębiorstwo. Taki roczny okres przejściowy umożliwia średniemu przedsiębiorstwu dostosowanie się i przygotowanie przed zmierzeniem się z konkurencją na rynku usług dla produktów skomunikowanych, które produkuje, na podstawie praw dostępu określonych w niniejszym rozporządzeniu. Ten okres przejściowy nie ma zastosowania w przypadku gdy takie średnie przedsiębiorstwo ma przedsiębiorstwo partnerskie lub przedsiębiorstwo powiązane, które nie kwalifikuje się jako mikroprzedsiębiorstwo lub małe przedsiębiorstwo, i gdy takiemu średniemu przedsiębiorstwu zostało zlecone wyprodukowanie lub zaprojektowanie produktu skomunikowanego lub świadczenie usługi powiązanej w ramach podwykonawstwa.(41) | Given the current state of technology, it would be overly burdensome on microenterprises and small enterprises to impose further design obligations in relation to connected products manufactured or designed, or the related services provided, by them. That is not the case, however, where a microenterprise or a small enterprise has a partner enterprise or a linked enterprise within the meaning of Article 3 of the Annex to Recommendation 2003/361/EC that does not qualify as a microenterprise or a small enterprise and where it is subcontracted to manufacture or design a connected product or to provide a related service. In such situations, the enterprise which has subcontracted the manufacturing or design to a microenterprise or a small enterprise is able to compensate the subcontractor appropriately. A microenterprise or a small enterprise may nevertheless be subject to the requirements laid down by this Regulation as data holder where it is not the manufacturer of the connected product or a provider of related services. A transitional period should apply to an enterprise that has qualified as a medium-sized enterprise for less than one year and to connected products for one year after the date on which they were placed on the market by a medium-sized enterprise. Such a one-year period allows such a medium-sized enterprise to adjust and prepare before facing competition in the market for services for the connected products that it manufactures on the basis of the access rights provided by this Regulation. Such a transitional period does not apply where such a medium-sized enterprise has a partner enterprise or a linked enterprise that does not qualify as a microenterprise or a small enterprise or where such a medium-sized enterprise was subcontracted to manufacture or design the connected product or to provide the related service.
(42) | Aby uwzględnić liczne produkty skomunikowane generujące dane o różnym charakterze, ilości i częstotliwości, stwarzające różny poziom ryzyka związanego z danymi i z cyberbezpieczeństwem oraz oferujące możliwości ekonomiczne o różnej wartości oraz aby zapewnić spójność praktyk w ramach dzielenia się danymi na rynku wewnętrznym, w tym między sektorami, i zachęcać do stosowania uczciwych praktyk dzielenia się danymi i promować takie praktyki nawet w dziedzinach, w których takie prawo dostępu do danych nie jest przewidziane, niniejsze rozporządzenie przewiduje horyzontalne zasady w sprawie uzgodnień dotyczących dostępu do danych, gdy posiadacz danych jest zobowiązany z mocy prawa Unii lub prawa krajowego przyjętego zgodnie z prawem Unii do udostępnienia danych odbiorcy danych. Takiego dostępu należy udzielać na sprawiedliwych, uzasadnionych, niedyskryminacyjnych i przejrzystych zasadach. Takie ogólne zasady dostępu nie mają zastosowania do obowiązków udostępniania danych na podstawie rozporządzenia (UE) 2016/679. Zasady te nie mają wpływu na dobrowolne dzielenie się danymi. Niewiążące modelowe postanowienia umowne dotyczące dzielenia się danymi między przedsiębiorcami, które zostaną opracowane i będą zalecane przez Komisję mogą pomóc stronom w zawieraniu umów, które będą przewidywać sprawiedliwe, uzasadnione i niedyskryminacyjne zasady i będą wdrażane w sposób przejrzysty. Zawarcie umów, które mogą zawierać nieważące modelowe postanowienia umowne, nie powinno oznaczać, że prawo do dzielenia się danymi z osobami trzecimi w jakikolwiek sposób zależy od istnienia takiej umowy. Gdyby strony nie były w stanie zawrzeć umowy o dzieleniu się danymi, w tym przy wsparciu organów rozstrzygania sporów, prawa do dzielenia się danymi z osobami trzecimi można dochodzić w sądach i trybunałach krajowych.(42) | Taking into account the variety of connected products producing data of different nature, volume and frequency, presenting different levels of data and cybersecurity risks and providing economic opportunities of different value, and for the purpose of ensuring consistency of data sharing practices in the internal market, including across sectors, and to encourage and promote fair data sharing practices even in areas where no such right to data access is provided for, this Regulation provides for horizontal rules on the arrangements for access to data whenever a data holder is obliged by Union law or national legislation adopted in accordance with Union law to make data available to a data recipient. Such access should be based on fair, reasonable, non-discriminatory and transparent terms and conditions. Those general access rules do not apply to obligations to make data available under Regulation (EU) 2016/679. Voluntary data sharing remains unaffected by those rules. The non-binding model contractual terms for business-to-business data sharing to be developed and recommended by the Commission may help parties to conclude contracts which include fair, reasonable and non-discriminatory terms and conditions and which are to be implemented in a transparent way. The conclusion of contracts, which may include the non-binding model contractual terms, should not mean that the right to share data with third parties is in any way conditional upon the existence of such a contract. Should parties be unable to conclude a contract on data sharing, including with the support of dispute settlement bodies, the right to share data with third parties is enforceable in national courts or tribunals.
(43) | Na podstawie zasady swobody zawierania umów strony powinny nadal móc swobodnie ustalać szczegółowe warunki udostępniania danych w ich umowach, w ramach ogólnych zasad dostępu dotyczących udostępniania danych. Wśród warunków takich umów mogą się znaleźć środki techniczne i organizacyjne, w tym te związane z bezpieczeństwem danych.(43) | On the basis of the principle of contractual freedom, parties should remain free to negotiate the precise conditions for making data available in their contracts within the framework for the general access rules for making data available. Terms of such contracts could include technical and organisational measures, including in relation to data security.
(44) | W celu zapewnienia, aby warunki obowiązkowego dostępu do danych były sprawiedliwe dla obu stron umowy, ogólne zasady dotyczące praw dostępu do danych powinny odnosić się do zasady unikania nieuczciwych postanowień umownych.(44) | In order to ensure that the conditions for mandatory data access are fair for both parties to a contract, the general rules on data access rights should refer to the rule on avoiding unfair contractual terms.
(45) | Umowa zawarta w stosunkach między przedsiębiorcami w celu udostępniania danych nie powinna rozróżniać porównywalnych kategorii odbiorców danych, niezależnie od tego, czy stronami są duże przedsiębiorstwa czy MŚP. Ponieważ brak informacji na temat warunków poszczególnych umów utrudnia odbiorcom ocenę, czy warunki udostępniania danych są niedyskryminacyjne, ciężar dowodu, że postanowienia umowne są niedyskryminacyjne powinien spoczywać na posiadaczach danych. Stosowanie przez posiadacza danych różnych postanowień umownych dotyczących udostępniania danych nie stanowi niezgodnej z prawem dyskryminacji, jeżeli różnice te są uzasadnione obiektywnymi względami. Obowiązki te pozostają bez uszczerbku dla rozporządzenia (UE) 2016/679.(45) | Any agreement concluded in business-to-business relations for making data available should be non-discriminatory between comparable categories of data recipients, independently of whether the parties are large enterprises or SMEs. In order to compensate for the lack of information on the conditions contained in different contracts, which makes it difficult for the data recipient to assess whether the terms for making the data available are non-discriminatory, it should be the responsibility of data holders to demonstrate that a contractual term is not discriminatory. It is not unlawful discrimination where a data holder uses different contractual terms for making data available if those differences are justified by objective reasons. Those obligations are without prejudice to Regulation (EU) 2016/679.
(46) | Aby zachęcać do dalszych inwestycji w generowanie i udostępnianie wartościowych danych, w tym do inwestycji w stosowne narzędzia techniczne, a jednocześnie zapobiegać nadmiernym obciążeniom w zakresie dostępu do danych i ich wykorzystywania, w wyniku których dzielenie się danymi nie jest opłacalne, niniejsze rozporządzenie zawiera zasadę, zgodnie z którą w stosunkach między przedsiębiorcami posiadacze danych mogą zażądać zasadnej rekompensaty, gdy są zobowiązani zgodnie z prawem Unii lub prawem krajowym przyjętym zgodnie z prawem Unii do udostępnienia danych odbiorcy danych. |Rekompensaty takiej nie należy rozumieć jako płatności za same dane. Komisja powinna przyjąć wytyczne w sprawie obliczania zasadnej rekompensaty w gospodarce opartej na danych.(46) | In order to promote continued investment in generating and making available valuable data, including investments in relevant technical tools, while at the same time avoiding excessive burdens on access to and the use of data which make data sharing no longer commercially viable, this Regulation contains the principle that in business-to-business relations data holders may request reasonable compensation when obliged pursuant to Union law or national legislation adopted in accordance with Union law to make data available to a data recipient. Such compensation should not be understood to constitute payment for the data itself. The Commission should adopt guidelines on the calculation of reasonable compensation in the data economy.
(47) | Po pierwsze, zasadna rekompensata za wywiązanie się z obowiązku zastosowania się do wniosku o udostępnienie danych, zgodnie z prawem Unii lub prawem krajowym przyjętym zgodnie z prawem Unii, może obejmować rekompensatę za poniesione koszty udostępnienia danych. Do kosztów tych mogą należeć koszty techniczne, np. takie, które trzeba ponieść w związku ze zwielokrotnieniem danych, rozpowszechnieniem danych za pomocą środków elektronicznych i przechowywaniem danych, ale nie ze zbieraniem lub tworzeniem danych. Takie koszty techniczne mogą obejmować również koszty przetwarzania niezbędne do udostępnienia danych, w tym koszty związane z formatowaniem danych. Koszty związane z udostępnieniem danych mogą również obejmować koszty odpowiadania na konkretne wnioski o udostępnienie danych. Mogą też być zróżnicowane zależnie od ilości danych oraz od przyjętych uzgodnień dotyczących udostępnienia danych. Długoterminowe uzgodnienia między posiadaczami danych a odbiorcami danych, np. w formie modelu abonenckiego lub inteligentnych umów, mogłyby obniżyć koszty regularnych lub powtarzających się transakcji w stosunkach między przedsiębiorcami. Koszty związane z udostępnieniem danych są albo szczególne dla danego wniosku, albo dzielone z innymi wnioskami. W tym drugim przypadku pojedynczy odbiorca danych nie powinien ponosić pełnych kosztów udostępnienia danych. Po drugie, zasadna rekompensata może obejmować też marżę, z wyjątkiem w odniesieniu do MŚP i niekomercyjnych organizacji badawczych. Marża może być zróżnicowana zależnie od czynników związanych z samymi danymi, takich jak ilość, format lub charakter danych. Może uwzględniać także koszty zebrania danych. Marża może zatem być mniejsza, gdy posiadacz danych zebrał dane na potrzeby własnej działalności bez znacznych inwestycji, lub może być większa, gdy inwestycje w zebranie danych do celów działalności posiadacza danych są znaczne. Może być ona ograniczona lub nawet wyłączona w sytuacjach, w których wykorzystanie danych przez odbiorcę danych nie wpływa na działalność posiadacza danych. Fakt, że dane są współgenerowane przez produkt skomunikowany należący do użytkownika, wzięty przez niego w najem, w dzierżawę lub w leasing, może również obniżyć wysokość rekompensaty w porównaniu z innymi sytuacjami, w których dane są generowane wyłącznie przez posiadacza danych, np. w trakcie świadczenia usługi powiązanej.(47) | First, reasonable compensation for meeting the obligation pursuant to Union law or national legislation adopted in accordance with Union law to comply with a request to make data available may include compensation for the costs incurred in making the data available. Those costs may be technical costs, such as the costs necessary for data reproduction, dissemination via electronic means and storage, but not for data collection or production. Such technical costs may also include the costs for processing, necessary to make data available, including costs associated with the formatting of data. Costs related to making the data available may also include the costs of facilitating concrete data sharing requests. They may also vary depending on the volume of the data as well as the arrangements taken for making the data available. Long-term arrangements between data holders and data recipients, for instance via a subscription model or the use of smart contracts, may reduce the costs in regular or repetitive transactions in a business relationship. Costs related to making data available are either specific to a particular request or shared with other requests. In the latter case, a single data recipient should not pay the full costs of making the data available. Second, reasonable compensation may also include a margin, except regarding SMEs and not-for-profit research organisations. A margin may vary depending on factors related to the data itself, such as volume, format or nature of the data. It may consider the costs for collecting the data. A margin may therefore decrease where the data holder has collected the data for its own business without significant investments or may increase where the investments in the data collection for the purposes of the data holder’s business are high. It may be limited or even excluded in situations where the use of the data by the data recipient does not affect the data holder’s own activities. The fact that the data is co-generated by a connected product owned, rented or leased by the user could also reduce the amount of the compensation in comparison to other situations where the data are generated by the data holder for example during the provision of a related service.
(48) | Nie ma potrzeby interwencji w przypadku dzielenia się danymi między dużymi przedsiębiorstwami lub w przypadku, w którym posiadaczem danych jest małe lub średnie przedsiębiorstwo, a odbiorcą danych – duże przedsiębiorstwo. W takich przypadkach uznaje się, że przedsiębiorstwa są w stanie wynegocjować zasadną i niedyskryminującą rekompensatę.(48) | It is not necessary to intervene in the case of data sharing between large enterprises, or where the data holder is a small enterprise or a medium-sized enterprise and the data recipient is a large enterprise. In such cases, the enterprises are considered to be capable of negotiating the compensation within the limits of what is reasonable and non-discriminatory.
(49) | Na potrzeby ochrony MŚP przed nadmiernymi obciążeniami ekonomicznymi, przez które przedsiębiorstwom tym z handlowego punktu widzenia byłoby zbyt trudno opracowywać i realizować innowacyjne modele biznesowe, wypłacana przez nie zasadna rekompensata za udostępnienie danych nie powinno przekraczać kosztu bezpośrednio związanego z udostępnieniem tych danych. Ten sam system powinien mieć zastosowanie do niekomercyjnych organizacji badawczych.(49) | To protect SMEs from excessive economic burdens which would make it commercially too difficult for them to develop and run innovative business models, the reasonable compensation for making data available to be paid by them should not exceed the costs directly related to making the data available. Directly related costs are those costs which are attributable to individual requests, taking into account that the necessary technical interfaces or related software and connectivity is to be established on a permanent basis by the data holder. The same regime should apply to not-for-profit research organisations.
(50) | W należycie uzasadnionych przypadkach, w tym w przypadku gdy istnieje potrzeba zapewnienia udziału konsumentów i konkurencyjności lub promowania innowacyjności na niektórych rynkach, można uregulować rekompensatę za udostępnianie określonych rodzajów danych w prawie Unii lub prawie krajowym przyjętym zgodnie z prawem Unii.(50) | In duly justified cases, including where there is a need to safeguard consumer participation and competition or to promote innovation in certain markets, regulated compensation for making available specific data types may be provided for in Union law or national legislation adopted in accordance with Union law.
(51) | Przejrzystość stanowi ważną zasadę potrzebną do zapewnienia, aby rekompensata żądana przez posiadacza danych była zasadna lub – jeżeli odbiorcą danych jest MŚP lub niekomercyjna organizacja badawcza – aby rekompensata nie przekraczała kosztów bezpośrednio związanych z udostępnieniem danych odbiorcy danych i wiązała się z konkretnym wnioskiem. Aby odbiorcy danych byli w stanie ocenić i zweryfikować, czy rekompensata spełnia wymagania określone w niniejszym rozporządzeniu, posiadacz danych powinien przedstawić odbiorcy danych informacje na tyle szczegółowe, aby można było obliczyć tę rekompensatę.(51) | Transparency is an important principle for ensuring that the compensation requested by a data holder is reasonable, or, if the data recipient is an SME or a not-for-profit research organisation, that the compensation does not exceed the costs directly related to making the data available to the data recipient and is attributable to the individual request concerned. In order to put data recipients in a position to assess and verify that the compensation complies with the requirements of this Regulation, the data holder should provide to the data recipient sufficiently detailed information for the calculation of the compensation.
(52) | Zapewnienie dostępu do alternatywnych metod rozwiązywania krajowych i transgranicznych sporów związanych z udostępnianiem danych powinno być korzystne dla posiadaczy danych i odbiorców danych, i tym samym powinno skutkować wzrostem wiarygodności dzielenia się danymi. Jeżeli strony nie są w stanie uzgodnić sprawiedliwych, rozsądnych i niedyskryminujących zasad udostępniania danych, organy rozstrzygania sporów powinny zaoferować stronom proste, szybkie i tanie rozwiązanie. Niniejsze rozporządzenie ustanawia jedynie warunki, które muszą zostać spełnione przez organy rozstrzygania sporów, aby uzyskać certyfikację, państwa członkowskie mogą jednak przyjąć szczególne zasady procedury certyfikacji, w tym wygaśnięcia lub cofnięcia certyfikacji. Przepisy niniejszego rozporządzenia dotyczące rozstrzygania sporów nie powinny nakładać na państwa członkowskie obowiązku ustanowienia organów rozstrzygania sporów.(52) | Ensuring access to alternative ways of resolving domestic and cross-border disputes that arise in connection with making data available should benefit data holders and data recipients and therefore strengthen trust in data sharing. Where parties cannot agree on fair, reasonable and non-discriminatory terms and conditions of making data available, dispute settlement bodies should offer a simple, fast and low-cost solution to the parties. While this Regulation only lays down the conditions that dispute settlement bodies need to fulfil to be certified, Member States are free to adopt any specific rules for the certification procedure, including the expiry or revocation of certification. The provisions of this Regulation on dispute settlement should not require Member States to establish dispute settlement bodies.
(53) | Procedura rozstrzygania sporów przewidziana w niniejszym rozporządzeniu jest procedurą dobrowolną, umożliwiającą użytkownikom, posiadaczom danych i odbiorcom danych ustalenie, że ich spór zostanie wniesiony do organu rozstrzygania sporów. Dlatego strony powinny móc zwrócić się do wybranego przez siebie organu rozstrzygania sporów w państwach członkowskich, w których strony mają siedzibę, lub poza tymi państwami.(53) | The dispute settlement procedure under this Regulation is a voluntary procedure that enables users, data holders and data recipients to agree to bring their disputes before dispute settlement bodies. Therefore, the parties should be free to address a dispute settlement body of their choice, be it within or outside of the Member States in which those parties are established.
(54) | Aby zapobiec przypadkom, w których ten sam spór zostaje skierowany do dwóch lub więcej organów rozstrzygania sporów, w szczególności w sytuacji transgranicznej, organ rozstrzygania sporów powinien móc odrzucić wniosek o rozwiązanie sporu, który został już przedstawiony innemu organowi rozstrzygania sporów bądź sądowi lub trybunałowi państwa członkowskiego.(54) | To avoid cases in which two or more dispute settlement bodies are seized for the same dispute, in particular in a cross-border situation, a dispute settlement body should be able to refuse to deal with a request to resolve a dispute that has already been brought before another dispute settlement body or before a court or tribunal of a Member State.
(55) | Aby zapewnić jednolite stosowanie niniejszego rozporządzenia, organy rozstrzygania sporów powinny uwzględniać niewiążące modelowe postanowienia umowne, które zostaną opracowane i będą zalecane przez Komisję, oraz prawo Unii lub prawo krajowe doprecyzowujące obowiązki dzielenia się danymi lub wytyczne organów sektorowych w sprawie stosowania takiego prawa.(55) | In order to ensure the uniform application of this Regulation, the dispute settlement bodies should take into account the non-binding model contractual terms to be developed and recommended by the Commission as well as Union or national law specifying data sharing obligations or guidelines issued by sectoral authorities for the application of such law.
(56) | Stronom postępowania w sprawie rozstrzygnięcia sporu nie należy uniemożliwiać wykonania przysługującego im podstawowego prawa do skutecznego środka prawnego i sprawiedliwego procesu. Dlatego też decyzja o przekazaniu sporu do organu rozstrzygającego spory nie powinna skutkować utratą przez takie strony prawa do dochodzenia roszczeń przed sądem lub trybunałem państwa członkowskiego. Organy rozstrzygania sporów powinny podawać do wiadomości publicznej roczne sprawozdania z działalności.(56) | Parties to dispute settlement proceedings should not be prevented from exercising their fundamental rights to an effective remedy and a fair trial. Therefore, the decision to submit a dispute to a dispute settlement body should not deprive those parties of their right to seek redress before a court or tribunal of a Member State. Dispute settlement bodies should make annual activity reports publicly available.
(57) | Posiadacze danych mogą stosować odpowiednie techniczne środki ochrony, aby zapobiegać niezgodnemu z prawem ujawnianiu danych i dostępowi do danych. Środki te nie powinny jednak powodować nierównego traktowania odbiorców danych ani utrudniać użytkownikom lub odbiorcom danych dostępu do danych lub ich wykorzystywania. W przypadku nadużyć ze strony odbiorcy danych, np. wprowadzenia posiadacza danych w błąd poprzez przedstawienie fałszywych informacji w celu wykorzystania danych do celów niezgodnych z prawem, w tym opracowania na podstawie tych danych konkurencyjnego produktu skomunikowanego, posiadacz danych oraz, w stosownych przypadkach i w przypadku gdy nie są one tą samą osobą, posiadacz tajemnicy przedsiębiorstwa lub użytkownik mogą wystąpić do osoby trzeciej lub odbiorcy danych z wnioskiem o zastosowanie bez zbędnej zwłoki środków naprawczych lub zaradczych. Wszelkie takie wnioski, w szczególności wnioski o zaprzestanie produkcji, oferowania lub wprowadzania do obrotu towarów, danych wywnioskowanych lub usług oraz o zaprzestanie przywozu, wywozu, magazynowania towarów naruszających prawo lub o ich zniszczenie, powinny być oceniane w świetle ich proporcjonalności w stosunku do interesów posiadacza danych, posiadacza tajemnic przedsiębiorstwa lub użytkownika.(57) | Data holders may apply appropriate technical protection measures to prevent the unlawful disclosure of or access to data. However, those measures should neither discriminate between data recipients, nor hinder access to or the use of data for users or data recipients. In the case of abusive practices on the part of a data recipient, such as misleading the data holder by providing false information with the intent to use the data for unlawful purposes, including developing a competing connected product on the basis of the data, the data holder and, where applicable and where they are not the same person, the trade secret holder or the user can request the third party or data recipient to implement corrective or remedial measures without undue delay. Any such requests, and in particular requests to end the production, offering or placing on the market of goods, derivative data or services, as well as those to end importation, export, storage of infringing goods or their destruction, should be assessed in the light of their proportionality in relation to the interests of the data holder, the trade secret holder or the user.
(58) | W przypadku gdy jedna ze stron ma silniejszą pozycję negocjacyjną, istnieje ryzyko, że strona ta wykorzysta swoją pozycję ze szkodą dla drugiej umawiającej się strony w ramach negocjowania dostępu do danych i sprawi, że dostęp do danych będzie komercyjnie mniej opłacalny, a czasem nawet ekonomicznie zaporowy. Taki brak równowagi kontraktowej jest szkodliwy dla wszystkich przedsiębiorstw nieposiadających rzeczywistej możliwości negocjowania warunków dostępu do danych, które to przedsiębiorstwa ze względu na brak wyboru mogą być zmuszone do zaakceptowania postanowień umownych oferowanych na zasadzie „przyjmij albo zrezygnuj”. Z tego względu nieuczciwe postanowienia umowne regulujące dostęp do danych i ich wykorzystywanie lub regulujące odpowiedzialność i środki ochrony prawnej wobec naruszenia lub odstąpienia od obowiązków dotyczących danych nie powinny być dla przedsiębiorstw wiążące, jeżeli postanowienia te zostały na nie nałożone jednostronnie.(58) | Where one party is in a stronger bargaining position, there is a risk that that party could leverage such a position to the detriment of the other contracting party when negotiating access to data with the result that access to data is commercially less viable and sometimes economically prohibitive. Such contractual imbalances harm all enterprises without a meaningful ability to negotiate the conditions for access to data, and which may have no choice but to accept take-it-or-leave-it contractual terms. Therefore, unfair contractual terms regulating access to and the use of data, or liability and remedies for the breach or the termination of data related obligations, should not be binding on enterprises when those terms have been unilaterally imposed on those enterprises.
(59) | W przepisach dotyczących postanowień umownych należy uwzględnić zasadę swobody zawierania umów, będącą podstawową ideą stosunków między przedsiębiorcami. Dlatego też analizie nieuczciwego charakteru powinny podlegać nie wszystkie postanowienia umowne, ale wyłącznie te, które zostały nałożone jednostronnie. Dotyczy to zasady „przyjmij albo zrezygnuj”, w której to sytuacji dany przedsiębiorca nie jest w stanie wywrzeć wpływu na treść postanowienia umownego zaproponowanego przez drugą stronę pomimo prób negocjacji w jego sprawie. Za postanowienie umowne nałożone jednostronnie nie należy uznawać postanowienia, które zostało po prostu przedstawione przez jedną stronę i zaakceptowane przez drugiego przedsiębiorcę ani też postanowienia wynegocjowanego i następnie przyjętego po zmianach przez umawiające się strony.(59) | Rules on contractual terms should take into account the principle of contractual freedom as an essential concept in business-to-business relationships. Therefore, not all contractual terms should be subject to an unfairness test, but only those terms that are unilaterally imposed. This concerns take-it-or-leave-it situations where one party supplies a certain contractual term and the other enterprise cannot influence the content of that term despite an attempt to negotiate it. A contractual term that is simply provided by one party and accepted by the other enterprise or a term that is negotiated and subsequently agreed in an amended form between contracting parties should not be considered to have been unilaterally imposed.
(60) | Ponadto zasady dotyczące nieuczciwych postanowień umownych powinny mieć zastosowanie wyłącznie do elementów umowy związanych z udostępnianiem danych, tj. do postanowień umownych dotyczących dostępu do danych i ich wykorzystywania oraz odpowiedzialności lub środków ochrony prawnej wobec naruszenia i odstąpienia od obowiązków dotyczących danych. Analiza nieuczciwego charakteru ustanowiona w niniejszym rozporządzeniu nie powinna mieć zastosowania do innych części tej samej umowy, niezwiązanych z udostępnianiem danych.(60) | Furthermore, the rules on unfair contractual terms should apply only to those elements of a contract that are related to making data available, that is contractual terms concerning access to and use of the data as well as liability or remedies for breach and termination of data related obligations. Other parts of the same contract, unrelated to making data available, should not be subject to the unfairness test laid down in this Regulation.
(61) | Kryteria służące do identyfikacji nieuczciwych postanowień umownych należy stosować wyłącznie wobec nieproporcjonalnych postanowień umownych, w przypadku których doszło do nadużycia silniejszej pozycji negocjacyjnej. Zdecydowana większość postanowień umownych, które w kontekście handlowym są korzystniejsze dla jednej ze stron, w tym postanowienia zwykle występujące w umowach między przedsiębiorcami, zwyczajnie odzwierciedla zasadę swobody zawierania umów i nadal obowiązuje. Do celów niniejszego rozporządzenia rażące odstępstwo od dobrej praktyki handlowej obejmuje m.in. obiektywne zmniejszenie zdolności strony, na którą jednostronnie nałożone zostało postanowienie, do ochrony uzasadnionego interesu handlowego leżącego w przedmiotowych danych.(61) | Criteria for identifying unfair contractual terms should be applied only to excessive contractual terms where a stronger bargaining position has been abused. The vast majority of contractual terms that are commercially more favourable to one party than to the other, including those that are normal in business-to-business contracts, are a normal expression of the principle of contractual freedom and continue to apply. For the purposes of this Regulation, grossly deviating from good commercial practice would include, inter alia, objectively impairing the ability of the party upon whom the term has been unilaterally imposed to protect its legitimate commercial interest in the data in question.
(62) | Aby zagwarantować pewność prawa, ustanawia się w niniejszym rozporządzeniu wykaz postanowień umownych, które bez wyjątku uznaje się za nieuczciwe, oraz wykaz postanowień umownych, w odniesieniu do których domniemywa się, że są nieuczciwe. W tym drugim przypadku przedsiębiorstwo, które nakłada dane postanowienie umowne, powinno być w stanie obalić domniemanie nieuczciwości, wykazując, że w konkretnym przypadku postanowienie wymienione w niniejszym rozporządzeniu nie jest nieuczciwe. Jeżeli postanowienie umowne nie widnieje w wykazie postanowień, które zawsze uznaje się za nieuczciwe albo w odniesieniu do których domniemywa się, że są nieuczciwe, zastosowanie ma ogólny przepis dotyczący nieuczciwego charakteru. W tym względzie postanowienia umowne wymienione w niniejszym rozporządzeniu jako postanowienia nieuczciwe powinny służyć jako kryteria interpretacji ogólnego przepisu dotyczącego nieuczciwego charakteru. Ponadto w negocjowaniu umów mogą pomóc stronom będącym podmiotami prowadzącymi działalność gospodarczą także opracowane i zalecane przez Komisję niewiążące modelowe postanowienia umowne dla umów między przedsiębiorcami w sprawie dzielenia się danymi. Jeżeli postanowienie umowne zostaje uznane za nieuczciwe, dana umowa powinna nadal obowiązywać bez tego postanowienia, chyba że nie można go oddzielić od pozostałych postanowień umownych.(62) | In order to ensure legal certainty, this Regulation establishes a list of clauses that are always considered unfair and a list of clauses that are presumed to be unfair. In the latter case, the enterprise that imposes the contractual term should be able to rebut the presumption of unfairness by demonstrating that the contractual term listed in this Regulation is not unfair in the specific case in question. If a contractual term is not included in the list of terms that are always considered unfair or that are presumed to be unfair, the general unfairness provision applies. In that regard, the terms listed as unfair contractual terms in this Regulation should serve as a yardstick to interpret the general unfairness provision. Finally, non-binding model contractual terms for business-to-business data sharing contracts to be developed and recommended by the Commission may also be helpful to commercial parties when negotiating contracts. If a contractual term is declared to be unfair, the contract concerned should continue to apply without that term, unless the unfair contractual term is not severable from the other terms of the contract.
(63) | W sytuacji wyjątkowej potrzeby niezbędne może być wykorzystanie przez organy sektora publicznego, Komisję, Europejski Bank Centralny lub organy Unii istniejących danych, w tym w stosownym przypadku powiązanych metadanych, w celu wykonania ustawowych obowiązków realizowanych w interesie publicznym, aby zareagować na niebezpieczeństwo publiczne lub w innych wyjątkowych przypadkach. Wyjątkowe potrzeby to okoliczności nieprzewidziane i ograniczone w czasie w przeciwieństwie do innych okoliczności, które mogą być zaplanowane, wyznaczone, okresowe lub częste. Pojęcie „posiadacz danych” zasadniczo nie obejmuje organów sektora publicznego, może ono jednak obejmować przedsiębiorstwa publiczne. Organizacje prowadzące badania naukowe i organizacje finansujące badania naukowe także mogą być organami sektora publicznego lub podmiotami prawa publicznego. Aby ograniczyć ciężar spoczywający na przedsiębiorstwach, mikroprzedsiębiorstwa i małe przedsiębiorstwa powinny podlegać obowiązkowi dostarczenia danych organom sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu lub organom Unii wyłącznie w sytuacjach wyjątkowej potrzeby, w przypadku gdy takie dane są niezbędne w celu zareagowania na niebezpieczeństwo publiczne a organ sektora publicznego, Komisja, Europejski Bank Centralny lub organ Unii nie są w stanie uzyskać takich danych za pomocą alternatywnych środków w sposób terminowy i skuteczny na równoważnych warunkach.(63) | In situations of exceptional need, it may be necessary for public sector bodies, the Commission, the European Central Bank or Union bodies to use in the performance of their statutory duties in the public interest existing data, including, where relevant, accompanying metadata, to respond to public emergencies or in other exceptional cases. Exceptional needs are circumstances which are unforeseeable and limited in time, in contrast to other circumstances which might be planned, scheduled, periodic or frequent. While the notion of ‘data holder’ does not, generally, include public sector bodies, it may include public undertakings. Research-performing organisations and research-funding organisations could also be organised as public sector bodies or bodies governed by public law. To limit the burden on businesses, microenterprises and small enterprises should only be under the obligation to provide data to public sector bodies, the Commission, the European Central Bank or Union bodies in situations of exceptional need where such data is required to respond to a public emergency and the public sector body, the Commission, the European Central Bank or the Union body is unable to obtain such data by alternative means in a timely and effective manner under equivalent conditions.
(64) | W przypadku niebezpieczeństwa publicznego, takiego jak stan zagrożenia zdrowia publicznego, sytuacje wyjątkowe związane z klęskami żywiołowymi, w tym sytuacje pogarszane przez zmianę klimatu i degradację środowiska, oraz poważne katastrofy spowodowane przez człowieka, takie jak poważne cyberincydenty, interes publiczny wynikający z wykorzystania danych będzie nadrzędny względem interesów posiadacza danych związanych ze swobodnym dysponowaniem danymi, które są w jego posiadaniu. W takim przypadku posiadacze danych powinni być zobowiązani do udostępnienia danych organom sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu lub organom Unii na ich wniosek. Występowanie niebezpieczeństwa publicznego należy ustalić lub ogłosić zgodnie z prawem Unii lub prawem krajowym na podstawie odpowiednich procedur, w tym procedur stosowanych przez odpowiednie organizacje międzynarodowe. W takich przypadkach organ sektora publicznego powinien wykazać, że w przeciwnym razie danych objętych wnioskiem nie da się pozyskać na czas, skutecznie i na równoważnych warunkach, np. w wyniku ich dobrowolnego dostarczenia przez inne przedsiębiorstwo lub w wyniku kwerendy w publicznej bazie danych.(64) | In the case of public emergencies, such as public health emergencies, emergencies resulting from natural disasters including those aggravated by climate change and environmental degradation, as well as human-induced major disasters, such as major cybersecurity incidents, the public interest resulting from the use of the data will outweigh the interests of the data holders to dispose freely of the data they hold. In such a case, data holders should be placed under an obligation to make the data available to public sector bodies, the Commission, the European Central Bank or Union bodies upon their request. The existence of a public emergency should be determined or declared in accordance with Union or national law and based on the relevant procedures, including those of the relevant international organisations. In such cases, the public sector body should demonstrate that the data in scope of the request could not otherwise be obtained in a timely and effective manner and under equivalent conditions, for instance by way of the voluntary provision of data by another enterprise or the consultation of a public database.
(65) | Wyjątkowa potrzeba może wynikać również z sytuacji innych niż niebezpieczne. W takich przypadkach organ sektora publicznego, Komisja, Europejski Bank Centralny lub organ Unii powinny mieć możliwość występowania z wnioskiem wyłącznie o dane nieosobowe. Organ sektora publicznego powinien wykazać, że dane są niezbędne do realizacji konkretnego zadania realizowanego w interesie publicznym, które zostało wyraźnie przewidziane prawem, takiego jak tworzenie statystyki publicznej lub łagodzenie stanu niebezpieczeństwa publicznego lub przywrócenie stanu wyjściowego po jego wystąpieniu. Ponadto z takim wnioskiem można wystąpić wyłącznie wtedy, gdy organ sektora publicznego, Komisja, Europejski Bank Centralny lub organ Unii zidentyfikują konkretne dane, których w przeciwnym razie nie da się pozyskać na czas, skutecznie i na równoważnych warunkach, i wyłącznie wtedy, gdy wyczerpią wszystkie inne dostępne im sposoby pozyskiwania takich danych, takie jak pozyskanie danych na podstawie dobrowolnych umów, w tym zakup danych nieosobowych na rynku poprzez zaoferowanie stawek rynkowych, lub odwołanie się do istniejących obowiązków udostępnienia danych, lub przyjęcie nowych środków ustawodawczych, które mogłyby zagwarantować dostępność danych na czas. Zastosowanie powinny mieć zasady dotyczące wniosków, takie jak te związane z ograniczeniem celu, proporcjonalnością, przejrzystością oraz ograniczeniem w czasie. W przypadku wniosków o dane niezbędne do tworzenia statystyki publicznej organ sektora publicznego występujący z wnioskiem powinien także wykazać, czy prawo krajowe pozwala mu zakupić dane nieosobowe na rynku.(65) | An exceptional need may also arise from non-emergency situations. In such cases, a public sector body, the Commission, the European Central Bank or a Union body should be allowed to request only non-personal data. The public sector body should demonstrate that the data are necessary for the fulfilment of a specific task carried out in the public interest that has been explicitly provided for by law, such as the production of official statistics or the mitigation of or recovery from a public emergency. In addition, such a request can be made only when the public sector body, the Commission, the European Central Bank or a Union body has identified specific data that could not otherwise be obtained in a timely and effective manner and under equivalent conditions and only if it has exhausted all other means at its disposal to obtain such data, such as obtaining the data through voluntary agreements, including purchasing of non-personal data on the market by offering market rates, or by relying on existing obligations to make data available or the adoption of new legislative measures which could guarantee the timely availability of data. The conditions and principles governing requests, such as those related to purpose limitation, proportionality, transparency and time limitation, should also apply. In cases of requests for data necessary for the production of official statistics, the requesting public sector body should also demonstrate whether the national law allows it to purchase non-personal data on the market.
(66) | Niniejsze rozporządzenie nie powinno dotyczyć ani wykluczać dobrowolnych uzgodnień dotyczących wymiany danych między podmiotami prywatnymi i publicznymi, w tym dotyczących dostarczania danych przez MŚP, i pozostaje bez uszczerbku dla aktów prawnych Unii ustanawiających obowiązkowe wnioski o udzielenie informacji kierowane przez podmioty publiczne do podmiotów prywatnych. Niniejsze rozporządzenie nie powinno wpływać na obowiązki posiadaczy danych dotyczące dostarczania danych w sytuacjach, w których nie zachodzi wyjątkowa potrzeba, w szczególności gdy zakres danych i posiadaczy danych jest znany lub gdy wykorzystywanie danych może odbywać się regularnie, tak jak ma to miejsce w przypadku obowiązków sprawozdawczych i obowiązków związanych z rynkiem wewnętrznym. Niniejsze rozporządzenie nie powinno również wpływać na wymagania dotyczące dostępu do danych w celu weryfikacji przestrzegania mających zastosowanie przepisów, w tym w przypadkach, w których organy sektora publicznego zlecają przeprowadzenie weryfikacji jednostkom niebędącym organami sektora publicznego.(66) | This Regulation should not apply to, or pre-empt, voluntary arrangements for the exchange of data between private and public entities, including the provision of data by SMEs, and is without prejudice to Union legal acts providing for mandatory information requests by public entities to private entities. Obligations placed on data holders to provide data that are motivated by needs of a non-exceptional nature, in particular where the range of data and of data holders is known or where data use can take place on a regular basis, as in the case of reporting obligations and internal market obligations, should not be affected by this Regulation. Requirements to access data to verify compliance with applicable rules, including where public sector bodies assign the task of the verification of compliance to entities other than public sector bodies, should also not be affected by this Regulation.
(67) | Niniejsze rozporządzenie uzupełnia prawo Unii i prawo krajowe przewidujące dostęp do danych i ich wykorzystywanie w celach statystycznych i pozostaje bez uszczerbku dla tego prawa, w szczególności rozporządzenia Parlamentu Europejskiego (WE) nr 223/2009 (27) oraz krajowych aktów prawnych dotyczących statystyki publicznej.(67) | This Regulation complements and is without prejudice to the Union and national law providing for access to and the use of data for statistical purposes, in particular Regulation (EC) No 223/2009 of the European Parliament and of the Council (27) as well as national legal acts related to official statistics.
(68) | Do celów realizacji zadań w obszarze zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania lub ścigania czynów zabronionych lub przestępstw administracyjnych, wykonywania sankcji karnych i administracyjnych, a także zbierania danych do celów celnych lub podatkowych organy sektora publicznego, Komisja, Europejski Bank Centralny lub organy Unii powinny korzystać z uprawnień nadanych im na mocy prawa Unii lub prawa krajowego. Niniejsze rozporządzenie nie wpływa zatem na akty prawne dotyczące dzielenia się danymi, uzyskiwania do nich dostępu i ich wykorzystywania w tych obszarach.(68) | For the exercise of their tasks in the areas of prevention, investigation, detection or prosecution of criminal or administrative offences or the execution of criminal and administrative penalties, as well as the collection of data for taxation or customs purposes, public sector bodies, the Commission, the European Central Bank or Union bodies should rely on their powers under Union or national law. This Regulation accordingly does not affect legislative acts on the sharing, access to and use of data in those areas.
(69) | Zgodnie z art. 6 ust. 1 i 3 rozporządzenia (UE) 2016/679 do określenia podstawy prawnej udostępnienia danych przez posiadaczy danych – w przypadku wyjątkowej potrzeby – organom sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu lub organom Unii niezbędne są na poziomie Unii proporcjonalne, ograniczone i przewidywalne ramy zarówno w celu zagwarantowania pewności prawa, jak i ograniczenia do minimum obciążeń administracyjnych nakładanych na przedsiębiorców. W tym celu wnioski o dane od organów sektora publicznego, Komisji, Europejskiego Banku Centralnego lub organów Unii do posiadaczy danych powinny być konkretne, przejrzyste i proporcjonalne pod względem zakresu treści i poziomu szczegółowości. Należy wyraźnie i konkretnie wskazać cel wniosku i planowane wykorzystanie żądanych danych, a jednocześnie dopuścić odpowiednią elastyczność, tak aby podmiot występujący z wnioskiem mógł zrealizować swoje określone zadania realizowane w interesie publicznym. We wniosku należy również wziąć pod uwagę uzasadnione interesy posiadacza danych będącego adresatem wniosku. Należy ograniczyć do minimum ciężar nakładany na posiadaczy danych poprzez zobowiązanie podmiotów występujących z wnioskiem do przestrzegania zasady jednorazowości, która zapobiega wielokrotnemu występowaniu o te same dane przez więcej niż jeden organ sektora publicznego, lub Komisję, Europejski Bank Centralny lub organ Unii. Aby zapewnić przejrzystość, wnioski o dane od Komisji, Europejskiego Banku Centralnego lub organów Unii powinny zostać bez zbędnej zwłoki podane do wiadomości publicznej przez podmiot występujący z wnioskiem o dane. Europejski Bank Centralny lub organy Unii powinny informować Komisję o ich wnioskach o dane. W przypadku gdy z wnioskiem o dane wystąpił organ sektora publicznego, organ ten powinien także powiadomić koordynatora danych państwa członkowskiego, w którym ma siedzibę organ sektora publicznego. Należy zapewnić, aby wszystkie wnioski były publicznie dostępne w internecie. Po otrzymaniu powiadomienia dotyczącego wniosku o dane właściwy organ może zdecydować o poddaniu wniosku ocenie, czy jest on zgodny z prawem, i wykonać swoje funkcje związane z egzekwowaniem i stosowaniem niniejszego rozporządzenia. Koordynator danych powinien zapewnić, by wszystkie wnioski, z którymi wystąpiły organy sektora publicznego, były publicznie dostępne w internecie.(69) | In accordance with Article 6(1) and (3) of Regulation (EU) 2016/679, a proportionate, limited and predictable framework at Union level is necessary when providing for the legal basis for the making available of data by data holders, in cases of exceptional needs, to public sector bodies, the Commission, the European Central Bank or Union bodies, both to ensure legal certainty and to minimise the administrative burdens placed on businesses. To that end, data requests from public sector bodies, the Commission, the European Central Bank or Union bodies to data holders should be specific, transparent and proportionate in their scope of content and their granularity. The purpose of the request and the intended use of the data requested should be specific and clearly explained, while allowing appropriate flexibility for the requesting entity to carry out its specific tasks in the public interest. The request should also respect the legitimate interests of the data holder to whom the request is made. The burden on data holders should be minimised by obliging requesting entities to respect the once-only principle, which prevents the same data from being requested more than once by more than one public sector body or the Commission, the European Central Bank or Union bodies. To ensure transparency, data requests made by the Commission, the European Central Bank or Union bodies should be made public without undue delay by the entity requesting the data. The European Central Bank and Union bodies should inform the Commission of their requests. If the data request has been made by a public sector body, that body should also notify the data coordinator of the Member State where the public sector body is established. Online public availability of all requests should be ensured. Upon the receipt of a notification of a data request, the competent authority can decide to assess the lawfulness of the request and exercise its functions in relation to the enforcement and application of this Regulation. Online public availability of all requests made by public sector bodies should be ensured by the data coordinator.
(70) | Celem obowiązku dostarczania danych jest zapewnienie, aby organy sektora publicznego, Komisja, Europejski Bank Centralny lub organy Unii dysponowały niezbędną wiedzą pozwalającą reagować na niebezpieczeństwa publiczne, zapobiegać im lub przywracać stan wyjściowy po wystąpieniu niebezpieczeństwa publicznego lub utrzymywać zdolność do realizacji konkretnych zadań wyraźnie określonych w prawie. Wśród danych pozyskiwanych przez te podmioty mogą znajdować się szczególnie chronione informacje handlowe. Z tego względu do danych udostępnianych na podstawie niniejszego rozporządzenia nie powinny mieć zastosowania ani rozporządzenie (UE) 2022/868, ani dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1024 (28), i nie należy uznawać, że są to otwarte dane, które mogą być ponownie wykorzystywane przez osoby trzecie. Nie powinno to jednak wpływać na stosowanie dyrektywy (UE) 2019/1024 do ponownego wykorzystywania statystyki publicznej, przy której tworzeniu wykorzystano dane pozyskane na podstawie niniejszego rozporządzenia, pod warunkiem że ponowne wykorzystanie nie dotyczy danych bazowych. Ponadto – pod warunkiem że spełnione są warunki określone w niniejszym rozporządzeniu – możliwość dzielenia się danymi do celów prowadzenia badań lub opracowywania, tworzenia i rozpowszechniania statystyki publicznej nie powinna być ograniczona. Organy sektora publicznego powinny również mieć możliwość wymiany danych pozyskanych na podstawie niniejszego rozporządzenia z innymi organami sektora publicznego, Komisją, Europejskim Bankiem Centralnym lub organami Unii, aby odpowiedzieć na wyjątkowe potrzeby, w związku z którymi wystąpiono z wnioskiem o dane.(70) | The objective of the obligation to provide the data is to ensure that public sector bodies, the Commission, the European Central Bank or Union bodies have the necessary knowledge to respond to, prevent or recover from public emergencies or to maintain the capacity to fulfil specific tasks explicitly provided for by law. The data obtained by those entities may be commercially sensitive. Therefore, neither Regulation (EU) 2022/868 nor Directive (EU) 2019/1024 of the European Parliament and of the Council (28) should apply to data made available under this Regulation and should not be considered as open data available for reuse by third parties. This however should not affect the applicability of Directive (EU) 2019/1024 to the reuse of official statistics for the production of which data obtained pursuant to this Regulation was used, provided the reuse does not include the underlying data. In addition, provided the conditions laid down in this Regulation are met, the possibility of sharing the data for conducting research or for the development, production and dissemination of official statistics should not be affected. Public sector bodies should also be allowed to exchange data obtained pursuant to this Regulation with other public sector bodies, the Commission, the European Central Bank or Union bodies in order to address the exceptional needs for which the data has been requested.
(71) | Posiadacze danych powinni móc odrzucić wniosek, z którym wystąpiły organ sektora publicznego, Komisja, Europejski Bank Centralny lub organ Unii albo zwrócić się o jego zmianę bez zbędnej zwłoki i w każdym przypadku nie później niż w terminie 5 lub 30 dni roboczych w zależności od charakteru wyjątkowej potrzeby, na którą powołano się we wniosku. W stosownych przypadkach posiadacz danych powinien mieć taką możliwość, jeżeli nie ma kontroli nad żądanymi danymi, tzn. jeżeli nie ma do nich natychmiastowego dostępu i nie może stwierdzić ich dostępności. Uzasadnionym powodem odmowy dzielenia się danymi jest wykazana okoliczność, że podobny wniosek został już wcześniej złożony w tym samym celu przez inny organ sektora publicznego, Komisję, Europejski Bank Centralny lub inny organ Unii, a posiadacz danych nie został powiadomiony o usunięciu danych zgodnie z niniejszym rozporządzeniem. Posiadacz danych, który odrzuca wniosek lub zwraca się o jego zmianę, powinien przedstawić stosowne uzasadnienie organowi sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu lub organowi Unii występującym z wnioskiem o dane. Gdy do żądanych zestawów danych mają zastosowanie prawa sui generis do baz danych przewidziane w dyrektywie 96/9/WE Parlamentu Europejskiego i Rady (29), posiadacze danych powinni wykonywać przysługujące im prawa w sposób, który nie uniemożliwia organowi sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu lub organowi Unii pozyskania danych lub dzielenia się nimi zgodnie z niniejszym rozporządzeniem.(71) | Data holders should have the possibility to either decline a request made by a public sector body, the Commission, the European Central Bank or a Union body or seek its modification without undue delay and, in any event, no later than within a period of five or 30 working days, depending on the nature of the exceptional need invoked in the request. Where relevant, the data holder should have this possibility where it does not have control over the data requested, namely where it does not have immediate access to the data and cannot determine its availability. A valid reason not to make the data available should exist if it can be shown that the request is similar to a previously submitted request for the same purpose by another public sector body or the Commission, the European Central Bank or a Union body and the data holder has not been notified of the erasure of the data pursuant to this Regulation. A data holder declining the request or seeking its modification should communicate the underlying justification to the public sector body, the Commission, the European Central Bank or a Union body requesting the data. Where the sui generis database rights under Directive 96/9/EC of the European Parliament and of the Council (29) apply in relation to the requested datasets, data holders should exercise their rights in such a way that does not prevent the public sector body, the Commission, the European Central Bank or Union body from obtaining the data, or from sharing it, in accordance with this Regulation.
(72) | W przypadku wyjątkowej potrzeby związanej z reagowaniem na niebezpieczeństwo publiczne organy sektora publicznego powinny, o ile to możliwe, wykorzystywać dane nieosobowe. W przypadku wniosków na podstawie wyjątkowej potrzeby, ale niezwiązanych z niebezpieczeństwem publicznym, nie można wystąpić z wnioskiem o dane osobowe. Jeżeli w zakres wniosku wchodzą dane osobowe, posiadacz danych powinien zanonimizować dane. Jeżeli uwzględnienie danych osobowych w danych udostępnianych organowi sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu lub organowi Unii jest ściśle niezbędne lub jeżeli anonimizacja danych okaże się niemożliwa, organ występujący z wnioskiem o dane powinien wykazać, że dane te są ściśle niezbędne, oraz przedstawić konkretne i ograniczone cele przetwarzania. Należy przestrzegać mających zastosowanie przepisów dotyczących ochrony danych osobowych. Udostępniając, a następnie wykorzystując dane, należy zapewnić zabezpieczenia chroniące prawa i interesy osób fizycznych, których dane te dotyczą.(72) | In the case of an exceptional need related to a public emergency response, public sector bodies should use non-personal data wherever possible. In the case of requests on the basis of an exceptional need not related to a public emergency, personal data cannot be requested. Where personal data fall within the scope of the request, the data holder should anonymise the data. Where it is strictly necessary to include personal data in the data to be made available to a public sector body, the Commission, the European Central Bank or a Union body or where anonymisation proves impossible, the entity requesting the data should demonstrate the strict necessity and the specific and limited purposes for processing. The applicable rules on personal data protection should be complied with. The making available of the data and their subsequent use should be accompanied by safeguards for the rights and interests of individuals concerned by those data.
(73) | Dane udostępniane organom sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu lub organom Unii na podstawie wyjątkowej potrzeby należy wykorzystywać wyłącznie w celu wskazanym we wniosku, chyba że posiadacz danych, który udostępnił dane, udzielił wyraźnej zgody na wykorzystanie tych danych do innych celów. Dane należy usunąć, gdy tylko przestaną być niezbędne do celu wskazanego we wniosku, chyba że uzgodniono inaczej, a o ich usunięciu należy powiadomić posiadacza danych. Niniejsze rozporządzenie opiera się na systemach dostępu obowiązujących w Unii i w państwach członkowskich i nie zmienia prawa krajowego dotyczącego dostępu do dokumentów w kontekście obowiązków dotyczących przejrzystości. Dane należy usunąć, gdy tylko przestaną być potrzebne do wywiązania się z takich obowiązków dotyczących przejrzystości.(73) | Data made available to public sector bodies, the Commission, the European Central Bank or Union bodies on the basis of an exceptional need should be used only for the purposes for which they were requested, unless the data holder that made the data available has expressly agreed for the data to be used for other purposes. The data should be erased once it is no longer necessary for the purposes stated in the request, unless agreed otherwise, and the data holder should be informed thereof. This Regulation builds on the existing access regimes in the Union and the Member States and does not change the national law on public access to documents in the context of transparency obligations. Data should be erased once it is no longer needed to comply with such transparency obligations.
(74) | Ponownie wykorzystując dane dostarczone przez posiadaczy danych, organy sektora publicznego, Komisja, Europejski Bank Centralny lub organy Unii powinny przestrzegać zarówno mającego zastosowanie prawa Unii lub prawa krajowego, jak i zobowiązań umownych, którym podlega posiadacz danych. Powinny one powstrzymać się od opracowania lub udoskonalenia produktu skomunikowanego lub usługi powiązanej, które konkurują z produktem skomunikowanym lub usługą powiązaną posiadacza danych, oraz od dzielenia się danymi w tych celach z osobą trzecią. Powinny one także na wniosek posiadaczy danych zapewnić im publiczne uznanie i powinny być odpowiedzialne za utrzymanie bezpieczeństwa otrzymanych danych. W przypadku gdy ujawnienie tajemnic przedsiębiorstwa posiadacza danych organom sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu lub organom Unii jest ściśle niezbędne do osiągnięcia celu wskazanego we wniosku o dane, przed ujawnieniem danych należy zagwarantować poufność takiego ujawnienia.(74) | When reusing data provided by data holders, public sector bodies, the Commission, the European Central Bank or Union bodies should respect both existing applicable Union or national law and contractual obligations to which the data holder is subject. They should refrain from developing or enhancing a connected product or related service that compete with the connected product or related service of the data holder as well as from sharing the data with a third party for those purposes. They should likewise provide public acknowledgement to the data holders upon their request and should be responsible for maintaining the security of the data received. Where the disclosure of trade secrets of the data holder to public sector bodies, the Commission, the European Central Bank or Union bodies is strictly necessary to fulfil the purpose for which the data has been requested, confidentiality of such disclosure should be guaranteed prior to the disclosure of data.
(75) | Jeżeli konieczna jest ochrona istotnego dobra publicznego, np. w przypadku reagowania na niebezpieczeństwa publiczne, od danego organu sektora publicznego, Komisji, Europejskiego Banku Centralnego lub organu Unii nie należy oczekiwać wypłaty przedsiębiorstwom rekompensaty za pozyskane dane. Niebezpieczeństwo publiczne należy do zdarzeń rzadkich i nie wszystkie przypadki takiego niebezpieczeństwa wymagają wykorzystywania danych będących w posiadaniu przedsiębiorstw. Jednocześnie obowiązek dostarczenia danych może stanowić znaczne obciążenie dla mikroprzedsiębiorstw i małych przedsiębiorstw. Powinny więc one móc domagać się rekompensaty nawet w kontekście reagowania na niebezpieczeństwo publiczne. Korzystanie z przepisów niniejszego rozporządzenia przez organy sektora publicznego, Komisję, Europejski Bank Centralny lub organy Unii prawdopodobnie nie będzie więc negatywnie wpływać na działalność gospodarczą posiadaczy danych. Ponieważ jednak częściej mogą występować przypadki wyjątkowej potrzeby niezwiązane z reagowaniem na niebezpieczeństwo publiczne, w takich przypadkach posiadacze danych powinni być uprawnieni do zasadnej rekompensaty, której kwota nie powinna przekraczać kosztów technicznych i organizacyjnych poniesionych w związku z zastosowaniem się do wniosku i stosownej marży żądanej za udostępnienie danych organowi sektora publicznego, Komisji, Europejskiego Banku Centralnego lub organowi Unii. Rekompensaty nie należy rozumieć jako płatności za same dane i jako płatności obowiązkowej. Posiadacze danych nie powinni móc domagać się rekompensaty, w przypadku gdy prawo krajowe nie zezwala krajowym urzędom statystycznym lub innym organom krajowym odpowiedzialnym za tworzenie statystyk na wynagradzanie posiadaczy danych za ich udostępnienie. Dany organ sektora publicznego, Komisja, Europejski Bank Centralny lub organ Unii powinny móc zakwestionować poziom rekompensaty żądanej przez posiadacza danych poprzez wniesienie sprawy do właściwego organu państwa członkowskiego, w którym siedzibę ma posiadacz danych.(75) | When the safeguarding of a significant public good is at stake, such as responding to public emergencies, the public sector body, the Commission, the European Central Bank or the Union body concerned should not be expected to compensate enterprises for the data obtained. Public emergencies are rare events and not all such emergencies require the use of data held by enterprises. At the same time, the obligation to provide data might constitute a considerable burden on microenterprises and small enterprises. They should therefore be allowed to claim compensation even in the context of a public emergency response. The business activities of the data holders are therefore not likely to be negatively affected as a consequence of the public sector bodies, the Commission, the European Central Bank or Union bodies having recourse to this Regulation. However, as cases of an exceptional need, other than cases of responding to public emergencies, might be more frequent, data holders should in such cases be entitled to a reasonable compensation which should not exceed the technical and organisational costs incurred in complying with the request and the reasonable margin required for making the data available to the public sector body, the Commission, the European Central Bank or the Union body. The compensation should not be understood as constituting payment for the data itself or as being compulsory. Data holders should not be able to claim compensation where national law prevents national statistical institutes or other national authorities responsible for the production of statistics from compensating data holders for making data available. The public sector body, the Commission, the European Central Bank or the Union body concerned should be able to challenge the level of compensation requested by the data holder by bringing the matter to the competent authority of the Member State where the data holder is established.
(76) | Organ sektora publicznego lub Komisja, Europejski Bank Centralny lub organ Unii powinny móc dzielić się danymi pozyskanymi na podstawie wniosku z innymi podmiotami lub osobami, jeżeli jest to niezbędne dla prowadzenia działań naukowych lub analitycznych, których nie są w stanie przeprowadzić samodzielnie, pod warunkiem że działania te są zgodne z celem, w którym wystąpiono o dane. Powinny one w odpowiednim czasie informować posiadacza danych o takim dzieleniu się danymi. Takimi danymi można również dzielić się w takich samych okolicznościach z krajowymi urzędami statystycznymi i Eurostatem do celów opracowywania, tworzenia i rozpowszechniania statystyki publicznej. Takie działania naukowe powinny jednak być zgodne z celem, w którym wystąpiono o dane, a posiadacza danych należy powiadomić o dalszym dzieleniu się danymi, których dostarczył. Osoby fizyczne prowadzące badania lub organizacje badawcze, z którymi można dzielić się tymi danymi, powinny prowadzić działalność o charakterze niekomercyjnym albo prowadzić działalność w interesie publicznym uznanym przez państwo. Do celów niniejszego rozporządzenia za organizacje badawcze nie uznaje się organizacji znajdujących się pod znacznym wpływem przedsiębiorstw komercyjnych, które mogą sprawować kontrolę nad daną organizacją z powodu okoliczności strukturalnych, przez co może dochodzić do udzielania preferencyjnego dostępu do wyników badań.(76) | A public sector body, the Commission, the European Central Bank or a Union body should be entitled to share the data it has obtained pursuant to the request with other entities or persons when this is necessary to carry out scientific research activities or analytical activities it cannot perform itself, provided that those activities are compatible with the purpose for which the data was requested. It should inform the data holder of such sharing in a timely manner. Such data may also be shared under the same circumstances with the national statistical institutes and Eurostat for the development, production and dissemination of official statistics. Such research activities should, however, be compatible with the purpose for which the data was requested and the data holder should be informed about the further sharing of the data it has provided. Individuals conducting research or research organisations with whom those data may be shared should act either on a not-for-profit basis or in the context of a public-interest mission recognised by the State. Organisations upon which commercial undertakings have a significant influence, allowing such undertakings to exercise control due to structural situations which could result in preferential access to the results of the research, should not be considered to be research organisations for the purposes of this Regulation.
(77) | Aby można było poradzić sobie z transgranicznym niebezpieczeństwem publicznym lub inną wyjątkową potrzebą, wnioski o dane mogą być kierowane do posiadaczy danych w państwach członkowskich innych niż państwo występującego z wnioskiem organu sektora publicznego. W takim przypadku organ sektora publicznego powinien poinformować właściwy organ państwa członkowskiego, w którym posiadacz danych ma siedzibę, tak by organ ten mógł sprawdzić wniosek pod kątem kryteriów ustanowionych w niniejszym rozporządzeniu. To samo powinno mieć zastosowanie do wniosków Komisji, Europejskiego Banku Centralnego lub organu Unii. Jeżeli wystąpiono z wnioskiem o dane osobowe, organ sektora publicznego powinien poinformować o tym organ nadzorczy odpowiedzialny za monitorowanie stosowania rozporządzenia (UE) 2016/679 w państwie członkowskim, w którym organ sektora publicznego ma siedzibę. Dany właściwy organ powinien być uprawniony do doradzania organowi sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu lub organowi Unii, by podjęli oni współpracę z organem sektora publicznego w państwie członkowskim, w którym posiadacz danych ma siedzibę, w celu zapewnienia jak najmniejszego obciążenia administracyjnego dla posiadacza danych. W przypadku gdy właściwy organ zgłosi uzasadniony sprzeciw co do zgodności wniosku z niniejszym rozporządzeniem, powinien on odrzucić wniosek organu sektora publicznego, Komisji, Europejskiego Banku Centralnego, które z kolei powinny uwzględnić ten sprzeciw przed podjęciem dalszego działania, w tym ponownego wystąpienia z wnioskiem.(77) | In order to handle a cross-border public emergency or another exceptional need, data requests may be addressed to data holders in Member States other than that of the requesting public sector body. In such a case, the requesting public sector body should notify the competent authority of the Member State where the data holder is established in order to allow it to examine the request against the criteria established in this Regulation. The same should apply to requests made by the Commission, the European Central Bank or a Union body. Where personal data are requested, the public sector body should notify the supervisory authority responsible for monitoring the application of Regulation (EU) 2016/679 in the Member State where the public sector body is established. The competent authority concerned should be entitled to advise the public sector body, the Commission, the European Central Bank or the Union body to cooperate with the public sector bodies of the Member State in which the data holder is established on the need to ensure a minimised administrative burden on the data holder. When the competent authority has substantiated objections as regards the compliance of the request with this Regulation, it should reject the request of the public sector body, the Commission, the European Central Bank or the Union body, which should take those objections into account before taking any further action, including resubmitting the request.
(78) | Podstawowym warunkiem, który pozwoli stworzyć bardziej konkurencyjny rynek, charakteryzujący się mniejszymi barierami wejścia dla nowych dostawców usług przetwarzania danych, oraz zapewnić użytkownikom tych usług większą odporność, jest umożliwienie klientom korzystającym z usług przetwarzania danych, w tym usług w chmurze i usług przetwarzania brzegowego, zmiany dostawcy usługi przetwarzania danych z zachowaniem minimalnego poziomu funkcjonalności usługi i bez przestoju usług lub umożliwienie korzystania z usług kilku dostawców jednocześnie bez nieuzasadnionych przeszkód i kosztów przekazywania danych. Z przepisów dotyczących zmiany dostawcy ustanowionych w niniejszym rozporządzeniu powinni korzystać też klienci korzystający z ofert bezpłatnych, tak by oferty te nie skutkowały dla nich uzależnieniem od jednego dostawcy.(78) | The ability of customers of data processing services, including cloud and edge services, to switch from one data processing service to another while maintaining a minimum functionality of service and without downtime of services, or to use the services of several providers simultaneously without undue obstacles and data transfer costs, is a key condition for a more competitive market with lower entry barriers for new providers of data processing services, and for ensuring further resilience for the users of those services. Customers benefiting from free-tier offerings should also benefit from the provisions for switching that are laid down in this Regulation, so that those offerings do not result in a lock-in situation for customers.
(79) | Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1807 (30) zachęca dostawców usług przetwarzania danych do opracowywania i skutecznego wdrażania samoregulacyjnych kodeksów postępowania, obejmujących m.in. najlepsze praktyki w zakresie ułatwiania zmiany dostawców usług przetwarzania danych i w zakresie przenoszenia danych. Mając na uwadze ograniczone korzystanie z ram samoregulacyjnych opracowanych w związku z tym rozporządzeniem, oraz ogólną niedostępność otwartych standardów i interfejsów, należy przyjąć zestaw minimalnych obowiązków regulacyjnych, które będą spoczywać na dostawcach usług przetwarzania danych, w celu wyeliminowania przeszkód przedkomercyjnych, komercyjnych, technicznych, umownych i organizacyjnych, które nie ograniczają się do zmniejszonej szybkości transferu danych przy odejściu klienta, i które utrudniają skuteczną zmianę dostawcy usług przetwarzania danych.(79) | Regulation (EU) 2018/1807 of the European Parliament and of the Council (30) encourages providers of data processing services to develop and effectively implement self-regulatory codes of conduct covering best practices for, inter alia, facilitating the switching of providers of data processing services and the porting of data. Given the limited uptake of the self-regulatory frameworks developed in response, and the general unavailability of open standards and interfaces, it is necessary to adopt a set of minimum regulatory obligations for providers of data processing services to eliminate pre-commercial, commercial, technical, contractual and organisational obstacles, which are not limited to reduced speed of data transfer at the customer’s exit, which hamper effective switching between data processing services.
(80) | Usługi przetwarzania danych powinny obejmować usługi umożliwiające wszechobecny sieciowy dostęp na żądanie do konfigurowalnego, skalowalnego i elastycznego wspólnego zbioru rozproszonych zasobów obliczeniowych. Zasoby obliczeniowe obejmują takie zasoby jak sieci, serwery lub inną infrastrukturę wirtualną lub fizyczną, oprogramowanie, w tym narzędzia do tworzenia oprogramowania, pamięć masową, aplikacje i usługi. Zdolność klienta korzystającego z usługi przetwarzania danych do jednostronnego zapewnienia sobie możliwości obliczeniowych, takich jak czas serwera lub pamięć sieciowa, bez ingerencji ludzkiej ze strony dostawcy usług przetwarzania danych, można określić jako wymagającą minimalnego wysiłku pod względem zarządzania i związaną z minimalną interakcją między dostawcą a klientem. Pojęcia „wszechobecne” używa się do opisu sytuacji, w której możliwości obliczeniowe są udostępniane przez sieć, a dostęp do nich jest możliwy za pośrednictwem mechanizmów sprzyjających wykorzystywaniu różnorodnych platform cienkich lub grubych klientów (od przeglądarek internetowych po urządzenia mobilne i stacje robocze). Pojęcie „skalowalne” odnosi się do zasobów obliczeniowych, które są elastycznie przydzielane przez dostawcę usług przetwarzania danych, niezależnie od położenia geograficznego zasobów, jako reakcja na zmiany zapotrzebowania. Pojęcia „elastyczne ” używa się do opisu tych zasobów obliczeniowych, które są przydzielane i uwalniane zależnie od zapotrzebowania, aby szybko zwiększać lub zmniejszać dostępne zasoby w zależności od obciążenia. Pojęcia „wspólny zbiór” używa się do opisu zasobów obliczeniowych udostępnianych wielu użytkownikom, którzy dzielą wspólny dostęp do usługi, jednak przetwarzanie odbywa się oddzielnie dla każdego z użytkowników, choć usługa ta jest świadczona z tego samego sprzętu elektronicznego. Pojęcia „rozproszone” używa się do opisu zasobów obliczeniowych zlokalizowanych na rożnych komputerach lub urządzeniach połączonych w sieć, które komunikują się ze sobą i koordynują swoją pracę przez przekazywanie komunikatów. Pojęcia „wysoce rozproszone” używa się do opisu usług przetwarzania danych, które obejmują przetwarzanie danych prowadzone w bliższej odległości do miejsca generowania lub zbierania danych, np. w skomunikowanym urządzeniu do przetwarzania danych. Oczekuje się, że przetwarzanie brzegowe, które stanowi rodzaj takiego wysoce rozproszonego przetwarzania danych, spowoduje rozwój nowych modeli biznesowych i modeli świadczenia usług w chmurze, które od początku powinny być otwarte i interoperacyjne.(80) | Data processing services should cover services that allow ubiquitous and on-demand network access to a configurable, scalable and elastic shared pool of distributed computing resources. Those computing resources include resources such as networks, servers or other virtual or physical infrastructure, software, including software development tools, storage, applications and services. The capability of the customer of the data processing service to unilaterally self-provision computing capabilities, such as server time or network storage, without any human interaction by the provider of data processing services could be described as requiring minimal management effort and as entailing minimal interaction between provider and customer. The term ‘ubiquitous’ is used to describe the computing capabilities provided over the network and accessed through mechanisms promoting the use of heterogeneous thin or thick client platforms (from web browsers to mobile devices and workstations). The term ‘scalable’ refers to computing resources that are flexibly allocated by the provider of data processing services, irrespective of the geographical location of the resources, in order to handle fluctuations in demand. The term ‘elastic’ is used to describe those computing resources that are provisioned and released according to demand in order to rapidly increase or decrease resources available depending on workload. The term ‘shared pool’ is used to describe those computing resources that are provided to multiple users who share a common access to the service, but where the processing is carried out separately for each user, although the service is provided from the same electronic equipment. The term ‘distributed’ is used to describe those computing resources that are located on different networked computers or devices and which communicate and coordinate among themselves by message passing. The term ‘highly distributed’ is used to describe data processing services that involve data processing closer to where data are being generated or collected, for instance in a connected data processing device. Edge computing, which is a form of such highly distributed data processing, is expected to generate new business models and cloud service delivery models, which should be open and interoperable from the outset.
(81) | Ogólne pojęcie „usługi przetwarzania danych” obejmuje znaczną liczbę usług o bardzo szerokich i różnorodnych celach, funkcjach i konfiguracjach technicznych. W powszechnym rozumieniu dostawców i użytkowników oraz zgodnie z powszechnie stosowanymi normami usługi przetwarzania danych należą do co najmniej jednego z następujących trzech modeli świadczenia usług przetwarzania danych: infrastruktura jako usługa (IaaS), platforma jako usługa (PaaS) i oprogramowanie jako usługa (SaaS). Te modele świadczenia usług stanowią konkretne gotowe pakiety zasobów technologii informacyjno-komunikacyjnych (ICT) oferowane przez dostawcę usług przetwarzania danych. Te trzy podstawowe modele świadczenia usług przetwarzania danych są dodatkowo uzupełnione nowymi opcjami, z których każda jest innym pakietem zasobów ICT, takimi jak StaaS (przechowywanie jako usługa) i DBaaS (baza danych jako usługa). Usługi przetwarzania danych można skategoryzować w bardziej szczegółowy sposób i podzielić na niewyczerpującą listę zestawów usług przetwarzania danych, które mają ten sam główny cel i te same główne funkcje oraz opierają się na tym samym rodzaju modeli przetwarzania danych, niezwiązanych z charakterystyką operacyjną usługi (zwaną dalej „usługą tego samego typu”). Usługi należące do tego samego typu mogą posługiwać się takim samym modelem usługi przetwarzania danych, jednak dwie bazy danych mogą pozornie mieć ten sam główny cel, ale po przyjrzeniu się ich modelowi przetwarzania danych, modelowi dystrybucji i założonym sposobom wykorzystywania można by je przypisać do bardziej szczegółowej podkategorii usług podobnych. Usługi tego samego typu mogą mieć odmienne i konkurencyjne cechy, takie jak wydajność, bezpieczeństwo, odporność i jakość usług.(81) | The generic concept ‘data processing services’ covers a substantial number of services with a very broad range of different purposes, functionalities and technical set-ups. As commonly understood by providers and users and in line with broadly used standards, data processing services fall into one or more of the following three data processing service delivery models, namely Infrastructure as a Service (IaaS), Platform as a service (PaaS) and Software as a Service (SaaS). Those service delivery models represent a specific, pre-packaged combination of ICT resources offered by a provider of data processing service. Those three fundamental data processing delivery models are further complemented by emerging variations, each comprised of a distinct combination of ICT resources, such as Storage as a Service and Database as a Service. Data processing services can be categorised in a more granular way and divided into a non-exhaustive list of sets of data processing services that share the same primary objective and main functionalities as well as the same type of data processing models, that are not related to the service’s operational characteristics (same service type). Services falling under the same service type may share the same data processing service model, however, two databases might appear to share the same primary objective, but after considering their data processing model, distribution model and the use cases that they are targeted at, such databases could fall into a more granular subcategory of similar services. Services of the same service type may have different and competing characteristics such as performance, security, resilience, and quality of service.
(82) | Stwarzanie trudności w ekstrakcji danych eksportowalnych należących do klienta wyjściowego dostawcy usług przetwarzania danych może być przeszkodą w przywracaniu funkcji usługi w infrastrukturze docelowego dostawcy usług przetwarzania danych. Aby ułatwić klientowi strategię odejścia, zapobiec zbędnym i uciążliwym zadaniom oraz zapewnić, by w wyniku procesu zmiany dostawcy klient nie stracił żadnych swoich danych, wyjściowy dostawca usług przetwarzania danych powinien z wyprzedzeniem poinformować klienta o zakresie danych, które można wyeksportować, gdy klient podejmie decyzję o zmianie dostawcy usługi przetwarzania danych lub o przejściu na lokalną infrastrukturę ICT. Zakres danych eksportowalnych powinien obejmować co najmniej dane wejściowe i wyjściowe, w tym metadane, bezpośrednio lub pośrednio wygenerowane bądź współwygenerowane w wyniku korzystania przez klienta z usługi przetwarzania danych, z wyłączeniem wszelkich aktywów lub danych dostawcy usług przetwarzania danych lub osoby trzeciej. Z danych eksportowalnych należy wyłączyć wszelkie dane dostawcy usługi przetwarzania danych lub osób trzech, które są chronione prawami własności intelektualnej lub stanowią tajemnicę przedsiębiorstwa tego dostawcy lub tych osób trzecich, oraz dane związane z integralnością i bezpieczeństwem usługi, których eksport czyniłby dostawcę usługi przetwarzania danych podatnym na cyberzagrożenia. Wyłączenia te nie powinny utrudniać ani opóźniać procesu zmiany dostawcy.(82) | Undermining the extraction of the exportable data that belongs to the customer from the source provider of data processing services can impede the restoration of the service functionalities in the infrastructure of the destination provider of data processing services. In order to facilitate the customer’s exit strategy, avoid unnecessary and burdensome tasks and to ensure that the customer does not lose any of their data as a consequence of the switching process, the source provider of data processing services should inform the customer in advance of the scope of the data that can be exported once that customer decides to switch to a different service provided by a different provider of data processing services or to move to an on-premises ICT infrastructure. The scope of exportable data should include, at a minimum, input and output data, including metadata, directly or indirectly generated, or cogenerated, by the customer’s use of the data processing service, excluding any assets or data of the provider of data processing services or a third party. The exportable data should exclude any assets or data of the provider of data processing services or of the third party that are protected by intellectual property rights or constituting trade secrets of that provider or of that third party, or data related to the integrity and security of the service, the export of which will expose the providers of data processing services to cybersecurity vulnerabilities. Those exemptions should not impede or delay the switching process.
(83) | Aktywa cyfrowe oznaczają elementy w formacie cyfrowym, z których klient ma prawo korzystać, w tym aplikacje i metadane związane z konfiguracją ustawień, bezpieczeństwem oraz zarządzaniem prawami dostępu i prawami kontroli, oraz inne elementy, takie jak stanowiące wyraz technologii wirtualizacji, w tym maszyny wirtualne i kontenery. Aktywa cyfrowe mogą być przenoszone, jeżeli klient ma prawo z nich korzystać, niezależnie od stosunku umownego obejmującego usługę przetwarzania danych, w przypadku której zamierza zmienić dostawcę. Te inne elementy są nieodzowne do skutecznego wykorzystywania danych i aplikacji klienta w środowisku docelowego dostawcy usług przetwarzania danych.(83) | Digital assets refer to elements in digital form for which the customer has the right of use, including applications and metadata related to the configuration of settings, security, and access and control rights management, and other elements such as manifestations of virtualisation technologies, including virtual machines and containers. Digital assets can be transferred where the customer has the right of use independent of the contractual relationship with the data processing service it intends to switch from. Those other elements are essential for the effective use of the customer’s data and applications in the environment of the destination provider of data processing services.
(84) | Niniejsze rozporządzenie ma ułatwić zmianę dostawcy usług przetwarzania danych, przy czym taka zmiana obejmuje warunki i działania niezbędne do rozwiązania przez klienta umowy dotyczącej usługi przetwarzania danych, zawarcia co najmniej jednej nowej umowy z innymi dostawcami usług przetwarzania danych, przeniesienia swoich danych eksportowalnych i aktywów cyfrowych oraz w stosownym przypadku skorzystania z równoważności funkcjonalnej.(84) | This Regulation aims to facilitate switching between data processing services, which encompasses conditions and actions that are necessary for a customer to terminate a contract for a data processing service, to conclude one or more new contracts with different providers of data processing services, to port its exportable data and digital assets, and where applicable, benefit from functional equivalence.
(85) | Zmiana dostawcy to operacja podejmowana z inicjatywy klienta i obejmująca kilka etapów, w tym ekstrakcję danych, przez którą rozumie się pobranie danych z ekosystemu wyjściowego dostawcy usług przetwarzania danych, transformację, w przypadku gdy dane są strukturyzowane w sposób, który nie odpowiada schematowi lokalizacji docelowej, i załadowanie danych do nowej lokalizacji docelowej. W szczególnej sytuacji opisanej w niniejszym rozporządzeniu za zmianę dostawcy należy uznać również wyłączenie danej usługi z umowy i przeniesienie jej do innego dostawcy. Procesem zmiany dostawcy zarządza niekiedy w imieniu klienta podmiot będący osobą trzecią. W związku z tym wszystkie prawa i obowiązki klienta ustanowione niniejszym rozporządzeniem, w tym obowiązek współpracy w dobrej wierze, należy rozumieć w takich okolicznościach jako mające zastosowanie do takiego podmiotu będącego osobą trzecią. Dostawcy usług przetwarzania danych i klienci mają obowiązki na różnych poziomach, w zależności od etapu procesu, o którym mowa. Na przykład wyjściowy dostawca usług przetwarzania danych jest odpowiedzialny za ekstrakcję danych do formatu nadającego się do odczytu maszynowego, ale to klient i docelowy dostawca usług przetwarzania danych ładują dane do nowego środowiska, chyba że została zamówiona konkretna profesjonalna usługa przeniesienia danych. Klient, który zamierza wykonać prawa związane ze zmianą dostawcy przewidziane w niniejszym rozporządzeniu, powinien poinformować wyjściowego dostawcę usług przetwarzania danych o decyzji, aby zmienić dostawcę usług przetwarzania danych, przejść na lokalną infrastrukturę ICT albo usunąć aktywa tego klienta i jego dane eksportowalne.(85) | Switching is a customer-driven operation consisting of several steps, including data extraction, which refers to the downloading of data from the ecosystem of the source provider of data processing services; transformation, where the data is structured in a way that does not match the schema of the target location; and the uploading of the data in a new destination location. In a specific situation outlined in this Regulation, unbundling of a particular service from the contract and moving it to a different provider should also be considered to be switching. The switching process is sometimes managed on behalf of the customer by a third-party entity. Accordingly, all rights and obligations of the customer established by this Regulation, including the obligation to cooperate in good faith, should be understood to apply to such a third-party entity in those circumstances. Providers of data processing services and customers have different levels of responsibilities, depending on the steps of the process referred to. For instance, the source provider of data processing services is responsible for extracting the data to a machine-readable format, but it is the customer and the destination provider of data processing services who are to upload the data to the new environment, unless a specific professional transition service has been obtained. A customer who intends to exercise rights related to switching, which are provided for in this Regulation, should inform the source provider of data processing services of the decision to either switch to a different provider of data processing services, switch to an on-premises ICT infrastructure or to delete that customer’s assets and erase its exportable data.
(86) | Równoważność funkcjonalna oznacza przywrócenie – na podstawie danych eksportowalnych i aktywów cyfrowych klienta – minimalnego poziomu funkcjonalności danej usługi tego samego typu w środowisku nowej usługi przetwarzania danych po zmianie dostawcy, przy czym usługa docelowa przetwarzania danych daje porównywalny rezultat w reakcji na te same dane wejściowe w przypadku wspólnych cech dostarczanych klientowi na podstawie umowy. Od dostawców usług przetwarzania danych można wyłącznie oczekiwać ułatwienia równoważności funkcjonalnej dla jednakowych funkcji oferowanych niezależnie od siebie przez usługę wyjściową i usługę docelową przetwarzania danych. Niniejsze rozporządzenie nie nakłada obowiązku ułatwienia równoważności funkcjonalnej na dostawców usług przetwarzania danych innych niż dostawcy oferujący usługi w modelu IaaS.(86) | Functional equivalence means re-establishing, on the basis of the customer’s exportable data and digital assets, a minimum level of functionality in the environment of a new data processing service of the same service type after switching, where the destination data processing service delivers a materially comparable outcome in response to the same input for shared features supplied to the customer under the contract. Providers of data processing services can only be expected to facilitate functional equivalence for the features that both the source and destination data processing services offer independently. This Regulation does not constitute an obligation to facilitate functional equivalence for providers of data processing services other than those offering services of the IaaS delivery model.
(87) | Usługi przetwarzania danych są wykorzystywane w różnych sektorach i różnią się złożonością i rodzajem. Jest to kwestia istotna z punktu widzenia procesu przenoszenia danych i ram czasowych. Jednak na przedłużenie okresu przejściowego z powodu technicznej niemożliwości finalizacji procesu zmiany dostawcy w danych ramach czasowych powinno móc się powołać wyłącznie w należycie uzasadnionych przypadkach. Ciężar dowodu w tej kwestii powinien w pełni spoczywać na danym dostawcy usługi przetwarzania danych. Pozostaje to bez uszczerbku dla wyłącznego prawa klienta do jednokrotnego przedłużenia okresu przejściowego o okres, który klient uznaje za bardziej odpowiadający jego własnym celom. Na prawo do przedłużenia okresu przejściowego klient może się powołać przed okresem przejściowym lub w trakcie okresu przejściowego, z uwzględnieniem faktu, że w okresie przejściowym nadal ma zastosowanie umowa.(87) | Data processing services are used across sectors and vary in complexity and service type. This is an important consideration with regard to the porting process and timeframes. Nonetheless, an extension of the transitional period on the grounds of technical unfeasibility to allow the finalisation of the switching process in the given timeframe should be invoked only in duly justified cases. The burden of proof in that regard should fall fully on the provider of the data processing service concerned. This is without prejudice to the exclusive right of the customer to extend the transitional period once for a period that the customer considers to be more appropriate for its own purposes. The customer may evoke that right to an extension prior to or during the transitional period, taking into account that the contract remains applicable during the transitional period.
(88) | Opłaty z tytułu zmiany dostawcy usług przetwarzania danych to opłaty nakładane na klientów przez dostawców usług przetwarzania danych za proces zmiany dostawcy. Zwykle opłaty te mają na celu przeniesienie kosztów, które dostawca wyjściowy usług przetwarzania danych może ponieść w związku z procesem zmiany, na klienta, który chce zmienić dostawcę. Powszechnymi przykładami opłat z tytułu zmiany dostawcy są koszty związane z przemieszczeniem danych od jednego dostawcy usług przetwarzania danych do drugiego lub do lokalnej infrastruktury ICT (zwane dalej „opłatami z tytułu wychodzącego ruchu danych”) lub koszty konkretnych działań wspierających podczas procesu zmiany dostawcy. Nadmiernie wysokie opłaty z tytułu wychodzącego ruchu danych i inne nieuzasadnione opłaty niezwiązane z rzeczywistymi kosztami zmiany dostawcy utrudniają klientom zmianę dostawcy, ograniczają swobodny przepływ danych, mogą ograniczać konkurencję i dają efekt uzależnienia klientów od jednego dostawcy, gdyż zmniejszają motywację do wyboru innego lub dodatkowego dostawcy usług. W związku z tym opłaty z tytułu zmiany dostawcy powinny zostać zniesione po trzech latach od dnia wejścia w życie niniejszego rozporządzenia. Dostawcy usług przetwarzania danych powinni mieć możliwość nakładania do tego dnia obniżonych opłat za zmianę dostawcy.(88) | Switching charges are charges imposed by providers of data processing services on the customers for the switching process. Typically, those charges are intended to pass on costs which the source provider of data processing services may incur because of the switching process to the customer who wishes to switch. Common examples of switching charges are costs related to the transit of data from one provider of data processing services to another or to an on-premises ICT infrastructure (data egress charges) or the costs incurred for specific support actions during the switching process. Unnecessarily high data egress charges and other unjustified charges unrelated to actual switching costs inhibit customers from switching, restrict the free flow of data, have the potential to limit competition and cause lock-in effects for the customers by reducing incentives to choose a different or additional service provider. Switching charges should therefore be abolished after three years from the date of entry into force of this Regulation. Providers of data processing services should be able to impose reduced switching charges up to that date.
(89) | Wyjściowy dostawca usług przetwarzania danych powinien mieć możliwość zlecania niektórych zadań na zasadzie outsourcingu i wypłacania rekompensaty podmiotom będącym osobą trzecią w celu wypełnienia obowiązków przewidzianych w niniejszym rozporządzeniu. Klient nie powinien ponosić kosztów wynikających ze zlecenia usług na zasadzie outsourcingu przez dostawcę usług przetwarzania danych podczas procesu zmiany dostawcy, a koszty takie należy uznać za nieuzasadnione, chyba że koszty te dotyczą prac podjętych przez dostawcę usług przetwarzania danych na wniosek klienta w zakresie dodatkowego wsparcia w procesie zmiany dostawcy, a prace te wykraczają poza obowiązki dostawcy w ramach zmiany dostawcy wyraźnie przewidziane w niniejszym rozporządzeniu. Niniejsze rozporządzenie nie uniemożliwia klientowi wypłacania rekompensaty podmiotom będącym osobą trzecią za wsparcie w procesie migracji ani nie uniemożliwia stronom uzgadniania umów na czas określony w sprawie usług przetwarzania danych, w tym proporcjonalnych kar za wcześniejsze rozwiązanie tej umowy, zgodnie z prawem Unii lub prawem krajowym. Aby sprzyjać konkurencji, stopniowe wycofywanie opłat związanych ze zmianą dostawcy usług przetwarzania danych powinno obejmować w szczególności opłaty z tytułu wychodzącego ruchu danych nakładane na klienta przez dostawcę usług przetwarzania danych. Standardowe opłaty za usługę w zamian za świadczenie usług przetwarzania danych same w sobie nie są opłatami za zmianę dostawcy. Standardowe opłaty za usługę nie podlegają wycofaniu i nadal mają zastosowanie, do czasu aż przestanie obowiązywać umowa świadczenia danych usług. Niniejsze rozporządzenie umożliwia klientowi występowanie z wnioskiem o świadczenie dodatkowych usług wykraczających poza obowiązki spoczywające na dostawcy w ramach zmiany dostawcy na podstawie niniejszego rozporządzenia. Te dodatkowe usługi mogą być wykonywane przez dostawcę i może on pobierać za nie opłaty, jeżeli usługi są wykonywane na wniosek klienta, a klient uprzednio zgodził się z ich wyceną.(89) | A source provider of data processing services should be able to outsource certain tasks and compensate third-party entities in order to comply with the obligations provided for in this Regulation. A customer should not bear the costs arising from the outsourcing of services concluded by the source provider of data processing services during the switching process and such costs should be considered to be unjustified unless they cover work undertaken by the provider of data processing services at the customer’s request for additional support in the switching process which goes beyond the switching obligations of the provider as expressly provided for in this Regulation. Nothing in this Regulation prevents a customer from compensating third-party entities for support in the migration process or parties from agreeing on contracts for data processing services of a fixed duration, including proportionate early termination penalties to cover the early termination of such contracts, in accordance with Union or national law. In order to foster competition, the gradual withdrawal of the charges associated with switching between different providers of data processing services should specifically include data egress charges imposed by a provider of data processing services on a customer. Standard service fees for the provision of the data processing services themselves are not switching charges. Those standard service fees are not subject to withdrawal and remain applicable until the contract for the provision of the relevant services ceases to apply. This Regulation allows the customer to request the provision of additional services that go beyond the provider’s switching obligations under this Regulation. Those additional services, can be performed and charged for by the provider when they are performed at the customer’s request and the customer agrees to the price of those services in advance.
(90) | Potrzebne jest ambitne i zachęcające do innowacji podejście regulacyjne do interoperacyjności, aby przezwyciężyć uzależnienie od jednego dostawcy, które osłabia konkurencję i opracowywanie nowych usług. Interoperacyjność między usługami przetwarzania danych obejmuje liczne interfejsy oraz warstwy infrastruktury i oprogramowania i rzadko ogranicza się do testu, czy jest osiągalna, czy nie. Wręcz przeciwnie, tworzenie takiej interoperacyjności podlega analizie kosztów i korzyści, która jest niezbędna do ustalenia, czy warto dążyć do racjonalnie przewidywalnych wyników. Ważnym punktem odniesienia w kontekście realizacji celów niniejszego rozporządzenia jest międzynarodowa norma ISO/IEC 19941:2017, która obejmuje aspekty techniczne wyjaśniające złożoność takiego procesu.(90) | An ambitious and innovation-inspiring regulatory approach to interoperability is needed to overcome vendor lock-in, which undermines competition and the development of new services. Interoperability between data processing services involves multiple interfaces and layers of infrastructure and software and is rarely confined to a binary test of being achievable or not. Instead, the building of such interoperability is subject to a cost-benefit analysis which is necessary to establish whether it is worthwhile to pursue reasonably predictable results. The ISO/IEC 19941:2017 is an important international standard constituting a reference for the achievement of the objectives of this Regulation, as it contains technical considerations clarifying the complexity of such a process.
(91) | W przypadku gdy dostawcy usług przetwarzania danych są z kolei klientami korzystającymi z usług przetwarzania danych świadczonych przez dostawcę będącego osobą trzecią, sami odniosą korzyść ze skuteczniejszej możliwości zmiany dostawcy, a jednocześnie będą nadal podlegać obowiązkom określonym w niniejszym rozporządzeniu w odniesieniu do własnej oferty usług.(91) | Where providers of data processing services are in turn customers of data processing services provided by a third-party provider, they will benefit from more effective switching themselves while simultaneously remaining bound by this Regulation’s obligations regarding their own service offerings.
(92) | Dostawcy usług przetwarzania danych powinni być zobowiązani do oferowania w ramach swoich kompetencji, proporcjonalnie do swoich obowiązków, wszelkiej pomocy i wszelkiego wsparcia, które są potrzebne, aby proces zmiany dostawcy na innego dostawcę usług przetwarzania danych był udany, skuteczny i bezpieczny. Niniejsze rozporządzenie nie zobowiązuje dostawców usług przetwarzania danych do opracowania nowych kategorii usług przetwarzania danych, w tym w ramach infrastruktury ICT innych dostawców usług przetwarzania danych lub na podstawie takiej infrastruktury, w celu zagwarantowania równoważności funkcjonalnej w środowisku innym niż własne systemy. Wyjściowy dostawca usług przetwarzania danych nie ma dostępu do środowiska docelowego dostawcy usług przetwarzania danych ani wglądu w to środowisko. Nie należy rozumieć, że równoważność funkcjonalna zobowiązuje wyjściowego dostawcę usług przetwarzania danych do odtworzenia danej usługi w ramach infrastruktury docelowego dostawcy usług przetwarzania danych. Wyjściowy dostawca usług przetwarzania danych powinien natomiast podjąć w granicach swoich uprawnień wszelkie rozsądne działania, aby ułatwić osiągnięcie równoważności funkcjonalnej, zapewniając zdolności, odpowiednie informacje, dokumentację, wsparcie techniczne oraz w stosownym przypadku niezbędne narzędzia.(92) | Providers of data processing services should be required to offer all the assistance and support within their capacity, proportionate to their respective obligations, that is required to make the switching process to a service of a different provider of data processing services successful, effective and secure. This Regulation does not require providers of data processing services to develop new categories of data processing services, including within, or on the basis of, the ICT infrastructure of different providers of data processing services in order to guarantee functional equivalence in an environment other than their own systems. A source provider of data processing services does not have access to or insights into the environment of the destination provider of data processing services. Functional equivalence should not be understood to oblige the source provider of data processing services to rebuild the service in question within the infrastructure of the destination provider of data processing services. Instead, the source provider of data processing services should take all reasonable measures within its power to facilitate the process of achieving functional equivalence through the provision of capabilities, adequate information, documentation, technical support and, where appropriate, the necessary tools.
(93) | Dostawcy usług przetwarzania danych powinni także być zobowiązani do usunięcia istniejących przeszkód i do nienakładania nowych, w tym wobec klientów chcących przejść na lokalną infrastrukturę ICT. Przeszkody mogą mieć charakter przedkomercyjny, komercyjny, techniczny, umowny lub organizacyjny. Dostawcy usług przetwarzania danych powinni także być zobowiązani do usunięcia przeszkód w oddzieleniu konkretnej usługi od innych przewidzianych w umowie usług przetwarzania danych i do udostępnienia odpowiedniej usługi w celu zmiany dostawcy, o ile nie istnieją duże i możliwe do wykazania przeszkody techniczne uniemożliwiające takie oddzielenie.(93) | Providers of data processing services should also be required to remove existing obstacles and not impose new ones, including for customers wishing to switch to an on-premises ICT infrastructure. Obstacles can, inter alia, be of a pre-commercial, commercial, technical, contractual or organisational nature. Providers of data processing services should also be required to remove obstacles to unbundling a specific individual service from other data processing services provided under a contract and make the relevant service available for switching, in the absence of major and demonstrated technical obstacles that prevent such unbundling.
(94) | Podczas całego procesu zmiany dostawcy należy zachować wysoki poziom bezpieczeństwa. Oznacza to, że wyjściowy dostawca usług przetwarzania danych powinien objąć poziomem bezpieczeństwa, do którego jest zobowiązany w ramach usługi, wszystkie uzgodnienia techniczne, za które odpowiada podczas procesu zmiany dostawcy, takie jak połączenia sieciowe czy urządzenia fizyczne. Nie należy spodziewać się wpływu na obowiązujące prawa dotyczące rozwiązywania umów, w tym prawa wprowadzone rozporządzeniem (UE) 2016/679 i dyrektywą Parlamentu Europejskiego i Rady (UE) 2019/770 (31). Nie należy rozumieć, że niniejsze rozporządzenie stoi na przeszkodzie temu, by dostawca usług przetwarzania danych zapewniał swoim klientom nowe i udoskonalone usługi, cechy czy funkcje, ani temu, by konkurował na tej podstawie z innymi dostawcami usług przetwarzania danych.(94) | Throughout the switching process, a high level of security should be maintained. This means that the source provider of data processing services should extend the level of security to which it committed for the service to all technical arrangements for which such provider is responsible during the switching process, such as network connections or physical devices. Existing rights relating to the termination of contracts, including those introduced by Regulation (EU) 2016/679 and Directive (EU) 2019/770 of the European Parliament and of the Council (31) should not be affected. This Regulation should not be understood to prevent a provider of data processing services from providing to customers new and improved services, features and functionalities or from competing with other providers of data processing services on that basis.
(95) | Informacje, które dostawca usług przetwarzania danych ma przedstawić klientowi, mogą być wsparciem w strategii odejścia klienta. Informacje te powinny obejmować procedury inicjowania zmiany dostawcy usługi przetwarzania danych, formaty danych nadające się do odczytu maszynowego, do których mogą być wyeksportowane dane użytkownika, narzędzia przeznaczone do eksportowania danych, w tym otwarte interfejsy oraz informacje o zgodności z normami zharmonizowanymi lub wspólnymi specyfikacjami opartymi na otwartych specyfikacjach w zakresie interoperacyjności; informacje o znanych ograniczeniach technicznych, które mogą wpłynąć na proces zmiany dostawcy, a także szacowany czas niezbędny do zakończenia procesu zmiany dostawcy.(95) | The information to be provided by providers of data processing services to the customer could support the customer’s exit strategy. That information should include procedures for initiating switching from the data processing service; the machine-readable data formats to which the user’s data can be exported; the tools intended to export data, including open interfaces as well as information on compatibility with harmonised standards or common specifications based on open interoperability specifications; information on known technical restrictions and limitations that could have an impact on the switching process; and the estimated time necessary to complete the switching process.
(96) | Aby ułatwić interoperacyjność i zmianę dostawcy usług przetwarzania danych, użytkownicy i dostawcy usług przetwarzania danych powinni rozważyć korzystanie z narzędzi wdrażania lub zapewniania zgodności, w szczególności narzędzi publikowanych przez Komisję w postaci unijnego zbioru przepisów dotyczących chmury obliczeniowej i wytycznych dotyczących zamówień publicznych na usługi przetwarzania danych. Wzrostowi wiarygodności usług przetwarzania danych, tworzeniu bardziej wyważonych stosunków między użytkownikami a dostawcami usług przetwarzania danych oraz większej pewności prawa w kwestii warunków mających zastosowanie do zmiany dostawcy usług przetwarzania danych sprzyjają w szczególności standardowe postanowienia umowne. W związku z tym użytkownicy i dostawcy usług przetwarzania danych powinni rozważyć posługiwanie się standardowymi postanowieniami umownymi – lub innymi samoregulacyjnymi narzędziami zapewniania zgodności, o ile w pełni spełniają one wymagania niniejszego rozporządzenia – opracowanymi przez stosowne organy lub grupy ekspertów ustanowione na mocy prawa Unii.(96) | To facilitate interoperability and switching between data processing services, users and providers of data processing services should consider the use of implementation and compliance tools, in particular those published by the Commission in the form of an EU Cloud Rulebook and a Guidance on public procurement of data processing services. In particular, standard contractual clauses are beneficial because they increase confidence in data processing services, create a more balanced relationship between users and providers of data processing services and improve legal certainty with regard to the conditions that apply for switching to other data processing services. In that context, users and providers of data processing services should consider the use of standard contractual clauses or other self-regulatory compliance tools provided that they fully comply with this Regulation, developed by relevant bodies or expert groups established under Union law.
(97) | Aby ułatwić zmianę dostawcy usług przetwarzania danych, wszystkie zaangażowane strony, w tym dostawcy wyjściowi i docelowi usług przetwarzania danych, powinny współpracować w dobrej wierze, tak aby umożliwić pomyślny proces zmiany dostawcy oraz bezpieczne i terminowe przekazanie niezbędnych danych w powszechnie używanym formacie nadającym się do odczytu maszynowego i za pomocą otwartego interfejsu, a przy tym nie dopuścić do zakłóceń w świadczeniu usługi i utrzymać jej ciągłość.(97) | In order to facilitate switching between data processing services, all parties involved, including both source and destination providers of data processing services, should cooperate in good faith to make the switching process effective, enable the secure and timely transfer of necessary data in a commonly used, machine-readable format, and by means of open interfaces, while avoiding service disruptions and maintaining continuity of the service.
(98) | Usługi przetwarzania danych, w przypadku których większość głównych cech została opracowana na zamówienie, tak aby dostosować je do konkretnych żądań indywidualnego klienta, lub w przypadku których wszystkie komponenty zostały opracowane na potrzeby indywidualnego klienta, powinny być zwolnione z niektórych obowiązków mających zastosowanie do zmiany dostawcy usług przetwarzania danych. Nie powinno to dotyczyć usług, które dostawca usług przetwarzania danych oferuje komercyjnie na szeroką skalę poprzez katalog usług. Jednym z obowiązków dostawcy usług przetwarzania danych jest należyte poinformowanie przyszłych klientów mających korzystać z takich usług przed zawarciem umowy o obowiązkach określonych w niniejszym rozporządzeniu, które nie mają zastosowania do danych usług. Nic nie stoi na przeszkodzie, aby dostawca usług ostatecznie wprowadził takie usługi na dużą skalę, w którym to przypadku musiałby wywiązywać się ze wszystkich obowiązków związanych ze zmianą dostawcy określonych w niniejszym rozporządzeniu.(98) | Data processing services which concern services of which the majority of main features has been custom-built to respond to the specific demands of an individual customer or where all components have been developed for the purposes of an individual customer should be exempted from some of the obligations applicable to data processing service switching. This should not include services which the provider of data processing services offers at a broad commercial scale via its service catalogue. It is among the obligations of the provider of data processing services to duly inform prospective customers of such services, prior to the conclusion of a contract, of the obligations laid down in this Regulation that do not apply to the relevant services. Nothing prevents the provider of data processing services from eventually deploying such services at scale, in which case that provider would have to comply with all obligations for switching laid down in this Regulation.
(99) | Zgodnie z minimalnym wymaganiem, którym jest umożliwienie zmiany dostawcy usług przetwarzania danych, niniejsze rozporządzenie ma na celu także zwiększenie interoperacyjności na potrzeby równoczesnego korzystania z wielu usług przetwarzania danych o komplementarnych funkcjach. Dotyczy to sytuacji, w których klienci nie rozwiązują umów, aby zmienić dostawcę przetwarzania danych, ale w których w sposób interoperacyjny korzysta się równocześnie z wielu usług różnych dostawców, aby móc posługiwać się komplementarnymi funkcjami tych usług w ramach konfiguracji systemu klienta. Uznaje się jednak, że wychodzący ruch danych od jednego dostawcy usług przetwarzania danych do innego, aby ułatwić równoczesne korzystanie z usług, może być zdarzeniem ciągłym, w przeciwieństwie do jednorazowego ruchu wychodzącego wymaganego w ramach procesu zmiany dostawcy. Dostawcy usług przetwarzania danych powinni zatem mieć nadal możliwość nakładania opłat, nieprzekraczających poniesionych kosztów, z tytułu wychodzącego ruchu danych do celów równoczesnego korzystania z usług, po upływie trzech lat od dnia wejścia w życie niniejszego rozporządzenia ale nieprzekraczające poniesionych kosztów. Jest to istotne m.in. dla skutecznej realizacji strategii wielochmurowych, które umożliwiają klientom wdrażanie przyszłościowych strategii ICT i zmniejszają zależność od pojedynczych dostawców usług przetwarzania danych. Ułatwienie podejścia wielochmurowego w przypadku klientów usług przetwarzania danych może również przyczynić się do zwiększenia ich operacyjnej odporności cyfrowej, co zostało uznane w odniesieniu do instytucji świadczących usługi finansowe w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2022/2554 (32).(99) | In line with the minimum requirement allowing switching between providers of data processing services, this Regulation also aims to improve interoperability for in-parallel use of multiple data processing services with complementary functionalities. This relates to situations in which customers do not terminate a contract to switch to a different provider of data processing services, but where multiple services of different providers are used in parallel, in an interoperable manner, to benefit from the complementary functionalities of the different services in the set-up of the customer’s system. However, it is recognised that the egress of data from one provider of data processing services to another in order to facilitate the in-parallel use of services can be an ongoing activity, in contrast with the one-off egress required as part of the switching process. Providers of data processing services should therefore continue to be able to impose data egress charges, not exceeding the costs incurred, for the purposes of in-parallel use after three years from the date of entry into force of this Regulation. This is important, inter alia, for the successful deployment of multi-cloud strategies, which allow customers to implement future-proof ICT strategies and which decrease dependence on individual providers of data processing services. Facilitating a multi-cloud approach for customers of data processing services can also contribute to increasing their digital operational resilience, as recognised for financial service institutions in Regulation (EU) 2022/2554 of the European Parliament and of the Council (32).
(100) | Otwarte specyfikacje i normy w zakresie interoperacyjności opracowane zgodnie z załącznikiem II do rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1025/2012 (33) w obszarze interoperacyjności i przenoszenia mają umożliwiać tworzenie środowiska chmury obliczeniowej bazującego na usługach świadczonych przez wielu dostawców, co stanowi kluczowe wymaganie w kontekście otwartych innowacji w europejskiej gospodarce opartej na danych. Ponieważ rozpowszechnienie na rynku norm zidentyfikowanych w ramach zakończonej w 2016 r. inicjatywy dotyczącej koordynacji normalizacji w chmurze (CSC) było ograniczone, konieczne jest, by Komisja również polegała na stronach działających na rynku w zakresie opracowywania stosownych otwartych specyfikacji w zakresie interoperacyjności, aby nadążyć za szybkim tempem rozwoju technologicznego w tej branży. Takie otwarte specyfikacje w zakresie interoperacyjności Komisja może następnie przyjąć w formie wspólnych specyfikacji. Ponadto w przypadku gdy nie wykazano, aby procesy rynkowe mogły skutkować ustanowieniem wspólnych specyfikacji lub norm ułatwiających zapewnienie skutecznej interoperacyjności usług w chmurze na poziomie PaaS i SaaS, Komisja – na podstawie niniejszego rozporządzenia i zgodnie z rozporządzeniem (UE) nr 1025/2012 – powinna móc wystąpić do europejskich organizacji normalizacyjnych z wnioskiem o opracowanie takich norm dla określonych typów usług, jeżeli takie normy jeszcze nie istnieją. Ponadto Komisja będzie zachęcać strony działające na rynku do opracowania stosownych otwartych specyfikacji w zakresie interoperacyjności. Po konsultacjach z zainteresowanymi stronami Komisja powinna móc – w drodze aktów wykonawczych – nakazać stosowanie zharmonizowanych norm interoperacyjności lub wspólnych specyfikacji w zakresie interoperacyjności dla określonych typów usług poprzez odniesienie do nich w centralnym repozytorium norm Unii dotyczących interoperacyjności usług przetwarzania danych. Dostawcy usług przetwarzania danych powinni zapewnić przestrzeganie tych zharmonizowanych norm i wspólnych specyfikacji opartych na otwartych specyfikacjach w zakresie interoperacyjności, to zaś nie powinno negatywnie wpływać na bezpieczeństwo lub integralność danych. Odniesienie do zharmonizowanych norm interoperacyjności usług przetwarzania danych oraz wspólnych specyfikacji opartych na otwartych specyfikacjach w zakresie interoperacyjności zostanie poczynione wyłącznie wtedy, gdy będą one zgodne z kryteriami określonymi w niniejszym rozporządzeniu, które mają takie samo znaczenie jak wymagania określone w załączniku II do rozporządzenia (UE) nr 1025/2012 i jak aspekty interoperacyjności określone w międzynarodowej normie ISO/IEC 19941:2017. Ponadto w ramach normalizacji należy uwzględnić potrzeby MŚP.(100) | Open interoperability specifications and standards developed in accordance with Annex II to Regulation (EU) No 1025/2012 of the European Parliament and of the Council (33) in the field of interoperability and portability are expected to enable a multi-vendor cloud environment, which is a key requirement for open innovation in the European data economy. As the market adoption of identified standards under the cloud standardisation coordination (CSC) initiative concluded in 2016 has been limited, it is also necessary that the Commission relies on parties in the market to develop relevant open interoperability specifications to keep up with the fast pace of technological development in this industry. Such open interoperability specifications can then be adopted by the Commission in the form of common specifications. In addition, where market-driven processes have not demonstrated a capacity to establish common specifications or standards that facilitate effective cloud interoperability at the PaaS and SaaS levels, the Commission should be able, on the basis of this Regulation and in accordance with Regulation (EU) No 1025/2012, to request European standardisation bodies to develop such standards for specific service types where such standards do not yet exist. In addition to this, the Commission will encourage parties in the market to develop relevant open interoperability specifications. After consulting stakeholders, the Commission, by means of implementing acts, should be able to mandate the use of harmonised standards for interoperability or common specifications for specific service types through a reference in a central Union standards repository for the interoperability of data processing services. Providers of data processing services should ensure compatibility with those harmonised standards and common specifications based on open interoperability specifications, which should not have an adverse impact on the security or integrity of data. Harmonised standards for the interoperability of data processing services and common specifications based on open interoperability specifications will be referenced only if they comply with the criteria specified in this Regulation, which have the same meaning as the requirements in Annex II to Regulation (EU) No 1025/2012 and the interoperability facets defined under the international standard ISO/IEC 19941:2017. In addition, standardisation should take into account the needs of SMEs.
(101) | Państwa trzecie mogą przyjmować przepisy ustawowe i wykonawcze oraz inne akty prawne, których celem jest bezpośrednie przekazywanie danych nieosobowych znajdujących się poza ich granicami, w tym w Unii, lub zapewnianie administracji rządowej dostępu do takich danych. Wyroki sądów lub trybunałów czy decyzje innych organów sądowych lub administracyjnych, w tym organów ścigania, w państwach trzecich nakazujące przekazać dane nieosobowe lub zapewnić dostęp do nich powinny być wykonalne, jeżeli mają za podstawę umowę międzynarodową, taką jak traktat o pomocy prawnej, obowiązującą między państwem trzecim występującym z wnioskiem a Unią lub państwem członkowskim. W innych przypadkach mogą zdarzyć się sytuacje, w których wniosek o przekazanie danych nieosobowych lub zapewnienie dostępu do nich wynikający z prawa państwa trzeciego pozostaje w konflikcie z obowiązkiem ochrony takich danych wynikającym z prawa Unii lub prawa krajowego danego państwa członkowskiego, w szczególności jeśli chodzi o ochronę praw podstawowych jednostki, takich jak prawo do bezpieczeństwa i prawo do skutecznego środka prawnego, lub podstawowych interesów państwa członkowskiego związanych z bezpieczeństwem narodowym lub obroną, oraz ochronę szczególnie chronionych danych handlowych, w tym ochronę tajemnic przedsiębiorstwa, i ochronę praw własności intelektualnej, w tym z zobowiązaniami umownymi tego państwa dotyczącymi poufności zgodnie z takim prawem. W przypadku braku umów międzynarodowych regulujących takie kwestie przekazanie lub dostęp do danych nieosobowych powinny być dozwolone wyłącznie wtedy, gdy sprawdzono, że system prawny państwa trzeciego wymaga określenia powodów i proporcjonalności decyzji, że orzeczenie sądu lub decyzja mają szczególny charakter, oraz że uzasadniony sprzeciw adresata podlega kontroli właściwego sądu lub trybunału państwa trzeciego, który jest upoważniony do należytego uwzględnienia stosownych interesów prawnych dostawcy takich danych. Wszędzie tam, gdzie jest to możliwe na mocy warunków wniosku o dostęp do danych złożonego przez organ państwa trzeciego, dostawca usług przetwarzania danych powinien móc przedstawić informacje klientowi, którego dane są przedmiotem wniosku, przed udzieleniem dostępu do tych danych, w celu sprawdzenia, czy istnieje potencjalna kolizja takiego dostępu z prawem Unii lub prawem krajowym, takim jak prawo dotyczące ochrony szczególnie chronionych danych handlowych, w tym ochrony tajemnic przedsiębiorstwa i praw własności intelektualnej oraz zobowiązań umownych dotyczących poufności.(101) | Third countries may adopt laws, regulations and other legal acts that aim to directly transfer or provide governmental access to non-personal data located outside their borders, including in the Union. Judgments of courts or tribunals or decisions of other judicial or administrative authorities, including law enforcement authorities in third countries requiring such transfer or access to non-personal data should be enforceable when based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State. In other cases, situations may arise where a request to transfer or provide access to non-personal data arising from a third country law conflicts with an obligation to protect such data under Union law or under the national law of the relevant Member State, in particular regarding the protection of fundamental rights of the individual, such as the right to security and the right to an effective remedy, or the fundamental interests of a Member State related to national security or defence, as well as the protection of commercially sensitive data, including the protection of trade secrets, and the protection of intellectual property rights, including its contractual undertakings regarding confidentiality in accordance with such law. In the absence of international agreements regulating such matters, transfer of or access to non-personal data should be allowed only if it has been verified that the third country’s legal system requires the reasons and proportionality of the decision to be set out, that the court order or the decision is specific in character, and that the reasoned objection of the addressee is subject to a review by a competent third-country court or tribunal which is empowered to take duly into account the relevant legal interests of the provider of such data. Wherever possible under the terms of the data access request of the third country’s authority, the provider of data processing services should be able to inform the customer whose data are being requested before granting access to those data in order to verify the presence of a potential conflict of such access with Union or national law, such as that on the protection of commercially sensitive data, including the protection of trade secrets and intellectual property rights and the contractual undertakings regarding confidentiality.
(102) | Aby zwiększyć wiarygodność danych, należy w miarę możliwości wdrożyć w odniesieniu do obywateli Unii, organów sektora publicznego i przedsiębiorstw zabezpieczenia zapewniające kontrolę nad ich danymi. Ponadto należy przestrzegać prawa, wartości i norm Unii w zakresie m.in. bezpieczeństwa, ochrony danych i prywatności oraz ochrony konsumentów. Aby zapobiec niezgodnemu z prawem dostępowi administracji rządowej państwa trzeciego do danych nieosobowych, dostawcy usług przetwarzania danych podlegających niniejszemu rozporządzeniu, takich jak usługi w chmurze i usługi przetwarzania brzegowego, powinni zastosować wszelkie rozsądne środki w celu uniemożliwienia dostępu do systemów, w których przechowywane są dane nieosobowe, w tym w stosownym przypadku poprzez szyfrowanie danych, częste poddawanie się audytom, zweryfikowane przestrzeganie odpowiednich systemów certyfikacji gwarancji bezpieczeństwa oraz zmianę polityki korporacyjnej.(102) | To foster further trust in data, it is important that safeguards to ensure control of their data by Union citizens, the public sector bodies and businesses are implemented to the extent possible. In addition, Union law, values and standards regarding, inter alia, security, data protection and privacy, and consumer protection should be upheld. In order to prevent unlawful governmental access to non-personal data by third-country authorities, providers of data processing services subject to this Regulation, such as cloud and edge services, should take all reasonable measures to prevent access to systems on which non-personal data are stored, including, where relevant, through the encryption of data, frequent submission to audits, verified adherence to relevant security reassurance certification schemes, and by the modification of corporate policies.
(103) | Normalizacja i interoperacyjność semantyczna powinny odgrywać kluczową rolę w dostarczaniu rozwiązań technicznych zapewniających interoperacyjność w ramach wspólnych europejskich przestrzeni danych i pomiędzy nimi, które to przestrzenie są interoperacyjnymi ramami wspólnych norm i praktyk, specyficznymi dla danego celu lub sektora bądź międzysektorowymi, i w których ma miejsce dzielenie się danymi lub ich wspólne przetwarzanie na potrzeby m.in. opracowywania nowych produktów i usług, badań naukowych lub inicjatyw społeczeństwa obywatelskiego. Niniejsze rozporządzenie ustanawia pewne zasadnicze wymagania w dziedzinie interoperacyjności. Wymagań tych powinni przestrzegać – o ile dotyczy to elementów pozostających pod ich kontrolą – uczestnicy przestrzeni danych oferujący innym uczestnikom dane lub usługi oparte na danych i będący podmiotami ułatwiającymi dzielenie się danymi lub zaangażowanymi w dzielenie się danymi we wspólnych europejskich przestrzeniach danych, w tym posiadacze danych. Przestrzeganie tych zasad można zapewnić dzięki dostosowaniu się do zasadniczych wymagań ustanowionych w niniejszym rozporządzeniu lub można go domniemywać dzięki przestrzeganiu zharmonizowanych norm lub wspólnych specyfikacji poprzez domniemanie zgodności. W celu ułatwienia przestrzegania wymagań interoperacyjności należy przewidzieć domniemanie zgodności rozwiązań interoperacyjnych spełniających normy zharmonizowane lub ich części zgodnie z rozporządzeniem (UE) nr 1025/2012, które stanowi domyślne ramy opracowywania norm przewidujących takie domniemanie. Komisja powinna ocenić bariery dla interoperacyjności i określić priorytetowe potrzeby normalizacji, na podstawie których może wystąpić z wnioskiem do co najmniej jednej europejskiej organizacji normalizacyjnej, zgodnie z rozporządzeniem (UE) nr 1025/2012, o opracowanie norm zharmonizowanych spełniających zasadnicze wymagania określone w niniejszym rozporządzeniu. Jeżeli takie wnioski nie poskutkują normami zharmonizowanymi lub takie normy zharmonizowane będą niewystarczające, aby zapewnić przestrzeganie zasadniczych wymagań określonych w niniejszym rozporządzeniu, Komisja powinna móc przyjąć wspólne specyfikacje w tych dziedzinach – pod warunkiem że zrobi to z należytym poszanowaniem roli i funkcji organizacji normalizacyjnych. Przyjęcie wspólnych specyfikacji powinno być wyjątkowym rozwiązaniem awaryjnym ułatwiającym przestrzeganie zasadniczych wymagań ustanowionych w niniejszym rozporządzeniu, w przypadku gdy proces normalizacji jest zablokowany lub istnieją opóźnienia w ustanawianiu odpowiednich norm zharmonizowanych. Jeżeli takie opóźnienie wynika ze złożoności technicznej danej normy, Komisja powinna wziąć tę kwestię pod uwagę, zanim rozpocznie analizę dotyczącą ustanowienia wspólnych specyfikacji. Wspólne specyfikacje powinny zostać opracowane w sposób otwarty i inkluzywny, a w stosownym przypadku uwzględniać opinie przyjęte przez Europejską Radę ds. Innowacji w zakresie Danych ustanowioną na mocy rozporządzenia (UE) 2022/868. Ponadto można przyjmować wspólne specyfikacje dla poszczególnych sektorów zgodnie z prawem Unii lub prawem krajowym na podstawie szczególnych potrzeb tych sektorów. Ponadto Komisja powinna mieć możliwość zlecić opracowanie zharmonizowanych norm interoperacyjności usług przetwarzania danych.(103) | Standardisation and semantic interoperability should play a key role to provide technical solutions to ensure interoperability within and among common European data spaces which are purpose or sector specific or cross-sectoral interoperable frameworks for common standards and practices to share or jointly process data for, inter alia, the development of new products and services, scientific research or civil society initiatives. This Regulation lays down certain essential requirements for interoperability. Participants in data spaces that offer data or data services to other participants, which are entities facilitating or engaging in data sharing within common European data spaces, including data holders, should comply with those requirements insofar as elements under their control are concerned. Compliance with those rules can be ensured by adhering to the essential requirements laid down in this Regulation, or presumed by complying with harmonised standards or common specifications via a presumption of conformity. In order to facilitate conformity with the requirements for interoperability, it is necessary to provide for a presumption of conformity of interoperability solutions that meet harmonised standards or parts thereof in accordance with Regulation (EU) No 1025/2012, which represents the framework by default to elaborate standards that provide for such presumptions. The Commission should assess barriers to interoperability and prioritise standardisation needs, on the basis of which it may request one or more European standardisation organisations, pursuant to Regulation (EU) No 1025/2012, to draft harmonised standards which satisfy the essential requirements laid down in this Regulation. Where such requests do not result in harmonised standards or such harmonised standards are insufficient to ensure conformity with the essential requirements of this Regulation, the Commission should be able to adopt common specifications in those areas provided that in so doing it duly respects the role and functions of standardisation organisations. Common specification should be adopted only as an exceptional fall-back solution to facilitate compliance with the essential requirements of this Regulation, or when the standardisation process is blocked, or when there are delays in the establishment of appropriate harmonised standards. Where a delay is due to the technical complexity of the standard in question, this should be considered by the Commission before contemplating the establishment of common specifications. Common specifications should be developed in an open and inclusive manner and take into account, where relevant, the advice of the European Data Innovation Board (EDIB) established by Regulation (EU) 2022/868. Additionally, common specifications in different sectors could be adopted, in accordance with Union or national law, on the basis of specific needs of those sectors. Furthermore, the Commission should be enabled to mandate the development of harmonised standards for the interoperability of data processing services.
(104) | Aby promować interoperacyjność narzędzi do automatycznego wykonywania umów o dzielenie się danymi, należy ustanowić zasadnicze wymagania dotyczące inteligentnych umów, które specjaliści tworzą dla innych lub włączają do aplikacji wspierających realizację umów o dzielenie się danymi. Aby ułatwić zapewnienie zgodności takich inteligentnych umów z tymi zasadniczymi wymaganiami, należy przewidzieć domniemanie zgodności inteligentnych umów spełniających normy zharmonizowane lub ich części zgodnie z rozporządzeniem (UE) nr 1025/2012. Pojęcie „inteligentnej umowy” przewidziane w niniejszym rozporządzeniu jest technologicznie neutralne. Inteligentne umowy mogą być połączone z rejestrem elektronicznym. Zasadnicze wymagania powinny mieć zastosowanie wyłącznie do sprzedawców inteligentnych umów, jednak nie w przypadku gdy opracowują oni inteligentne umowy wewnątrz przedsiębiorstwa wyłącznie na użytek wewnętrzny. Zasadnicze wymaganie polegające na zapewnieniu, by wykonywanie inteligentnych umów mogło być zawieszane i by inteligentne umowy mogły być rozwiązywane, zakłada wzajemną zgodę stron umowy o dzielenie się danymi. Stosowanie inteligentnych umów do automatycznego wykonywania umów o dzielenie się danymi pozostaje bez wpływu lub powinno pozostawać bez wpływu na stosowanie do umów o dzielenie się danymi stosownych przepisów prawa cywilnego, prawa zobowiązań i prawa ochrony konsumentów.(104) | To promote the interoperability of tools for the automated execution of data sharing agreements, it is necessary to lay down essential requirements for smart contracts which professionals create for others or integrate in applications that support the implementation of agreements for data sharing. In order to facilitate the conformity of such smart contracts with those essential requirements, it is necessary to provide for a presumption of conformity of smart contracts that meet harmonised standards or parts thereof in accordance with Regulation (EU) No 1025/2012. The notion of ‘smart contract’ in this Regulation is technologically neutral. Smart contracts can, for example, be connected to an electronic ledger. The essential requirements should apply only to the vendors of smart contracts, although not where they develop smart contracts in-house exclusively for internal use. The essential requirement to ensure that smart contracts can be interrupted and terminated implies mutual consent by the parties to the data sharing agreement. The applicability of the relevant rules of civil, contractual and consumer protection law to data sharing agreements remains or should remain unaffected by the use of smart contracts for the automated execution of such agreements.
(105) | Aby wykazać przestrzeganie zasadniczych wymagań niniejszego rozporządzenia, sprzedawca inteligentnej umowy lub w razie jego braku osoba, której działalność handlowa, gospodarcza lub zawodowa obejmuje zapewnianie innym inteligentnych umów w kontekście wykonywania umowy o udostępnianiu danych lub jej części, w kontekście niniejszego rozporządzenia powinna dokonać oceny zgodności i wydać deklarację zgodności UE. Taka ocena zgodności powinna podlegać ogólnym zasadom określonym w rozporządzeniu Parlamentu Europejskiego i Rady (WE) nr 765/2008 (34) oraz w decyzji Parlamentu Europejskiego i Rady (WE) nr 768/2008 (35).(105) | To demonstrate fulfilment of the essential requirements of this Regulation, the vendor of a smart contract, or in the absence thereof, the person whose trade, business or profession involves the deployment of smart contracts for others in the context of executing an agreement or part of it, to make data available in the context of this Regulation, should perform a conformity assessment and issue an EU declaration of conformity. Such a conformity assessment should be subject to the general principles set out in Regulation (EC) No 765/2008 of the European Parliament and of the Council (34) and Decision No 768/2008/EC of the European Parliament and of the Council (35).
(106) | Poza spoczywającym na zawodowych twórcach inteligentnych umów obowiązkiem przestrzegania zasadniczych wymagań ważne jest także, aby zachęcać tych uczestników przestrzeni danych, którzy oferują dane lub usługi oparte na danych innym uczestnikom w europejskich przestrzeniach danych lub pomiędzy nimi, do wspierania interoperacyjności narzędzi służących dzieleniu się danymi, w tym inteligentnych umów.(106) | Besides the obligation on professional developers of smart contracts to comply with essential requirements, it is also important to encourage those participants within data spaces that offer data or data-based services to other participants within and across common European data spaces to support interoperability of tools for data sharing including smart contracts.
(107) | Państwa członkowskie powinny wyznaczyć co najmniej jeden właściwy organ w celu zapewnienia skutecznego stosowania i egzekwowania niniejszego rozporządzenia. Jeżeli państwo członkowskie wyznacza więcej niż jeden właściwy organ, powinno również wyznaczyć spośród nich koordynatora danych. Właściwe organy powinny ze sobą współpracować. Podczas wykonywania swoich uprawnień do prowadzenia postępowań zgodnie z mającymi zastosowanie procedurami krajowymi właściwe organy powinny móc wyszukiwać i pozyskiwać informacje, w szczególności związane z działalnością podmiotu podlegającą ich kompetencjom oraz, w tym w kontekście wspólnych postępowań, z należytym poszanowaniem faktu, że środki nadzoru i egzekwowania dotyczące podmiotu podlegającego kompetencjom innego państwa członkowskiego powinny być przyjmowane przez właściwy organ tego państwa członkowskiego, w stosownym przypadku, zgodnie z procedurami dotyczącymi współpracy transgranicznej. Właściwe organy powinny terminowo pomagać sobie nawzajem, w szczególności gdy właściwy organ w państwie członkowskim posiada informacje istotne dla postępowania prowadzonego przez właściwe organy w innych państwach członkowskich lub gdy jest w stanie zgromadzić takie informacje, do których nie mają dostępu właściwe organy w państwie członkowskim, w którym podmiot ma siedzibę. Dane właściwych organów i koordynatorów danych powinny się znaleźć w rejestrze publicznym prowadzonym przez Komisję. Koordynator danych może być dodatkowym pośrednikiem ułatwiającym współpracę w sytuacjach transgranicznych, przykładowo gdy właściwy organ z danego państwa członkowskiego nie wie, do jakiego organu w państwie członkowskim koordynatora danych się zwrócić, np. gdy sprawa wiąże się z więcej niż jednym właściwym organem lub sektorem. Koordynator danych powinien działać m.in. jako pojedynczy punkt kontaktowy we wszystkich kwestiach związanych ze stosowaniem niniejszego rozporządzenia. Jeżeli nie wyznaczono koordynatora danych, zadania przypisane koordynatorowi danych na podstawie niniejszego rozporządzenia powinien wziąć na siebie właściwy organ. Organy odpowiedzialne za nadzór nad przestrzeganiem prawa ochrony danych oraz właściwe organy wyznaczone na podstawie prawa Unii lub prawa krajowego powinny być odpowiedzialne za stosowanie niniejszego rozporządzenia w obszarach swoich kompetencji. Aby zapobiec konfliktom interesów, właściwe organy odpowiedzialne za stosowanie i egzekwowanie niniejszego rozporządzenia w obszarze udostępniania danych na wniosek wynikający z wyjątkowej potrzeby nie powinny korzystać z prawa występowania z takim wnioskiem.(107) | In order to ensure the application and enforcement of this Regulation, Member States should designate one or more competent authorities. If a Member State designates more than one competent authority, it should also designate from among them a data coordinator. Competent authorities should cooperate with each other. Through the exercise of their powers of investigation in accordance with applicable national procedures, competent authorities should be able to search for and obtain information, in particular in relation to the activities of entities within their competence and, including in the context of joint investigations, with due regard to the fact that oversight and enforcement measures concerning an entity under the competence of another Member State should be adopted by the competent authority of that other Member State, where relevant, in accordance with the procedures relating to cross-border cooperation. Competent authorities should assist each other in a timely manner, in particular when a competent authority in a Member State holds relevant information for an investigation carried out by the competent authorities in other Member States, or is able to gather such information to which the competent authorities in the Member State where the entity is established do not have access. Competent authorities and data coordinators should be identified in a public register maintained by the Commission. The data coordinator could be an additional means for facilitating cooperation in cross-border situations, such as when a competent authority from a given Member State does not know which authority it should approach in the data coordinator’s Member State, for example where the case is related to more than one competent authority or sector. The data coordinator should act, inter alia, as a single point of contact for all issues related to the application of this Regulation. Where no data coordinator has been designated, the competent authority should assume the tasks assigned to the data coordinator under this Regulation. The authorities responsible for the supervision of compliance with data protection law and competent authorities designated under Union or national law should be responsible for the application of this Regulation in their areas of competence. In order to avoid conflicts of interest, the competent authorities responsible for the application and enforcement of this Regulation in the area of making data available following a request on the basis of an exceptional need should not benefit from the right to submit such a request.
(108) | Aby osoby fizyczne i prawne mogły egzekwować swoje prawa wynikające z niniejszego rozporządzenia, powinny być uprawnione do dochodzenia roszczeń w związku z naruszeniem ich praw wynikających z niniejszego rozporządzenia poprzez składanie skarg. Koordynator danych powinien na wniosek udzielać osobom fizycznym i prawnym wszelkich informacji niezbędnych do złożenia skargi do odpowiedniego właściwego organu. Organy te powinny być zobowiązane do współpracy, by skarga została właściwie i w odpowiednim czasie rozpatrzona i rozstrzygnięta. Aby wykorzystać mechanizm sieci współpracy w zakresie ochrony konsumenta i umożliwić występowanie z powództwem przedstawicielskim, niniejsze rozporządzenie zmienia załączniki do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2017/2394 (36) oraz do dyrektywy Parlamentu Europejskiego i Rady (UE) 2020/1828 (37).(108) | In order to enforce their rights under this Regulation, natural and legal persons should be entitled to seek redress for infringements of their rights under this Regulation by lodging complaints. The data coordinator should, upon request, provide all the necessary information to natural and legal persons for the lodging of their complaints with the appropriate competent authority. Those authorities should be obliged to cooperate to ensure a complaint is appropriately handled and resolved effectively and in a timely manner. In order to make use of the consumer protection cooperation network mechanism and to enable representative actions, this Regulation amends the Annexes to Regulation (EU) 2017/2394 of the European Parliament and of the Council (36) and Directive (EU) 2020/1828 of the European Parliament and of the Council (37).
(109) | Właściwe organy powinny zapewnić, aby naruszenia obowiązków ustanowionych w niniejszym rozporządzeniu podlegały karom. Karami takimi mogą być m.in. kary pieniężne, ostrzeżenia, nagany lub nakazy uzgodnienia praktyk biznesowych z obowiązkami nałożonymi niniejszym rozporządzeniem. Kary ustanowione przez państwa członkowskie powinny być skuteczne, proporcjonalne i odstraszające i powinny uwzględniać zalecenia Europejskiej Rady ds. Innowacji w zakresie Danych, a tym samym przyczyniać się do jak największej spójności w ustanawianiu i stosowaniu kar. W stosownym przypadku właściwe organy powinny posługiwać się środkami tymczasowymi, aby ograniczyć skutki domniemanego naruszenia, w czasie gdy trwa postępowanie w sprawie tego naruszenia. Powinny przy tym brać pod uwagę m.in. charakter, wagę, skalę i czas trwania naruszenia, mając na względzie określony interes publiczny, zakres i rodzaj prowadzonej działalności oraz możliwości ekonomiczne podmiotu naruszającego. Powinny one także uwzględniać, czy sprawca naruszenia systematycznie lub w sposób powtarzający się nie wypełnia swoich obowiązków wynikających z niniejszego rozporządzenia. Aby zapewnić poszanowanie zasady ne bis in idem, a w szczególności zapobiec sytuacji, w której to samo naruszenie niniejszego rozporządzenia skutkuje karą więcej niż jeden raz, każde państwo członkowskie, które zamierza wykonać swoje kompetencje wobec podmiotu naruszającego, który nie został ustanowiony i który nie wyznaczył przedstawiciela prawnego w Unii, powinno bez zbędnej zwłoki poinformować wszystkich koordynatorów danych oraz Komisję.(109) | Competent authorities should ensure that infringements of the obligations laid down in this Regulation are subject to penalties. Such penalties could include financial penalties, warnings, reprimands or orders to bring business practices into compliance with the obligations imposed by this Regulation. Penalties established by the Member States should be effective, proportionate and dissuasive, and should take into account the recommendations of the EDIB, thus contributing to achieving the greatest possible level of consistency in the establishment and application of penalties. Where appropriate, competent authorities should make use of interim measures to limit the effects of an alleged infringement while the investigation of that infringement is ongoing. In so doing, they should take into account, inter alia the nature, gravity, scale and duration of the infringement in view of the public interest at stake, the scope and kind of activities carried out, and the economic capacity of the infringing party. They should also take into account whether the infringing party systematically or recurrently fails to comply with its obligations under this Regulation. In order to ensure that the principle of ne bis in idem is respected, and in particular to avoid that the same infringement of the obligations laid down in this Regulation is penalised more than once, a Member State that intends to exercise its competence in relation to an infringing party that is not established and has not designated a legal representative in the Union should, without undue delay, inform all data coordinators as well as the Commission.
(110) | Europejska Rada ds. Innowacji w zakresie Danych powinna doradzać i pomagać Komisji w koordynowaniu krajowych praktyk i polityk w sprawach objętych niniejszym rozporządzeniem oraz w realizacji jego celów związanych z normalizacją techniczną służącą zwiększeniu interoperacyjności. Powinna także odgrywać kluczową rolę w ułatwianiu kompleksowych dyskusji między właściwymi organami na temat stosowania i egzekwowania niniejszego rozporządzenia. Ta wymiana informacji ma służyć zwiększeniu skutecznego dostępu do wymiaru sprawiedliwości oraz egzekwowaniu przepisów i współpracy sądowej w całej Unii. Właściwe organy powinny korzystać m.in. z funkcji Europejskiej Rady ds. Innowacji w zakresie Danych jako platformy do oceny, koordynacji i przyjmowania zaleceń w sprawie ustalania kar za naruszanie niniejszego rozporządzenia. Powinna ona umożliwić właściwym organom, z pomocą Komisji, skoordynowanie optymalnego podejścia do określania i nakładania takich kar. Podejście to zapobiega rozdrobnieniu, a zarazem daje państwom członkowskim elastyczność i powinno skutkować skutecznymi zaleceniami wspierającymi spójne stosowanie niniejszego rozporządzenia. Europejska Rada ds. Innowacji w zakresie Danych powinna także pełnić rolę doradczą w procesach normalizacji i w przyjmowaniu wspólnych specyfikacji w formie aktów wykonawczych, w przyjmowaniu aktów delegowanych ustanawiających mechanizm monitorowania opłat z tytułu zmiany dostawcy nakładanych przez dostawców usług przetwarzania danych oraz doprecyzowujących zasadnicze wymagania na potrzeby interoperacyjności danych, w przyjmowaniu mechanizmów i usług dzielenia się danymi oraz wspólnych europejskich przestrzeni danych. Powinna także doradzać i pomagać Komisji w przyjmowaniu wytycznych ustanawiających specyfikacje w zakresie interoperacyjności na potrzeby funkcjonowania wspólnych europejskich przestrzeni danych.(110) | The EDIB should advise and assist the Commission in coordinating national practices and policies on the topics covered by this Regulation as well as in delivering on its objectives in relation to technical standardisation to enhance interoperability. It should also play a key role in facilitating comprehensive discussions between competent authorities concerning the application and enforcement of this Regulation. That exchange of information is designed to increase effective access to justice as well as enforcement and judicial cooperation across the Union. Among other functions, the competent authorities should make use of the EDIB as a platform to evaluate, coordinate and adopt recommendations on the setting of penalties for infringements of this Regulation. It should allow for competent authorities, with the assistance of the Commission, to coordinate the optimal approach to determining and imposing such penalties. That approach prevents fragmentation while allowing for Member State’s flexibility and should lead to effective recommendations that support the consistent application of this Regulation. The EDIB should also have an advisory role in the standardisation processes and the adoption of common specifications by means of implementing acts, in the adoption of delegated acts to establish a monitoring mechanism for switching charges, imposed by providers of data processing services and to further specify the essential requirements for the interoperability of data, of data sharing mechanisms and services, as well as of the common European data spaces. It should also advise and assist the Commission in the adoption of the guidelines laying down interoperability specifications for the functioning of the common European data spaces.
(111) | Aby pomóc przedsiębiorstwom w opracowywaniu i negocjowaniu umów, Komisja powinna opracować i zalecić niewiążące modelowe postanowienia umowne na potrzeby kontraktów w sprawie dzielenia się danymi między przedsiębiorcami, w razie potrzeby z uwzględnieniem warunków panujących w poszczególnych sektorach i obowiązujących praktyk w zakresie mechanizmów dobrowolnego dzielenia się danymi. Te modelowe postanowienia umowne powinny być przede wszystkim praktycznym narzędziem pomagającym zwłaszcza MŚP w zawieraniu umów. Jeżeli te modelowe postanowienia umowne będą stosowane powszechnie i w całości, powinny mieć również korzystny wpływ na kształt umów w sprawie dostępu do danych i ich wykorzystywania, a tym samym prowadzić w szerszym ujęciu do bardziej sprawiedliwych stosunków umownych przy dostępie do danych i dzieleniu się danymi.(111) | In order to help enterprises to draft and negotiate contracts, the Commission should develop and recommend non-binding model contractual terms for business-to-business data sharing contracts, where necessary taking into account the conditions in specific sectors and the existing practices with voluntary data sharing mechanisms. Those model contractual terms should be primarily a practical tool to help in particular SMEs to conclude a contract. When used widely and integrally, those model contractual terms should also have the beneficial effect of influencing the design of contracts regarding access to and the use of data and therefore lead more broadly towards fairer contractual relations when accessing and sharing data.
(112) | Aby wyeliminować ryzyko, że posiadacze danych w bazach danych pozyskanych lub wygenerowanych za pomocą elementów fizycznych, takich jak czujniki, produktu skomunikowanego i usługi powiązanej lub innych maszynowo wygenerowanych danych będą powoływać się na prawo sui generis określone w art. 7 dyrektywy 96/9/WE, a tym samym będą w szczególności ograniczać skuteczne wykonywanie przysługującego użytkownikom prawa dostępu do danych i ich wykorzystywania oraz prawo dzielenia się danymi z osobami trzecimi na podstawie niniejszego rozporządzenia, należy doprecyzować, że prawo sui generis nie ma zastosowania do takich baz danych. Nie wpływa to na możliwe stosowanie prawa sui generis określonego w art. 7 dyrektywy 96/9/WE względem baz danych zawierających dane niewchodzące w zakres niniejszego rozporządzenia, o ile spełnione są wymagania ochrony zgodnie z ust. 1 tego artykułu.(112) | In order to eliminate the risk that holders of data in databases obtained or generated by means of physical components, such as sensors, of a connected product and a related service or other machine-generated data, claim the sui generis right under Article 7 of Directive 96/9/EC, and in so doing hinder, in particular, the effective exercise of the right of users to access and use data and the right to share data with third parties under this Regulation, it should be clarified that the sui generis right does not apply to such databases. That does not affect the possible application of the sui generis right under Article 7 of Directive 96/9/EC to databases containing data falling outside the scope of this Regulation, provided that the requirements for protection pursuant to paragraph 1 of that Article are fulfilled.
(113) | W celu uwzględnienia aspektów technicznych usług przetwarzania danych, należy przekazać Komisji uprawnienia do przyjmowania aktów zgodnie z art. 290 TFUE w odniesieniu do uzupełnienia niniejszego rozporządzenia w celu wprowadzenia mechanizmu monitorowania opłat z tytułu zmiany dostawcy nakładanych na rynku przez dostawców usług przetwarzania danych i doprecyzowania zasadniczych wymagań w zakresie interoperacyjności wobec uczestników przestrzeni danych, którzy oferują innym uczestnikom dane lub usługi oparte na danych. Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowane konsultacje, w tym na poziomie ekspertów, oraz aby konsultacje te prowadzone były zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa (38). W szczególności, aby zapewnić Parlamentowi Europejskiemu i Radzie udział na równych zasadach w przygotowaniu aktów delegowanych, instytucje te otrzymują wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji mogą systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowywaniem aktów delegowanych.(113) | In order to take account of technical aspects of data processing services, the power to adopt acts in accordance with Article 290 TFEU should be delegated to the Commission in respect of supplementing this Regulation in order to establish a monitoring mechanism on switching charges imposed by providers of data processing services on the market, and to further specify the essential requirements in respect of interoperability for participants in data spaces that offer data or data services to other participants. It is of particular importance that the Commission carry out appropriate consultations during its preparatory work, including at expert level, and that those consultations be conducted in accordance with the principles laid down in the Interinstitutional Agreement of 13 April 2016 on Better Law-Making (38). In particular, to ensure equal participation in the preparation of delegated acts, the European Parliament and the Council receive all documents at the same time as Member States’ experts, and their experts systematically have access to meetings of Commission expert groups dealing with the preparation of delegated acts.
(114) | W celu zapewnienia jednolitych warunków wykonywania niniejszego rozporządzenia, należy powierzyć Komisji uprawnienia wykonawcze w odniesieniu przyjęcia wspólnych specyfikacji służących zapewnieniu interoperacyjności danych, mechanizmów wymiany danych i usług, a także wspólnych europejskich przestrzeni danych, wspólnych specyfikacji interoperacyjności usług przetwarzania danych, oraz w odniesieniu do przyjęcia wspólnych specyfikacji dotyczących inteligentnych umów. Należy powierzyć Komisji uprawnienia wykonawcze w odniesieniu do publikowania odniesień do zharmonizowanych norm oraz wspólnych specyfikacji interoperacyjności usług przetwarzania danych w centralnym repozytorium norm Unii dotyczących interoperacyjności przetwarzania danych. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 (39).(114) | In order to ensure uniform conditions for the implementation of this Regulation, implementing powers should be conferred on the Commission in respect of the adoption of common specifications to ensure the interoperability of data, of data sharing mechanisms and services, as well as of common European data spaces, common specifications on the interoperability of data processing services, and common specifications on the interoperability of smart contracts. Implementing powers should also be conferred on the Commission for the purpose of publishing the references of harmonised standards and common specifications for the interoperability of data processing services in a central Union standards repository for the interoperability of data processing services. Those powers should be exercised in accordance with Regulation (EU) No 182/2011 of the European Parliament and of the Council (39).
(115) | Niniejsze rozporządzenie powinno pozostawać bez uszczerbku dla przepisów dotyczących specyficznych potrzeb poszczególnych sektorów lub obszarów służących interesowi publicznemu. Przepisy takie mogą obejmować dodatkowe wymagania dotyczące technicznych aspektów dostępu do danych, takich jak interfejsy dostępu do danych, lub sposobu zapewniania dostępu do danych, np. bezpośrednio z produktu lub poprzez usługi pośrednictwa danych. Przepisy takie mogą również obejmować ograniczenia praw posiadaczy danych do dostępu do danych użytkowników lub do ich wykorzystywania lub inne aspekty wykraczające poza dostęp do danych i ich wykorzystywanie, takie jak aspekty zarządzania lub wymagania bezpieczeństwa, w tym cyberbezpieczeństwa. Niniejsze rozporządzenie powinno również pozostawać bez uszczerbku dla bardziej szczególnych przepisów z zakresu rozwoju wspólnych europejskich przestrzeni danych lub dla prawa Unii i prawa krajowego przewidujących dostęp do danych na potrzeby badań naukowych i zezwalających na ich wykorzystywanie, z zastrzeżeniem wyjątków przewidzianych w niniejszym rozporządzeniu.(115) | This Regulation should be without prejudice to rules addressing needs specific to individual sectors or areas of public interest. Such rules may include additional requirements on the technical aspects of data access, such as interfaces for data access, or how data access could be provided, for example directly from the product or via data intermediation services. Such rules may also include limits on the rights of data holders to access or use user data, or other aspects beyond data access and use, such as governance aspects or security requirements, including cybersecurity requirements. This Regulation should also be without prejudice to more specific rules in the context of the development of common European data spaces or, subject to the exceptions provided for in this Regulation, to Union and national law providing for access to and authorising the use of data for scientific research purposes.
(116) | Niniejsze rozporządzenie nie powinno wpływać na stosowanie reguł konkurencji, w szczególności art. 101 i 102 TFUE. Środków przewidzianych w niniejszym rozporządzeniu nie należy stosować do ograniczania konkurencji w sposób sprzeczny z TFUE.(116) | This Regulation should not affect the application of the rules of competition, in particular Articles 101 and 102 TFEU. The measures provided for in this Regulation should not be used to restrict competition in a manner contrary to the TFEU.
(117) | Aby umożliwić podmiotom wchodzącym w zakres stosowania niniejszego rozporządzenia dostosowanie się do nowych przepisów przewidzianych w nim i na dokonanie niezbędnych uzgodnień technicznych, przepisy te powinny zacząć obowiązywać od dnia 12 września 2025 r.(117) | In order to allow actors within the scope of this Regulation to adapt to the new rules provided for herein, and to make the necessary technical arrangements, those rules should apply from 12 September 2025.
(118) | Zgodnie z art. 42 ust. 1 i 2 rozporządzenia (UE) 2018/1725 skonsultowano się z Europejskim Inspektorem Ochrony Danych i Europejską Radą Ochrony Danych, którzy wydali opinie w dniu 4 maja 2022 r.(118) | The European Data Protection Supervisor and the European Data Protection Board were consulted in accordance with Article 42(1) and (2) of Regulation (EU) 2018/1725 and delivered their opinion on 4 May 2022.
(119) | Ponieważ cele niniejszego rozporządzenia, a mianowicie zapewnienie sprawiedliwego podziału wartości z danych między podmiotami gospodarki opartej na danych oraz wspieranie sprawiedliwego dostępu do danych i ich wykorzystywania w celu przyczynienia się do ustanowienia prawdziwego rynku wewnętrznego danych, nie mogą zostać osiągnięte w sposób wystarczający przez państwa członkowskie, natomiast ze względu na ich skalę i skutki, oraz transgraniczne wykorzystywanie danych, możliwe jest ich lepsze osiągnięcie na poziomie Unii, może ona podjąć działania zgodnie z zasadą pomocniczości określoną w art. 5 Traktatu o Unii Europejskiej. Zgodnie z zasadą proporcjonalności, określoną w tym artykule, niniejsze rozporządzenie nie wykracza poza to, co jest konieczne do osiągnięcia tych celów,(119) | Since the objectives of this Regulation, namely ensuring fairness in the allocation of value from data among actors in the data economy and fostering fair access to and use of data in order to contribute to establishing a genuine internal market for data, cannot be sufficiently achieved by the Member States but can rather, by reason of the scale or effects of the action and cross-border use of data, be better achieved at Union level, the Union may adopt measures, in accordance with the principle of subsidiarity as set out in Article 5 of the Treaty on European Union. In accordance with the principle of proportionality as set out in that Article, this Regulation does not go beyond what is necessary in order to achieve those objectives,
PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE:HAVE ADOPTED THIS REGULATION:
ROZDZIAŁ ICHAPTER I
PRZEPISY OGÓLNEGENERAL PROVISIONS
Artykuł 1Article 1
Przedmiot i zakres stosowaniaSubject matter and scope
1.   W niniejszym rozporządzeniu ustanawia się zharmonizowane przepisy między innymi dotyczące:1.   This Regulation lays down harmonised rules, inter alia, on:
a) | udostępniania danych z produktu i z usługi powiązanej użytkownikowi produktu skomunikowanego lub usługi powiązanej;(a) | the making available of product data and related service data to the user of the connected product or related service;
b) | udostępniania danych przez posiadaczy danych odbiorcom danych;(b) | the making available of data by data holders to data recipients;
c) | udostępniania danych przez posiadaczy danych organom sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu i organom Unii – w przypadku wystąpienia wyjątkowej potrzeby wykorzystania tych danych do celów wykonania określonego zadania realizowanego w interesie publicznym;(c) | the making available of data by data holders to public sector bodies, the Commission, the European Central Bank and Union bodies, where there is an exceptional need for those data for the performance of a specific task carried out in the public interest;
d) | ułatwiania zmiany dostawcy usług przetwarzania danych;(d) | facilitating switching between data processing services;
e) | wprowadzania zabezpieczeń przed niezgodnym z prawem dostępem osób trzecich do danych nieosobowych; oraz(e) | introducing safeguards against unlawful third-party access to non-personal data; and
f) | opracowania norm interoperacyjności wobec danych, które mają być udostępniane, przekazywane i wykorzystywane.(f) | the development of interoperability standards for data to be accessed, transferred and used.
2.   Niniejsze rozporządzenie dotyczy danych osobowych i nieosobowych, w tym następujących rodzajów danych i następujących kontekstów:2.   This Regulation covers personal and non-personal data, including the following types of data, in the following contexts:
a) | rozdział II ma zastosowanie do danych, z wyjątkiem treści, dotyczących działania, wykorzystywania i środowiska produktów skomunikowanych i usług powiązanych;(a) | Chapter II applies to data, with the exception of content, concerning the performance, use and environment of connected products and related services;
b) | rozdział III ma zastosowanie do wszelkich danych sektora prywatnego podlegających ustawowym obowiązkom w zakresie dzielenia się danymi;(b) | Chapter III applies to any private sector data that is subject to statutory data sharing obligations;
c) | rozdział IV ma zastosowanie do wszelkich danych sektora prywatnego udostępnianych i wykorzystywanych na podstawie umów między przedsiębiorcami;(c) | Chapter IV applies to any private sector data accessed and used on the basis of contract between enterprises;
d) | rozdział V ma zastosowanie do wszelkich danych sektora prywatnego ze szczególnym uwzględnieniem danych nieosobowych;(d) | Chapter V applies to any private sector data with a focus on non-personal data;
e) | rozdział VI ma zastosowanie do wszelkich danych i usług przetwarzanych przez dostawców usług przetwarzania danych;(e) | Chapter VI applies to any data and services processed by providers of data processing services;
f) | rozdział VII ma zastosowanie do wszelkich danych nieosobowych dostawców usług przetwarzania danych przechowywanych na terenie Unii.(f) | Chapter VII applies to any non-personal data held in the Union by providers of data processing services.
3.   Niniejsze rozporządzenie ma zastosowanie do:3.   This Regulation applies to:
a) | producentów produktów skomunikowanych wprowadzanych do obrotu w Unii i dostawców usług powiązanych, niezależnie od miejsca siedziby tych producentów i dostawców;(a) | manufacturers of connected products placed on the market in the Union and providers of related services, irrespective of the place of establishment of those manufacturers and providers;
b) | znajdujących się w Unii użytkowników produktów skomunikowanych lub usług powiązanych, o których mowa w lit. a);(b) | users in the Union of connected products or related services as referred to in point (a);
c) | posiadaczy danych, którzy udostępniają dane odbiorcom danych w Unii, niezależnie od miejsca siedziby tych posiadaczy;(c) | data holders, irrespective of their place of establishment, that make data available to data recipients in the Union;
d) | odbiorców danych w Unii, którym dane są udostępniane;(d) | data recipients in the Union to whom data are made available;
e) | organów sektora publicznego, Komisji, Europejskiego Banku Centralnego oraz organów Unii, które w przypadku wyjątkowej potrzeby wykorzystania tych danych występują do posiadaczy danych z wnioskiem o udostępnienie danych do celów wykonania określonego zadania realizowanego w interesie publicznym, oraz posiadaczy danych, którzy dostarczają tych danych w odpowiedzi na taki wniosek;(e) | public sector bodies, the Commission, the European Central Bank and Union bodies that request data holders to make data available where there is an exceptional need for those data for the performance of a specific task carried out in the public interest and to the data holders that provide those data in response to such request;
f) | dostawców usług przetwarzania danych świadczących takie usługi klientom w Unii, niezależnie od miejsca siedziby tych dostawców;(f) | providers of data processing services, irrespective of their place of establishment, providing such services to customers in the Union;
g) | uczestników przestrzeni danych oraz sprzedawców aplikacji korzystających z inteligentnych umów, a także osób, których działalność handlowa, gospodarcza lub zawodowa obejmuje wdrażanie inteligentnych umów w ramach wykonywania umowy.(g) | participants in data spaces and vendors of applications using smart contracts and persons whose trade, business or profession involves the deployment of smart contracts for others in the context of executing an agreement.
4.   W przypadku gdy w niniejszym rozporządzeniu mowa jest o produktach skomunikowanych lub usługach powiązanych, takie odniesienia rozumie się jako obejmujące również wirtualnych asystentów, o ile wchodzą oni w interakcje z produktem skomunikowanym lub usługą powiązaną.4.   Where this Regulation refers to connected products or related services, such references are also understood to include virtual assistants insofar as they interact with a connected product or related service.
5.   Niniejsze rozporządzenie pozostaje bez uszczerbku dla prawa Unii i prawa krajowego dotyczących ochrony danych osobowych, prywatności i poufności komunikacji oraz integralności urządzeń końcowych, które mają zastosowanie do danych osobowych przetwarzanych w związku z prawami i obowiązkami ustanowionymi w niniejszym rozporządzeniu, w szczególności dla rozporządzenia (UE) 2016/679 i rozporządzenia (UE) 2018/1725 oraz dyrektywy 2002/58/WE, w tym dla uprawnień i kompetencji organów nadzorczych oraz praw osób, których dane dotyczą. W przypadku gdy użytkownicy są osobami, których dane dotyczą, prawa ustanowione w rozdziale II niniejszego rozporządzenia są uzupełnieniem ich prawa dostępu i prawa do przenoszenia danych na mocy art. 15 i 20 rozporządzenia (UE) 2016/679. W razie kolizji pomiędzy niniejszym rozporządzeniem a prawem Unii dotyczącym ochrony danych osobowych lub prywatności lub prawem krajowym przyjętym zgodnie z takim prawem Unii pierwszeństwo ma stosowne prawo Unii lub prawo krajowe dotyczące ochrony danych osobowych lub prywatności.5.   This Regulation is without prejudice to Union and national law on the protection of personal data, privacy and confidentiality of communications and integrity of terminal equipment, which shall apply to personal data processed in connection with the rights and obligations laid down herein, in particular Regulations (EU) 2016/679 and (EU) 2018/1725 and Directive 2002/58/EC, including the powers and competences of supervisory authorities and the rights of data subjects. Insofar as users are data subjects, the rights laid down in Chapter II of this Regulation shall complement the rights of access by data subjects and rights to data portability under Articles 15 and 20 of Regulation (EU) 2016/679. In the event of a conflict between this Regulation and Union law on the protection of personal data or privacy, or national legislation adopted in accordance with such Union law, the relevant Union or national law on the protection of personal data or privacy shall prevail.
6.   Niniejsze rozporządzenie nie ma zastosowania do ani nie wyklucza dobrowolnych uzgodnień dotyczących wymiany danych między podmiotami prywatnymi i publicznymi, w szczególności dobrowolnych uzgodnień dotyczących dzielenia się danymi.6.   This Regulation does not apply to or pre-empt voluntary arrangements for the exchange of data between private and public entities, in particular voluntary arrangements for data sharing.
Niniejsze rozporządzenie nie wpływa na unijne i krajowe akty prawne przewidujące dzielenie się danymi, dostęp do nich i ich wykorzystywanie do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania lub ścigania czynów zabronionych lub wykonywania kar, lub do celów celnych i podatkowych, w szczególności na rozporządzenia (UE) 2021/784, (UE) 2022/2065 i (UE) 2023/1543, dyrektywę (UE) 2023/1544, ani na współpracę międzynarodową w tej dziedzinie. Niniejsze rozporządzenie nie ma zastosowania do zbierania danych, dzielenia się nimi i ich wykorzystywania lub dostępu do danych na mocy rozporządzenia (UE) 2015/847 oraz dyrektywy (UE) 2015/849. Niniejsze rozporządzenie nie ma zastosowania do dziedzin niewchodzących w zakres prawa Unii i w żadnym wypadku nie wpływa na kompetencje państw członkowskich dotyczące bezpieczeństwa publicznego, obronności lub bezpieczeństwa narodowego, niezależnie od rodzaju podmiotu, któremu państwa członkowskie powierzyły wykonywanie zadań związanych z tymi kompetencjami, ani od ich uprawnień do ochrony innych zasadniczych funkcji państwa, w tym zapewniania integralności terytorialnej państwa oraz utrzymywania porządku publicznego. Niniejsze rozporządzenie nie wpływa na kompetencje państw członkowskich dotyczące administracji celnej i podatkowej lub zdrowia i bezpieczeństwa obywateli.This Regulation does not affect Union or national legal acts providing for the sharing of, access to and the use of data for the purpose of the prevention, investigation, detection or prosecution of criminal offences or for the execution of criminal penalties, or for customs and taxation purposes, in particular Regulations (EU) 2021/784, (EU) 2022/2065 and (EU) 2023/1543 and Directive (EU) 2023/1544, or international cooperation in that area. This Regulation does not apply to the collection or sharing of, access to or the use of data under Regulation (EU) 2015/847 and Directive (EU) 2015/849. This Regulation does not apply to areas that fall outside the scope of Union law and in any event does not affect the competences of the Member States concerning public security, defence or national security, regardless of the type of entity entrusted by the Member States to carry out tasks in relation to those competences, or their power to safeguard other essential State functions, including ensuring the territorial integrity of the State and the maintenance of law and order. This Regulation does not affect the competences of the Member States concerning customs and tax administration or the health and safety of citizens.
7.   Niniejsze rozporządzenie uzupełnia podejście samoregulacyjne przewidziane w rozporządzeniu (UE) 2018/1807 poprzez wprowadzenie dodatkowych obowiązków o zasięgu ogólnym dotyczących zmiany dostawców w chmurze.7.   This Regulation complements the self-regulatory approach of Regulation (EU) 2018/1807 by adding generally applicable obligations on cloud switching.
8.   Niniejsze rozporządzenie pozostaje bez uszczerbku dla unijnych i krajowych aktów prawnych przewidujących ochronę praw własności intelektualnej, w szczególności dyrektywy 2001/29/WE, 2004/48/WE oraz (UE) 2019/790.8.   This Regulation is without prejudice to Union and national legal acts providing for the protection of intellectual property rights, in particular Directives 2001/29/EC, 2004/48/EC and (EU) 2019/790.
9.   Niniejsze rozporządzenie pozostaje bez uszczerbku dla prawa unijnego i jest uzupełnieniem tego prawa służącego wspieraniu interesów konsumentów, zapewnianiu konsumentom wysokiego poziomu ochrony oraz ochronie ich zdrowia, bezpieczeństwa i interesów ekonomicznych, w szczególności dyrektywy 93/13/EWG, 2005/29/WE i 2011/83/UE.9.   This Regulation complements and is without prejudice to Union law which aims to promote the interests of consumers and ensure a high level of consumer protection, and to protect their health, safety and economic interests, in particular Directives 93/13/EEC, 2005/29/EC and 2011/83/EU.
10.   Niniejsze rozporządzenie nie uniemożliwia zawierania umów o dobrowolnym, zgodnym z prawem dzieleniu się danymi, w tym umów zawieranych na zasadzie wzajemności, które są zgodne z wymogami określonymi w niniejszym rozporządzeniu.10.   This Regulation does not preclude the conclusion of voluntary lawful data sharing contracts, including contracts concluded on a reciprocal basis, which comply with the requirements laid down in this Regulation.
Artykuł 2Article 2
DefinicjeDefinitions
Do celów niniejszego rozporządzenia stosuje się następujące definicje:For the purposes of this Regulation, the following definitions apply:
1) | „dane” oznaczają wszelkie cyfrowe odwzorowania działań, faktów lub informacji oraz wszelkie kompilacje takich działań, faktów lub informacji, w tym w formie zapisu dźwiękowego, wizualnego lub audiowizualnego;(1) | ‘data’ means any digital representation of acts, facts or information and any compilation of such acts, facts or information, including in the form of sound, visual or audio-visual recording;
2) | „metadane” oznaczają ustrukturyzowany opis treści danych lub sposobu wykorzystywania danych, który ułatwia wyszukiwanie lub wykorzystywanie tych danych;(2) | ‘metadata’ means a structured description of the contents or the use of data facilitating the discovery or use of that data;
3) | „dane osobowe” oznaczają dane osobowe zdefiniowane w art. 4 pkt 1 rozporządzenia (UE) 2016/679;(3) | ‘personal data’ means personal data as defined in Article 4, point (1), of Regulation (EU) 2016/679;
4) | „dane nieosobowe” oznaczają dane inne niż dane osobowe;(4) | ‘non-personal data’ means data other than personal data;
5) | „produkt skomunikowany” oznacza rzecz, która pozyskuje, generuje lub zbiera dostępne dane dotyczące jej wykorzystywania lub jej otoczenia i która jest w stanie komunikować dane z produktu za pomocą usługi łączności elektronicznej, łącza fizycznego lub dostępu na urządzeniu i której podstawową funkcją nie jest przechowywanie, przetwarzanie ani przesyłanie danych w imieniu strony innej niż użytkownik;(5) | ‘connected product’ means an item that obtains, generates or collects data concerning its use or environment and that is able to communicate product data via an electronic communications service, physical connection or on-device access, and whose primary function is not the storing, processing or transmission of data on behalf of any party other than the user;
6) | „usługa powiązana” oznacza usługę cyfrową, w tym oprogramowanie, ale z wyłączeniem usług łączności elektronicznej, która podczas zakupu, najmu, dzierżawy lub leasingu jest skomunikowana z produktem w taki sposób, że jej brak uniemożliwiłby produktowi skomunikowanemu wykonywanie co najmniej jednej z jego funkcji, lub która zostaje skomunikowana z produktem przez producenta lub osobę trzecią później, aby dodać, uaktualnić lub zmodyfikować funkcje produktu skomunikowanego;(6) | ‘related service’ means a digital service, other than an electronic communications service, including software, which is connected with the product at the time of the purchase, rent or lease in such a way that its absence would prevent the connected product from performing one or more of its functions, or which is subsequently connected to the product by the manufacturer or a third party to add to, update or adapt the functions of the connected product;
7) | „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych lub zestawach danych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;(7) | ‘processing’ means any operation or set of operations which is performed on data or on sets of data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination, or other means of making them available, alignment or combination, restriction, erasure or destruction;
8) | „usługa przetwarzania danych” oznacza świadczoną na rzecz klienta usługę cyfrową umożliwiającą wszechobecny sieciowy dostęp na żądanie do wspólnego zbioru konfigurowalnych, skalowalnych i elastycznych zasobów obliczeniowych o charakterze scentralizowanym, rozproszonym lub wysoce rozproszonym, które mogą być szybko przydzielone i uwolnione przy minimalnym wysiłku pod względem zarządzania lub interakcji z dostawcą usług;(8) | ‘data processing service’ means a digital service that is provided to a customer and that enables ubiquitous and on-demand network access to a shared pool of configurable, scalable and elastic computing resources of a centralised, distributed or highly distributed nature that can be rapidly provisioned and released with minimal management effort or service provider interaction;
9) | „usługa tego samego typu” oznacza zestaw usług przetwarzania danych, które mają ten sam główny cel, opierają się na tym samym modelu usługi przetwarzania danych i mają te same najważniejsze funkcje;(9) | ‘same service type’ means a set of data processing services that share the same primary objective, data processing service model and main functionalities;
10) | „usługa pośrednictwa danych” oznacza usługę pośrednictwa danych zdefiniowaną w art. 2 pkt 11 rozporządzenia (UE) 2022/868;(10) | ‘data intermediation service’ means data intermediation service as defined in Article 2, point (11), of Regulation (EU) 2022/868;
11) | „osoba, której dane dotyczą” oznacza osobę, której dane dotyczą, o której mowa w art. 4 pkt 1 rozporządzenia (UE) 2016/679;(11) | ‘data subject’ means data subject as referred to in Article 4, point (1), of Regulation (EU) 2016/679;
12) | „użytkownik” oznacza osobę fizyczną lub prawną, która jest właścicielem produktu skomunikowanego lub której na podstawie umowy przekazane zostały tymczasowe prawa do korzystania z tego produktu skomunikowanego, lub która korzysta z usług powiązanych;(12) | ‘user’ means a natural or legal person that owns a connected product or to whom temporary rights to use that connected product have been contractually transferred, or that receives related services;
13) | „posiadacz danych” oznacza osobę fizyczną lub prawną, która ma prawo lub obowiązek – zgodnie z niniejszym rozporządzeniem, mającym zastosowanie prawem Unii lub prawem krajowym przyjętym zgodnie z prawem Unii – wykorzystywać i udostępniać dane, w tym o ile zostało to przewidziane umową, dane z produktu lub dane z usługi powiązanej pobrane lub wygenerowane przez nią podczas świadczenia powiązanej usługi;(13) | ‘data holder’ means a natural or legal person that has the right or obligation, in accordance with this Regulation, applicable Union law or national legislation adopted in accordance with Union law, to use and make available data, including, where contractually agreed, product data or related service data which it has retrieved or generated during the provision of a related service;
14) | „odbiorca danych” oznacza osobę fizyczną lub prawną działającą w celach związanych z jej działalnością handlową, gospodarczą, rzemieślniczą lub zawodową, inną niż użytkownik produktu skomunikowanego lub usługi powiązanej, której to osobie posiadacz danych udostępnia dane, w tym osobę trzecią na wniosek użytkownika skierowany do posiadacza danych lub zgodnie z obowiązkiem prawnym wynikającym z prawa Unii lub prawem krajowym przyjętym zgodnie z prawem Unii;(14) | ‘data recipient’ means a natural or legal person, acting for purposes which are related to that person’s trade, business, craft or profession, other than the user of a connected product or related service, to whom the data holder makes data available, including a third party following a request by the user to the data holder or in accordance with a legal obligation under Union law or national legislation adopted in accordance with Union law;
15) | „dane z produktu” oznaczają dane wygenerowane w wyniku korzystania z produktu skomunikowanego, które producent zaprojektował tak, by użytkownik, posiadacz danych lub osoba trzecia, w tym w stosownym przypadku producent, mogli je pobierać za pomocą usługi łączności elektronicznej, łącza fizycznego lub dostępu na urządzeniu;(15) | ‘product data’ means data generated by the use of a connected product that the manufacturer designed to be retrievable, via an electronic communications service, physical connection or on-device access, by a user, data holder or a third party, including, where relevant, the manufacturer;
16) | „dane z usługi powiązanej” oznaczają dane stanowiące cyfrowe odwzorowanie czynności lub zdarzeń z udziałem użytkownika związanych z produktem skomunikowanym, utrwalane przez użytkownika celowo lub generowane jako produkt uboczny jego czynności, podczas świadczenia usługi powiązanej przez dostawcę;(16) | ‘related service data’ means data representing the digitisation of user actions or of events related to the connected product, recorded intentionally by the user or generated as a by-product of the user’s action during the provision of a related service by the provider;
17) | „dane łatwo dostępne” oznaczają dane z produktu i dane z usługi powiązanej, które posiadacz danych zgodnie z prawem pozyskuje lub może zgodnie z prawem pozyskać z produktu skomunikowanego lub z usługi powiązanej bez nieproporcjonalnie dużego wysiłku wykraczającego poza prostą czynność;(17) | ‘readily available data’ means product data and related service data that a data holder lawfully obtains or can lawfully obtain from the connected product or related service, without disproportionate effort going beyond a simple operation;
18) | „tajemnica przedsiębiorstwa” oznacza tajemnicę przedsiębiorstwa zdefiniowaną w art. 2 pkt 1 dyrektywy (UE) 2016/943;(18) | ‘trade secret’ means trade secret as defined in Article 2, point (1), of Directive (EU) 2016/943;
19) | „posiadacz tajemnicy przedsiębiorstwa” oznacza posiadacza tajemnicy przedsiębiorstwa zdefiniowanego w art. 2 pkt 2 dyrektywy (UE) 2016/943;(19) | ‘trade secret holder’ means a trade secret holder as defined in Article 2, point (2), of Directive (EU) 2016/943;
20) | „profilowanie” oznacza profilowanie zdefiniowane w art. 4 pkt 4 rozporządzenia (UE) 2016/679;(20) | ‘profiling’ means profiling as defined in Article 4, point (4), of Regulation (EU) 2016/679;
21) | „udostępnienie na rynku” oznacza każde dostarczenie produktu skomunikowanego na rynek Unii w celu jego dystrybucji, konsumpcji lub wykorzystywania w ramach działalności handlowej, odpłatnie lub nieodpłatnie;(21) | ‘making available on the market’ means any supply of a connected product for distribution, consumption or use on the Union market in the course of a commercial activity, whether in return for payment or free of charge;
22) | „wprowadzenie do obrotu” oznacza udostępnienie produktu skomunikowanego na rynku Unii po raz pierwszy;(22) | ‘placing on the market’ means the first making available of a connected product on the Union market;
23) | „konsument” oznacza osobę fizyczną działającą w celach, które nie mieszczą się w ramach jej działalności handlowej, gospodarczej, rzemieślniczej lub zawodowej;(23) | ‘consumer’ means any natural person who is acting for purposes which are outside that person’s trade, business, craft or profession;
24) | „przedsiębiorstwo” oznacza osobę fizyczną lub prawną, która w związku z umowami i praktykami objętymi niniejszym rozporządzeniem działa w celach związanych z jej działalnością handlową, gospodarczą, rzemieślniczą lub zawodową;(24) | ‘enterprise’ means a natural or legal person that, in relation to contracts and practices covered by this Regulation, is acting for purposes which are related to that person’s trade, business, craft or profession;
25) | „małe przedsiębiorstwo” oznacza małe przedsiębiorstwo zdefiniowane w art. 2 ust. 2 zalecenia 2003/361/WE;(25) | ‘small enterprise’ means a small enterprise as defined in Article 2(2) of the Annex to Recommendation 2003/361/EC;
26) | „mikroprzedsiębiorstwo” oznacza mikroprzedsiębiorstwo zdefiniowane w art. 2 ust. 3 załącznika do zalecenia 2003/361/WE;(26) | ‘microenterprise’ means a microenterprise as defined in Article 2(3) of the Annex to Recommendation 2003/361/EC;
27) | „organy Unii” oznaczają organy i jednostki organizacyjne Unii ustanowione na mocy aktów przyjętych na podstawie Traktatu o Unii Europejskiej, TFUE lub Traktatu ustanawiającego Europejską Wspólnotę Energii Atomowej lub zgodnie z nimi;(27) | ‘Union bodies’ means the Union bodies, offices and agencies set up by or pursuant to acts adopted on the basis of the Treaty on European Union, the TFEU or the Treaty establishing the European Atomic Energy Community;
28) | „organ sektora publicznego” oznacza organy krajowe, regionalne lub lokalne państw członkowskich oraz podmioty prawa publicznego państw członkowskich lub związki złożone z co najmniej jednego takiego organu lub z co najmniej jednego takiego podmiotu;(28) | ‘public sector body’ means national, regional or local authorities of the Member States and bodies governed by public law of the Member States, or associations formed by one or more such authorities or one or more such bodies;
29) | „niebezpieczeństwo publiczne” oznacza ograniczoną w czasie sytuację wyjątkową, taką jak stan zagrożenia zdrowia publicznego, sytuacja nadzwyczajna w wyniku klęski żywiołowej, poważna katastrofa spowodowana przez człowieka, w tym poważny cyberincydent, która to sytuacja negatywnie wpływa na ludność Unii, państwa członkowskiego lub ich części i wiąże się z ryzykiem wystąpienia poważnych i trwałych następstw dla warunków życia lub stabilności gospodarczej, stabilności finansowej lub z ryzykiem znacznego i natychmiastowego obniżenia wartości aktywów gospodarczych w Unii lub w danym państwie członkowskim i którą stwierdza się lub oficjalnie ogłasza zgodnie z odpowiednimi procedurami przewidzianymi w prawie Unii lub prawie krajowym;(29) | ‘public emergency’ means an exceptional situation, limited in time, such as a public health emergency, an emergency resulting from natural disasters, a human-induced major disaster, including a major cybersecurity incident, negatively affecting the population of the Union or the whole or part of a Member State, with a risk of serious and lasting repercussions for living conditions or economic stability, financial stability, or the substantial and immediate degradation of economic assets in the Union or the relevant Member State and which is determined or officially declared in accordance with the relevant procedures under Union or national law;
30) | „klient” oznacza osobę fizyczną lub prawną, która nawiązała stosunek umowny z dostawcą usług przetwarzania danych w celu skorzystania z co najmniej jednej usługi przetwarzania danych;(30) | ‘customer’ means a natural or legal person that has entered into a contractual relationship with a provider of data processing services with the objective of using one or more data processing services;
31) | „wirtualni asystenci” oznaczają oprogramowanie, które może przetwarzać żądania, zadania lub pytania, w tym na podstawie dźwięku, pisma, gestów lub ruchów, i które na podstawie tych żądań, zadań lub pytań zapewnia dostęp do innych usług lub kontroluje funkcje produktów skomunikowanych;(31) | ‘virtual assistants’ means software that can process demands, tasks or questions including those based on audio, written input, gestures or motions, and that, based on those demands, tasks or questions, provides access to other services or controls the functions of connected products;
32) | „aktywa cyfrowe” oznaczają elementy w formacie cyfrowym, w tym aplikacje, z których klient ma prawo korzystać, niezależnie od stosunku umownego obejmującego usługę przetwarzania danych, której dostawcę zamierza zmienić;(32) | ‘digital assets’ means elements in digital form, including applications, for which the customer has the right of use, independently from the contractual relationship with the data processing service it intends to switch from;
33) | „lokalna infrastruktura ICT” oznacza infrastrukturę ICT i zasoby obliczeniowe będące własnością klienta, przedmiotem najmu, dzierżawy lub leasingu przez niego, znajdujące się w jego własnym centrum danych i obsługiwane przez tego klienta lub osobę trzecią;(33) | ‘on-premises ICT infrastructure’ means ICT infrastructure and computing resources owned, rented or leased by the customer, located in the data centre of the customer itself and operated by the customer or by a third-party;
34) | „zmiana dostawcy” oznacza proces, w którym uczestniczą wyjściowy dostawca usług przetwarzania danych, klient korzystający z usługi przetwarzania danych oraz, w odpowiednich przypadkach, docelowy dostawca usług przetwarzania danych i w ramach którego klient korzystający z usługi przetwarzania danych przechodzi od korzystania z jednej usługi przetwarzania danych do korzystania z innej usługi tego samego typu lub z innej usługi oferowanych przez innego dostawcę usług przetwarzania danych, lub z lokalnej infrastruktury ICT, w tym poprzez ekstrakcję, transformację i załadowanie danych;(34) | ‘switching’ means the process involving a source provider of data processing services, a customer of a data processing service and, where relevant, a destination provider of data processing services, whereby the customer of a data processing service changes from using one data processing service to using another data processing service of the same service type, or other service, offered by a different provider of data processing services, or to an on-premises ICT infrastructure, including through extracting, transforming and uploading the data;
35) | „opłaty z tytułu wychodzącego ruchu danych” oznaczają opłaty za przekazanie danych pobierane od klientów za ekstrakcję ich danych przez sieć z infrastruktury ICT dostawcy usług przetwarzania danych do systemów innego dostawcy lub do infrastruktury lokalnej ICT;(35) | ‘data egress charges’ means data transfer fees charged to customers for extracting their data through the network from the ICT infrastructure of a provider of data processing services to the system of a different provider or to on-premises ICT infrastructure;
36) | „opłaty z tytułu zmiany dostawcy” oznaczają opłaty – inne niż standardowe opłaty za usługę lub kary za wcześniejsze rozwiązanie umowy – nakładane przez dostawcę usług przetwarzania danych na klienta za działania wymagane zgodnie z niniejszym rozporządzeniem w celu zmiany na system innego dostawcy lub lokalną infrastrukturę ICT, w tym opłaty z tytułu wychodzącego ruchu danych;(36) | ‘switching charges’ means charges, other than standard service fees or early termination penalties, imposed by a provider of data processing services on a customer for the actions mandated by this Regulation for switching to the system of a different provider or to on-premises ICT infrastructure, including data egress charges;
37) | „równoważność funkcjonalna” oznacza przywrócenie – na podstawie danych eksportowalnych i aktywów cyfrowych klienta – minimalnego poziomu funkcjonalności w środowisku nowej usługi przetwarzania danych tego samego typu po procesie zmiany dostawcy, przy czym usługa docelowa przetwarzania danych daje zasadniczo porównywalny rezultat w odpowiedzi na te same dane wejściowe dla jednakowych funkcji dostarczanych klientowi na podstawie umowy;(37) | ‘functional equivalence’ means re-establishing on the basis of the customer’s exportable data and digital assets, a minimum level of functionality in the environment of a new data processing service of the same service type after the switching process, where the destination data processing service delivers a materially comparable outcome in response to the same input for shared features supplied to the customer under the contract;
38) | „dane eksportowalne” do celów art. 23 do 31 i art. 35 oznaczają dane wejściowe i wyjściowe, w tym metadane, bezpośrednio lub pośrednio wygenerowane bądź współwygenerowane w wyniku korzystania przez klienta z usługi przetwarzania danych zapewnianej przez dostawców usług przetwarzania danych lub osoby trzecie, z wyłączeniem wszelkich aktywów lub danych, które są objęte prawami własności intelektualnej lub są tajemnicami przedsiębiorstwa;(38) | ‘exportable data’, for the purpose of Articles 23 to 31 and Article 35, means the input and output data, including metadata, directly or indirectly generated, or cogenerated, by the customer’s use of the data processing service, excluding any assets or data protected by intellectual property rights, or constituting a trade secret, of providers of data processing services or third parties;
39) | „inteligentna umowa” oznacza program komputerowy stosowany do automatycznego wykonywania umowy lub jej części, używający sekwencji elektronicznych rekordów danych i zapewniający ich integralność i dokładność ich chronologicznego uporządkowania;(39) | ‘smart contract’ means a computer program used for the automated execution of an agreement or part thereof, using a sequence of electronic data records and ensuring their integrity and the accuracy of their chronological ordering;
40) | „interoperacyjność” oznacza zdolność co najmniej dwóch przestrzeni danych lub sieci komunikacyjnych, systemów, produktów skomunikowanych, aplikacji, usług przetwarzania danych lub komponentów do wymiany i wykorzystywania danych w celu wykonywania swoich funkcji;(40) | ‘interoperability’ means the ability of two or more data spaces or communication networks, systems, connected products, applications, data processing services or components to exchange and use data in order to perform their functions;
41) | „otwarte specyfikacje w zakresie interoperacyjności” oznaczają specyfikacje techniczne w dziedzinie ICT, które są ukierunkowane na osiągnięcie interoperacyjności między usługami przetwarzania danych;(41) | open interoperability specification’ means a technical specification in the field of information and communication technologies which is performance oriented towards achieving interoperability between data processing services;
42) | „wspólne specyfikacje” oznaczają dokument inny niż norma, zawierający rozwiązania techniczne zapewniające środki umożliwiające przestrzeganie niektórych wymagań i obowiązków ustanowionych na podstawie niniejszego rozporządzenia;(42) | ‘common specifications’ means a document, other than a standard, containing technical solutions providing a means to comply with certain requirements and obligations established under this Regulation;
43) | „norma zharmonizowana” oznacza normę zharmonizowaną zdefiniowaną w art. 2 pkt 1 lit. c) rozporządzenia (UE) nr 1025/2012;(43) | ‘harmonised standard’ means a harmonised standard as defined in Article 2, point (1)(c), of Regulation (EU) No 1025/2012.
ROZDZIAŁ IICHAPTER II
DZIELENIE SIĘ DANYMI PRZEZ PRZEDSIĘBIORCÓW Z KONSUMENTAMI I Z INNYMI PRZEDSIĘBIORCAMIBUSINESS TO CONSUMER AND BUSINESS TO BUSINESS DATA SHARING
Artykuł 3Article 3
Obowiązek udostępniania danych z produktu i z usługi powiązanej użytkownikowiObligation to make product data and related service data accessible to the user
1.   Produkty skomunikowane są projektowane i produkowane, a usługi powiązane projektowane i świadczone w taki sposób, aby dane z produktu i z usługi powiązanej, w tym stosowne metadane niezbędne do interpretacji i wykorzystania danych, były domyślnie łatwo, bezpiecznie, bezpłatnie, w całościowym, ustrukturyzowanym, powszechnie używanym i nadającym się do odczytu maszynowego formacie oraz, w stosownym przypadku i jeśli jest to technicznie możliwe, bezpośrednio dostępne dla użytkownika.1.   Connected products shall be designed and manufactured, and related services shall be designed and provided, in such a manner that product data and related service data, including the relevant metadata necessary to interpret and use those data, are, by default, easily, securely, free of charge, in a comprehensive, structured, commonly used and machine-readable format, and, where relevant and technically feasible, directly accessible to the user.
2.   Zanim zawarta zostanie umowa sprzedaży, najmu, dzierżawy lub leasingu produktu skomunikowanego, sprzedawca, wynajmujący, wydzierżawiający lub leasingodawca, którym może być producent, przedstawiają użytkownikowi w jasny i zrozumiały sposób co najmniej następujące informacje:2.   Before concluding a contract for the purchase, rent or lease of a connected product, the seller, rentor or lessor, which may be the manufacturer, shall provide at least the following information to the user, in a clear and comprehensible manner:
a) | rodzaj, format i szacunkową ilość danych z produktu, które produkt skomunikowany jest w stanie wygenerować;(a) | the type, format and estimated volume of product data which the connected product is capable of generating;
b) | czy produkt skomunikowany jest w stanie generować dane w sposób ciągły i w czasie rzeczywistym;(b) | whether the connected product is capable of generating data continuously and in real-time;
c) | czy produkt skomunikowany jest w stanie przechowywać dane na urządzeniu lub na zdalnym serwerze, w tym w stosownym przypadku zamierzony okres zatrzymywania danych;(c) | whether the connected product is capable of storing data on-device or on a remote server, including, where applicable, the intended duration of retention;
d) | w jaki sposób użytkownik może uzyskać dostęp do tych danych, pobrać je lub w stosownym przypadku usunąć, w tym środki techniczne stosowane w tym celu, a także warunki ich wykorzystywania i jakość usługi.(d) | how the user may access, retrieve or, where relevant, erase the data, including the technical means to do so, as well as their terms of use and quality of service.
3.   Zanim zawarta zostanie umowa o świadczenie usługi powiązanej, dostawca takiej usługi zapewnia użytkownikowi w jasny i zrozumiały sposób co najmniej następujące informacje:3.   Before concluding a contract for the provision of a related service, the provider of such related service shall provide at least the following information to the user, in a clear and comprehensible manner:
a) | charakter, szacunkową ilość i częstotliwość zbierania danych z produktu, które ma pozyskiwać przyszły posiadacz danych, oraz w stosownym przypadku uzgodnienia dotyczące dostępu użytkownika do takich danych lub ich pobierania, w tym uzgodnienia dotyczące przechowywania i okresu zatrzymywania danych przyszłego posiadacza danych;(a) | the nature, estimated volume and collection frequency of product data that the prospective data holder is expected to obtain and, where relevant, the arrangements for the user to access or retrieve such data, including the prospective data holder’s data storage arrangements and the duration of retention;
b) | charakter i szacunkową ilość danych z usługi powiązanej, które będą generowane, oraz uzgodnienia dotyczące dostępu użytkownika do takich danych lub ich pobierania, w tym uzgodnienia dotyczące przechowywania i okresu zatrzymywania danych przyszłego posiadacza danych;(b) | the nature and estimated volume of related service data to be generated, as well as the arrangements for the user to access or retrieve such data, including the prospective data holder’s data storage arrangements and the duration of retention;
c) | czy przyszły posiadacz danych planuje sam wykorzystywać dane łatwo dostępne i cele, w których dane te będą wykorzystywane, oraz czy zamierza zezwolić co najmniej jednej osobie trzeciej na wykorzystywanie danych do celów uzgodnionych z użytkownikiem;(c) | whether the prospective data holder expects to use readily available data itself and the purposes for which those data are to be used, and whether it intends to allow one or more third parties to use the data for purposes agreed upon with the user;
d) | tożsamość przyszłego posiadacza danych, taką jak jego nazwę handlową i adres geograficzny, pod którym ma siedzibę, oraz w stosownym przypadku tożsamość innych osób przetwarzających dane;(d) | the identity of the prospective data holder, such as its trading name and the geographical address at which it is established and, where applicable, of other data processing parties;
e) | środki komunikacji umożliwiające szybki kontakt z przyszłym posiadaczem danych i sprawną komunikację z tym posiadaczem danych;(e) | the means of communication which make it possible to contact the prospective data holder quickly and communicate with that data holder efficiently;
f) | w jaki sposób użytkownik może wystąpić z wnioskiem o dzielenie się danymi z osobą trzecią i w stosownym przypadku zakończyć dzielenie się danymi;(f) | how the user can request that the data are shared with a third party and, where applicable, end the data sharing;
g) | prawo użytkownika do wniesienia skargi dotyczącej naruszenia przepisów niniejszego rozdziału do właściwego organu wyznaczonego zgodnie z art. 37;(g) | the user’s right to lodge a complaint alleging an infringement of any of the provisions of this Chapter with the competent authority designated pursuant to Article 37;
h) | czy przyszły posiadacz danych jest posiadaczem tajemnic przedsiębiorstwa zawartych w danych, do których łatwo będzie można uzyskać dostęp z produktu skomunikowanego lub które będą generowane w trakcie świadczenia usługi powiązanej, a jeśli przyszły posiadacz danych nie jest posiadaczem tajemnic przedsiębiorstwa, jaka jest tożsamość posiadacza tajemnic przedsiębiorstwa;(h) | whether a prospective data holder is the holder of trade secrets contained in the data that is accessible from the connected product or generated during the provision of a related service, and, where the prospective data holder is not the trade secret holder, the identity of the trade secret holder;
i) | okres obowiązywania umowy między użytkownikiem a przyszłym posiadaczem danych oraz uzgodnienia dotyczące rozwiązania takiej umowy.(i) | the duration of the contract between the user and the prospective data holder, as well as the arrangements for terminating such a contract.
Artykuł 4Article 4
Prawa i obowiązki użytkowników i posiadaczy danych w odniesieniu do dostępu do danych z produktu i z usługi powiązanej, ich wykorzystywania i udostępnianiaThe rights and obligations of users and data holders with regard to access, use and making available product data and related service data
1.   W przypadku gdy użytkownik nie może uzyskać bezpośredniego dostępu do danych z produktu skomunikowanego lub z usługi powiązanej, posiadacze danych bez zbędnej zwłoki, w sposób łatwy i bezpieczny, nieodpłatnie udostępniają użytkownikowi dane łatwo dostępne, wraz z odpowiednimi metadanymi niezbędnymi do interpretacji i wykorzystania tych danych, cechujące się taką samą jakością, jaka jest dostępna dla posiadacza danych, w całościowym, ustrukturyzowanym, powszechnie używanym, nadającym się do odczytu maszynowego formacie oraz w stosownym przypadku i jeżeli jest to technicznie wykonalne – w sposób ciągły i w czasie rzeczywistym. Odbywa się to na podstawie zwykłego wniosku złożonego drogą elektroniczną, jeżeli jest to technicznie możliwe.1.   Where data cannot be directly accessed by the user from the connected product or related service, data holders shall make readily available data, as well as the relevant metadata necessary to interpret and use those data, accessible to the user without undue delay, of the same quality as is available to the data holder, easily, securely, free of charge, in a comprehensive, structured, commonly used and machine-readable format and, where relevant and technically feasible, continuously and in real-time. This shall be done on the basis of a simple request through electronic means where technically feasible.
2.   Użytkownicy i posiadacze danych mogą umownie ograniczyć lub zakazać dostępu do danych, ich wykorzystywania lub dalszego dzielenia się nimi, jeżeli takie przetwarzanie mogłoby zagrozić wymaganiom bezpieczeństwa produktu skomunikowanego określonym w prawie Unii lub prawie krajowym i mieć poważny negatywny wpływ na zdrowie, bezpieczeństwo lub ochronę osób fizycznych. Organy sektorowe mogą zapewnić użytkownikom i posiadaczom danych fachową wiedzę techniczną w tym kontekście. W przypadku gdy posiadacz danych odmawia dzielenia się danymi na podstawie niniejszego artykułu, powiadamia on właściwy organ wyznaczony zgodnie z art. 37.2.   Users and data holders may contractually restrict or prohibit accessing, using or further sharing data, if such processing could undermine security requirements of the connected product, as laid down by Union or national law, resulting in a serious adverse effect on the health, safety or security of natural persons. Sectoral authorities may provide users and data holders with technical expertise in that context. Where the data holder refuses to share data pursuant to this Article, it shall notify the competent authority designated pursuant to Article 37.
3.   Bez uszczerbku dla przysługującego użytkownikowi w dowolnym momencie prawa do dochodzenia roszczeń przed sądem lub trybunałem państwa członkowskiego, użytkownik może w związku ze sporem z posiadaczem danych w sprawie ograniczeń umownych lub zakazów, o których mowa w ust. 2:3.   Without prejudice to the user’s right to seek redress at any stage before a court or tribunal of a Member State, the user may, in relation to any dispute with the data holder concerning the contractual restrictions or prohibitions referred to in paragraph 2:
a) | wnieść skargę do właściwego organu zgodnie z art. 37 ust. 5 lit. b); lub(a) | lodge, in accordance with Article 37(5), point (b), a complaint with the competent authority; or
b) | uzgodnić z posiadaczem danych wniesienie sprawy do organu rozstrzygania sporów zgodnie z art. 10 ust. 1.(b) | agree with the data holder to refer the matter to a dispute settlement body in accordance with Article 10(1).
4.   Posiadacze danych nie utrudniają bezzasadnie użytkownikom dokonywania wyborów ani wykonywania praw na podstawie niniejszego artykułu, w tym poprzez oferowanie użytkownikom wyboru w sposób nieneutralny lub poprzez podważanie lub ograniczanie autonomii, zdolności decyzyjnych lub wyborów użytkownika za pomocą struktury, projektu, funkcji lub sposobu działania interfejsu cyfrowego użytkownika bądź jego części.4.   Data holders shall not make the exercise of choices or rights under this Article by the user unduly difficult, including by offering choices to the user in a non-neutral manner or by subverting or impairing the autonomy, decision-making or choices of the user via the structure, design, function or manner of operation of a user digital interface or a part thereof.
5.   W celu kontroli, czy osoba fizyczna lub prawna kwalifikuje się jako użytkownik na potrzeby ust. 1, posiadacz danych nie wymaga od użytkownika dostarczenia żadnych informacji poza tymi, które są niezbędne. Posiadacze danych nie zachowują żadnych informacji, w szczególności danych z rejestru zdarzeń, na temat dostępu użytkownika do żądanych danych poza informacjami, które są niezbędne do należytego wykonania wniosku użytkownika o dostęp oraz do zapewnienia bezpieczeństwa i utrzymania infrastruktury danych.5.   For the purpose of verifying whether a natural or legal person qualifies as a user for the purposes of paragraph 1, a data holder shall not require that person to provide any information beyond what is necessary. Data holders shall not keep any information, in particular log data, on the user’s access to the data requested beyond what is necessary for the sound execution of the user’s access request and for the security and maintenance of the data infrastructure.
6.   Chroni się tajemnice przedsiębiorstwa i ujawnia się je wyłącznie wtedy, gdy posiadacz danych i użytkownik przed ujawnieniem zastosują wszelkie środki niezbędne do ochrony ich poufności, w szczególności w odniesieniu do osób trzecich. Posiadacz danych lub, jeżeli nie jest to ta sama osoba, posiadacz tajemnicy przedsiębiorstwa identyfikują dane chronione, w tym stosowne metadane, jako tajemnice przedsiębiorstwa i uzgadniają z użytkownikiem proporcjonalne środki techniczne i organizacyjne niezbędne do ochrony poufności danych podlegających dzieleniu się, w szczególności w odniesieniu do osób trzecich, takie jak modelowe postanowienia umowne, umowy o poufności, protokoły ścisłego dostępu, normy techniczne oraz stosowanie kodeksów postępowania.6.   Trade secrets shall be preserved and shall be disclosed only where the data holder and the user take all necessary measures prior to the disclosure to preserve their confidentiality in particular regarding third parties. The data holder or, where they are not the same person, the trade secret holder shall identify the data which are protected as trade secrets, including in the relevant metadata, and shall agree with the user proportionate technical and organisational measures necessary to preserve the confidentiality of the shared data, in particular in relation to third parties, such as model contractual terms, confidentiality agreements, strict access protocols, technical standards and the application of codes of conduct.
7.   W przypadku gdy nie uzgodniono niezbędnych środków technicznych, o których mowa w ust. 6, lub gdy użytkownik nie wdraża środków uzgodnionych zgodnie z ust. 6 lub zagraża poufności tajemnic przedsiębiorstwa, posiadacz danych może wstrzymać lub w stosownym przypadku zawiesić dzielenie się danymi zidentyfikowanymi jako tajemnice przedsiębiorstwa. Posiadacz danych należycie uzasadnia decyzję i bez zbędnej zwłoki przekazuje ją na piśmie użytkownikowi. W takich przypadkach posiadacz danych powiadamia właściwy organ wyznaczony zgodnie z art. 37, że wstrzymał lub zawiesił dzielenie się danymi, i wskazuje, których środków nie wdrożono lub nie zastosowano, lub w stosownym przypadku poufność których tajemnic przedsiębiorstwa zagrożono.7.   Where there is no agreement on the necessary measures referred to in paragraph 6, or if the user fails to implement the measures agreed pursuant to paragraph 6 or undermines the confidentiality of the trade secrets, the data holder may withhold or, as the case may be, suspend the sharing of data identified as trade secrets. The decision of the data holder shall be duly substantiated and provided in writing to the user without undue delay. In such cases, the data holder shall notify the competent authority designated pursuant to Article 37 that it has withheld or suspended data sharing and identify which measures have not been agreed or implemented and, where relevant, which trade secrets have had their confidentiality undermined.
8.   W wyjątkowych okolicznościach, w przypadku gdy posiadacz danych będący posiadaczem tajemnicy przedsiębiorstwa może wykazać, że mimo środków technicznych i organizacyjnych zastosowanych przez użytkownika zgodnie z ust. 6 niniejszego artykułu ujawnienie tajemnic handlowych z dużym prawdopodobieństwem poskutkuje poważną szkodą ekonomiczną, posiadacz danych może w tym konkretnym przypadku odrzucić wniosek o dostęp do tych konkretnych danych. Wykazane informacje zostają należycie uzasadnione na podstawie obiektywnych elementów, w szczególności egzekwowalności tajemnic przedsiębiorstwa w krajach trzecich, charakteru i poziomu poufności żądanych danych oraz niepowtarzalności i nowatorskości produktu skomunikowanego, i przedstawione na piśmie bez zbędnej zwłoki. W przypadku gdy posiadacz danych odmawia dzielenia się danymi na podstawie niniejszego ustępu, powiadamia on właściwy organ wyznaczony zgodnie z art. 37.8.   In exceptional circumstances, where the data holder who is a trade secret holder is able to demonstrate that it is highly likely to suffer serious economic damage from the disclosure of trade secrets, despite the technical and organisational measures taken by the user pursuant to paragraph 6 of this Article, that data holder may refuse on a case-by-case basis a request for access to the specific data in question. That demonstration shall be duly substantiated on the basis of objective elements, in particular the enforceability of trade secrets protection in third countries, the nature and level of confidentiality of the data requested, and the uniqueness and novelty of the connected product, and shall be provided in writing to the user without undue delay. Where the data holder refuses to share data pursuant to this paragraph, it shall notify the competent authority designated pursuant to Article 37.
9.   Bez uszczerbku dla przysługującego użytkownikowi w dowolnym momencie prawa do dochodzenia roszczeń przed sądem lub trybunałem państwa członkowskiego, użytkownik chcący zaskarżyć decyzję posiadacza danych o odmowie, wstrzymaniu lub zawieszeniu dzielenia się danymi zgodnie z ust. 7 i 8 może:9.   Without prejudice to a user’s right to seek redress at any stage before a court or tribunal of a Member State, a user wishing to challenge a data holder’s decision to refuse or to withhold or suspend data sharing pursuant to paragraphs 7 and 8 may:
a) | wnieść skargę zgodnie z art. 37 ust. 5 lit. b) do właściwego organu, który bez zbędnej zwłoki podejmuje decyzję, czy i na jakich warunkach dzielenie się danymi powinno się rozpocząć lub zostać wznowione; lub(a) | lodge, in accordance with Article 37(5), point (b), a complaint with the competent authority, which shall, without undue delay, decide whether and under which conditions data sharing is to start or resume; or
b) | uzgodnić z posiadaczem danych wniesienie sprawy do organu rozstrzygania sporów zgodnie z art. 10 ust. 1.(b) | agree with the data holder to refer the matter to a dispute settlement body in accordance with Article 10(1).
10.   Użytkownik nie wykorzystuje danych pozyskanych na podstawie wniosku, o którym mowa w ust. 1, do opracowania produktu skomunikowanego konkurującego z produktem skomunikowanym, z którego pochodzą dane, ani nie dzieli się w tym celu danymi z osobą trzecią i nie wykorzystuje takich danych do pozyskania informacji o sytuacji ekonomicznej, aktywach i metodach produkcji producenta lub w stosownym przypadku posiadacza danych.10.   The user shall not use the data obtained pursuant to a request referred to in paragraph 1 to develop a connected product that competes with the connected product from which the data originate, nor share the data with a third party with that intent and shall not use such data to derive insights about the economic situation, assets and production methods of the manufacturer or, where applicable the data holder.
11.   Użytkownik nie stosuje środków przymusu ani nie nadużywa luk w infrastrukturze technicznej posiadacza danych, która ma chronić dane, w celu uzyskania dostępu do danych.11.   The user shall not use coercive means or abuse gaps in the technical infrastructure of a data holder which is designed to protect the data in order to obtain access to data.
12.   W przypadku gdy użytkownik nie jest osobą, której dotyczą dane osobowe objęte wnioskiem, wszelkie dane osobowe wygenerowane w wyniku korzystania z produktu skomunikowanego lub usługi powiązanej są udostępniane użytkownikowi przez posiadacza danych wyłącznie wtedy, gdy istnieje ważna podstawa prawna przetwarzania zgodnie z art. 6 rozporządzenia (UE) 2016/679 oraz w stosownym przypadku spełnione są warunki określone w art. 9 tego rozporządzenia i w art. 5 ust. 3 dyrektywy (UE) 2002/58.12.   Where the user is not the data subject whose personal data is requested, any personal data generated by the use of a connected product or related service shall be made available by the data holder to the user only where there is a valid legal basis for processing under Article 6 of Regulation (EU) 2016/679 and, where relevant, the conditions of Article 9 of that Regulation and of Article 5(3) of Directive 2002/58/EC are fulfilled.
13.   Posiadacz danych wykorzystuje dane łatwo dostępne będące danymi nieosobowymi wyłącznie na podstawie umowy z użytkownikiem. Posiadacz danych nie wykorzystuje takich danych do pozyskania informacji o sytuacji ekonomicznej, aktywach i metodach produkcji użytkownika lub korzystaniu przez użytkownika, które to informacje mogłyby w inny sposób osłabić pozycję handlową użytkownika na rynkach jego działalności.13.   A data holder shall only use any readily available data that is non-personal data on the basis of a contract with the user. A data holder shall not use such data to derive insights about the economic situation, assets and production methods of, or the use by, the user in any other manner that could undermine the commercial position of that user on the markets in which the user is active.
14.   Posiadacze danych nie udostępniają danych nieosobowych z produktu osobom trzecim w celach handlowych lub niehandlowych innych niż realizacja umowy z użytkownikiem. W stosownych przypadkach posiadacze danych umownie zobowiązują osoby trzecie, aby nie dzieliły się dalej otrzymanymi od nich danymi.14.   Data holders shall not make available non-personal product data to third parties for commercial or non-commercial purposes other than the fulfilment of their contract with the user. Where relevant, data holders shall contractually bind third parties not to further share data received from them.
Artykuł 5Article 5
Prawo użytkownika do dzielenia się danymi z osobami trzecimiRight of the user to share data with third parties
1.   Na wniosek użytkownika lub strony działającej w jego imieniu posiadacz danych bez zbędnej zwłoki w sposób łatwy i bezpieczny oraz nieodpłatnie dla użytkownika udostępnia osobie trzeciej dane łatwo dostępne wraz z odpowiednimi metadanymi niezbędnymi do interpretacji i wykorzystania tych danych cechujące się taką samą jakością, jaka jest dostępna dla posiadacza danych, w całościowym, ustrukturyzowanym, powszechnie używanym, nadającym się do odczytu maszynowego formacie oraz w stosownym przypadku i jeżeli jest to technicznie możliwe – w sposób ciągły i w czasie rzeczywistym. Danych są udostępniane przez posiadacza danych osobie trzeciej zgodnie z art. 8 i 9.1.   Upon request by a user, or by a party acting on behalf of a user, the data holder shall make available readily available data, as well as the relevant metadata necessary to interpret and use those data, to a third party without undue delay, of the same quality as is available to the data holder, easily, securely, free of charge to the user, in a comprehensive, structured, commonly used and machine-readable format and, where relevant and technically feasible, continuously and in real-time. The data shall be made available by the data holder to the third party in accordance with Articles 8 and 9.
2.   Ust. 1 nie ma zastosowania do danych łatwo dostępnych w kontekście testowania nowych produktów skomunikowanych, substancji lub procesów, które nie zostały jeszcze wprowadzone do obrotu, chyba że ich wykorzystanie przez osobę trzecią jest dozwolone na podstawie umowy.2.   Paragraph 1 shall not apply to readily available data in the context of the testing of new connected products, substances or processes that are not yet placed on the market unless their use by a third party is contractually permitted.
3.   Przedsiębiorstwo wskazane jako strażnik dostępu na mocy art. 3 rozporządzenia (UE) 2022/1925 nie kwalifikuje się jako osoba trzecia na mocy niniejszego artykułu, a zatem:3.   Any undertaking designated as a gatekeeper, pursuant to Article 3 of Regulation (EU) 2022/1925, shall not be an eligible third party under this Article and therefore shall not:
a) | w żaden sposób nie nakłania ani komercyjnie nie zachęca użytkownika, w tym przez zapewnienie rekompensaty pieniężnej lub jakiejkolwiek innej, do udostępnienia danych, które użytkownik pozyskał na podstawie wniosku złożonego zgodnie z art. 4 ust. 1, na potrzeby jednej ze swoich usług;(a) | solicit or commercially incentivise a user in any manner, including by providing monetary or any other compensation, to make data available to one of its services that the user has obtained pursuant to a request under Article 4(1);
b) | nie nakłania ani komercyjnie nie zachęca użytkownika do zwrócenia się do posiadacza danych z wnioskiem o udostępnienie danych na potrzeby jednej ze swoich usług zgodnie z ust. 1 niniejszego artykułu;(b) | solicit or commercially incentivise a user to request the data holder to make data available to one of its services pursuant to paragraph 1 of this Article;
c) | nie otrzymuje danych od użytkownika, które użytkownik pozyskał na podstawie wniosku złożonego zgodnie z art. 4 ust. 1.(c) | receive data from a user that the user has obtained pursuant to a request under Article 4(1).
4.   W celu kontroli, czy osoba fizyczna lub prawna kwalifikuje się jako użytkownik lub osoba trzecia w świetle ust. 1, użytkownik ani osoba trzecia nie muszą dostarczać żadnych informacji poza tymi, które są niezbędne. Posiadacze danych nie zachowują żadnych informacji na temat dostępu osoby trzeciej do żądanych danych poza informacjami, które są niezbędne do należytego wykonania wniosku osoby trzeciej o dostęp oraz do zapewnienia bezpieczeństwa i utrzymania infrastruktury danych.4.   For the purpose of verifying whether a natural or legal person qualifies as a user or as a third party for the purposes of paragraph 1, the user or the third party shall not be required to provide any information beyond what is necessary. Data holders shall not keep any information on the third party’s access to the data requested beyond what is necessary for the sound execution of the third party’s access request and for the security and maintenance of the data infrastructure.
5.   Osoba trzecia nie stosuje środków przymusu ani nie nadużywa luk w infrastrukturze technicznej posiadacza danych, która ma chronić dane, w celu uzyskania dostępu do danych.5.   The third party shall not use coercive means or abuse gaps in the technical infrastructure of a data holder which is designed to protect the data in order to obtain access to data.
6.   Posiadacz danych nie wykorzystuje danych łatwo dostępnych do pozyskania informacji o sytuacji ekonomicznej, aktywach i metodach produkcji osoby trzeciej lub korzystaniu przez osobę trzecią w inny sposób, które to informacje mogłyby osłabić pozycję handlową osoby trzeciej na rynkach jej działalności, chyba że osoba trzecia pozwoliła na takie wykorzystanie i ma techniczną możliwość łatwego wycofania tego pozwolenia w dowolnym momencie.6.   A data holder shall not use any readily available data to derive insights about the economic situation, assets and production methods of, or the use by, the third party in any other manner that could undermine the commercial position of the third party on the markets in which the third party is active, unless the third party has given permission to such use and has the technical possibility to easily withdraw that permission at any time.
7.   W przypadku gdy użytkownik nie jest osobą, której dotyczą dane osobowe objęte wnioskiem, wszelkie dane osobowe wygenerowane w wyniku korzystania z produktu skomunikowanego lub usługi powiązanej są udostępniane osobie trzeciej przez posiadacza danych, wyłącznie wtedy, gdy istnieje ważna podstawa prawna przetwarzania zgodnie z art. 6 rozporządzenia (UE) 2016/679, oraz gdy w stosownym przypadku spełnione są warunki określone w art. 9 tego rozporządzenia i w art. 5 ust. 3 dyrektywy (UE) 2022/58.7.   Where the user is not the data subject whose personal data is requested, any personal data generated by the use of a connected product or related service shall be made available by the data holder to the third party only where there is a valid legal basis for processing under Article 6 of Regulation (EU) 2016/679 and, where relevant, the conditions of Article 9 of that Regulation and of Article 5(3) of Directive 2002/58/EC are fulfilled.
8.   Wszelkie przypadki niedokonania przez posiadacza danych i osobę trzecią uzgodnień dotyczących przesyłania danych nie utrudniają, nie uniemożliwiają ani nie zakłócają wykonywania praw przysługujących osobie, której dane dotyczą, na podstawie rozporządzenia (UE) 2016/679, a w szczególności prawa do przenoszenia danych na podstawie w art. 20 tego rozporządzenia.8.   Any failure on the part of the data holder and the third party to agree on arrangements for transmitting the data shall not hinder, prevent or interfere with the exercise of the rights of the data subject under Regulation (EU) 2016/679 and, in particular, with the right to data portability under Article 20 of that Regulation.
9.   Chroni się tajemnice przedsiębiorstwa i ujawnia się je osobom trzecim wyłącznie w zakresie, w jakim jest to ściśle niezbędne do realizacji celu uzgodnionego przez użytkownika i osobę trzecią. Posiadacz danych lub, jeżeli nie jest to ta sama osoba, posiadacz tajemnicy przedsiębiorstwa identyfikują dane chronione jako tajemnice przedsiębiorstwa, w tym stosowne metadane, i uzgadniają z użytkownikiem wszelkie proporcjonalne środki techniczne i organizacyjne niezbędne do ochrony poufności danych będących przedmiotem dzielenia się, takie jak modelowe postanowienia umowne, umowy o poufności, protokoły ścisłego dostępu, normy techniczne oraz stosowanie kodeksów postępowania.9.   Trade secrets shall be preserved and shall be disclosed to third parties only to the extent that such disclosure is strictly necessary to fulfil the purpose agreed between the user and the third party. The data holder or, where they are not the same person, the trade secret holder shall identify the data which are protected as trade secrets, including in the relevant metadata, and shall agree with the third party all proportionate technical and organisational measures necessary to preserve the confidentiality of the shared data, such as model contractual terms, confidentiality agreements, strict access protocols, technical standards and the application of codes of conduct.
10.   W przypadku gdy nie uzgodniono niezbędnych środków, o których mowa w ust. 9, lub gdy osoba trzecia nie wdraża środków uzgodnionych zgodnie z ust. 9 lub zagraża poufności tajemnic przedsiębiorstwa, posiadacz danych może wstrzymać lub w stosownym przypadku zawiesić dzielenie się danymi zidentyfikowanymi jako tajemnice przedsiębiorstwa. Posiadacz danych należycie uzasadnia decyzję i bez zbędnej zwłoki przekazuje ją na piśmie osobie trzeciej. W takich przypadkach posiadacz danych powiadamia właściwy organ wyznaczony zgodnie z art. 37, że wstrzymał lub zawiesił dzielenie się danymi, i wskazuje, których środków nie uzgodniono lub nie wdrożono lub w stosownym przypadku poufność których tajemnic przedsiębiorstwa zagrożono.10.   Where there is no agreement on the necessary measures referred to in paragraph 9 of this Article or if the third party fails to implement the measures agreed pursuant to paragraph 9 of this Article or undermines the confidentiality of the trade secrets, the data holder may withhold or, as the case may be, suspend the sharing of data identified as trade secrets. The decision of the data holder shall be duly substantiated and provided in writing to the third party without undue delay. In such cases, the data holder shall notify the competent authority designated pursuant to Article 37 that it has withheld or suspended data sharing and identify which measures have not been agreed or implemented and, where relevant, which trade secrets have had their confidentiality undermined.
11.   W wyjątkowych okolicznościach, kiedy posiadacz danych będący posiadaczem tajemnicy przedsiębiorstwa może wykazać, że mimo środków technicznych i organizacyjnych zastosowanych przez osobę trzecią zgodnie z art. 9 niniejszego artykułu, ujawnienie tajemnic handlowych z dużym prawdopodobieństwem poskutkuje poważną szkodą ekonomiczną, posiadacz danych może w tym konkretnym przypadku odrzucić wniosek o dostęp do tych konkretnych danych. Wykazane informacje zostają należycie uzasadnione na podstawie obiektywnych elementów, w szczególności egzekwowalności tajemnic przedsiębiorstwa w krajach trzecich, charakteru i poziomu poufności żądanych danych oraz niepowtarzalności i nowatorskości produktu, i przedstawione na piśmie bez zbędnej zwłoki. W przypadku gdy posiadacz danych odmawia dzielenia się danymi na podstawie niniejszego ustępu, powiadamia on właściwy organ wyznaczony zgodnie z art. 37.11.   In exceptional circumstances, where the data holder who is a trade secret holder is able to demonstrate that it is highly likely to suffer serious economic damage from the disclosure of trade secrets, despite the technical and organisational measures taken by the third party pursuant to paragraph 9 of this Article, that data holder may refuse on a case-by-case basis a request for access to the specific data in question. That demonstration shall be duly substantiated on the basis of objective elements, in particular the enforceability of trade secrets protection in third countries, the nature and level of confidentiality of the data requested, and the uniqueness and novelty of the connected product, and shall be provided in writing to the third party without undue delay. Where the data holder refuses to share data pursuant to this paragraph, it shall notify the competent authority designated pursuant to Article 37.
12.   Bez uszczerbku dla prawa do dochodzenia roszczeń w dowolnym momencie przed sądem lub trybunałem państwa członkowskiego, osoba trzecia chcąca zaskarżyć decyzję posiadacza danych o odmowie, wstrzymaniu lub zawieszeniu dzielenia się danymi zgodnie z ust. 10 i 11 może:12.   Without prejudice to the third party’s right to seek redress at any stage before a court or tribunal of a Member State, a third party wishing to challenge a data holder’s decision to refuse or to withhold or suspend data sharing pursuant to paragraphs 10 and 11 may:
a) | wnieść skargę do właściwego organu zgodnie z art. 37 ust. 5 lit. b), który bez zbędnej zwłoki podejmuje decyzję, czy i na jakich warunkach dzielenie się danymi powinno się rozpocząć lub zostać wznowione; lub(a) | lodge, in accordance with Article 37(5), point (b), a complaint with the competent authority, which shall, without undue delay, decide whether and under which conditions the data sharing is to start or resume; or
b) | uzgodnić z posiadaczem danych wniesienie sprawy do organu rozstrzygania sporów zgodnie z art. 10 ust. 1.(b) | agree with the data holder to refer the matter to a dispute settlement body in accordance with Article 10(1).
13.   Prawo, o którym mowa w ust. 1, nie wpływa niekorzystnie na prawa osób, których dane dotyczą, zgodnie z mającym zastosowanie prawem Unii lub prawem krajowym dotyczącym ochrony danych osobowych lub prywatności.13.   The right referred to in paragraph 1 shall not adversely affect the rights of data subjects pursuant to the applicable Union and national law on the protection of personal data.
Artykuł 6Article 6
Obowiązki osób trzecich otrzymujących dane na wniosek użytkownikaObligations of third parties receiving data at the request of the user
1.   Osoba trzecia przetwarza dane udostępnione jej na podstawie art. 5 wyłącznie do celów i na warunkach uzgodnionych z użytkownikiem i – jeżeli spełnione są wszystkie warunki i zasady przewidziane w mającym zastosowanie prawie Unii lub prawie krajowym dotyczącym ochrony danych osobowych lub prywatności w tym prawach osoby, której dane dotyczą, w odniesieniu do danych osobowych. Osoba trzecia usuwa dane, gdy nie są one już niezbędne do uzgodnionego celu, chyba że uzgodniono inaczej z użytkownikiem w odniesieniu do danych nieosobowych.1.   A third party shall process the data made available to it pursuant to Article 5 only for the purposes and under the conditions agreed with the user and subject to Union and national law on the protection of personal data including the rights of the data subject insofar as personal data are concerned. The third party shall erase the data when they are no longer necessary for the agreed purpose, unless otherwise agreed with the user in relation to non-personal data.
2.   Osoba trzecia:2.   The third party shall not:
a) | bezzasadnie nie utrudnia użytkownikom dokonywania wyborów i wykonywania praw na podstawie art. 5 i niniejszego artykułu, w tym poprzez oferowanie użytkownikom wyboru w sposób nieneutralny lub zmuszanie, wprowadzanie w błąd użytkownika lub manipulowanie nim, bądź podważanie lub ograniczanie autonomii, zdolności decyzyjnych lub wyborów użytkowników, w tym za pomocą cyfrowego interfejsu użytkownika lub za pomocą jego części;(a) | make the exercise of choices or rights under Article 5 and this Article by the user unduly difficult, including by offering choices to the user in a non-neutral manner, or by coercing, deceiving or manipulating the user, or by subverting or impairing the autonomy, decision-making or choices of the user, including by means of a user digital interface or a part thereof;
b) | niezależnie od art. 22 ust. 2 lit. a) i c) rozporządzenia (UE) 2016/679 nie wykorzystuje otrzymanych danych do profilowania, chyba że jest to niezbędne do świadczenia usługi żądanej przez użytkownika;(b) | notwithstanding Article 22(2), points (a) and (c), of Regulation (EU) 2016/679, use the data it receives for the profiling, unless it is necessary to provide the service requested by the user;
c) | nie udostępnia otrzymanych danych innej osobie trzeciej, chyba że udostępnia je na podstawie umowy z użytkownikiem, i pod warunkiem że ta inna osoba trzecia zastosuje wszystkie niezbędne środki uzgodnione między posiadaczem danych a osobą trzecią w celu ochrony poufności tajemnic przedsiębiorstwa;(c) | make the data it receives available to another third party, unless the data is made available on the basis of a contract with the user, and provided that the other third party takes all necessary measures agreed between the data holder and the third party to preserve the confidentiality of trade secrets;
d) | nie udostępnia otrzymanych danych przedsiębiorstwu wskazanemu jako strażnik dostępu na podstawie art. 3 rozporządzenia (UE) 2022/1925;(d) | make the data it receives available to an undertaking designated as a gatekeeper pursuant to Article 3 of Regulation (EU) 2022/1925;
e) | nie wykorzystuje otrzymanych danych do opracowania produktu konkurującego z produktem skomunikowanym, z którego pochodzą dane, ani nie dzieli się nimi w tym celu z inną osobą trzecią; osoby trzecie nie wykorzystują też udostępnionych im danych nieosobowych z produktu lub z usługi powiązanej do pozyskania informacji o sytuacji ekonomicznej, aktywach i metodach produkcji posiadacza danych lub korzystaniu przez niego z produktu lub usługi powiązanej;(e) | use the data it receives to develop a product that competes with the connected product from which the accessed data originate or share the data with another third party for that purpose; third parties shall also not use any non-personal product data or related service data made available to them to derive insights about the economic situation, assets and production methods of, or use by, the data holder;
f) | nie wykorzystuje otrzymanych danych w sposób, który niekorzystnie wpływa na bezpieczeństwo produktu skomunikowanego lub usługi powiązanej;(f) | use the data it receives in a manner that has an adverse impact on the security of the connected product or related service;
g) | nie ignoruje szczególnych środków uzgodnionych z posiadaczem danych lub posiadaczem tajemnic przedsiębiorstwa zgodnie z art. 5 ust. 9 i nie zagraża poufności tajemnic przedsiębiorstwa;(g) | disregard the specific measures agreed with a data holder or with the trade secrets holder pursuant to Article 5(9) and undermine the confidentiality of trade secrets;
h) | nie uniemożliwia użytkownikowi będącemu konsumentem, w tym w drodze umowy, udostępniania innym osobom otrzymanych przez siebie danych.(h) | prevent the user that is a consumer, including on the basis of a contract, from making the data it receives available to other parties.
Artykuł 7Article 7
Zakres obowiązków dzielenia się danymi przez przedsiębiorców z konsumentami i z innymi przedsiębiorcamiScope of business-to-consumer and business-to-business data sharing obligations
1.   Obowiązki przewidziane w niniejszym rozdziale nie mają zastosowania do danych wygenerowanych w wyniku korzystania z wyprodukowanych lub zaprojektowanych produktów skomunikowanych lub z usług powiązanych dostarczonych przez mikroprzedsiębiorstwo lub małe przedsiębiorstwo, pod warunkiem że przedsiębiorstwo to nie ma przedsiębiorstwa partnerskiego ani przedsiębiorstwa powiązanego w rozumieniu art. 3 załącznika do zalecenia 2003/361/WE, które nie kwalifikuje się jako mikroprzedsiębiorstwo lub małe przedsiębiorstwo, a mikroprzedsiębiorstwo lub małe przedsiębiorstwo nie jest podwykonawcą, któremu zlecono wyprodukowanie lub zaprojektowanie produktu skomunikowanego lub też świadczenie usługi powiązanej.1.   The obligations of this Chapter shall not apply to data generated through the use of connected products manufactured or designed or related services provided by a microenterprise or a small enterprise, provided that that enterprise does not have a partner enterprise or a linked enterprise within the meaning of Article 3 of the Annex to Recommendation 2003/361/EC that does not qualify as a microenterprise or a small enterprise and where the microenterprise and small enterprise is not subcontracted to manufacture or design a connected product or to provide a related service.
To samo ma zastosowanie do danych wygenerowanych w wyniku korzystania z produktów skomunikowanych wyprodukowanych lub z usług powiązanych dostarczonych przez przedsiębiorstwa, które kwalifikują się jako średnie przedsiębiorstwa zgodnie z art. 2 załącznika do zalecenia 2003/361/WE przez okres krótszy niż rok, oraz do produktów skomunikowanych przez okres jednego roku od dnia wprowadzenia ich do obrotu przez średnie przedsiębiorstwo.The same shall apply to data generated through the use of connected products manufactured by or related services provided by an enterprise that has qualified as a medium-sized enterprise under Article 2 of the Annex to Recommendation 2003/361/EC for less than one year and to connected products for one year after the date on which they were placed on the market by a medium-sized enterprise.
2.   Postanowienie umowne, które ze szkodą dla użytkownika wyklucza stosowanie praw użytkownika przewidzianych w niniejszym rozdziale, stanowi odstępstwo od nich lub zmienia ich skutek, nie jest dla użytkownika wiążące.2.   Any contractual term which, to the detriment of the user, excludes the application of, derogates from or varies the effect of the user’s rights under this Chapter shall not be binding on the user.
ROZDZIAŁ IIICHAPTER III
OBOWIĄZKI POSIADACZY DANYCH ZOBOWIĄZANYCH DO UDOSTĘPNIANIA DANYCH ZGODNIE Z PRAWEM UNIIOBLIGATIONS FOR DATA HOLDERS OBLIGED TO MAKE DATA AVAILABLE PURSUANT TO UNION LAW
Artykuł 8Article 8
Warunki udostępniania danych przez posiadaczy danych odbiorcom danychConditions under which data holders make data available to data recipients
1.   W przypadku gdy w relacjach między przedsiębiorcami posiadacz danych jest zobowiązany do udostępnienia danych odbiorcy danych na podstawie art. 5 lub innego mającego zastosowanie prawa Unii, lub prawa krajowego przyjętego zgodnie z prawem Unii, uzgadnia on z odbiorcą danych uzgodnienia dotyczące udostępnienia danych i robi to na sprawiedliwych, rozsądnych i niedyskryminujących zasadach oraz w przejrzysty sposób zgodnie z niniejszym rozdziałem i rozdziałem IV.1.   Where, in business-to-business relations, a data holder is obliged to make data available to a data recipient under Article 5 or under other applicable Union law or national legislation adopted in accordance with Union law, it shall agree with a data recipient the arrangements for making the data available and shall do so under fair, reasonable and non-discriminatory terms and conditions and in a transparent manner in accordance with this Chapter and Chapter IV.
2.   Postanowienie umowne dotyczące dostępu do danych i ich wykorzystywania lub odpowiedzialności i środków ochrony prawnej wobec naruszenia lub odstąpienia od obowiązków dotyczących danych nie jest wiążące, jeżeli stanowi nieuczciwe postanowienie umowne w rozumieniu art. 13 lub jeżeli na szkodę użytkownika wyłącza stosowanie praw użytkownika wynikających z rozdziału II, stanowi odstępstwo od tych praw lub zmienia ich skutek.2.   A contractual term concerning access to and the use of data, or liability and remedies for the breach or termination of data-related obligations, shall not be binding if it constitutes an unfair contractual term within the meaning of Article 13 or if, to the detriment of the user, it excludes the application of, derogates from or varies the effect of the user’s rights under Chapter II.
3.   Przy udostępnianiu danych posiadacz danych nie rozróżnia uzgodnień dotyczących udostępniania danych dla porównywalnych kategorii odbiorców danych, w tym przedsiębiorstw partnerskich lub przedsiębiorstw powiązanych posiadacza danych. W przypadku gdy odbiorca danych uważa, że warunki, na których dane zostały mu udostępnione, są dyskryminujące, posiadacz danych bez zbędnej zwłoki przedstawia odbiorcy danych na jego uzasadniony wniosek informacje wykazujące, że nie doszło do dyskryminacji.3.   A data holder shall not discriminate regarding the arrangements for making data available between comparable categories of data recipients, including partner enterprises or linked enterprises of the data holder when making data available. Where a data recipient considers that the conditions under which data has been made available to it are discriminatory, the data holder shall without undue delay provide the data recipient, upon its reasoned request, with information showing that there has been no discrimination.
4.   Posiadacz danych nie udostępnia danych odbiorcy danych, w tym na zasadzie wyłączności, chyba że użytkownik wystąpi z wnioskiem o to na podstawie rozdziału II.4.   A data holder shall not make data available to a data recipient, including on an exclusive basis, unless requested to do so by the user under Chapter II.
5.   Posiadacze danych i odbiorcy danych nie mają obowiązku przedstawiania żadnych informacji poza tymi, które są niezbędne do kontroli przestrzegania postanowień umownych uzgodnionych w celu udostępnienia danych lub obowiązków wynikających z niniejszego rozporządzenia lub innego mającego zastosowanie prawa Unii, lub prawa krajowego przyjętego zgodnie z prawem Unii.5.   Data holders and data recipients shall not be required to provide any information beyond what is necessary to verify compliance with the contractual terms agreed for making data available or with their obligations under this Regulation or other applicable Union law or national legislation adopted in accordance with Union law.
6.   O ile prawo Unii, w tym art. 4 ust. 6 i art. 5 ust. 9 niniejszego rozporządzenia, lub przepisy krajowe przyjęte zgodnie z prawem Unii nie stanowią inaczej, obowiązek udostępnienia danych odbiorcy danych nie zobowiązuje do ujawnienia tajemnic przedsiębiorstwa.6.   Unless otherwise provided for in Union law, including Article 4(6) and Article 5(9) of this Regulation, or by national legislation adopted in accordance with Union law, an obligation to make data available to a data recipient shall not oblige the disclosure of trade secrets.
Artykuł 9Article 9
Rekompensata za udostępnienie danychCompensation for making data available
1.   Wszelka rekompensata uzgodniona między posiadaczem danych a odbiorcą danych za udostępnienie danych w relacjach między przedsiębiorcami jest niedyskryminacyjna, zasadna i może obejmować marżę.1.   Any compensation agreed upon between a data holder and a data recipient for making data available in business-to-business relations shall be non- discriminatory and reasonable and may include a margin.
2.   Przy uzgadnianiu wszelkiej rekompensaty posiadacz danych i odbiorca danych uwzględniają w szczególności:2.   When agreeing on any compensation, the data holder and the data recipient shall take into account in particular:
a) | koszty poniesione w celu udostępnienia danych, w tym w szczególności koszty niezbędne do sformatowania danych, rozpowszechnienia danych za pomocą środków elektronicznych i ich przechowywania;(a) | costs incurred in making the data available, including, in particular, the costs necessary for the formatting of data, dissemination via electronic means and storage;
b) | inwestycje poczynione w zebranie i wytworzenie danych, w stosownym przypadku z uwzględnieniem, czy do pozyskania, wygenerowania lub zebrania przedmiotowych danych przyczyniły się inne strony.(b) | investments in the collection and production of data, where applicable, taking into account whether other parties contributed to obtaining, generating or collecting the data in question.
3.   Rekompensata, o której mowa w ust. 1, może także zależeć od ilości, formatu i charakteru danych.3.   The compensation referred to in paragraph 1 may also depend on the volume, format and nature of the data.
4.   W przypadku gdy odbiorcą danych jest MŚP lub niekomercyjna organizacja badawcza i gdy taki odbiorca danych nie ma przedsiębiorstw partnerskich ani przedsiębiorstw powiązanych, które nie kwalifikują się jako MŚP, uzgodniona rekompensata nie przekracza kosztów, o których mowa w ust. 2 lit. a).4.   Where the data recipient is an SME or a not-for-profit research organisation and where such a data recipient does not have partner enterprises or linked enterprises that do not qualify as SMEs, any compensation agreed shall not exceed the costs referred to in paragraph 2, point (a).
5.   Komisja przyjmuje wytyczne w sprawie obliczania zasadnej rekompensaty, uwzględniając stanowisko Europejskiej Rady ds. Innowacji w zakresie Danych o której mowa w art. 42.5.   The Commission shall adopt guidelines on the calculation of reasonable compensation, taking into account the advice of the European Data Innovation Board (EDIB) referred to in Article 42.
6.   Niniejszy artykuł nie stoi na przeszkodzie temu, by inne prawo Unii lub prawo krajowe przyjęte zgodnie z prawem Unii wykluczały rekompensaty za udostępnienie danych lub przewidywały niższe wynagrodzenie.6.   This Article shall not preclude other Union law or national legislation adopted in accordance with Union law from excluding compensation for making data available or providing for lower compensation.
7.   Posiadacz danych przedstawia odbiorcy danych w sposób wystarczająco szczegółowy informacje określające podstawę obliczania rekompensaty, tak aby odbiorca danych mógł ocenić, czy spełnione zostały wymogi przewidziane w ust. 1—4.7.   The data holder shall provide the data recipient with information setting out the basis for the calculation of the compensation in sufficient detail so that the data recipient can assess whether the requirements of paragraphs 1 to 4 are met.
Artykuł 10Article 10
Rozstrzyganie sporówDispute settlement
1.   Użytkownicy, posiadacze danych i odbiorcy danych mają dostęp do organów rozstrzygania sporów, certyfikowanych zgodnie z ust. 5 niniejszego artykułu, na potrzeby rozstrzygania sporów na podstawie art. 4 ust. 3 i ust. 9 oraz art. 5 ust. 12, a także sporów w sprawie sprawiedliwych, rozsądnych i niedyskryminujących zasad i przejrzystego sposobu udostępnienia danych zgodnie z niniejszym rozdziałem i rozdziałem IV.1.   Users, data holders and data recipients shall have access to a dispute settlement body, certified in accordance with paragraph 5 of this Article, to settle disputes pursuant to Article 4(3) and (9) and Article 5(12) as well as disputes relating to the fair, reasonable and non-discriminatory terms and conditions for, and transparent manner of, making data available in accordance with this Chapter and Chapter IV.
2.   Organy rozstrzygania sporów informują zainteresowane strony o wysokości opłat lub o mechanizmach stosowanych do ustalania wysokości opłat, zanim strony te wystąpią o wydanie decyzji.2.   Dispute settlement bodies shall make the fees, or the mechanisms used to determine the fees, known to the parties concerned before those parties request a decision.
3.   W przypadku sporów wniesionych do organu rozstrzygania sporów na podstawie art. 4 ust. 3 i ust. 9 oraz art. 5 ust. 12, jeżeli organ rozstrzygania sporów rozstrzygnie spór na korzyść użytkownika lub odbiorcy danych, posiadacz danych ponosi wszelkie opłaty nałożone przez organ rozstrzygania sporów i zwraca użytkownikowi lub odbiorcy danych wszelkie inne rozsądne koszty poniesione w związku z rozstrzygnięciem sporu. Jeżeli organ rozstrzygania sporów rozstrzygnie spór na korzyść posiadacza danych, użytkownik lub odbiorca danych nie są zobowiązani do zwrócenia opłat ani innych kosztów, które posiadacz danych poniósł lub ma ponieść w związku z rozstrzygnięciem sporu, chyba że organ rozstrzygania sporów uzna, że użytkownik lub odbiorca danych w oczywisty sposób działali w złej wierze.3.   For disputes referred to a dispute settlement body pursuant to Article 4(3) and (9) and Article 5(12), where the dispute settlement body decides a dispute in favour of the user or of the data recipient, the data holder shall bear all the fees charged by the dispute settlement body and shall reimburse that user or that data recipient for any other reasonable expenses that it has incurred in relation to the dispute settlement. If the dispute settlement body decides a dispute in favour of the data holder, the user or the data recipient shall not be required to reimburse any fees or other expenses that the data holder paid or is to pay in relation to the dispute settlement, unless the dispute settlement body finds that the user or the data recipient manifestly acted in bad faith.
4.   Klienci i dostawcy usług przetwarzania danych mają dostęp do organów rozstrzygania sporów, certyfikowanych zgodnie z ust. 5 niniejszego artykułu, na potrzeby rozstrzygania sporów dotyczących naruszeń praw klientów i niewywiązania się z obowiązków przez dostawców usług przetwarzania danych, zgodnie z art. 23 do 31.4.   Customers and providers of data processing services shall have access to a dispute settlement body, certified in accordance with paragraph 5 of this Article, to settle disputes relating to breaches of the rights of customers and the obligations of providers of data processing services, in accordance with Articles 23 to 31.
5.   Państwo członkowskie, w którym ma siedzibę organ rozstrzygania sporów, na wniosek tego organu dokonuje jego certyfikacji, jeżeli organ ten wykazał, że spełnia wszystkie następujące warunki:5.   The Member State where the dispute settlement body is established shall, at the request of that body, certify that body where it has demonstrated that it meets all of the following conditions:
a) | jest bezstronny i niezależny oraz będzie wydawać decyzje zgodnie z jasnym, niedyskryminującym i sprawiedliwym regulaminem wewnętrznym;(a) | it is impartial and independent, and it is to issue its decisions in accordance with clear, non-discriminatory and fair rules of procedure;
b) | dysponuje niezbędną wiedzą ekspercką, w szczególności na temat sprawiedliwych, stosownych i niedyskryminujących zasad, w tym rekompensaty, oraz przejrzystego sposobu udostępniania danych, która to wiedza pozwala organowi na skuteczne ustalanie tych zasad;(b) | it has the necessary expertise, in particular in relation to fair, reasonable and non-discriminatory terms and conditions, including compensation, and on making data available in a transparent manner, allowing the body to effectively determine those terms and conditions;
c) | jest łatwo dostępny za pośrednictwem technologii łączności elektronicznej;(c) | it is easily accessible through electronic communication technology;
d) | ma możliwość przyjmowania decyzji w sposób szybki, skuteczny i oszczędny w co najmniej jednym języku urzędowym Unii.(d) | it is capable of adopting its decisions in a swift, efficient and cost-effective manner in at least one official language of the Union.
6.   Państwa członkowskie zgłaszają Komisji organy rozstrzygania sporów certyfikowane zgodnie z ust. 5. Komisja publikuje wykaz tych organów na specjalnej stronie internetowej i na bieżąco go aktualizuje.6.   Member States shall notify to the Commission the dispute settlement bodies certified in accordance with paragraph 5. The Commission shall publish a list of those bodies on a dedicated website and keep it updated.
7.   Organy rozstrzygania sporów odmawiają rozpatrzenia wniosku o rozstrzygnięcie sporu, który został już wniesiony do innego organu rozstrzygania sporów, bądź do sądu lub trybunału państwa członkowskiego.7.   A dispute settlement body shall refuse to deal with a request to resolve a dispute that has already been brought before another dispute settlement body or before a court or tribunal of a Member State.
8.   Organy rozstrzygania sporów dają stronom możliwość wyrażenia, w rozsądnym terminie, swojego stanowiska w sprawach wniesionych przez te strony do tych organów. W tym kontekście każda strona sporu otrzyma stanowiska drugiej strony sporu oraz wszelkie opinie ekspertów. Stronom zapewnia się możliwość ustosunkowania się do tych stanowisk i opinii.8.   A dispute settlement body shall grant parties the possibility, within a reasonable period of time, to express their points of view on the matters those parties have brought before that body. In that context, each party to a dispute shall be provided with the submissions of the other party to their dispute and any statements made by experts. The parties shall be given the possibility to comment on those submissions and statements.
9.   Organy rozstrzygania sporów przyjmują decyzję w skierowanych do nich sprawach w ciągu 90 dni od otrzymania wniosku zgodnie z ust. 1 i 4. Decyzje te sporządza się na piśmie lub na trwałym nośniku i opatruje uzasadnieniem.9.   A dispute settlement body shall adopt its decision on a matter referred to it within 90 days of receipt of a request pursuant to paragraphs 1 and 4. That decision shall be in writing or on a durable medium and shall be supported by a statement of reasons.
10.   Organy rozstrzygania sporów sporządzają i podają do wiadomości publicznej roczne sprawozdania z działalności. Roczne sprawozdania zawierają w szczególności następujące informacje ogólne:10.   Dispute settlement bodies shall draw up and make publicly available annual activity reports. Such annual reports shall include, in particular, the following general information:
a) | zbiorcze podsumowanie wyników sporów;(a) | an aggregation of the outcomes of disputes;
b) | średni czas rozstrzygania sporów;(b) | the average time taken to resolve disputes;
c) | najczęstsze powody sporów.(c) | the most common reasons for disputes.
11.   Aby ułatwić wymianę informacji i najlepszych praktyk, organ rozstrzygania sporów może zdecydować o dodaniu do sprawozdania, o którym mowa w ust. 10, zaleceń dotyczących metod zapobiegania problemom lub ich rozwiązywania.11.   In order to facilitate the exchange of information and best practices, a dispute settlement body may decide to include recommendations in the report referred to in paragraph 10 as to how problems can be avoided or resolved.
12.   Decyzja organu rozstrzygającego spory jest wiążąca dla stron wyłącznie wtedy, gdy strony wyraźnie zgodziły się na jej wiążący charakter przed rozpoczęciem postępowania w sprawie rozstrzygnięcia sporu.12.   The decision of a dispute settlement body shall be binding on the parties only if the parties have explicitly consented to its binding nature prior to the start of the dispute settlement proceedings.
13.   Niniejszy artykuł nie wpływa na prawa stron do dochodzenia skutecznego środka prawnego przed sądem lub trybunałem państwa członkowskiego.13.   This Article does not affect the right of parties to seek an effective remedy before a court or tribunal of a Member State.
Artykuł 11Article 11
Techniczne środki ochrony i przepisy dotyczące nieuprawnionego wykorzystywania lub ujawniania danychTechnical protection measures on the unauthorised use or disclosure of data
1.   Posiadacz danych może stosować odpowiednie techniczne środki ochrony, w tym inteligentne umowy i szyfrowanie, aby zapobiec nieuprawnionemu dostępowi do danych, w tym metadanych, i zapewnić zgodność z art. 5, 6, 8 i 9 oraz uzgodnionymi postanowieniami umownymi dotyczącymi udostępniania danych. Takie techniczne środki ochrony nie powodują różnego traktowania odbiorców danych ani nie ograniczają prawa użytkownika do uzyskania kopii danych, pobrania bądź wykorzystania danych, dostępu do danych lub dostarczenia danych osobom trzecim zgodnie z art. 5 ani jakiegokolwiek prawa osoby trzeciej wynikającego z prawa Unii lub prawa krajowego przyjętego zgodnie z prawem Unii. Użytkownicy, osoby trzecie lub odbiorcy danych nie zmieniają ani nie usuwają takich technicznych środków ochrony, chyba że posiadacz danych wyraził na to zgodę.1.   A data holder may apply appropriate technical protection measures, including smart contracts and encryption, to prevent unauthorised access to data, including metadata, and to ensure compliance with Articles 4, 5, 6, 8 and 9, as well as with the agreed contractual terms for making data available. Such technical protection measures shall not discriminate between data recipients or hinder a user’s right to obtain a copy of, retrieve, use or access data, to provide data to third parties pursuant to Article 5 or any right of a third party under Union law or national legislation adopted in accordance with Union law. Users, third parties and data recipients shall not alter or remove such technical protection measures unless agreed by the data holder.
2.   W przypadkach, o których mowa w ust. 3, osoba trzecia lub odbiorca danych na żądanie posiadacza danych oraz w stosownych przypadkach, jeżeli nie są oni tą samą osobą, posiadacza tajemnicy przedsiębiorstwa lub użytkownika:2.   In the circumstances referred to in paragraph 3, the third party or data recipient shall comply, without undue delay, with the requests of the data holder and, where applicable and where they are not the same person, the trade secret holder or the user:
a) | usuwają dane udostępnione przez posiadacza danych oraz wszelkie ich kopie;(a) | to erase the data made available by the data holder and any copies thereof;
b) | zaprzestają produkcji, oferowania, wprowadzania do obrotu lub wykorzystywania towarów, danych wywnioskowanych lub usług wytworzonych na podstawie wiedzy pozyskanej dzięki takim danym lub przywozu, wywozu lub magazynowania do tych celów towarów naruszających prawo oraz niszczą wszelkie towary naruszające prawo, w przypadku gdy istnieje poważne ryzyko, że niezgodne z prawem wykorzystywanie tych danych spowoduje znaczną szkodę dla posiadacza danych, posiadacza tajemnicy przedsiębiorstwa lub użytkownika, lub gdy taki środek nie byłby nieproporcjonalny w świetle interesów posiadacza danych, posiadacza tajemnicy przedsiębiorstwa lub użytkownika;(b) | to end the production, offering or placing on the market or use of goods, derivative data or services produced on the basis of knowledge obtained through such data, or the importation, export or storage of infringing goods for those purposes, and destroy any infringing goods, where there is a serious risk that the unlawful use of those data will cause significant harm to the data holder, the trade secret holder or the user or where such a measure would not be disproportionate in light of the interests of the data holder, the trade secret holder or the user;
c) | informują użytkownika o nieuprawnionym wykorzystaniu lub ujawnieniu danych oraz o środkach zastosowanych, aby położyć kres nieuprawnionemu wykorzystywaniu lub ujawnianiu danych;(c) | to inform the user of the unauthorised use or disclosure of the data and of the measures taken to put an end to the unauthorised use or disclosure of the data;
d) | rekompensują szkodę stronie, która ją poniosła w wyniku niewłaściwego wykorzystania lub ujawnienia takich danych udostępnionych lub wykorzystanych niezgodnie z prawem.(d) | to compensate the party suffering from the misuse or disclosure of such unlawfully accessed or used data.
3.   Ust. 2 ma zastosowanie, gdy osoba trzecia lub odbiorca danych:3.   Paragraph 2 shall apply where a third party or a data recipient has:
a) | w celu pozyskania danych przedstawili posiadaczowi danych nieprawdziwe informacje, zastosowali środki wprowadzające w błąd lub środki przymusu lub wykorzystali lukę w infrastrukturze technicznej posiadacza danych mającą chronić dane;(a) | for the purposes of obtaining data, provided false information to a data holder, deployed deceptive or coercive means or abused gaps in the technical infrastructure of the data holder designed to protect the data;
b) | wykorzystali udostępnione dane w nieuprawnionych celach, w tym do stworzenia konkurencyjnego produktu skomunikowanego w rozumieniu art. 6 ust. 2 lit. e);(b) | used the data made available for unauthorised purposes, including the development of a competing connected product within the meaning of Article 6(2), point (e);
c) | niezgodnie z prawem ujawnili dane innej osobie;(c) | unlawfully disclosed data to another party;
d) | nie utrzymali środków technicznych i organizacyjnych uzgodnionych zgodnie z art. 5 ust. 9;(d) | not maintained the technical and organisational measures agreed pursuant to Article 5(9); or
e) | bez zgody posiadacza danych zmienili lub usunęli techniczne środki ochrony stosowane przez posiadacza danych zgodnie z ust. 1 niniejszego artykułu.(e) | altered or removed technical protection measures applied by the data holder pursuant to paragraph 1 of this Article without the agreement of the data holder.
4.   Ustęp 2 ma również zastosowanie, gdy użytkownik zmienia lub usuwa techniczne środki ochrony zastosowane przez posiadacza danych lub nie utrzymuje środków technicznych i organizacyjnych zastosowanych przez użytkownika w celu ochrony tajemnic przedsiębiorstwa w porozumieniu z posiadaczem danych lub, jeżeli nie jest on tą samą osobą, z posiadaczem tajemnicy przedsiębiorstwa, a także gdy inna osoba otrzymała dane od użytkownika w wyniku naruszenia niniejszego rozporządzenia.4.   Paragraph 2 shall also apply where a user alters or removes technical protection measures applied by the data holder or does not maintain the technical and organisational measures taken by the user in agreement with the data holder or, where they are not the same person, the trade secrets holder, in order to preserve trade secrets, as well as in respect of any other party that receives the data from the user by means of an infringement of this Regulation.
5.   W przypadku gdy odbiorca danych narusza art. 6 ust. 2 lit. a) lub b), użytkownicy mają takie same prawa, jak posiadacze danych na podstawie ust. 2 niniejszego artykułu.5.   Where the data recipient infringes Article 6(2), point (a) or (b), users shall have the same rights as data holders under paragraph 2 of this Article.
Artykuł 12Article 12
Zakres obowiązków posiadaczy danych zobowiązanych zgodnie z prawem Unii do udostępniania danychScope of obligations for data holders obliged pursuant to Union law to make data available
1.   Niniejszy rozdział ma zastosowanie, w przypadku gdy w stosunkach między przedsiębiorcami posiadacz danych jest zobowiązany do udostępnienia danych odbiorcy danych na podstawie art. 5 lub mającego zastosowanie prawa Unii lub przepisów krajowych przyjętych zgodnie z prawem Unii.1.   This Chapter shall apply where, in business-to-business relations, a data holder is obliged under Article 5 or under applicable Union law or national legislation adopted in accordance with Union law, to make data available to a data recipient.
2.   Postanowienie umowne zawarte w umowie w sprawie dzielenia się danymi, które ze szkodą dla jednej ze stron lub w stosownym przypadku ze szkodą dla użytkownika wyłącza stosowanie niniejszego rozdziału, stanowi odstępstwo od niego lub zmienia jego skutki, nie jest dla tej strony wiążące.2.   A contractual term in a data sharing agreement which, to the detriment of one party, or, where applicable, to the detriment of the user, excludes the application of this Chapter, derogates from it, or varies its effect, shall not be binding on that party.
ROZDZIAŁ IVCHAPTER IV
NIEUCZCIWE POSTANOWIENIA UMOWNE MIĘDZY PRZEDSIĘBIORSTWAMI DOTYCZĄCE DOSTĘPU DO DANYCH I ICH WYKORZYSTYWANIAUNFAIR CONTRACTUAL TERMS RELATED TO DATA ACCESS AND USE BETWEEN ENTERPRISES
Artykuł 13Article 13
Nieuczciwe postanowienia umowne nałożone jednostronnie na inne przedsiębiorstwoUnfair contractual terms unilaterally imposed on another enterprise
1.   Postanowienie umowne dotyczące dostępu do danych i ich wykorzystywania lub odpowiedzialności i środków ochrony prawnej wobec naruszenia lub odstąpienia od obowiązków dotyczących danych i nałożone jednostronnie na inne przedsiębiorstwo nie jest dla tego innego przedsiębiorstwa wiążące, jeżeli postanowienie to jest nieuczciwe.1.   A contractual term concerning access to and the use of data or liability and remedies for the breach or the termination of data related obligations, which has been unilaterally imposed by an enterprise on another enterprise, shall not be binding on the latter enterprise if it is unfair.
2.   Postanowienie umowne nie jest uznawane za nieuczciwe, jeżeli stanowi odzwierciedlenie bezwzględnie obowiązujących przepisów prawa Unii, które miałyby zastosowanie, gdyby przedmiotowej sprawy nie regulowały postanowienia umowne.2.   A contractual term which reflects mandatory provisions of Union law, or provisions of Union law which would apply if the contractual terms did not regulate the matter, shall not be considered to be unfair.
3.   Postanowienie umowne jest nieuczciwe, jeżeli cechuje się tym, że jego stosowanie rażąco odbiega od dobrej praktyki handlowej w zakresie dostępu do danych i ich wykorzystywania, w przeciwieństwie do zasady dobrej wiary i uczciwego obrotu.3.   A contractual term is unfair if it is of such a nature that its use grossly deviates from good commercial practice in data access and use, contrary to good faith and fair dealing.
4.   W szczególności postanowienie umowne jest nieuczciwe do celów ust. 3, jeżeli jego celem lub skutkiem jest:4.   In particular, a contractual term shall be unfair for the purposes of paragraph 3, if its object or effect is to:
a) | wyłączenie lub ograniczenie odpowiedzialności strony, która jednostronnie narzuciła postanowienie, za czyny umyślne lub wynikające z rażącego niedbalstwa;(a) | exclude or limit the liability of the party that unilaterally imposed the term for intentional acts or gross negligence;
b) | wyłączenie środków ochrony prawnej dostępnych stronie, na którą jednostronnie narzucono postanowienie, w przypadku niewykonania zobowiązań umownych lub wyłączenie odpowiedzialności strony, która jednostronnie narzuciła postanowienie, w przypadku naruszenia tych zobowiązań;(b) | exclude the remedies available to the party upon whom the term has been unilaterally imposed in the case of non-performance of contractual obligations, or the liability of the party that unilaterally imposed the term in the case of a breach of those obligations;
c) | przyznanie stronie, która jednostronnie narzuciła postanowienie, wyłącznego prawa do ustalania, czy dostarczone dane są zgodne z umową, lub wyłącznego prawa do interpretowania postanowienia umownego.(c) | give the party that unilaterally imposed the term the exclusive right to determine whether the data supplied are in conformity with the contract or to interpret any contractual term.
5.   Domniemywa się, że postanowienie umowne jest nieuczciwe do celów ust. 3, jeżeli jego celem lub skutkiem jest:5.   A contractual term shall be presumed to be unfair for the purposes of paragraph 3 if its object or effect is to:
a) | niewłaściwe ograniczenie środków ochrony prawnej w przypadku niewykonania zobowiązań umownych lub niewłaściwe ograniczenie odpowiedzialności w przypadku naruszenia tych zobowiązań, lub rozszerzenie odpowiedzialności przedsiębiorstwa, na które jednostronnie narzucone zostało postanowienie;(a) | inappropriately limit remedies in the case of non-performance of contractual obligations or liability in the case of a breach of those obligations, or extend the liability of the enterprise upon whom the term has been unilaterally imposed;
b) | umożliwienie stronie, która jednostronnie narzuciła postanowienie, dostępu do danych drugiej umawiającej się strony i ich wykorzystania w sposób znacząco szkodliwy dla uzasadnionych interesów drugiej umawiającej się strony, w szczególności gdy takie dane zawierają szczególnie chronione dane handlowe lub są chronione tajemnicami przedsiębiorstwa lub prawami własności intelektualnej;(b) | allow the party that unilaterally imposed the term to access and use the data of the other contracting party in a manner that is significantly detrimental to the legitimate interests of the other contracting party, in particular when such data contain commercially sensitive data or are protected by trade secrets or by intellectual property rights;
c) | uniemożliwienie stronie, na którą jednostronnie nałożono postanowienie, wykorzystywania danych dostarczonych lub wygenerowanych przez tę stronę w okresie obowiązywania umowy lub ograniczenie wykorzystywania takich danych w takim stopniu, że strona ta nie jest uprawniona do wykorzystywania takich danych, pobierania ich, uzyskiwania do nich dostępu, kontrolowania ich lub wykorzystywania ich wartości w odpowiedni sposób;(c) | prevent the party upon whom the term has been unilaterally imposed from using the data provided or generated by that party during the period of the contract, or to limit the use of such data to the extent that that party is not entitled to use, capture, access or control such data or exploit the value of such data in an adequate manner;
d) | uniemożliwienie stronie, na którą jednostronnie narzucono postanowienie, rozwiązania umowy w rozsądnym terminie;(d) | prevent the party upon whom the term has been unilaterally imposed from terminating the agreement within a reasonable period;
e) | uniemożliwienie stronie, na którą jednostronnie narzucono postanowienie, uzyskania kopii danych dostarczonych lub wygenerowanych przez tę stronę w okresie obowiązywania umowy lub w rozsądnym okresie po jego rozwiązaniu;(e) | prevent the party upon whom the term has been unilaterally imposed from obtaining a copy of the data provided or generated by that party during the period of the contract or within a reasonable period after the termination thereof;
f) | umożliwienie stronie, która jednostronnie narzuciła postanowienie, rozwiązania umowy ze zbyt krótkim terminem wypowiedzenia, biorąc pod uwagę rozsądną możliwość drugiej umawiającej się strony zmiany usługi na alternatywną i porównywalną oraz szkodę finansową spowodowaną takim rozwiązaniem, chyba że istnieją ku temu poważne podstawy;(f) | enable the party that unilaterally imposed the term to terminate the contract at unreasonably short notice, taking into consideration any reasonable possibility of the other contracting party to switch to an alternative and comparable service and the financial detriment caused by such termination, except where there are serious grounds for so doing;
g) | umożliwienie stronie, która jednostronnie narzuciła postanowienie, istotnej zmiany ceny ustalonej w umowie lub jakiegokolwiek innego istotnego warunku związanego z charakterem, formatem, jakością lub ilością danych podlegających dzieleniu się, bez ważnej przyczyny określonej w umowie i bez prawa drugiej strony do rozwiązania umowy w razie takiej zmiany.(g) | enable the party that unilaterally imposed the term to substantially change the price specified in the contract or any other substantive condition related to the nature, format, quality or quantity of the data to be shared, where no valid reason and no right of the other party to terminate the contract in the case of such a change is specified in the contract.
Akapit pierwszy lit. g) nie wpływa na postanowienia pozwalające stronie, która jednostronnie narzuciła postanowienie, zastrzec sobie prawo do jednostronnej zmiany postanowień umowy na czas nieokreślony, pod warunkiem że w umowie tej określona została ważna przyczyna dla takich jednostronnych zmian, o której strona, która jednostronnie narzuciła postanowienie, jest zobowiązana w rozsądnym terminie poinformować drugą umawiającą się stronę, a druga umawiająca się strona może rozwiązać umowę w razie zmiany bez ponoszenia kosztów.Point (g) of the first subparagraph shall not affect terms by which the party that unilaterally imposed the term reserves the right to unilaterally change the terms of a contract of an indeterminate duration, provided that the contract specified a valid reason for such unilateral changes, that the party that unilaterally imposed the term is required to provide the other contracting party with reasonable notice of any such intended change, and that the other contracting party is free to terminate the contract at no cost in the case of a change.
6.   Postanowienie umowne uważa się za jednostronnie narzucone w rozumieniu niniejszego artykułu, jeżeli zaproponowała je jedna umawiająca się strona, a druga umawiająca się strona nie była w stanie wpłynąć na jego treść pomimo próby negocjacji tej treści. Ciężar udowodnienia, że postanowienie umowne nie zostało jednostronnie narzucone, spoczywa na umawiającej się stronie, która zaproponowała to postanowienie. Umawiająca się strona, która zaproponowała sporne postanowienie, nie może twierdzić, że jest to nieuczciwe postanowienie umowne.6.   A contractual term shall be considered to be unilaterally imposed within the meaning of this Article if it has been supplied by one contracting party and the other contracting party has not been able to influence its content despite an attempt to negotiate it. The contracting party that supplied the contractual term bears the burden of proving that that term has not been unilaterally imposed. The contracting party that supplied the contested contractual term may not argue that the term is an unfair contractual term.
7.   W przypadku gdy nieuczciwe postanowienie umowne można oddzielić od pozostałych postanowień umowy, pozostałe postanowienia pozostają wiążące.7.   Where the unfair contractual term is severable from the remaining terms of the contract, those remaining terms shall be binding.
8.   Niniejszy artykuł nie ma zastosowania do postanowień umownych określających główny przedmiot umowy lub do relacji ceny do dostarczonych w zamian danych.8.   This Article does not apply to contractual terms defining the main subject matter of the contract or to the adequacy of the price, as against the data supplied in exchange.
9.   Strony umowy objętej ust. 1 nie wyłączają stosowania niniejszego artykułu, nie odstępują od niego ani nie zmieniają jego skutków.9.   The parties to a contract covered by paragraph 1 shall not exclude the application of this Article, derogate from it, or vary its effects.
ROZDZIAŁ VCHAPTER V
UDOSTĘPNIANIE DANYCH ORGANOM SEKTORA PUBLICZNEGO, KOMISJI, EUROPEJSKIEMU BANKOWI CENTRALNEMU I ORGANOM UNII NA PODSTAWIE WYJĄTKOWEJ POTRZEBYMAKING DATA AVAILABLE TO PUBLIC SECTOR BODIES, THE COMMISSION, THE EUROPEAN CENTRAL BANK AND UNION BODIES ON THE BASIS OF AN EXCEPTIONAL NEED
Artykuł 14Article 14
Obowiązek udostępnienia danych na podstawie wyjątkowej potrzebyObligation to make data available on the basis of an exceptional need
W przypadku gdy organ sektora publicznego, Komisja, Europejski Bank Centralny lub organ Unii wykażą wyjątkową potrzebę, o której mowa w art. 15, wykorzystania określonych danych – w tym odpowiednich metadanych niezbędnych do interpretacji i wykorzystania tych danych – w celu wykonania swoich ustawowych obowiązków realizowanych w interesie publicznym, posiadacze danych będący osobami prawnymi, którzy posiadają te dane, inni niż organy sektora publicznego, udostępniają je w odpowiedzi na należycie uzasadniony wniosek.Where a public sector body, the Commission, the European Central Bank or a Union body demonstrates an exceptional need, as set out in Article 15, to use certain data, including the relevant metadata necessary to interpret and use those data, to carry out its statutory duties in the public interest, data holders that are legal persons, other than public sectors bodies, which hold those data shall make them available upon a duly reasoned request.
Artykuł 15Article 15
Wyjątkowa potrzeba wykorzystania danychExceptional need to use data
1.   Wyjątkowa potrzeba wykorzystania określonych danych w rozumieniu niniejszego rozdziału jest ograniczona w czasie i zakresie i uznaje się, że istnieje wyłącznie w następujących okolicznościach:1.   An exceptional need to use certain data within the meaning of this Chapter shall be limited in time and scope and shall be considered to exist only in any of the following circumstances:
a) | gdy żądane dane są niezbędne do zareagowania na niebezpieczeństwo publiczne, a organ sektora publicznego, Komisja, Europejski Bank Centralny lub organ Unii nie są w stanie skutecznie i na czas pozyskać takich danych w alternatywny sposób na równoważnych warunkach;(a) | where the data requested is necessary to respond to a public emergency and the public sector body, the Commission, the European Central Bank or the Union body is unable to obtain such data by alternative means in a timely and effective manner under equivalent conditions;
b) | w okolicznościach nieobjętych lit. a) i wyłącznie w przypadku danych nieosobowych, gdy: | (i) | organ sektora publicznego, Komisja, Europejski Bank Centralny lub organ Unii działają na podstawie prawa Unii lub prawa krajowego i zidentyfikowały konkretne dane, których brak uniemożliwia im wykonanie konkretnego zadania realizowanego w interesie publicznym, które jest wyraźnie przewidziane prawem, takiego jak tworzenie statystyki publicznej lub łagodzenie niebezpieczeństwa publicznego lub przywracanie stanu wyjściowego po jego wystąpieniu; oraz | (ii) | organ sektora publicznego, Komisja, Europejski Bank Centralny lub organ Unii wyczerpały wszystkie inne dostępne im sposoby pozyskania takich danych, w tym zakup danych nieosobowych na rynku poprzez zaoferowanie stawek rynkowych, powołanie się na istniejące obowiązki udostępniania danych lub poprzez przyjęcie nowych środków ustawodawczych, które mogłyby zagwarantować dostępność danych na czas.(b) | in circumstances not covered by point (a) and only insofar as non-personal data is concerned, where: | (i) | a public sector body, the Commission, the European Central Bank or a Union body is acting on the basis of Union or national law and has identified specific data, the lack of which prevents it from fulfilling a specific task carried out in the public interest, that has been explicitly provided for by law, such as the production of official statistics or the mitigation of or recovery from a public emergency; and | (ii) | the public sector body, the Commission, the European Central Bank or the Union body has exhausted all other means at its disposal to obtain such data, including purchase of non-personal data on the market by offering market rates, or by relying on existing obligations to make data available or the adoption of new legislative measures which could guarantee the timely availability of the data.
2.   Ust. 1 lit. b) nie ma zastosowania do mikroprzedsiębiorstw ani do małych przedsiębiorstw.2.   Paragraph 1, point (b), shall not apply to microenterprises and small enterprises.
3.   Obowiązek wykazania, że organ sektora publicznego nie był w stanie pozyskać danych nieosobowych poprzez ich zakup na rynku, nie ma zastosowania, w przypadku gdy konkretnym zadaniem realizowanym w interesie publicznym jest tworzenie statystyki publicznej i gdy na zakup danych nie zezwala prawo krajowe.3.   The obligation to demonstrate that the public sector body was unable to obtain non-personal data by purchasing them on the market shall not apply where the specific task carried out in the public interest is the production of official statistics and where the purchase of such data is not allowed by national law.
Artykuł 16Article 16
Związek z innymi obowiązkami udostępniania danych organom sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu i organom UniiRelationship with other obligations to make data available to public sector bodies, the Commission, the European Central Bank and Union bodies
1.   Niniejszy rozdział nie wpływa na obowiązki określone w prawie Unii lub prawie krajowym w zakresie sprawozdawczości, stosowania się do wniosków o dostęp do informacji lub wykazywania i weryfikacji przestrzegania obowiązków prawnych.1.   This Chapter shall not affect the obligations laid down in Union or national law for the purposes of reporting, complying with requests for access to information or demonstrating or verifying compliance with legal obligations.
2.   Niniejszy rozdział nie ma zastosowania do organów sektora publicznego, Komisji, Europejskiego Banku Centralnego ani organów Unii, gdy wykonują one działania w zakresie zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania lub ścigania czynów zabronionych lub przestępstw administracyjnych lub wykonywania sankcji karnych ani do administracji celnej lub podatkowej. Niniejszy rozdział nie wpływa na mające zastosowanie prawo Unii i prawo krajowe dotyczące zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania lub ścigania czynów zabronionych lub przestępstw administracyjnych lub wykonywania sankcji karnych lub kar administracyjnych ani administracji celnej lub podatkowej.2.   This Chapter shall not apply to public sector bodies, the Commission, the European Central Bank or Union bodies carrying out activities for the prevention, investigation, detection or prosecution of criminal or administrative offences or the execution of criminal penalties, or to customs or taxation administration. This Chapter does not affect applicable Union and national law on the prevention, investigation, detection or prosecution of criminal or administrative offences or the execution of criminal or administrative penalties, or for customs or taxation administration.
Artykuł 17Article 17
Wnioski o udostępnienie danychRequests for data to be made available
1.   Występując z wnioskiem o dane na podstawie art. 14, organ sektora publicznego, Komisja, Europejski Bank Centralny lub organ Unii:1.   When requesting data pursuant to Article 14, a public sector body, the Commission, the European Central Bank or a Union body shall:
a) | określają, jakie dane, w tym odpowiednie metadane niezbędne do interpretacji i wykorzystania tych danych, są potrzebne;(a) | specify the data required, including the relevant metadata necessary to interpret and use those data;
b) | wykazują, że spełnione zostały warunki wyjątkowej potrzeby, o której mowa w art. 15 i na podstawie której występuje się z wnioskiem o dane;(b) | demonstrate that the conditions necessary for the existence of an exceptional need as referred to in Article 15 for the purpose of which the data are requested are met;
c) | wyjaśniają cel wniosku, planowane wykorzystanie żądanych danych, w tym, w stosownym przypadku, przez osobę trzecią zgodnie z ust. 4 niniejszego artykułu, czas tego wykorzystywania oraz w stosownym przypadku sposób, w jaki przetwarzanie danych osobowych ma odpowiedzieć na wyjątkową potrzebę;(c) | explain the purpose of the request, the intended use of the data requested, including, where applicable, by a third party in accordance with paragraph 4 of this Article, the duration of that use, and, where relevant, how the processing of personal data is to address the exceptional need;
d) | w miarę możliwości określają, kiedy można się spodziewać, że dane zostaną usunięte przez wszystkie strony, które mają do nich dostęp;(d) | specify, if possible, when the data are expected to be erased by all parties that have access to them;
e) | uzasadniają wybór posiadacza danych, do którego skierowany jest wniosek;(e) | justify the choice of data holder to which the request is addressed;
f) | wymieniają inne organy sektora publicznego, lub Komisję, Europejski Bank Centralny lub organy Unii oraz osoby trzecie, z którymi żądane dane mają być dzielone;(f) | specify any other public sector bodies or the Commission, European Central Bank or Union bodies and the third parties with which the data requested is expected to be shared with;
g) | jeżeli żądanymi danymi są dane osobowe, określają niezbędne i proporcjonalne środki techniczne i organizacyjne służące wdrożeniu zasad ochrony danych i niezbędnych zabezpieczeń, takich jak poziom agregacji lub pseudonimizacji, oraz czy posiadacz danych może dokonać pseudonimizacji przed udostępnieniem danych;(g) | where personal data are requested, specify any technical and organisational measures necessary and proportionate to implement data protection principles and necessary safeguards, such as pseudonymisation, and whether anonymisation can be applied by the data holder before making the data available;
h) | podają podstawę prawną konkretnego zadania realizowanego w interesie publicznym organu publicznego, Komisji, Europejskiego Banku Centralnego lub organu Unii, w związku z którym występuje się z wnioskiem o dane;(h) | state the legal provision allocating to the requesting public sector body, the Commission, the European Central Bank or the Union body the specific task carried out in the public interest relevant for requesting the data;
i) | określają termin, w którym dane mają zostać udostępnione oraz termin, o którym mowa w art. 18 ust. 2, w którym posiadacz danych może odmówić lub wnosić o zmianę wniosku;(i) | specify the deadline by which the data are to be made available and the deadline referred to in Article 18(2) by which the data holder may decline or seek modification of the request;
j) | dokładają wszelkich starań, aby zastosowanie się do wniosku o dane nie skutkowało odpowiedzialnością posiadacza danych za naruszenie prawa Unii lub prawa krajowego.(j) | make its best efforts to avoid compliance with the data request resulting in the data holders’ liability for infringement of Union or national law.
2.   Wniosek o dane złożony na podstawie ust. 1 niniejszego artykułu:2.   A request for data made pursuant to paragraph 1 of this Article shall:
a) | jest składany na piśmie i sformułowany jasnym, zwięzłym i prostym językiem zrozumiałym dla posiadacza danych;(a) | be made in writing and expressed in clear, concise and plain language understandable to the data holder;
b) | zawiera szczegóły dotyczące rodzaju żądanych danych i odnosi się do danych, nad którymi posiadacz danych ma kontrolę w momencie składania wniosku;(b) | be specific regarding the type of data requested and correspond to data which the data holder has control over at the time of the request;
c) | jest proporcjonalny do wyjątkowej potrzeby i należycie uzasadniony w odniesieniu do szczegółowości i ilości żądanych danych oraz częstotliwości dostępu do żądanych danych;(c) | be proportionate to the exceptional need and duly justified, regarding the granularity and volume of the data requested and frequency of access of the data requested;
d) | respektuje prawnie uzasadnione cele posiadacza danych, w tym obowiązek zapewnienia ochrony tajemnic przedsiębiorstwa, zgodnie z art. 19 ust. 3, oraz uwzględniając koszty i działania wymagane do udostępnienia danych;(d) | respect the legitimate aims of the data holder, committing to ensuring the protection of trade secrets in accordance with Article 19(3), and the cost and effort required to make the data available;
e) | dotyczy danych nieosobowych i zawiera żądanie udostępnienia spseudonimizowanych danych osobowych wyłącznie wtedy, gdy wykazano, że data nieosobowe nie są wystarczające w celu odpowiedzi na wyjątkową potrzebę wykorzystania danych, zgodnie z art. 15 ust. 1 lit. a), i określa środki techniczne i organizacyjne, które zostaną zastosowane, aby chronić te dane osobowe;(e) | concern non-personal data, and only if this is demonstrated to be insufficient to respond to the exceptional need to use data, in accordance with Article 15(1), point (a), request personal data in pseudonymised form and establish the technical and organisational measures that are to be taken to protect the data;
f) | informuje posiadacza danych o karach nakładanych na podstawie art. 40 przez właściwy organ wyznaczony zgodnie z w art. 37 w przypadku niezastosowania się do wniosku;(f) | inform the data holder of the penalties that are to be imposed pursuant to Article 40 by the competent authority designated pursuant to Article 37 in the event of non-compliance with the request;
g) | w przypadku gdy wniosek jest złożony przez organ sektora publicznego, zostaje przekazany koordynatorowi danych, o którym mowa w art. 37, w państwie członkowskim, w którym siedzibę ma organ sektora publicznego, a organ ten bez zbędnej zwłoki podaje wniosek do wiadomości publicznej w internecie, chyba że koordynator danych uzna takie podanie do wiadomości za zagrożenie dla bezpieczeństwa publicznego;(g) | where the request is made by a public sector body, be transmitted to the data coordinator referred to in Article 37 of the Member State where the requesting public sector body is established, who shall make the request publicly available online without undue delay unless the data coordinator considers that such publication would create a risk for public security;
h) | w przypadku gdy wniosek jest złożony przez Komisję, Europejski Bank Centralny lub organ Unii bez zbędnej zwłoki podają one swoje wnioski do wiadomości publicznej w internecie;(h) | where the request is made by the Commission, the European Central Bank or a Union body, be made available online without undue delay;
i) | w przypadku gdy dotyczy danych osobowych, bez zbędnej zwłoki zostaje o nim powiadomiony organ nadzorczy odpowiedzialny za monitorowanie stosowania rozporządzenia (UE) 2016/679 w państwie członkowskim, w którym siedzibę ma organ sektora publicznego.(i) | where personal data are requested, be notified without undue delay to the supervisory authority responsible for monitoring the application of Regulation (EU) 2016/679 in the Member State where the public sector body is established.
Europejski Bank Centralny i organy Unii informują Komisję o swoich wnioskach.The European Central Bank and Union bodies shall inform the Commission of their requests.
3.   Organ sektora publicznego, Komisja, Europejski Bank Centralny lub organ Unii nie udostępniają danych pozyskanych na podstawie niniejszego rozdziału do ponownego wykorzystania zdefiniowanego w art. 2 pkt 2 rozporządzenia (UE) 2022/868 lub art. 2 pkt 11 dyrektywy (UE) 2019/1024. Rozporządzenie (UE) 2022/868 i dyrektywa (UE) 2019/1024 nie mają zastosowania do danych będących w posiadaniu organów sektora publicznego i pozyskanych na podstawie niniejszego rozdziału.3.   A public sector body, the Commission, the European Central Bank or a Union body shall not make data obtained pursuant to this Chapter available for reuse as defined in Article 2, point (2), of Regulation (EU) 2022/868 or Article 2, point (11), of Directive (EU) 2019/1024. Regulation (EU) 2022/868 and Directive (EU) 2019/1024 shall not apply to the data held by public sector bodies obtained pursuant to this Chapter.
4.   Ust. 3 niniejszego artykułu nie uniemożliwia organowi sektora publicznego ani Komisji, Europejskiemu Bankowi Centralnemu lub organowi Unii wymiany danych pozyskanych na podstawie niniejszego rozdziału z innym organem sektora publicznego, Komisją, Europejskim Bankiem Centralnym lub organem Unii w celu wypełnienia zadań, o których mowa w art. 15, określonych we wniosku zgodnie z ust. 1 lit. f) niniejszego artykułu, ani udostępnienia danych osobie trzeciej, w przypadku gdy zleciły tej osobie trzeciej – w drodze publicznie dostępnej umowy – kontrole techniczne lub inne funkcje. Do takich osób trzecich zastosowanie mają obowiązki nałożone na organy sektora publicznego na podstawie art. 19, w szczególności zabezpieczenia służące ochronie tajemnic przedsiębiorstwa. W przypadku gdy organ sektora publicznego, Komisja, Europejski Bank Centralny lub organ Unii przesyłają lub udostępniają dane na podstawie niniejszego ustępu, bez zbędnej zwłoki powiadamiają o tym posiadacza danych, od którego otrzymały dane.4.   Paragraph 3 of this Article does not preclude a public sector body, the Commission, the European Central Bank or a Union body to exchange data obtained pursuant to this Chapter with another public sector body or the Commission, the European Central Bank or a Union body in view of completing the tasks referred to in Article 15, as specified in the request in accordance with paragraph 1, point (f), of this Article or to make the data available to a third party where it has delegated, by means of a publicly available agreement, technical inspections or other functions to that third party. The obligations on public sector bodies pursuant to Article 19, in particular safeguards to preserve the confidentiality of trade secrets, shall apply also to such third parties. Where a public sector body, the Commission, the European Central Bank or a Union body transmits or makes data available under this paragraph, it shall notify the data holder from whom the data was received without undue delay.
5.   W przypadku gdy posiadacz danych uzna, że naruszone zostały prawa przysługujące mu na podstawie niniejszego rozdziału poprzez przesłanie lub udostępnienie danych, może złożyć skargę do właściwego organu, wyznaczonego zgodnie z art. 37, w państwie członkowskim, w którym posiadacz danych ma siedzibę.5.   Where the data holder considers that its rights under this Chapter have been infringed by the transmission or making available of data, it may lodge a complaint with the competent authority designated pursuant to Article 37 of the Member State where the data holder is established.
6.   Na podstawie niniejszego artykułu Komisja opracowuje wzór wniosku.6.   The Commission shall develop a model template for requests pursuant to this Article.
Artykuł 18Article 18
Stosowanie się do wniosków o daneCompliance with requests for data
1.   Posiadacz danych otrzymujący wniosek o udostępnienie danych na podstawie niniejszego rozdziału bez zbędnej zwłoki udostępnia dane organowi sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu lub organowi Unii, które wystąpiły z wnioskiem, uwzględniając niezbędne środki techniczne, organizacyjne i prawne.1.   A data holder receiving a request to make data available under this Chapter shall make the data available to the requesting public sector body, the Commission, the European Central Bank or a Union body without undue delay, taking into account necessary technical, organisational and legal measures.
2.   Bez uszczerbku dla określonych w prawie Unii lub prawie krajowym szczególnych potrzeb w zakresie dostępności danych posiadacz danych może odmówić zastosowania się do wniosku o udostępnienie danych przewidzianego w niniejszym rozdziale lub wystąpić o jego zmianę bez zbędnej zwłoki i w żadnym razie nie później niż pięć dni roboczych od otrzymania wniosku o dane niezbędne do zareagowania na niebezpieczeństwo publiczne oraz bez zbędnej zwłoki i w żadnym razie nie później niż 30 dni roboczych od otrzymania takiego wniosku w innych przypadkach występowania wyjątkowej potrzeby, powołując się na jeden z następujących powodów:2.   Without prejudice to specific needs regarding the availability of data defined in Union or national law, a data holder may decline or seek the modification of a request to make data available under this Chapter without undue delay and, in any event, no later than five working days after the receipt of a request for the data necessary to respond to a public emergency and without undue delay and, in any event, no later than 30 working days after the receipt of such a request in other cases of an exceptional need, on any of the following grounds:
a) | posiadacz danych nie ma kontroli nad żądanymi danymi;(a) | the data holder does not have control over the data requested;
b) | podobny wniosek w tym samym celu złożyły wcześniej inny organ sektora publicznego lub Komisja, Europejski Bank Centralny lub organ Unii, a posiadacza danych nie powiadomiono o usunięciu danych zgodnie z art. 19 ust. 1 lit. c);(b) | a similar request for the same purpose has been previously submitted by another public sector body or the Commission, the European Central Bank or a Union body and the data holder has not been notified of the erasure of the data pursuant to Article 19(1), point (c);
c) | wniosek nie spełnia warunków określonych w art. 17 ust. 1 i 2.(c) | the request does not meet the conditions laid down in Article 17(1) and (2).
3.   Jeżeli posiadacz danych postanowi odmówić zastosowania się do wniosku lub wystąpić o jego zmianę zgodnie z ust. 2 lit. b), wskazuje organ sektora publicznego lub Komisję, Europejski Bank Centralny lub organ Unii, które wcześniej złożyły wniosek w tym samym celu.3.   If the data holder decides to decline the request or to seek its modification in accordance with paragraph 2, point (b), it shall indicate the identity of the public sector body or the Commission, the European Central Bank or the Union body that previously submitted a request for the same purpose.
4.   W przypadku gdy żądane dane zawierają dane osobowe, posiadacz danych odpowiednio anonimizuje dane, chyba że zastosowanie się do wniosku o udostępnienie danych organowi sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu lub organowi Unii wymaga ujawnienia danych osobowych. W takich przypadkach posiadacz danych pseudonimizuje dane.4.   Where the data requested includes personal data, the data holder shall properly anonymise the data, unless the compliance with the request to make data available to a public sector body, the Commission, the European Central Bank or a Union body requires the disclosure of personal data. In such cases, the data holder shall pseudonymise the data.
5.   W przypadku gdy organ sektora publicznego, Komisja, Europejski Bank Centralny lub organ Unii chcą zaskarżyć odmowę dostarczenia żądanych danych przez posiadacza danych lub gdy posiadacz danych chce zaskarżyć wniosek, a sprawy nie da się rozstrzygnąć poprzez odpowiednią zmianę wniosku, zostaje ona wniesiona do właściwego organu wyznaczonego zgodnie z art. 37 w państwie członkowskim, w którym posiadacz danych ma siedzibę.5.   Where the public sector body, the Commission, the European Central Bank or the Union body wishes to challenge a data holder’s refusal to provide the data requested, or where the data holder wishes to challenge the request and the matter cannot be resolved by an appropriate modification of the request, the matter shall be referred to the competent authority designated pursuant to Article 37 of the Member State where the data holder is established.
Artykuł 19Article 19
Obowiązki organów sektora publicznego, Komisji, Europejskiego Banku Centralnego i organów UniiObligations of public sector bodies, the Commission, the European Central Bank and Union bodies
1.   Organ sektora publicznego, Komisja, Europejski Bank Centralny lub organ Unii, które otrzymały dane zgodnie z wnioskiem złożonym na podstawie art. 14:1.   A public sector body, the Commission, the European Central Bank or a Union body receiving data pursuant to a request made under Article 14 shall:
a) | nie wykorzystują danych w sposób niezgodny z celem, w którym o nie wystąpiono;(a) | not use the data in a manner incompatible with the purpose for which they were requested;
b) | wdrożyły środki techniczne i organizacyjne chroniące poufność i integralność żądanych danych oraz bezpieczeństwo przekazywania danych, w szczególności danych osobowych, oraz chronią prawa i wolności osób, których dane dotyczą;(b) | have implemented technical and organisational measures that preserve the confidentiality and integrity of the requested data and the security of the data transfers, in particular personal data, and safeguard the rights and freedoms of data subjects;
c) | usuwają dane, gdy tylko przestaną one być niezbędne do określonego celu, i bez zbędnej zwłoki informują o ich usunięciu posiadacza danych oraz osoby fizyczne lub organizacje, które otrzymały dane na podstawie art. 21 ust. 1, chyba że prawo Unii lub prawo krajowe dotyczące publicznego dostępu do dokumentów wymaga archiwizacji danych w kontekście obowiązków dotyczących przejrzystości.(c) | erase the data as soon as they are no longer necessary for the stated purpose and inform the data holder and individuals or organisations that received the data pursuant to Article 21(1) without undue delay that the data have been erased, unless archiving of the data is required in accordance with Union or national law on public access to documents in the context of transparency obligations.
2.   Organ sektora publicznego, Komisja, Europejski Bank Centralny, organ Unii lub osoba trzecia otrzymujące dane na podstawie niniejszego rozdziału:2.   A public sector body, the Commission, the European Central Bank, a Union body or a third party receiving data under this Chapter shall not:
a) | nie wykorzystują danych lub informacji o sytuacji ekonomicznej, aktywach oraz metodach produkcji lub działalności posiadacza danych, aby opracować lub udoskonalić produkt skomunikowany lub usługę powiązaną konkurujące z produktem skomunikowanym lub usługą powiązaną posiadacza danych;(a) | use the data or insights about the economic situation, assets and production or operation methods of the data holder to develop or enhance a connected product or related service that competes with the connected product or related service of the data holder;
b) | nie dzielą się danymi z inną osobą trzecią w jakimkolwiek z celów, o których mowa w lit. a).(b) | share the data with another third party for any of the purposes referred to in point (a).
3.   Ujawnienie tajemnicy przedsiębiorstwa organowi sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu lub organowi Unii jest wymagane wyłącznie w zakresie, w jakim jest to bezwzględnie konieczne do osiągnięcia celu wniosku złożonego na podstawie art. 15. W takim przypadku posiadacz danych lub, jeżeli nie jest tą samą osobą, posiadacz tajemnicy przedsiębiorstwa identyfikują dane chronione, w tym w stosownych metadanych, jako tajemnice przedsiębiorstwa. Przed ujawnieniem tajemnic przedsiębiorstwa organ sektora publicznego, Komisja, Europejski Bank Centralny lub organ Unii stosują wszelkie niezbędne i odpowiednie środki techniczne i organizacyjne, aby chronić poufność tajemnic przedsiębiorstwa, w tym w stosownym przypadku używają modelowych postanowień umownych, norm technicznych oraz kodeksów postępowania.3.   Disclosure of trade secrets to a public sector body, the Commission, the European Central Bank or a Union body shall be required only to the extent that it is strictly necessary to achieve the purpose of a request under Article 15. In such a case, the data holder or, where they are not the same person, the trade secret holder shall identify the data which are protected as trade secrets, including in the relevant metadata. The public sector body, the Commission, the European Central Bank or the Union body shall, prior to the disclosure of trade secrets, take all necessary and appropriate technical and organisational measures to preserve the confidentiality of the trade secrets, including, as appropriate, the use of model contractual terms, technical standards and the application of codes of conduct.
4.   Organ sektora publicznego, Komisja, Europejski Banki Centralny lub organ Unii odpowiadają za bezpieczeństwo otrzymanych danych.4.   A public sector body, the Commission, the European Central Bank or a Union body shall be responsible for the security of the data it receives.
Artykuł 20Article 20
Rekompensata w przypadkach wyjątkowej potrzebyCompensation in cases of an exceptional need
1.   Posiadacze danych inni niż mikroprzedsiębiorstwa i małe przedsiębiorstwa nieodpłatnie udostępniają dane niezbędne do zareagowania na niebezpieczeństwo publiczne na podstawie art. 15 ust. 1 lit. a). Organ sektora publicznego, Komisja, Europejski Banki Centralny lub organ Unii, które otrzymały dane, zapewniają publiczne uznanie posiadaczowi danych, jeżeli posiadacz danych o to wystąpi.1.   Data holders other than microenterprises and small enterprises shall make available data necessary to respond to a public emergency pursuant to Article 15(1), point (a), free of charge. The public sector body, the Commission, the European Central Bank or the Union body that has received data shall provide public acknowledgement to the data holder if requested by the data holder.
2.   Posiadacz danych jest uprawniony do zasadnej rekompensaty za udostępnienie danych zgodnie z wnioskiem złożonym na podstawie art. 15 ust. 1 lit. b). Rekompensata taka pokrywa koszty techniczne i organizacyjne poniesione w celu zastosowania się do wniosku, w tym w stosownym przypadku koszty anonimizacji, pseudonimizacji, agregacji i dostosowania technicznego, powiększone o rozsądną marżę. Na żądanie organu sektora publicznego, Komisji, Europejskiego Banku Centralnego lub organu Unii posiadacz danych przedstawia informacje o podstawie obliczenia kosztów i rozsądnej marży.2.   The data holder shall be entitled to fair compensation for making data available in compliance with a request made pursuant to Article 15(1), point (b). Such compensation shall cover the technical and organisational costs incurred to comply with the request including, where applicable, the costs of anonymisation, pseudonymisation, aggregation and of technical adaptation, and a reasonable margin. Upon request of the public sector body, the Commission, the European Central Bank or the Union body, the data holder shall provide information on the basis for the calculation of the costs and the reasonable margin.
3.   Ust. 2 ma zastosowanie także wtedy, gdy o rekompensatę za udostępnienie danych występują mikroprzedsiębiorstwo lub małe przedsiębiorstwo.3.   Paragraph 2 shall also apply where a microenterprise and small enterprise claims compensation for making data available.
4.   Posiadacze danych nie mogą domagać się rekompensaty za udostępnienie danych zgodnie z wnioskiem wystosowanym na podstawie art. 15 ust. 1 lit. b), jeżeli konkretnym zadaniem realizowanym w interesie publicznym jest tworzenie statystyki publicznej i jeżeli prawo krajowe nie zezwala na sprzedaż danych. Państwa członkowskie powiadamiają Komisję, jeżeli prawo krajowe nie zezwala na sprzedaż danych na potrzeby tworzenia statystyki publicznej.4.   Data holders shall not be entitled to compensation for making data available in compliance with a request made pursuant to Article 15(1), point (b), where the specific task carried out in the public interest is the production of official statistics and where the purchase of data is not allowed by national law. Member States shall notify the Commission where the purchase of data for the production of official statistics is not allowed by national law.
5.   W przypadku gdy organ sektora publicznego, Komisja, Europejski Bank Centralny lub organ Unii nie zgadzają się z wysokością rekompensaty żądanej przez posiadacza danych, mogą złożyć skargę do właściwego organu wyznaczonego zgodnie z art. 37 w państwie członkowskim, w którym posiadacz danych ma siedzibę.5.   Where the public sector body, the Commission, the European Central Bank or the Union body disagrees with the level of compensation requested by the data holder, they may lodge a complaint with the competent authority designated pursuant to Article 37 of the Member State where the data holder is established.
Artykuł 21Article 21
Dzielenie się danymi pozyskanymi w ramach wyjątkowej potrzeby z organizacjami badawczymi lub urzędami statystycznymiSharing of data obtained in the context of an exceptional need with research organisations or statistical bodies
1.   Organ sektora publicznego, Komisja, Europejski Bank Centralny lub organ Unii są uprawnione do dzielenia się danymi otrzymanymi w ramach niniejszego rozdziału:1.   A public sector body, the Commission, the European Central Bank or a Union body shall be entitled to share data received under this Chapter:
a) | z osobami fizycznymi lub organizacjami na potrzeby prowadzenia badań naukowych lub analiz zgodnych z celem, w którym wystąpiono o dane; lub(a) | with individuals or organisations in view of carrying out scientific research or analytics compatible with the purpose for which the data was requested; or
b) | z krajowymi urzędami statystycznymi i Eurostatem do celów tworzenia statystyki publicznej.(b) | with national statistical institutes and Eurostat for the production of official statistics.
2.   Osoby fizyczne lub organizacje otrzymujące dane na podstawie ust. 1 prowadzą działalność o charakterze niekomercyjnym lub w kontekście misji interesu publicznego uznanej w prawie Unii lub w prawie krajowym. Nie zaliczają się do nich organizacje znajdujące się pod znacznym wpływem przedsiębiorstw komercyjnych, który mógłby skutkować preferencyjnym dostępem do wyników badań.2.   Individuals or organisations receiving the data pursuant to paragraph 1 shall act on a not-for-profit basis or in the context of a public-interest mission recognised in Union or national law. They shall not include organisations upon which commercial undertakings have a significant influence which is likely to result in preferential access to the results of the research.
3.   Osoby fizyczne lub organizacje otrzymujące dane na podstawie ust. 1 niniejszego artykułu przestrzegają tych samych obowiązków, które mają zastosowanie do organów sektora publicznego, Komisji, Europejskiego Banku Centralnego lub organów Unii na podstawie art. 17 ust. 3 i art. 19.3.   Individuals or organisations receiving the data pursuant to paragraph 1 of this Article shall comply with the same obligations that are applicable to the public sector bodies, the Commission, the European Central Bank or Union bodies pursuant to Article 17(3) and Article 19.
4.   Niezależnie od art. 19 ust. 1 lit. c) osoby fizyczne lub organizacje otrzymujące dane na podstawie ust. 1 niniejszego artykułu mogą zachować dane otrzymane w celu, w którym o nie wystąpiono, maksymalnie przez sześć miesięcy po usunięciu danych przez organy sektora publicznego, Komisję, Europejski Bank Centralny i organy Unii.4.   Notwithstanding Article 19(1), point (c), individuals or organisations receiving the data pursuant to paragraph 1 of this Article may keep the data received for the purpose for which the data was requested for up to six months following erasure of the data by the public sector bodies, the Commission, the European Central Bank and Union bodies.
5.   W przypadku gdy organ sektora publicznego, Komisja, Europejski Bank Centralny lub organ Unii zamierzają przesłać lub udostępnić dane na podstawie ust. 1 niniejszego artykułu, bez zbędnej zwłoki powiadamiają o tym posiadacza danych, od którego otrzymano dane, podając dane identyfikacyjne i kontaktowe organizacji lub osoby fizycznej otrzymujących dane, cel przesłania lub udostępnienia danych, okres, przez który dane będą wykorzystywane, oraz zastosowane techniczne i organizacyjne środki ochrony, w tym jeżeli w grę wchodzą dane osobowe lub tajemnice przedsiębiorstwa. W przypadku gdy posiadacz danych nie zgadza się na przesłanie lub udostępnienie danych, może złożyć skargę do właściwego organu wyznaczonego zgodnie z art. 37, w państwie członkowskim, w którym posiadacz danych ma siedzibę.5.   Where a public sector body, the Commission, the European Central Bank or a Union body intends to transmit or make data available under paragraph 1 of this Article, it shall notify without undue delay the data holder from whom the data was received, stating the identity and contact details of the organisation or the individual receiving the data, the purpose of the transmission or making available of the data, the period for which the data is to be used and the technical protection and organisational measures taken, including where personal data or trade secrets are involved. Where the data holder disagrees with the transmission or making available of data, it may lodge a complaint with the competent authority designated pursuant to Article 37 of the Member State where the data holder is established.
Artykuł 22Article 22
Wzajemna pomoc i współpraca transgranicznaMutual assistance and cross-border cooperation
1.   Organy sektora publicznego, Komisja, Europejski Bank Centralny i organy Unii współpracują ze sobą i udzielają sobie wzajemnie pomocy w celu spójnego wdrożenia niniejszego rozdziału.1.   Public sector bodies, the Commission, the European Central Bank and Union bodies shall cooperate and assist one another, to implement this Chapter in a consistent manner.
2.   Dane wymienione w kontekście pomocy, o którą wystąpiono i której udzielono na podstawie ust. 1, nie są wykorzystywane w sposób niezgodny z celem, w którym o nie wystąpiono.2.   Any data exchanged in the context of assistance requested and provided pursuant to paragraph 1 shall not be used in a manner incompatible with the purpose for which they were requested.
3.   W przypadku gdy organ sektora publicznego zamierza wystąpić z wnioskiem o dane do posiadacza danych mającego siedzibę w innym państwie członkowskim, najpierw powiadamia o tym zamiarze właściwy organ wyznaczony zgodnie z art. 37 w tym państwie członkowskim. Wymóg ten ma zastosowanie także do wniosków wystosowywanych przez Komisję, Europejski Bank Centralny i organy Unii. Właściwy organ państwa członkowskiego, w którym posiadacz danych ma siedzibę, bada wniosek.3.   Where a public sector body intends to request data from a data holder established in another Member State, it shall first notify the competent authority designated pursuant to Article 37 in that Member State of that intention. This requirement shall also apply to requests by the Commission, the European Central Bank and Union bodies. The request shall be examined by the competent authority of the Member State where the data holder is established.
4.   Po zbadaniu wniosku w świetle wymogów art. 17 stosowny właściwy organ bez zbędnej zwłoki podejmuje jedno z następujących działań:4.   After having examined the request in light of the requirements laid down in Article 17, the relevant competent authority shall, without undue delay, take one of the following actions:
a) | przesyła wniosek posiadaczowi danych i w stosownym przypadku doradza organowi sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu lub organowi Unii, które występują z wnioskiem, w sprawie potrzeby, jeżeli taka występuje, o współpracę z organami sektora publicznego w państwie członkowskim, w którym posiadacz danych ma siedzibę, w celu zmniejszenia obciążeń administracyjnych spoczywających na posiadaczu danych w kwestii zastosowania się do wniosku;(a) | transmit the request to the data holder and, if applicable, advise the requesting public sector body, the Commission, the European Central Bank or the Union body of the need, if any, to cooperate with public sector bodies of the Member State in which the data holder is established with the aim of reducing the administrative burden on the data holder in complying with the request;
b) | z należycie uzasadnionych powodów, zgodnie z niniejszym rozdziałem, odrzuca wniosek.(b) | reject the request on duly substantiated grounds in accordance with this Chapter.
W stosownych przypadkach, organ sektora publicznego, który wystąpił z wnioskiem, Komisja, Europejski Bank Centralny i organ Unii biorą pod uwagę opinię i powody przedstawione przez odpowiedni właściwy organ zgodnie z akapitem pierwszym, przed podjęciem wszelkich dalszych działań, takich jak ponowne złożenie wniosku.The requesting public sector body, the Commission, the European Central Bank and the Union body shall take into account the advice of and the grounds provided by the relevant competent authority pursuant to the first subparagraph before taking any further action such as resubmitting the request, if applicable.
ROZDZIAŁ VICHAPTER VI
ZMIANA DOSTAWCY USŁUG PRZETWARZANIA DANYCHSWITCHING BETWEEN DATA PROCESSING SERVICES
Artykuł 23Article 23
Usuwanie przeszkód w skutecznej zmianie dostawcyRemoving obstacles to effective switching
Dostawcy usług przetwarzania danych stosują środki przewidziane w art. 25, 26, 27, 29 i 30, aby umożliwić klientom zmianę usługi przetwarzania danych na usługę tego samego typu świadczoną przez innego dostawcę usług przetwarzania danych, lokalną infrastrukturę ICT lub w stosownym przypadku korzystanie z usług kilku dostawców usług przetwarzania danych równocześnie. W szczególności dostawcy usług przetwarzania danych nie stawiają przeszkód przedkomercyjnych, handlowych, technicznych, umownych i organizacyjnych i je usuwają, jeżeli utrudniają one klientom:Providers of data processing services shall take the measures provided for in Articles 25, 26, 27, 29 and 30 to enable customers to switch to a data processing service, covering the same service type, which is provided by a different provider of data processing services, or to on-premises ICT infrastructure, or, where relevant, to use several providers of data processing services at the same time. In particular, providers of data processing services shall not impose and shall remove pre-commercial, commercial, technical, contractual and organisational obstacles, which inhibit customers from:
a) | rozwiązanie umowy o świadczenie usługi przetwarzania danych po upływie maksymalnego okresu wypowiedzenia i pomyślną finalizację procesu zmiany dostawcy, zgodnie z art. 25;(a) | terminating, after the maximum notice period and the successful completion of the switching process, in accordance with Article 25, the contract of the data processing service;
b) | zawarcie nowych umów z innym dostawcą usług przetwarzania danych obejmujących usługi tego samego typu;(b) | concluding new contracts with a different provider of data processing services covering the same service type;
c) | przeniesienie danych eksportowalnych i aktywów cyfrowych klienta do innego dostawcy usług przetwarzania danych lub do lokalnej infrastruktury ICT, w tym po skorzystaniu z oferty na poziomie bezpłatnym;(c) | porting the customer’s exportable data and digital assets, to a different provider of data processing services or to an on-premises ICT infrastructure, including after having benefited from a free-tier offering;
d) | zgodnie z art. 24 uzyskanie równoważności funkcjonalnej w ramach korzystania z nowej usługi przetwarzania danych w środowisku informatycznym innego dostawcy obejmującym usługę tego samego typu;(d) | in accordance with Article 24, achieving functional equivalence in the use of the new data processing service in the ICT environment of a different provider of data processing services covering the same service type;
e) | oddzielenie, jeżeli jest to technicznie możliwe, usług przetwarzania danych, o których mowa w art. 30 ust. 1, od innych usług przetwarzania danych świadczonych przez dostawcę usługi przetwarzania danych.(e) | unbundling, where technically feasible, data processing services referred to in Article 30(1) from other data processing services provided by the provider of data processing services.
Artykuł 24Article 24
Zakres obowiązków technicznychScope of the technical obligations
Obowiązki dostawców usług przetwarzania danych określone w art. 23, 25, 29, 30 i 34 mają zastosowanie wyłącznie do usług, umów lub praktyk handlowych wyjściowego dostawcy usług przetwarzania danych.The responsibilities of providers of data processing services laid down in Articles 23, 25, 29, 30 and 34 shall apply only to the services, contracts or commercial practices provided by the source provider of data processing services.
Artykuł 25Article 25
Postanowienia umowne dotyczące zmiany dostawcyContractual terms concerning switching
1.   Prawa klienta i obowiązki dostawcy usługi przetwarzania danych w odniesieniu do zmiany dostawcy takich usług lub w stosownym przypadku do przeniesienia do lokalnej infrastruktury ICT zostaną jasno określone w umowie zawartej na piśmie. Dostawca usług przetwarzania danych udostępnia taką umowę klientowi przed podpisaniem w sposób umożliwiający klientowi jej przechowywanie i reprodukowanie.1.   The rights of the customer and the obligations of the provider of data processing services in relation to switching between providers of such services or, where applicable, to an on-premises ICT infrastructure shall be clearly set out in a written contract. The provider of data processing services shall make that contract available to the customer prior to signing the contract in a way that allows the customer to store and reproduce the contract.
2.   Bez uszczerbku dla dyrektywy (UE) 2019/770 w umowie, o której mowa w ust. 1 niniejszego artykułu znajdują się co najmniej następujące elementy:2.   Without prejudice to Directive (EU) 2019/770, the contract referred to in paragraph 1 of this Article shall include at least the following:
a) | postanowienia umowne umożliwiające klientowi na wniosek zmianę dostawcy usług przetwarzania danych na innego dostawcę usług przetwarzania danych lub przeniesienie wszystkich danych eksportowalnych i aktywów cyfrowych do lokalnej infrastruktury ICT bez zbędnej zwłoki i w żadnym razie nie później niż po upływie obowiązkowego maksymalnego okresu przejściowego wynoszącego 30 dni kalendarzowych i rozpoczynającego się po maksymalnym okresie wypowiedzenia, o którym mowa w lit. d), kiedy to umowa o świadczenie usług nadal ma zastosowanie, a dostawca usług przetwarzania danych: | (i) | zapewnia klientowi i osobom trzecim upoważnionym przez klienta uzasadnioną pomoc w procesie zmiany dostawcy; | (ii) | postępuje z należytą starannością w celu utrzymania ciągłości działalności i kontynuuje świadczenie funkcji lub usług przewidzianych w umowie; | (iii) | przedstawia jasne informacje o znanych zagrożeniach dla ciągłości świadczenia funkcji lub usług po stronie wyjściowego dostawcy usług przetwarzania danych; | (iv) | zapewnia, aby w trakcie całego procesu zmiany dostawcy utrzymany został wysoki poziom bezpieczeństwa, w szczególności bezpieczeństwa danych podczas ich przekazywania i dalszego bezpieczeństwa danych podczas okresu zatrzymywania, o którym mowa w lit. c), zgodnie z mającymi zastosowanie przepisami prawa Unii lub prawa krajowego;(a) | clauses allowing the customer, upon request, to switch to a data processing service offered by a different provider of data processing services or to port all exportable data and digital assets to an on-premises ICT infrastructure, without undue delay and in any event not after the mandatory maximum transitional period of 30 calendar days, to be initiated after the maximum notice period referred to in point (d), during which the service contract remains applicable and during which the provider of data processing services shall: | (i) | provide reasonable assistance to the customer and third parties authorised by the customer in the switching process; | (ii) | act with due care to maintain business continuity, and continue the provision of the functions or services under the contract; | (iii) | provide clear information concerning known risks to continuity in the provision of the functions or services on the part of the source provider of data processing services; | (iv) | ensure that a high level of security is maintained throughout the switching process, in particular the security of the data during their transfer and the continued security of the data during the retrieval period specified in point (g), in accordance with applicable Union or national law;
b) | zobowiązanie dostawcy usług przetwarzania danych do wsparcia strategii odejścia klienta w odniesieniu do usług objętych umową, w tym poprzez przekazanie wszelkich istotnych informacji;(b) | an obligation of the provider of data processing services to support the customer’s exit strategy relevant to the contracted services, including by providing all relevant information;
c) | postanowienie umowne określające, że umowa zostaje uznana za rozwiązaną, a klient zostaje poinformowany o jej rozwiązaniu w jednym z następujących przypadków: | (i) | w stosownym przypadku po pomyślnym zakończeniu procesu zmiany dostawcy; | (ii) | na zakończenie maksymalnego okresu wypowiedzenia, o którym mowa w lit. d), w przypadku gdy klient nie chce zmienić dostawcy, ale chce usunąć wszystkie swoje dane eksportowalne i aktywa cyfrowe po zakończeniu usługi;(c) | a clause specifying that the contract shall be considered to be terminated and the customer shall be notified of the termination, in one of the following cases: | (i) | where applicable, upon the successful completion of the switching process; | (ii) | at the end of the maximum notice period referred to in paragraph (d), where the customer does not wish to switch but to erase its exportable data and digital assets upon service termination;
d) | maksymalny okres wypowiedzenia rozpoczynający proces zmiany dostawcy i nieprzekraczający dwóch miesięcy;(d) | a maximum notice period for initiation of the switching process, which shall not exceed two months;
e) | szczegółowa specyfikacja wszystkich kategorii danych i aktywów cyfrowych, które można przenieść w trakcie procesu zmiany dostawcy, w tym co najmniej wszystkich danych eksportowalnych;(e) | an exhaustive specification of all categories of data and digital assets that can be ported during the switching process, including, at a minimum, all exportable data;
f) | szczegółowa specyfikacja kategorii danych specyficznych dla wewnętrznego funkcjonowania dostawcy usługi przetwarzania danych, które są wyłączone spośród danych eksportowalnych przewidzianych w lit. e) niniejszego ustępu, w przypadku gdy istnieje ryzyko naruszenia tajemnic przedsiębiorstwa dostawcy, o ile wyłączenia te nie utrudniają ani nie opóźniają procesu zmiany dostawcy, o którym mowa w art. 23;(f) | an exhaustive specification of categories of data specific to the internal functioning of the provider’s data processing service that are to be exempted from the exportable data under point (e) of this paragraph where a risk of breach of trade secrets of the provider exists, provided that such exemptions do not impede or delay the switching process provided for in Article 23;
g) | minimalny okres, w którym można pobrać dane, wynoszący co najmniej 30 dni kalendarzowych, rozpoczynający się po zakończeniu okresu przejściowego uzgodnionego między klientem a dostawcą usług przetwarzania danych, zgodnie z lit. a) niniejszego ustępu i ust. 4;(g) | a minimum period for data retrieval of at least 30 calendar days, starting after the termination of the transitional period that was agreed between the customer and the provider of data processing services, in accordance with point (a) of this paragraph and paragraph 4;
h) | postanowienie umowne gwarantujące całkowite usunięcie wszystkich danych eksportowalnych i aktywów cyfrowych wygenerowanych bezpośrednio przez klienta lub bezpośrednio dotyczących klienta po upływie okresu pobierania, o którym mowa w lit. g), lub po upływie alternatywnego uzgodnionego okresu w terminie późniejszym niż termin upływu okresu pobierania, o którym mowa w lit. g), pod warunkiem że pomyślnie ukończony został proces zmiany dostawcy;(h) | a clause guaranteeing full erasure of all exportable data and digital assets generated directly by the customer, or relating to the customer directly, after the expiry of the retrieval period referred to in point (g) or after the expiry of an alternative agreed period at a date later than the date of expiry of the retrieval period referred to in point (g), provided that the switching process has been completed successfully;
i) | opłaty z tytułu zmiany dostawcy, które dostawcy usług przetwarzania danych mogą nałożyć zgodnie z art. 29.(i) | switching charges, that may be imposed by providers of data processing services in accordance with Article 29.
3.   Umowa, o której mowa w ust. 1, zawiera postanowienia umowne określające, że klient może powiadomić dostawcę usług przetwarzania danych o swojej decyzji, aby po upływie maksymalnego okresu wypowiedzenia, o którym mowa w ust. 2 lit. d), wykonać co najmniej jedno z następujących działań:3.   The contract referred to in paragraph 1 shall include clauses providing that the customer may notify the provider of data processing services of its decision to perform one or more of the following actions upon termination of the maximum notice period referred to in paragraph 2, point (d):
a) | zmienić dostawcę usług przetwarzania danych na innego dostawcę, w którym to przypadku klient przedstawia niezbędne dane tego innego dostawcy;(a) | switch to a different provider of data processing services, in which case the customer shall provide the necessary details of that provider;
b) | przejść na lokalną infrastrukturę ICT;(b) | switch to an on-premises ICT infrastructure;
c) | usunąć jego dane eksportowalne i aktywa cyfrowe.(c) | erase its exportable data and digital assets.
4.   W przypadku gdy obowiązkowy maksymalny okres przejściowy określony w ust. 2 lit. a) jest technicznie niemożliwy, dostawca usług przetwarzania danych powiadamia o tym klienta w terminie 14 dni roboczych od złożenia wniosku o zmianę dostawcy, należycie uzasadnia techniczną niewykonalność i wskazuje zastępczy okres przejściowy, który nie może przekroczyć siedmiu miesięcy. Zgodnie z ust. 1 ciągłość usługi zostaje zapewniona przez cały zastępczy okres przejściowy.4.   Where the mandatory maximum transitional period as provided for in paragraph 2, point (a) is technically unfeasible, the provider of data processing services shall notify the customer within 14 working days of the making of the switching request, and shall duly justify the technical unfeasibility and indicate an alternative transitional period, which shall not exceed seven months. In accordance with paragraph 1, service continuity shall be ensured throughout the alternative transitional period.
5.   Bez uszczerbku dla ust. 4 umowa, o której mowa w ust. 1 zawiera postanowienia umowne zapewniające klientowi prawo do jednokrotnego przedłużenia okresu przejściowego o okres, który klient uznaje za właściwszy z uwagi na własne cele.5.   Without prejudice to paragraph 4, the contract referred to in paragraph 1 shall include clauses providing the customer with the right to extend the transitional period once for a period that the customer considers more appropriate for its own purposes.
Artykuł 26Article 26
Obowiązek informacyjny spoczywający na dostawcach usług przetwarzania danychInformation obligation of providers of data processing services
Dostawca usług przetwarzania danych przedstawia klientowi:The provider of data processing services shall provide the customer with:
a) | informacje o istniejących procedurach zmiany dostawcy i przeniesienia usługi przetwarzania danych, w tym informacje o dostępnych metodach i formatach zmiany dostawcy i przeniesienia oraz o limitach i ograniczeniach technicznych znanych dostawcy usług przetwarzania danych;(a) | information on available procedures for switching and porting to the data processing service, including information on available switching and porting methods and formats as well as restrictions and technical limitations which are known to the provider of data processing services;
b) | odniesienie do aktualnego rejestru internetowego prowadzonego przez dostawcę usług przetwarzania danych ze szczegółowymi informacjami o wszelkich strukturach danych i formatach danych oraz o stosownych normach i otwartych specyfikacjach w zakresie interoperacyjności, w których dostępne są dane eksportowalne, o których mowa w art. 25 ust. 2 lit. e).(b) | a reference to an up-to-date online register hosted by the provider of data processing services, with details of all the data structures and data formats as well as the relevant standards and open interoperability specifications, in which the exportable data referred to in Article 25(2), point (e), are available.
Artykuł 27Article 27
Obowiązek działania w dobrej wierzeObligation of good faith
Wszystkie zaangażowane strony, w tym docelowi dostawcy usług przetwarzania danych, współpracują ze sobą w dobrej wierze, aby zapewnić skuteczność procesu zmiany dostawcy, umożliwić terminowe przekazanie danych oraz utrzymać ciągłość usługi przetwarzania danych.All parties involved, including destination providers of data processing services, shall cooperate in good faith to make the switching process effective, enable the timely transfer of data and maintain the continuity of the data processing service.
Artykuł 28Article 28
Umowne obowiązki dotyczące przejrzystości w zakresie dostępu międzynarodowego i przekazywania międzynarodowegoContractual transparency obligations on international access and transfer
1.   Dostawcy usług przetwarzania danych udostępniają na swoich stronach internetowych i na bieżąco aktualizują następujące informacje:1.   Providers of data processing services shall make the following information available on their websites, and keep that information up to date:
a) | jurysdykcja, której podlega infrastruktura ICT używana do przetwarzania danych w ramach ich poszczególnych usług;(a) | the jurisdiction to which the ICT infrastructure deployed for data processing of their individual services is subject;
b) | ogólny opis środków technicznych, organizacyjnych i umownych przyjętych przez dostawcę usług przetwarzania danych w celu zapobieżenia międzynarodowemu dostępowi do danych nieosobowych przechowywanych na terenie Unii lub ich przekazania administracji rządowej, w przypadku gdy taki dostęp lub takie przekazanie skutkowałyby naruszeniem prawa Unii lub prawa krajowego danego państwa członkowskiego.(b) | a general description of the technical, organisational and contractual measures adopted by the provider of data processing services in order to prevent international governmental access to or transfer of non-personal data held in the Union where such access or transfer would create a conflict with Union law or the national law of the relevant Member State.
2.   Odniesienie do stron internetowych, o których mowa w ust. 1, znajduje się w umowach w odniesieniu do wszystkich usług przetwarzania danych oferowanych przez dostawców usług przetwarzania danych.2.   The websites referred to in paragraph 1 shall be listed in contracts for all data processing services offered by providers of data processing services.
Artykuł 29Article 29
Stopniowe wycofywanie opłat z tytułu zmiany dostawcyGradual withdrawal of switching charges
1.   Od dnia 12 stycznia 2027 r. dostawcy usług przetwarzania danych nie nakładają na klienta opłat z tytułu zmiany dostawcy za procedurę zmiany dostawcy.1.   From 12 January 2027, providers of data processing services shall not impose any switching charges on the customer for the switching process.
2.   Od dnia 11 stycznia 2024 r. do dnia 12 stycznia 2027 r. dostawcy usług przetwarzania danych mogą nakładać na klienta obniżone opłaty z tytułu zmiany dostawcy za procedurę zmiany dostawcy.2.   From 11 January 2024 to 12 January 2027, providers of data processing services may impose reduced switching charges on the customer for the switching process.
3.   Obniżone opłaty z tytułu zmiany dostawcy, o których mowa w ust. 2, nie przekraczają kosztów poniesionych przez dostawcę usług przetwarzania danych i bezpośrednio związanych z danym procesem zmiany dostawcy.3.   The reduced switching charges referred to in paragraph 2 shall not exceed the costs incurred by the provider of data processing services that are directly linked to the switching process concerned.
4.   Przed zawarciem umowy z klientem dostawca usług przetwarzania danych przedstawia przyszłemu klientowi jasne informacje o standardowych opłatach za usługę i karach za wcześniejsze rozwiązanie umowy, które mogą zostać nałożone, oraz o obniżonych opłatach z tytułu zmiany dostawcy, które mogą zostać nałożone w okresie, o którym mowa w ust. 2.4.   Before entering into a contract with a customer, providers of data processing services shall provide the prospective customer with clear information on the standard service fees and early termination penalties that might be imposed, as well as on the reduced switching charges that might be imposed during the timeframe referred to in paragraph 2.
5.   W stosownym przypadku dostawcy usług przetwarzania danych przedstawiają klientowi informacje o usługach przetwarzania danych, które wiążą się z wysoce złożoną lub kosztowną zmianą dostawcy lub z niemożnością zmiany dostawcy bez znacznej ingerencji w dane, aktywa cyfrowe lub architekturę usługi.5.   Where relevant, providers of data processing services shall provide information to a customer on data processing services that involve highly complex or costly switching or for which it is impossible to switch without significant interference in the data, digital assets or service architecture.
6.   W stosownym przypadku dostawcy usług przetwarzania danych publicznie przedstawiają informacje, o których mowa w ust. 4 i 5, klientom za pomocą specjalnej sekcji na swojej stronie internetowej lub w inny łatwo dostępny sposób.6.   Where applicable, providers of data processing services shall make the information referred to in paragraphs 4 and 5 publicly available to customers via a dedicated section of their website or in any other easily accessible way.
7.   Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 45 służących uzupełnieniu niniejszego rozporządzenia poprzez wprowadzenie mechanizmu monitorowania, który pozwoli jej monitorować opłaty z tytułu zmiany dostawcy nakładane na rynku przez dostawców usług przetwarzania danych i tym samym zapewnić, aby wycofanie i obniżenie opłat z tytułu zmiany dostawcy zgodnie z ust. 1 i 2 niniejszego artykułu odbyło się w terminach określonych w tych ustępach.7.   The Commission is empowered to adopt delegated acts in accordance with Article 45 to supplement this Regulation by establishing a monitoring mechanism for the Commission to monitor switching charges, imposed by providers of data processing services on the market to ensure that the withdrawal and reduction of switching charges, pursuant to paragraphs 1 and 2 of this Article are to be attained in accordance with the deadlines laid down in those paragraphs.
Artykuł 30Article 30
Techniczne aspekty zmiany dostawcyTechnical aspects of switching
1.   Dostawcy usług przetwarzania danych, które to usługi dotyczą skalowalnych i elastycznych zasobów obliczeniowych ograniczonych do elementów infrastruktury, takich jak serwery, sieci i zasoby wirtualne niezbędne do obsługi infrastruktury, ale nie zapewniają dostępu do usług operacyjnych, oprogramowania i aplikacji, które są przechowywane, w inny sposób przetwarzane lub wdrażane na tych elementach infrastruktury, zgodnie z art. 27 stosują wszelkie uzasadnione środki pozostające w ich mocy, aby ułatwić klientowi – po zmianie dostawcy na dostawcę usługi obejmującej usługę tego samego typu – osiągnięcie równoważności funkcjonalnej w ramach korzystania z docelowej usługi przetwarzania danych. Wyjściowy dostawca usług przetwarzania danych ułatwia proces zmiany dostawcy, zapewniając zasoby, odpowiednie informacje, dokumentację, wsparcie techniczne oraz w stosownym przypadku niezbędne narzędzia.1.   Providers of data processing services that concern scalable and elastic computing resources limited to infrastructural elements such as servers, networks and the virtual resources necessary for operating the infrastructure, but that do not provide access to the operating services, software and applications that are stored, otherwise processed, or deployed on those infrastructural elements, shall, in accordance with Article 27, take all reasonable measures in their power to facilitate that the customer, after switching to a service covering the same service type, achieves functional equivalence in the use of the destination data processing service. The source provider of data processing services shall facilitate the switching process by providing capabilities, adequate information, documentation, technical support and, where appropriate, the necessary tools.
2.   Dostawcy usług przetwarzania danych inni niż dostawcy, o których mowa w ust. 1, aby ułatwić zmianę dostawcy, nieodpłatnie udostępniają otwarte interfejsy w równym zakresie wszystkim swoim klientom i zainteresowanym docelowym dostawcom usług przetwarzania danych. Interfejsy te zawierają wystarczająco dużo informacji o danej usłudze, aby można było opracować oprogramowanie do komunikacji z tymi usługami do celów przenoszenia i interoperacyjności danych.2.   Providers of data processing services, other than those referred to in paragraph 1, shall make open interfaces available to an equal extent to all their customers and the concerned destination providers of data processing services free of charge to facilitate the switching process. Those interfaces shall include sufficient information on the service concerned to enable the development of software to communicate with the services, for the purposes of data portability and interoperability.
3.   W przypadku usług przetwarzania danych innych niż usługi, o których mowa w ust. 1 niniejszego artykułu, dostawcy usług przetwarzania danych zapewniają zgodność ze wspólnymi specyfikacjami opartymi na otwartych specyfikacjach w zakresie interoperacyjności lub zharmonizowanych normach w zakresie interoperacyjności co najmniej 12 miesięcy po tym, jak odniesienia do tych wspólnych specyfikacji lub do norm zharmonizowanych w zakresie interoperacyjności usług przetwarzania danych zostaną opublikowane w centralnym repozytorium norm Unii dotyczących interoperacyjności usług przetwarzania danych, po publikacji w Dzienniku Urzędowym Unii Europejskiej aktów wykonawczych będących ich podstawą zgodnie z art. 35 ust. 7.3.   For data processing services other than those referred to in paragraph 1 of this Article, providers of data processing services shall ensure compatibility with common specifications based on open interoperability specifications or harmonised standards for interoperability at least 12 months after the references to those common specifications or harmonised standards for interoperability of data processing services were published in the central Union standards repository for the interoperability of data processing services following the publication of the underlying implementing acts in the Official Journal of the European Union in accordance with Article 35(8).
4.   Dostawcy usług przetwarzania danych inni niż dostawcy, o których mowa w ust. 1 niniejszego artykułu, uaktualniają rejestr internetowy, o którym mowa w art. 26 lit. b), zgodnie ze swoimi obowiązkami przewidzianymi w ust. 3 niniejszego artykułu.4.   Providers of data processing services other than those referred to in paragraph 1 of this Article shall update the online register referred to in Article 26, point (b) in accordance with their obligations under paragraph 3 of this Article.
5.   W przypadku zmiany dostawcy na dostawcę usługi tego samego typu, dla której wspólne specyfikacje lub normy zharmonizowane w zakresie interoperacyjności, o których mowa w ust. 3 niniejszego artykułu, nie zostały opublikowane się w centralnym repozytorium Unii dotyczącym interoperacyjności usług przetwarzania danych zgodnie z art. 35 ust. 8, dostawca usług przetwarzania danych na wniosek klienta eksportuje wszystkie dane eksportowalne w uporządkowanym, powszechnie używanym, nadającym się do odczytu maszynowego formacie.5.   In the case of switching between services of the same service type, for which common specifications or the harmonised standards for interoperability referred to in paragraph 3 of this Article have not been published in the central Union standards repository for the interoperability of data processing services in accordance with Article 35(8), the provider of data processing services shall, at the request of the customer, export all exportable data in a structured, commonly used and machine-readable format.
6.   Od dostawców usług przetwarzania danych nie wymaga się opracowania nowych technologii lub usług, ujawnienia lub przekazania zasobów cyfrowych chronionych prawami własności intelektualnej lub stanowiących tajemnicę przedsiębiorstwa klientowi lub innemu dostawcy usług przetwarzania danych ani stwarzania zagrożenia dla bezpieczeństwa i integralności usług klienta lub dostawcy.6.   Providers of data processing services shall not be required to develop new technologies or services, or disclose or transfer digital assets that are protected by intellectual property rights or that constitute a trade secret, to a customer or to a different provider of data processing services or compromise the customer’s or provider’s security and integrity of service.
Artykuł 31Article 31
Szczegółowe uregulowania dotyczące niektórych usług przetwarzania danychSpecific regime for certain data processing services
1.   Obowiązki określone w art. 23 lit. d), art. 29 i art. 30 ust. 1 i 3 nie mają zastosowania do usług przetwarzania danych, w przypadku których większość głównych cech została opracowana na zamówienie, tak aby dostosować je do konkretnych potrzeb indywidualnego klienta, lub w przypadku których wszystkie komponenty zostały opracowane na potrzeby indywidualnego klienta i w przypadku gdy te usługi przetwarzania danych nie są oferowane komercyjnie na szeroką skalę poprzez katalog usług dostawcy usług przetwarzania danych.1.   The obligations laid down in Article 23, point (d), Article 29 and Article 30(1) and (3) shall not apply to data processing services of which the majority of main features has been custom-built to accommodate the specific needs of an individual customer or where all components have been developed for the purposes of an individual customer, and where those data processing services are not offered at broad commercial scale via the service catalogue of the provider of data processing services.
2.   Obowiązki określone w niniejszym rozdziale nie mają zastosowania do usług przetwarzania danych świadczonych przez ograniczony okres jako nieprzeznaczona do produkcji wersja do celów testowania i oceny.2.   The obligations laid down in this Chapter shall not apply to data processing services provided as a non-production version for testing and evaluation purposes and for a limited period of time.
3.   Przed zawarciem umowy o świadczenie usług przetwarzania danych, o których to usługach mowa w niniejszym artykule, dostawca usług przetwarzania danych informuje przyszłego klienta o obowiązkach przewidzianych w niniejszym rozdziale, które nie mają zastosowania.3.   Prior to the conclusion of a contract on the provision of the data processing services referred to in this Article, the provider of data processing services shall inform the prospective customer of the obligations of this Chapter that do not apply.
ROZDZIAŁ VIICHAPTER VII
BEZPRAWNY MIĘDZYNARODOWY DOSTĘP ADMINISTRACJI RZĄDOWEJ DO DANYCH NIEOSOBOWYCH I BEZPRAWNE MIĘDZYNARODOWE PRZEKAZYWANIE DANYCH NIEOSOBOWYCHUNLAWFUL INTERNATIONAL GOVERNMENTAL ACCESS AND TRANSFER OF NON-PERSONAL DATA
Artykuł 32Article 32
Międzynarodowy dostęp administracji rządowej i przekazywanieInternational governmental access and transfer
1.   Dostawcy usług przetwarzania danych stosują wszelkie odpowiednie środki techniczne, organizacyjne i prawne, w tym umowy, w celu zapobiegania międzynarodowemu dostępowi administracji rządowej państw trzecich do danych nieosobowych przechowywanych na terenie Unii oraz międzynarodowemu przekazywaniu takich danych nieosobowych, w przypadku gdy takie przekazywanie lub taki dostęp byłyby sprzeczne z prawem Unii lub prawem krajowym danego państwa członkowskiego, bez uszczerbku dla ust. 2 lub 3.1.   Providers of data processing services shall take all adequate technical, organisational and legal measures, including contracts, in order to prevent international and third-country governmental access and transfer of non-personal data held in the Union where such transfer or access would create a conflict with Union law or with the national law of the relevant Member State, without prejudice to paragraph 2 or 3.
2.   Orzeczenia lub wyroki sądu lub trybunału państwa trzeciego oraz decyzje organu administracyjnego państwa trzeciego nakazujące dostawcy usług przetwarzania danych przekazanie przechowywanych na terenie Unii danych nieosobowych objętych zakresem stosowania niniejszego rozporządzenia lub udzielenie dostępu do tych danych uznaje się lub wykonuje wyłącznie wtedy, gdy są oparte na umowie międzynarodowej, takiej jak traktat o pomocy prawnej, obowiązującej między państwem trzecim, które występuje z wnioskiem, a Unią lub na umowie tego rodzaju między państwem trzecim, które występuje z wnioskiem, a państwem członkowskim.2.   Any decision or judgment of a third-country court or tribunal and any decision of a third-country administrative authority requiring a provider of data processing services to transfer or give access to non-personal data falling within the scope of this Regulation held in the Union shall be recognised or enforceable in any manner only if based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union, or any such agreement between the requesting third country and a Member State.
3.   W przypadku braku umowy międzynarodowej, o której mowa w ust. 2, jeżeli dostawca usług przetwarzania danych jest adresatem orzeczenia lub wyroku sądu lub trybunału państwa trzeciego lub decyzji organu administracyjnego państwa trzeciego nakazujących przekazanie przechowywanych na terenie Unii danych nieosobowych objętych zakresem stosowania niniejszego rozporządzenia lub udzielenie dostępu do tych danych, a zastosowanie się do takiego orzeczenia lub takiej decyzji wiązałoby się z ryzykiem naruszenia przez adresata prawa Unii lub prawa krajowego stosownego państwa członkowskiego, przekazanie takich danych temu organowi państwa trzeciego lub udzielenie mu dostępu do takich danych odbywa się wyłącznie gdy:3.   In the absence of an international agreement as referred to in paragraph 2, where a provider of data processing services is the addressee of a decision or judgment of a third-country court or tribunal or a decision of a third-country administrative authority to transfer or give access to non-personal data falling within the scope of this Regulation held in the Union and compliance with such a decision would risk putting the addressee in conflict with Union law or with the national law of the relevant Member State, transfer to or access to such data by that third-country authority shall take place only where:
a) | system państwa trzeciego wymaga, aby uzasadnienie i proporcjonalność takiego orzeczenia, wyroku lub takiej decyzji zostały określone oraz aby takie orzeczenie, wyrok lub taka decyzja miały konkretny charakter, np. poprzez ustalenie wystarczającego związku z niektórymi osobami podejrzanymi lub naruszeniami;(a) | the third-country system requires the reasons and proportionality of such a decision or judgment to be set out and requires such a decision or judgment to be specific in character, for instance by establishing a sufficient link to certain suspected persons or infringements;
b) | uzasadniony sprzeciw adresata podlega kontroli właściwego sądu lub trybunału państwa trzeciego; oraz(b) | the reasoned objection of the addressee is subject to a review by a competent third-country court or tribunal; and
c) | właściwy sąd lub trybunał państwa trzeciego wydający orzeczenie lub wyrok lub dokonujący kontroli decyzji organu administracyjnego są upoważnione na podstawie prawa tego państwa trzeciego do należytego uwzględnienia stosownych interesów prawnych dostawcy danych chronionych na mocy prawa Unii lub prawa krajowego danego państwa członkowskiego.(c) | the competent third-country court or tribunal issuing the decision or judgment or reviewing the decision of an administrative authority is empowered under the law of that third country to take duly into account the relevant legal interests of the provider of the data protected by Union law or by the national law of the relevant Member State.
Adresat decyzji lub orzeczenia może zwrócić się o opinię do stosownego podmiotu lub organu krajowego właściwego ds. współpracy międzynarodowej w kwestiach prawnych w celu ustalenia, czy warunki określone w akapicie pierwszym zostały spełnione, w szczególności jeżeli uzna, że orzeczenie lub decyzja mogą dotyczyć tajemnic przedsiębiorstwa i innych szczególnie chronionych danych handlowych oraz treści chronionych prawami własności intelektualnej lub przekazanie może prowadzić do deanonimizacji. Właściwy podmiot lub organ krajowy może skonsultować się z Komisją. Jeżeli adresat uzna, że decyzja może naruszać bezpieczeństwo narodowe lub interesy obronne Unii lub jej państw członkowskich, zwraca się o opinię do właściwych podmiotów lub organów krajowych w celu ustalenia, czy żądane dane dotyczą bezpieczeństwa narodowego lub interesów obronnych Unii lub jej państw członkowskich. Jeżeli adresat nie otrzyma odpowiedzi w terminie miesiąca lub jeżeli właściwy podmiot lub organ krajowy stwierdzi w opinii, że warunki określone w akapicie pierwszym nie zostały spełnione, adresat może na tej podstawie odrzucić wniosek o przekazanie danych nieosobowych lub dostęp do nich.The addressee of the decision or judgment may ask the opinion of the relevant national body or authority competent for international cooperation in legal matters, in order to determine whether the conditions laid down in the first subparagraph are met, in particular when it considers that the decision may relate to trade secrets and other commercially sensitive data as well as to content protected by intellectual property rights or the transfer may lead to re-identification. The relevant national body or authority may consult the Commission. If the addressee considers that the decision or judgment may impinge on the national security or defence interests of the Union or its Member States, it shall ask the opinion of the relevant national body or authority in order to determine whether the data requested concerns national security or defence interests of the Union or its Member States. If the addressee has not received a reply within one month, or if the opinion of such body or authority concludes that the conditions laid down in the first subparagraph are not met, the addressee may reject the request for transfer or access, to non-personal data, on those grounds.
Europejska Rada ds. Innowacji w zakresie Danych, o której mowa w art. 42, doradza Komisji i wspiera ją w opracowywaniu wytycznych w sprawie oceny spełnienia warunków określonych w akapicie pierwszym niniejszego ustępu.The EDIB referred to in Article 42 shall advise and assist the Commission in developing guidelines on the assessment of whether the conditions laid down in the first subparagraph of this paragraph are met.
4.   Jeżeli spełnione są warunki określone w ust. 2 lub 3, dostawca usług przetwarzania danych w odpowiedzi na wniosek dostarcza jak najmniejszą ilość danych dozwoloną w oparciu o racjonalną interpretację tego wniosku dokonaną przez dostawcę lub właściwy krajowy podmiot lub organ, o którym mowa w ust. 3 akapit drugi.4.   If the conditions laid down in paragraph 2 or 3 are met, the provider of data processing services shall provide the minimum amount of data permissible in response to a request, on the basis of the reasonable interpretation of that request by the provider or relevant national body or authority referred to in paragraph 3, second subparagraph.
5.   Zanim dostawca usług przetwarzania danych zastosuje się do tego wniosku, informuje on klienta o wniosku organu państwa trzeciego o dostęp do jego danych, z wyjątkiem przypadków, w których wniosek służy do celów ścigania przestępstw i tak długo, jak jest to niezbędne do zachowania skuteczności działań w tym zakresie.5.   The provider of data processing services shall inform the customer about the existence of a request of a third-country authority to access its data before complying with that request, except where the request serves law enforcement purposes and for as long as this is necessary to preserve the effectiveness of the law enforcement activity.
ROZDZIAŁ VIIICHAPTER VIII
INTEROPERACYJNOŚĆINTEROPERABILITY
Artykuł 33Article 33
Zasadnicze wymagania w zakresie interoperacyjności danych, mechanizmów i usług dzielenia się danymi oraz wspólnych europejskich przestrzeni danychEssential requirements regarding interoperability of data, of data sharing mechanisms and services, as well as of common European data spaces
1.   Uczestnicy przestrzeni danych oferujący innym uczestnikom dane lub usługi oparte na danych spełniają następujące zasadnicze wymagania w celu ułatwienia interoperacyjności danych, mechanizmów i usług dzielenia się danymi oraz wspólnych europejskich przestrzeni danych, które są interoperacyjnymi ramami wspólnych norm i praktyk, szczególnymi dla danego celu lub sektora bądź międzysektorowymi, służącymi dzieleniu się danymi lub ich wspólnemu przetwarzaniu na potrzeby m.in. opracowywania nowych produktów i usług, badań naukowych lub inicjatyw społeczeństwa obywatelskiego:1.   Participants in data spaces that offer data or data services to other participants shall comply with the following essential requirements to facilitate the interoperability of data, of data sharing mechanisms and services, as well as of common European data spaces which are purpose- or sector-specific or cross-sectoral interoperable frameworks for common standards and practices to share or jointly process data for, inter alia, the development of new products and services, scientific research or civil society initiatives:
a) | dostatecznie opisane są zawartość zestawu danych, ograniczenia wykorzystania, licencje, metody zbierania danych, jakość danych i niepewność, w stosownym przypadku w formacie nadającym się do odczytu maszynowego, aby umożliwić odbiorcy znalezienie danych, dostęp do nich i ich wykorzystanie;(a) | the dataset content, use restrictions, licences, data collection methodology, data quality and uncertainty shall be sufficiently described, where applicable, in a machine-readable format, to allow the recipient to find, access and use the data;
b) | w ogólnodostępny i spójny sposób opisane są struktury danych, formaty danych, słowniki, systemy klasyfikacji, taksonomie i wykazy kodów, jeżeli są dostępne;(b) | the data structures, data formats, vocabularies, classification schemes, taxonomies and code lists, where available, shall be described in a publicly available and consistent manner;
c) | dostatecznie opisane są techniczne środki dostępu do danych, takie jak interfejsy programowania aplikacji, oraz warunki korzystania z tych środków i jakość usługi, aby umożliwić automatyczny dostęp do danych i ich przesyłanie między stronami, w tym w sposób ciągły, w sposób masowy lub w czasie rzeczywistym w formacie nadającym się do odczytu maszynowego, jeżeli jest to techniczne możliwe i nie utrudnia prawidłowego funkcjonowania produktu skomunikowanego;(c) | the technical means to access the data, such as application programming interfaces, and their terms of use and quality of service shall be sufficiently described to enable automatic access and transmission of data between parties, including continuously, in bulk download or in real-time in a machine-readable format where that is technically feasible and does not hamper the good functioning of the connected product;
d) | w stosownym przypadku zapewnione są środki umożliwiające interoperacyjność narzędzi automatycznego wykonywania umów w sprawie dzielenia się danymi, takich jak inteligentne umowy.(d) | where applicable, the means to enable the interoperability of tools for automating the execution of data sharing agreements, such as smart contracts shall be provided.
Wymagania te mogą mieć charakter ogólny lub dotyczyć konkretnych sektorów, przy czym należy w pełni uwzględnić ich wzajemne powiązania z wymaganiami wynikającymi z prawa Unii lub z prawa krajowego.The requirements can have a generic nature or concern specific sectors, while taking fully into account the interrelation with requirements arising from other Union or national law.
2.   Komisja jest uprawniona do przyjmowania aktów delegowanych, zgodnie z art. 45 niniejszego rozporządzenia, w celu uzupełnienia niniejszego rozporządzenia poprzez doprecyzowanie zasadniczych wymagań określonych w ust. 1 niniejszego artykułu, w odniesieniu do tych wymagań, które ze względu na swój charakter nie mogą przynieść zamierzonego efektu, chyba że zostaną doprecyzowane w wiążących aktach prawnych Unii, i w celu właściwego odzwierciedlenia zmian technologicznych i rynkowych.2.   The Commission is empowered to adopt delegated acts, in accordance with Article 45 of this Regulation to supplement this Regulation by further specifying the essential requirements laid down in paragraph 1 of this Article, in relation to those requirements that, by their nature, cannot produce the intended effect unless they are further specified in binding Union legal acts and in order to properly reflect technological and market developments.
Przyjmując te akty delegowane, Komisja uwzględnia opinię Europejskiej Rady ds. Innowacji w zakresie Danych zgodnie z art. 42 lit. c) ppkt (iii).The Commission shall when adopting delegated acts take into account the advice of the EDIB in accordance with Article 42, point (c)(iii).
3.   Domniemywa się, że uczestnicy przestrzeni danych oferujący dane lub usługi oparte na danych innym uczestnikom przestrzeni danych i spełniający normy zharmonizowane lub części tych norm, do których odniesienia są opublikowane w Dzienniku Urzędowym Unii Europejskiej, spełniają zasadnicze wymagania, o których mowa w ust. 1, w zakresie, w jakim wspomniane wymagania objęte są takimi normami zharmonizowanymi lub ich częściami.3.   The participants in data spaces that offer data or data services to other participants in data spaces which meet the harmonised standards or parts thereof, the references of which are published in the Official Journal of the European Union, shall be presumed to be in conformity with the essential requirements laid down in paragraph 1 to the extent that those requirements are covered by such harmonised standards or parts thereof.
4.   Komisja, zgodnie z art. 10 rozporządzenia (UE) nr 1025/2012, zwraca się do co najmniej jednej europejskiej organizacji normalizacyjnej z wnioskiem o przygotowanie norm zharmonizowanych spełniających zasadnicze wymagania określone w ust. 1 niniejszego artykułu.4.   The Commission shall, pursuant to Article 10 of Regulation (EU) No 1025/2012, request one or more European standardisation organisations to draft harmonised standards that satisfy the essential requirements laid down in paragraph 1 of this Article.
5.   Komisja może przyjąć – w drodze aktów wykonawczych – wspólne specyfikacje, obejmujące dowolny lub wszystkie zasadnicze wymagania określone w ust. 1, jeżeli spełnione zostały następujące warunki:5.   The Commission may, by means of implementing acts, adopt common specifications covering any or all of the essential requirements laid down in paragraph 1 where the following conditions have been fulfilled:
a) | Komisja zwróciła się, zgodnie z art. 10 ust. 1 rozporządzenia (UE) nr 1025/2012, do co najmniej jednej europejskiej organizacji normalizacyjnej z wnioskiem o przygotowanie normy zharmonizowanej spełniającej zasadnicze wymagania określone w ust. 1 niniejszego artykułu, a w dodatku: | (i) | wniosek nie został zaakceptowany; | (ii) | normy zharmonizowane dotyczące tego wniosku nie zostały dostarczone w terminie określonym zgodnie z art. 10 ust. 1 rozporządzenia (UE) nr 1025/2012; lub | (iii) | normy zharmonizowane nie są zgodne z wnioskiem; oraz(a) | the Commission has requested, pursuant to Article 10(1) of Regulation (EU) No 1025/2012, one or more European standardisation organisations to draft a harmonised standard that satisfies the essential requirements laid down in paragraph 1 of this Article and: | (i) | the request has not been accepted; | (ii) | the harmonised standards addressing that request are not delivered within the deadline set in accordance with Article 10(1) of Regulation (EU) No 1025/2012; or | (iii) | the harmonised standards do not comply with the request; and
b) | w Dzienniku Urzędowym Unii Europejskiej nie jest opublikowane odniesienie do norm zharmonizowanych obejmujących stosowne zasadnicze wymagania określone w ust. 1 niniejszego artykułu zgodnie z rozporządzeniem (UE) nr 1025/2012 i nie przewiduje się publikacji takiego odniesienia w rozsądnym terminie.(b) | no reference to harmonised standards covering the relevant essential requirements laid down in paragraph 1 of this Article is published in the Official Journal of the European Union in accordance with Regulation (EU) No 1025/2012 and no such reference is expected to be published within a reasonable period.
Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 46 ust. 2.Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 46(2).
6.   Przed sporządzeniem projektu aktu wykonawczego, o którym mowa w ust. 5 niniejszego artykułu Komisja informuje komitet, o którym mowa w art. 22 rozporządzenia (UE) nr 1025/2012, że jej zdaniem spełnione zostały warunki przewidziane w ust. 5 niniejszego artykułu.6.   Before preparing a draft implementing act referred to in paragraph 5 of this Article, the Commission shall inform the committee referred to in Article 22 of Regulation (EU) No 1025/2012 that it considers that the conditions in paragraph 5 of this Article have been fulfilled.
7.   Sporządzając projekt aktu wykonawczego, o którym mowa w ust. 5, Komisja uwzględnia opinie Europejskiej Rady ds. Innowacji w zakresie Danych i innych stosownych podmiotów lub grup ekspertów i należycie konsultuje się ze wszystkimi stosownymi zainteresowanymi stronami.7.   When preparing the draft implementing act referred to in paragraph 5, the Commission shall take into account the advice of the EDIB and views of other relevant bodies or expert groups and shall duly consult all relevant stakeholders.
8.   Domniemywa się, że uczestnicy przestrzeni danych oferujący dane lub usługi oparte na danych innym uczestnikom przestrzeni danych i spełniający wspólne specyfikacje ustanowione aktami wykonawczymi, o których mowa w ust. 5, lub ich części spełniają zasadnicze wymagania określone w ust. 1 objęte tymi wspólnymi specyfikacjami lub ich częściami.8.   The participants in data spaces that offer data or data services to other participants in data spaces that meet the common specifications established by implementing acts referred to in paragraph 5 or parts thereof shall be presumed to be in conformity with the essential requirements laid down in paragraph 1 to the extent that those requirements are covered by such common specifications or parts thereof.
9.   W przypadku gdy norma zharmonizowana zostaje przyjęta przez europejską organizację normalizacyjną i przedstawiona Komisji w celu opublikowania odniesienia do niej w Dzienniku Urzędowym Unii Europejskiej, Komisja ocenia tę normę zharmonizowaną zgodnie z rozporządzeniem (UE) nr 1025/2012. W przypadku opublikowania odniesienia do normy zharmonizowanej w Dzienniku Urzędowym Unii Europejskiej Komisja uchyla akty wykonawcze, o których mowa w ust. 5 niniejszego artykułu, lub ich części, które obejmują te same zasadnicze wymagania, jak te objęte normą zharmonizowaną.9.   Where a harmonised standard is adopted by a European standardisation organisation and proposed to the Commission for the purpose of publishing its reference in the Official Journal of the European Union, the Commission shall assess the harmonised standard in accordance with Regulation (EU) No 1025/2012. Where the reference of a harmonised standard is published in the Official Journal of the European Union, the Commission shall repeal the implementing acts referred to in paragraph 5 of this Article, or parts thereof which cover the same essential requirements as those covered by that harmonised standard.
10.   W przypadku gdy państwo członkowskie uzna, że wspólna specyfikacja nie w pełni spełnia zasadnicze wymagania określone w ust. 1, informuje o tym Komisję, przedstawiając szczegółowe wyjaśnienie. Komisja ocenia to szczegółowe wyjaśnienie i w stosownym przypadku może zmienić akt wykonawczy ustanawiający daną wspólną specyfikację.10.   When a Member State considers that a common specification does not entirely satisfy the essential requirements laid down in paragraph 1, it shall inform the Commission thereof by submitting a detailed explanation. The Commission shall assess that detailed explanation and may, if appropriate, amend the implementing act establishing the common specification in question.
11.   Komisja może przyjąć wytyczne, uwzględniając propozycję Europejskiej Rady ds. Innowacji w zakresie Danych zgodnie z art. 30 lit. h) rozporządzenia (UE) 2022/868, ustanawiającym specyfikacje w zakresie interoperacyjnych ram wspólnych norm i praktyk na potrzeby funkcjonowania wspólnych europejskich przestrzeni danych.11.   The Commission may adopt guidelines taking into account the proposal of the EDIB in accordance with Article 30, point (h), of Regulation (EU) 2022/868 laying down interoperable frameworks for common standards and practices for the functioning of common European data spaces.
Artykuł 34Article 34
Interoperacyjność do celów równoczesnego korzystania z usług przetwarzania danychInteroperability for the purposes of in-parallel use of data processing services
1.   Wymagania określone w art. 23, 24, 25 ust. 2 lit. a) pkt (ii) i (iv), lit. e) i f) oraz w art. 30 ust. 2 do 5 mają także zastosowanie odpowiednio do dostawców usług przetwarzania danych, aby ułatwić interoperacyjność do celów równoczesnego korzystania z usług przetwarzania danych.1.   The requirements laid down in Article 23, Article 24, Article 25(2), points (a)(ii), (a)(iv), (e) and (f) and Article 30(2) to (5) shall also apply mutatis mutandis to providers of data processing services to facilitate interoperability for the purposes of in-parallel use of data processing services.
2.   W przypadku równoczesnego korzystania z usług przetwarzania danych, dostawcy usług przetwarzania danych mogą nałożyć opłaty z tytułu wychodzącego ruchu, które nie przekraczają poniesionych kosztów z tytułu wychodzącego ruchu.2.   Where a data processing service is being used in parallel with another data processing service, the providers of data processing services may impose data egress charges, but only for the purpose of passing on egress costs incurred, without exceeding such costs.
Artykuł 35Article 35
Interoperacyjność usług przetwarzania danychInteroperability of data processing services
1.   Otwarte specyfikacje w zakresie interoperacyjności i normy zharmonizowane w zakresie interoperacyjności usług przetwarzania danych:1.   Open interoperability specifications and harmonised standards for the interoperability of data processing services shall:
a) | zapewniają, jeżeli jest to technicznie możliwe, interoperacyjność różnych usług przetwarzania danych, które obejmują usługi tego samego typu;(a) | achieve, where technically feasible, interoperability between different data processing services that cover the same service type;
b) | zwiększają możliwość przenoszenia aktywów cyfrowych między różnymi usługami przetwarzania danych, które obejmują usługi tego samego typu;(b) | enhance portability of digital assets between different data processing services that cover the same service type;
c) | ułatwiają, jeżeli jest to technicznie możliwe, równoważność funkcjonalną różnych usług przetwarzania danych określonych w art. 30 ust. 1, które obejmują usługi tego samego typu;(c) | facilitate, where technically feasible, functional equivalence between different data processing services referred to in Article 30(1) that cover the same service type;
d) | nie wpływają negatywnie na bezpieczeństwo i integralność usług przetwarzania danych i danych;(d) | not have an adverse impact on the security and integrity of data processing services and data;
e) | są opracowywane w sposób umożliwiający postęp techniczny oraz wprowadzanie nowych funkcji i innowacji w usługach przetwarzania danych.(e) | be designed in such a way so as to allow for technical advances and the inclusion of new functions and innovation in data processing services.
2.   Otwarte specyfikacje w zakresie interoperacyjności i normy zharmonizowane w zakresie interoperacyjności usług przetwarzania danych odpowiednio dotyczą:2.   Open interoperability specifications and harmonised standards for the interoperability of data processing services shall adequately address:
a) | aspektów interoperacyjności w chmurze w odniesieniu do interoperacyjności przesyłu danych, interoperacyjności syntaktycznej, interoperacyjności semantycznej danych, interoperacyjności behawioralnej i interoperacyjności zasad;(a) | the cloud interoperability aspects of transport interoperability, syntactic interoperability, semantic data interoperability, behavioural interoperability and policy interoperability;
b) | aspektów możliwości przenoszenia danych w chmurze w odniesieniu do syntaktycznej możliwości przenoszenia danych, semantycznej możliwości przenoszenia danych i możliwości przenoszenia zasad dotyczących danych;(b) | the cloud data portability aspects of data syntactic portability, data semantic portability and data policy portability;
c) | aspektów aplikacji w chmurze w odniesieniu do syntaktycznej możliwości przenoszenia aplikacji, możliwości przenoszenia poleceń aplikacji, możliwości przenoszenia metadanych aplikacji, możliwości przenoszenia zachowania aplikacji i możliwości przenoszenia zasad aplikacji.(c) | the cloud application aspects of application syntactic portability, application instruction portability, application metadata portability, application behaviour portability and application policy portability.
3.   Otwarte specyfikacje w zakresie interoperacyjności są zgodne z załącznikiem II do rozporządzenia (UE) nr 1025/2012.3.   Open interoperability specifications shall comply with Annex II to Regulation (EU) No 1025/2012.
4.   Po uwzględnieniu stosownych międzynarodowych i europejskich norm i inicjatyw samoregulacyjnych Komisja może, zgodnie z art. 10 ust. 1 rozporządzenia (UE) nr 1025/2012, zwrócić się do co najmniej jednej europejskiej organizacji normalizacyjnej z wnioskiem o przygotowanie norm zharmonizowanych spełniających zasadnicze wymagania określone w ust. 1 i 2 niniejszego artykułu.4.   After taking into account relevant international and European standards and self-regulatory initiatives, the Commission may, in accordance with Article 10(1) of Regulation (EU) No 1025/2012, request one or more European standardisation organisations to draft harmonised standards that satisfy the essential requirements laid down in paragraphs 1 and 2 of this Article.
5.   Komisja może przyjąć – w drodze aktów wykonawczych – wspólne specyfikacje na podstawie otwartych specyfikacji w zakresie interoperacyjności, obejmujące wszystkie zasadnicze wymagania określone w ust. 1 i 2.5.   The Commission may, by means of implementing acts, adopt common specifications based on open interoperability specifications covering all of the essential requirements laid down in paragraphs 1 and 2.
6.   Sporządzając projekt aktu wykonawczego, o którym mowa w u ust. 5 niniejszego artykułu, Komisja uwzględnia opinię właściwych organów krajowych, o których mowa w art. 37 ust. 5 lit. h), oraz innych właściwych podmiotów lub grup ekspertów i należycie konsultuje się ze wszystkimi właściwymi zainteresowanymi stronami.6.   When preparing the draft implementing act referred to in paragraph 5 of this Article, the Commission shall take into account the views of the relevant competent authorities referred to in Article 37(5), point (h) and other relevant bodies or expert groups and shall duly consult all relevant stakeholders.
7.   W przypadku gdy państwo członkowskie uzna, że wspólna specyfikacja nie w pełni spełnia zasadnicze wymagania określone w ust. 1 i 2, informuje o tym Komisję, przedstawiając szczegółowe wyjaśnienie. Komisja ocenia to szczegółowe wyjaśnienie i w stosownym przypadku może zmienić akt wykonawczy ustanawiający daną wspólną specyfikację.7.   When a Member State considers that a common specification does not entirely satisfy the essential requirements laid down in paragraphs 1 and 2, it shall inform the Commission thereof by submitting a detailed explanation. The Commission shall assess that detailed explanation and may, if appropriate, amend the implementing act establishing the common specification in question.
8.   Do celów art. 30 ust. 3 Komisja publikuje – w drodze aktów wykonawczych – odniesienia do norm zharmonizowanych i wspólnych specyfikacji w zakresie interoperacyjności usług przetwarzania danych w centralnym unijnym repozytorium norm dotyczących interoperacyjności usług przetwarzania danych.8.   For the purpose of Article 30(3), the Commission shall, by means of implementing acts, publish the references of harmonised standards and common specifications for the interoperability of data processing services in a central Union standards repository for the interoperability of data processing services.
9.   Akty wykonawcze, o których mowa w niniejszym artykule, przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 46 ust. 2.9.   The implementing acts referred to in this Article shall be adopted in accordance with the examination procedure referred to in Article 46(2).
Artykuł 36Article 36
Zasadnicze wymagania dotyczące inteligentnych umów na potrzeby wykonywania umów w sprawie dzielenia się danymiEssential requirements regarding smart contracts for executing data sharing agreements
1.   Dostawca aplikacji wykorzystującej inteligentne umowy lub w przypadku jego braku osoba, której działalność handlowa, gospodarcza lub zawodowa obejmuje wdrażanie inteligentnych umów dla innych osób w kontekście wykonywania umowy o udostępnianie danych lub jej części zapewnia, aby inteligentne umowy spełniały następujące zasadnicze wymagania:1.   The vendor of an application using smart contracts or, in the absence thereof, the person whose trade, business or profession involves the deployment of smart contracts for others in the context of executing an agreement or part of it, to make data available shall ensure that those smart contracts comply with the following essential requirements of:
a) | odporność i kontrola dostępu, zapewniające, aby inteligentna umowa została opracowana w sposób umożliwiający mechanizmy kontroli dostępu i bardzo wysoki poziom odporności na błędy funkcjonalne i manipulacje ze strony osób trzecich;(a) | robustness and access control, to ensure that the smart contract has been designed to offer access control mechanisms and a very high degree of robustness to avoid functional errors and to withstand manipulation by third parties;
b) | bezpieczne zakończenie i przerwanie, zapewniające, aby istniał mechanizm umożliwiający zakończenie dalszej realizacji transakcji oraz, aby inteligentna umowa obejmowała funkcje wewnętrzne, które mogą zresetować umowę lub polecić umowie zakończenie lub przerwanie działania, w szczególności w celu uniknięcia przyszłego przypadkowego wykonania;(b) | safe termination and interruption, to ensure that a mechanism exists to terminate the continued execution of transactions and that the smart contract includes internal functions which can reset or instruct the contract to stop or interrupt the operation, in particular to avoid future accidental executions;
c) | archiwizacja i ciągłość danych, zapewniające, aby w warunkach, w których inteligentna umowa musi zostać zakończona lub dezaktywowana, istniała możliwość archiwizacji danych transakcyjnych oraz logiki i kodu inteligentnej umowy w celu zachowania rejestru operacji wykonanych na danych w przeszłości (możliwość kontroli);(c) | data archiving and continuity, to ensure, in circumstances in which a smart contract must be terminated or deactivated, there is a possibility to archive the transactional data, smart contract logic and code in order to keep the record of operations performed on the data in the past (auditability);
d) | kontrola dostępu, zapewniająca, aby inteligentna umowa była chroniona za pomocą rygorystycznych mechanizmów kontroli dostępu w warstwach zarządzania i inteligentnych umów; oraz(d) | access control, to ensure that a smart contract is protected through rigorous access control mechanisms at the governance and smart contract layers; and
e) | spójność, zapewniająca spójność z postanowieniami umowy o dzieleniu się danymi, którą inteligentna umowa wykonuje.(e) | consistency, to ensure consistency with the terms of the data sharing agreement that the smart contract executes.
2.   Dostawca inteligentnej umowy lub w przypadku jego braku osoba, której działalność handlowa, gospodarcza lub zawodowa obejmuje wdrażanie inteligentnych umów dla innych osób w kontekście wykonywania umowy lub jej części w sprawie udostępniania danych, przeprowadza ocenę zgodności w celu spełnienia zasadniczych wymagań określonych w ust. 1 i wydaje deklarację zgodności UE, jeżeli wymagania te są spełnione.2.   The vendor of a smart contract or, in the absence thereof, the person whose trade, business or profession involves the deployment of smart contracts for others in the context of executing an agreement or part of it, to make data available shall perform a conformity assessment with a view to fulfilling the essential requirements laid down in paragraph 1 and, on the fulfilment of those requirements, issue an EU declaration of conformity.
3.   Sporządzając deklarację zgodności UE, dostawca aplikacji wykorzystującej inteligentne umowy lub w przypadku jego braku osoba, której działalność handlowa, gospodarcza lub zawodowa obejmuje wdrażanie inteligentnych umów dla innych osób w kontekście wykonania umowy, lub jej części, w sprawie udostępniania danych, są odpowiedzialni za przestrzeganie wymagań określonych w ust. 1.3.   By drawing up the EU declaration of conformity, the vendor of an application using smart contracts or, in the absence thereof, the person whose trade, business or profession involves the deployment of smart contracts for others in the context of executing an agreement or part of it, to make data available shall be responsible for compliance with the essential requirements laid down in paragraph 1.
4.   Domniemywa się, że inteligentna umowa, która spełnia normy zharmonizowane lub stosowne części tych norm, do których odniesienia są opublikowane w Dzienniku Urzędowym Unii Europejskiej, jest zgodna z zasadniczymi wymaganiami określonymi w ust. 1 w zakresie, w jakim wymagania te są objęte takimi normami zharmonizowanymi lub ich częścią.4.   A smart contract that meets the harmonised standards or the relevant parts thereof, the references of which are published in the Official Journal of the European Union, shall be presumed to be in conformity with the essential requirements laid down in paragraph 1 to the extent that those requirements are covered by such harmonised standards or parts thereof.
5.   Komisja, zgodnie z art. 10 rozporządzenia (UE) nr 1025/2012, zwraca się do co najmniej jednej europejskiej organizacji normalizacyjnej z wnioskiem o przygotowanie norm zharmonizowanych spełniających zasadnicze wymagania określone w ust. 1 niniejszego artykułu.5.   The Commission shall, pursuant to Article 10 of Regulation (EU) No 1025/2012, request one or more European standardisation organisations to draft harmonised standards that satisfy the essential requirements laid down in paragraph 1 of this Article.
6.   Komisja może przyjąć – w drodze aktów wykonawczych – wspólne specyfikacje, obejmujące dowolne lub wszystkie zasadnicze wymagania określone w ust. 1, jeżeli spełnione zostały następujące warunki:6.   The Commission may, by means of implementing acts, adopt common specifications covering any or all of the essential requirements laid down in paragraph 1 where the following conditions have been fulfilled:
a) | Komisja zwróciła się, zgodnie z art. 10 ust. 1 rozporządzenia (UE) nr 1025/2012, do co najmniej jednej europejskiej organizacji normalizacyjnej z wnioskiem o przygotowanie normy zharmonizowanej spełniającej zasadnicze wymagania określone w ust. 1 niniejszego artykułu, a w dodatku | (i) | wniosek nie został zaakceptowany; | (ii) | normy zharmonizowane dotyczące tego wniosku nie zostały dostarczone w terminie określonym zgodnie z art. 10 ust. 1 rozporządzenia (UE) nr 1025/2012; lub | (iii) | normy zharmonizowane nie są zgodne z wnioskiem; oraz(a) | the Commission has requested, pursuant to Article 10(1) of Regulation (EU) No 1025/2012, one or more European standardisation organisations to draft a harmonised standard that satisfies the essential requirements laid down in paragraph 1 of this Article and: | (i) | the request has not been accepted; | (ii) | the harmonised standards addressing that request are not delivered within the deadline set in accordance with Article 10(1) of Regulation (EU) No 1025/2012; or | (iii) | the harmonised standards do not comply with the request; and
b) | w Dzienniku Urzędowym Unii Europejskiej nie jest opublikowane odniesienie do norm zharmonizowanych obejmujących stosowne zasadnicze wymagania określone w ust. 1 niniejszego artykułu zgodnie z rozporządzeniem (UE) nr 1025/2012 i nie przewiduje się publikacji takiego odniesienia w rozsądnym terminie.(b) | no reference to harmonised standards covering the relevant essential requirements laid down in paragraph 1 of this Article is published in the Official Journal of the European Union in accordance with Regulation (EU) No 1025/2012 and no such reference is expected to be published within a reasonable period.
Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 46 ust. 2.Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 46(2).
7.   Przed sporządzeniem projektu aktu wykonawczego, o którym mowa w ust. 6 niniejszego artykułu Komisja informuje komitet, o którym mowa w art. 22 rozporządzenia (UE) nr 1025/2012, że jej zdaniem spełnione zostały warunki przewidziane w ust. 6 niniejszego artykułu.7.   Before preparing a draft implementing act referred to in paragraph 6 of this Article, the Commission shall inform the committee referred to in Article 22 of Regulation (EU) No 1025/2012 that it considers that the conditions in paragraph 6 of this Article have been fulfilled.
8.   Sporządzając projekt aktu wykonawczego, o którym mowa w ust. 6, Komisja uwzględnia opinie Europejskiej Rady ds. Innowacji w zakresie Danych i innych stosownych podmiotów lub grup ekspertów i należycie konsultuje się ze wszystkimi stosownymi zainteresowanymi stronami.8.   When preparing the draft implementing act referred to in paragraph 6, the Commission shall take into account the advice of the EDIB and views of other relevant bodies or expert groups and shall duly consult all relevant stakeholders.
9.   Domniemywa się, że dostawca inteligentnej umowy lub w przypadku jego braku osoba, której działalność handlowa, gospodarcza lub zawodowa obejmuje wdrażanie inteligentnych umów dla innych osób w kontekście wykonywania umowy o udostępnianiu danych lub jej części, spełniający wspólne specyfikacje ustanowione aktami wykonawczymi, o których mowa w ust. 6, lub ich częściami, spełniają zasadnicze wymagania określone w ust. 1 w takim zakresie, że wymagania te objęte są takimi wspólnymi specyfikacjami lub ich częściami.9.   The vendor of a smart contract or, in the absence thereof, the person whose trade, business or profession involves the deployment of smart contracts for others in the context of executing an agreement or part of it, to make data available that meet the common specifications established by implementing acts referred to in paragraph 6 or parts thereof shall be presumed to be in conformity with the essential requirements laid down in paragraph 1 to the extent that those requirements are covered by such common specifications or parts thereof.
10.   W przypadku gdy norma zharmonizowana zostaje przyjęta przez europejską organizację normalizacyjną i przedstawiona Komisji w celu opublikowania odniesienia do niej w Dzienniku Urzędowym Unii Europejskiej, Komisja ocenia normę zharmonizowaną zgodnie z rozporządzeniem (UE) nr 1025/2012. W przypadku publikacji odniesienia do normy zharmonizowanej w Dzienniku Urzędowym Unii Europejskiej Komisja uchyla akty wykonawcze, o których mowa w ust. 6 niniejszego artykułu, lub ich części, które obejmują te same zasadnicze wymagania, takie jak te objęte przez tę normę zharmonizowaną.10.   Where a harmonised standard is adopted by a European standardisation organisation and proposed to the Commission for the purpose of publishing its reference in the Official Journal of the European Union, the Commission shall assess the harmonised standard in accordance with Regulation (EU) No 1025/2012. Where the reference of a harmonised standard is published in the Official Journal of the European Union, the Commission shall repeal the implementing acts referred to in paragraph 6 of this Article, or parts thereof which cover the same essential requirements as those covered by that harmonised standard.
11.   W przypadku gdy państwo członkowskie uzna, że wspólna specyfikacja niecałkowicie spełnia zasadnicze wymagania określone w ust. 1, informuje o tym Komisję, przedstawiając szczegółowe wyjaśnienie. Komisja ocenia to szczegółowe wyjaśnienie i w stosownym przypadku może zmienić akt wykonawczy ustanawiający daną wspólną specyfikację.11.   When a Member State considers that a common specification does not entirely satisfy the essential requirements laid down in paragraph 1, it shall inform the Commission thereof by submitting a detailed explanation. The Commission shall assess that detailed explanation and may, if appropriate, amend the implementing act establishing the common specification in question.
ROZDZIAŁ IXCHAPTER IX
WDRAŻANIE I EGZEKWOWANIEIMPLEMENTATION AND ENFORCEMENT
Artykuł 37Article 37
Właściwe organy i koordynatorzy danychCompetent authorities and data coordinators
1.   Każde państwo członkowskie wyznacza właściwy organ lub właściwe organy odpowiedzialne za stosowanie i egzekwowanie niniejszego rozporządzenia (zwane dalej „właściwymi organami”). Państwa członkowskie mogą ustanowić co najmniej jeden nowy organ lub oprzeć się na organach już istniejących.1.   Each Member State shall designate one or more competent authorities to be responsible for the application and enforcement of this Regulation (competent authorities). Member States may establish one or more new authorities or rely on existing authorities.
2.   W przypadku gdy państwo członkowskie wyznaczy więcej niż jeden właściwy organ, wyznacza spośród nich koordynatora danych, który ułatwia współpracę między właściwymi organami i pomaga podmiotom objętym zakresem stosowania niniejszego rozporządzenia we wszystkich sprawach związanych z jego stosowaniem i egzekwowaniem. Właściwe organy, wykonując zadania i uprawnienia przyznane im na podstawie ust. 5, współpracują ze sobą nawzajem.2.   Where a Member State designates more than one competent authority, it shall designate a data coordinator from among them to facilitate cooperation between the competent authorities and to assist entities within the scope of this Regulation on all matters related to its application and enforcement. Competent authorities shall, in the exercise of the tasks and powers assigned to them under paragraph 5, cooperate with each other.
3.   Organy nadzorcze odpowiedzialne za monitorowanie stosowania rozporządzenia (UE) 2016/679 są odpowiedzialne za monitorowanie stosowania niniejszego rozporządzenia w zakresie ochrony danych osobowych. Stosuje się odpowiednio rozdziały VI i VII rozporządzenia (UE) 2016/679.3.   The supervisory authorities responsible for monitoring the application of Regulation (EU) 2016/679 shall be responsible for monitoring the application of this Regulation insofar as the protection of personal data is concerned. Chapters VI and VII of Regulation (EU) 2016/679 shall apply mutatis mutandis.
Europejski Inspektor Ochrony Danych jest odpowiedzialny za monitorowanie stosowania niniejszego rozporządzenia w zakresie, w jakim dotyczy ono Komisji, Europejskiego Banku Centralnego lub organów Unii. W stosownym przypadku stosuje się odpowiednio art. 62 rozporządzenia (UE) 2018/1725.The European Data Protection Supervisor shall be responsible for monitoring the application of this Regulation insofar as it concerns the Commission, the European Central Bank or Union bodies. Where relevant, Article 62 of Regulation (EU) 2018/1725 shall apply mutatis mutandis.
Zadania i uprawnienia organów nadzorczych, o których mowa w niniejszym ustępie, są wykonywane w odniesieniu do przetwarzania danych osobowych.The tasks and powers of the supervisory authorities referred to in this paragraph shall be exercised with regard to the processing of personal data.
4.   Bez uszczerbku dla ust. 1 niniejszego artykułu:4.   Without prejudice to paragraph 1 of this Article:
a) | w odniesieniu do konkretnych kwestii sektorowych dotyczących dostępu do danych i wykorzystywania danych w związku ze stosowaniem niniejszego rozporządzenia respektuje się kompetencje organów sektorowych;(a) | for specific sectoral data access and use issues related to the application of this Regulation, the competence of sectoral authorities shall be respected;
b) | właściwy organ odpowiedzialny za stosowanie i egzekwowanie art. 23 do 31 oraz art. 34 i 35 posiada doświadczenie w dziedzinie usług opartych na danych i usług łączności elektronicznej.(b) | the competent authority responsible for the application and enforcement of Articles 23 to 31 and Articles 34 and 35 shall have experience in the field of data and electronic communications services.
5.   Państwa członkowskie zapewniają, aby zadania i uprawnienia właściwych organów były jasno określone i obejmowały:5.   Member States shall ensure that the tasks and powers of the competent authorities are clearly defined and include:
a) | propagowanie wśród użytkowników i podmiotów objętych zakresem stosowania niniejszego rozporządzenia umiejętności korzystania z danych oraz wiedzy na temat praw i obowiązków wynikających z niniejszego rozporządzenia;(a) | promoting data literacy and awareness among users and entities falling within the scope of this Regulation of the rights and obligations under this Regulation;
b) | rozpatrywanie skarg wynikających z domniemanych naruszeń niniejszego rozporządzenia, w tym związanych z tajemnicami przedsiębiorstwa, oraz prowadzenie postępowań, w odpowiednim zakresie, w przedmiocie skarg i regularne informowanie skarżącego, w stosownym przypadku zgodnie z prawem krajowym, w rozsądnym terminie o postępach i wynikach postępowania, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowania lub koordynacja działań z innym właściwym organem;(b) | handling complaints arising from alleged infringements of this Regulation, including in relation to trade secrets, and investigating, to the extent appropriate, the subject matter of complaints and regularly informing complainants, where relevant in accordance with national law, of the progress and the outcome of the investigation within a reasonable period, in particular if further investigation or coordination with another competent authority is necessary;
c) | prowadzenie postępowań w sprawach dotyczących stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego właściwego organu lub innego organu publicznego;(c) | conducting investigations into matters that concern the application of this Regulation, including on the basis of information received from another competent authority or other public authority;
d) | nakładanie skutecznych, proporcjonalnych i odstraszających kar pieniężnych, które mogą obejmować kary okresowe i kary z mocą wsteczną, lub wszczynanie postępowań sądowych w celu nałożenia grzywny;(d) | imposing effective, proportionate and dissuasive financial penalties which may include periodic penalties and penalties with retroactive effect, or initiating legal proceedings for the imposition of fines;
e) | monitorowanie rozwoju technologicznego i sytuacji gospodarczej mających znaczenie dla udostępniania i wykorzystywania danych;(e) | monitoring technological and relevant commercial developments of relevance for the making available and use of data;
f) | współpracę z właściwymi organami innych państw członkowskich oraz w stosownym przypadku z Komisją lub Europejską Radą ds. Innowacji w zakresie Danych w celu zapewnienia spójnego i skutecznego stosowania niniejszego rozporządzenia, w tym wymianę wszystkich istotnych informacji drogą elektroniczną bez zbędnej zwłoki, w tym w odniesieniu do ust. 10 niniejszego artykułu.;(f) | cooperating with competent authorities of other Member States and, where relevant, with the Commission or the EDIB, to ensure the consistent and efficient application of this Regulation, including the exchange of all relevant information by electronic means, without undue delay, including regarding paragraph 10 of this Article;
g) | współpracę ze stosownymi właściwymi organami odpowiedzialnymi za wdrażanie innych unijnych lub krajowych aktów prawnych, w tym organami właściwymi do spraw usług opartych na danych i usług łączności elektronicznej, organem nadzorczym odpowiedzialnym za monitorowanie stosowania rozporządzenia (UE) 2016/679 lub z organami sektorowymi w celu zapewnienia, aby niniejsze rozporządzenie było egzekwowane spójnie z innym prawem Unii i prawem krajowym;(g) | cooperating with the relevant competent authorities responsible for the implementation of other Union or national legal acts, including with authorities competent in the field of data and electronic communication services, with the supervisory authority responsible for monitoring the application of Regulation (EU) 2016/679 or with sectoral authorities to ensure that this Regulation is enforced consistently with other Union and national law;
h) | współpracę ze stosownymi właściwymi organami w celu zapewnienia, aby obowiązki określone w art. 23 do 31 oraz art. 34 i 35 były egzekwowane spójnie z innymi prawem Unii i samoregulacją mającymi zastosowanie do dostawców usług przetwarzania danych;(h) | cooperating with the relevant competent authorities to ensure that Articles 23 to 31 and Articles 34 and 35 are enforced consistently with other Union law and self-regulation applicable to providers of data processing services;
i) | zapewnienie wycofania opłat z tytułu zmiany dostawcy zgodnie z art. 29;(i) | ensuring that switching charges are withdrawn in accordance with Article 29;
j) | analizę wniosków o dane złożonych na podstawie rozdziału V.(j) | examining the requests for data made pursuant to Chapter V.
W przypadku gdy wyznaczony został koordynator danych, ułatwia on współpracę o której mowa w lit. f), g) i h) akapitu pierwszego i na żądanie wspiera właściwe organy.Where designated, the data coordinator shall facilitate the cooperation referred to in points (f), (g) and (h) of the first subparagraph and shall assist the competent authorities upon their request.
6.   Koordynator danych, w przypadku gdy taki właściwy organ został wyznaczony:6.   The data coordinator, where such competent authority has been designated, shall:
a) | działa jako pojedynczy punkt kontaktu we wszystkich sprawach związanych ze stosowaniem niniejszego rozporządzenia;(a) | act as the single point of contact for all issues related to the application of this Regulation;
b) | zapewnia publiczną dostępność w internecie wniosków o udostępnienie danych składanych przez organy sektora publicznego w przypadku wyjątkowej potrzeby na podstawie przepisów rozdziału V i promuje dobrowolne umowy o dzieleniu się danymi między organami sektora publicznego a posiadaczami danych;(b) | ensure the online public availability of requests to make data available made by public sector bodies in the case of exceptional need under Chapter V and promote voluntary data sharing agreements between public sector bodies and data holders;
c) | co roku informuje Komisję o odmowach, o których powiadomiono go na podstawie art. 4 ust. 2 i 8 i art. 5 ust. 11.(c) | inform the Commission, on an annual basis, of the refusals notified under Article 4(2) and (8) and Article 5(11).
7.   Państwa członkowskie przekazują Komisji nazwy właściwych organów oraz ich zadania i uprawnienia, a także w stosownym przypadku nazwę koordynatora danych. Komisja prowadzi publiczny rejestr tych organów.7.   Member States shall notify the Commission of the names of the competent authorities and of their tasks and powers and, where applicable, the name of the data coordinator. The Commission shall maintain a public register of those authorities.
8.   Wykonując swoje zadania i uprawnienia zgodnie z niniejszym rozporządzeniem, właściwe organy pozostają bezstronne i wolne od jakichkolwiek bezpośrednich i pośrednich wpływów zewnętrznych ani nie zwracają się o instrukcje w indywidualnych sprawach do żadnego innego organu publicznego ani podmiotu prywatnego ani nie przyjmują takich instrukcji.8.   When carrying out their tasks and exercising their powers in accordance with this Regulation, competent authorities shall remain impartial and free from any external influence, whether direct or indirect, and shall neither seek nor take instructions for individual cases from any other public authority or any private party.
9.   Państwa członkowskie zapewniają, aby właściwe organy dysponowały wystarczającymi zasobami ludzkimi i technicznymi oraz stosowną wiedzą ekspercką umożliwiającymi im skuteczne wykonywanie zadań zgodnie z niniejszym rozporządzeniem.9.   Member States shall ensure that the competent authorities are provided with sufficient human and technical resources and relevant expertise to effectively carry out their tasks in accordance with this Regulation.
10.   Podmioty objęte zakresem stosowania niniejszego rozporządzenia podlegają kompetencji państwa członkowskiego, w którym dany podmiot ma siedzibę. W przypadku gdy podmiot ma siedzibę w więcej niż jednym państwie członkowskim, uznaje się, że podlega kompetencji państwa członkowskiego, w którym ma główną siedzibę, to znaczy w którym mieści się jego siedziba zarządu lub siedziba statutowa, z których wykonywane są podstawowe funkcje finansowe i sprawowana jest kontrola operacyjna.10.   Entities falling within the scope of this Regulation shall be subject to the competence of the Member State where the entity is established. Where the entity is established in more than one Member State, it shall be considered to be under the competence of the Member State in which it has its main establishment, that is, where the entity has its head office or registered office from which the principal financial functions and operational control are exercised.
11.   Podmiot objęty zakresem stosowania niniejszego rozporządzenia, który udostępnia produkty skomunikowane lub oferuje usługi w Unii i który nie ma siedziby w Unii, wyznacza przedstawiciela prawnego w jednym z państw członkowskich.11.   Any entity falling within the scope of this Regulation that makes connected products available or offers services in the Union, and which is not established in the Union, shall designate a legal representative in one of the Member States.
12.   Do celów przestrzegania niniejszego rozporządzenia przedstawiciel prawny zostaje upoważniony przez podmiot objęty zakresem stosowania niniejszego rozporządzenia, który udostępnia produkty skomunikowane lub oferuje usługi w Unii, by oprócz tego podmiotu lub zamiast niego właściwe organy kontaktowały się z nim we wszystkich kwestiach związanych z tym podmiotem. Przedstawiciel prawny współpracuje z właściwymi organami i na żądanie szczegółowo przedstawia im działania podjęte i przepisy przyjęte w celu zapewnienia przestrzegania niniejszego rozporządzenia przez podmiot objęty zakresem stosowania niniejszego rozporządzenia, który udostępnia produkty skomunikowane lub oferuje usługi w Unii.12.   For the purpose of ensuring compliance with this Regulation, a legal representative shall be mandated by an entity falling within the scope of this Regulation that makes connected products available or offers services in the Union to be addressed in addition to or instead of it by competent authorities with regard to all issues related to that entity. That legal representative shall cooperate with and comprehensively demonstrate to the competent authorities, upon request, the actions taken and provisions put in place by the entity falling within the scope of this Regulation that makes connected products available or offers services in the Union to ensure compliance with this Regulation.
13.   Uznaje się, że podmiot objęty zakresem stosowania niniejszego rozporządzenia, który udostępnia produkty skomunikowane lub oferuje usługi w Unii, podlega kompetencji państwa członkowskiego, w którym zlokalizowany jest przedstawiciel prawny. Wyznaczenie przedstawiciela prawnego przez taki podmiot pozostaje bez uszczerbku dla odpowiedzialności i wszelkich postępowań, które mogą zostać wszczęte przeciwko, takiego podmiotu. Do czasu aż podmiot wyznaczy przedstawiciela prawnego zgodnie z niniejszym artykułem, w stosownym przypadku podlega on kompetencji wszystkich państw członkowskich do celów zapewnienia stosowania i egzekwowania niniejszego rozporządzenia. Dowolny właściwy organ może wykonać swoją właściwość, w tym nakładając skuteczne, proporcjonalne i odstraszające kary, pod warunkiem że dany podmiot nie podlega postępowaniu w sprawie egzekucji niniejszego rozporządzenia w związku z tym samymi faktami przez inny właściwy organ.13.   An entity falling within the scope of this Regulation that makes connected products available or offers services in the Union, shall be considered to be under the competence of the Member State in which its legal representative is located. The designation of a legal representative by such an entity shall be without prejudice to the liability of, and any legal action that could be initiated against, such an entity. Until such time as an entity designates a legal representative in accordance with this Article, it shall be under the competence of all Member States, where applicable, for the purposes of ensuring the application and enforcement of this Regulation. Any competent authority may exercise its competence, including by imposing effective, proportionate and dissuasive penalties, provided that the entity is not subject to enforcement proceedings under this Regulation regarding the same facts by another competent authority.
14.   Właściwe organy mogą żądać od użytkowników, posiadaczy danych, odbiorców danych lub ich przedstawicieli prawnych podlegających kompetencji ich państwa członkowskiego wszelkich informacji niezbędnych do zweryfikowania przestrzegania niniejszego rozporządzenia. Każdy wniosek o informacje musi być proporcjonalny do zadania będącego jego podstawą i musi być uzasadniony.14.   Competent authorities shall have the power to request from users, data holders, or data recipients, or their legal representatives, falling under the competence of their Member State all information necessary to verify compliance with this Regulation. Any request for information shall be proportionate to the performance of the underlying task and shall be reasoned.
15.   W przypadku gdy właściwy organ jednego państwa członkowskiego zwraca się o pomoc lub środki egzekucji do właściwego organu innego państwa członkowskiego, przedkłada uzasadniony wniosek. Właściwy organ po otrzymaniu takiego wniosku bez zbędnej zwłoki odpowiada, szczegółowo przedstawiając podjęte lub planowane działania.15.   Where a competent authority in one Member State requests assistance or enforcement measures from a competent authority in another Member State, it shall submit a reasoned request. A competent authority shall, upon receiving such a request, provide a response, detailing the actions that have been taken or which are intended to be taken, without undue delay.
16.   Właściwe organy przestrzegają zasad poufności oraz tajemnic służbowych i handlowych oraz chronią dane osobowe zgodnie z prawem Unii lub prawem krajowym. Wszelkie informacje wymienione w ramach wniosku o pomoc i zapewnione zgodnie z niniejszym artykułem są wykorzystywane wyłącznie w odniesieniu do sprawy, w której o nie wystąpiono.16.   Competent authorities shall respect the principles of confidentiality and of professional and commercial secrecy and shall protect personal data in accordance with Union or national law. Any information exchanged in the context of a request for assistance and provided pursuant to this Article shall be used only in respect of the matter for which it was requested.
Artykuł 38Article 38
Prawo do wniesienia skargiRight to lodge a complaint
1.   Bez uszczerbku dla innych administracyjnych lub sądowych środków ochrony prawnej osoby fizyczne i prawne mają prawo wnieść skargę, indywidualnie lub w stosownym przypadku zbiorowo, do stosownego właściwego organu w państwie członkowskim, w którym mają miejsce zwykłego pobytu, miejsce pracy lub siedzibę, jeżeli sądzą, że ich prawa wynikające z niniejszego rozporządzenia zostały naruszone. Koordynator danych na wniosek przedstawia osobom fizycznym i prawnym wszelkie informacje niezbędne do wniesienia skargi do odpowiedniego właściwego organu.1.   Without prejudice to any other administrative or judicial remedy, natural and legal persons shall have the right to lodge a complaint, individually or, where relevant, collectively, with the relevant competent authority in the Member State of their habitual residence, place of work or establishment if they consider that their rights under this Regulation have been infringed. The data coordinator shall, upon request, provide all the necessary information to natural and legal persons for the lodging of their complaints with the appropriate competent authority.
2.   Właściwy organ, do którego wniesiono skargę, informuje skarżącego zgodnie z prawem krajowym o przebiegu postępowania i podjętej decyzji.2.   The competent authority with which the complaint has been lodged shall inform the complainant, in accordance with national law, of the progress of the proceedings and of the decision taken.
3.   Właściwe organy współpracują w celu skutecznego i terminowego rozpatrywania i rozstrzygania skarg, w tym poprzez wymianę wszelkich istotnych informacji drogą elektroniczną, bez zbędnej zwłoki. Współpraca ta nie wpływa na mechanizmy współpracy przewidziane w rozdziałach VI i VII rozporządzenia (UE) 2016/679 i w rozporządzeniu (UE) 2017/2394.3.   Competent authorities shall cooperate to handle and resolve complaints effectively and in a timely manner, including by exchanging all relevant information by electronic means, without undue delay. This cooperation shall not affect the cooperation mechanisms provided for by Chapters VI and VII of Regulation (EU) 2016/679 and by Regulation (EU) 2017/2394.
Artykuł 39Article 39
Prawo do skutecznego sądowego środka ochrony prawnejRight to an effective judicial remedy
1.   Niezależnie od administracyjnych lub innych pozasądowych środków ochrony prawnej każda osoba fizyczna i prawna, których to dotyczy, ma prawo do skutecznego sądowego środka ochrony prawnej przeciwko prawnie wiążącej decyzji właściwych organów.1.   Notwithstanding any administrative or other non-judicial remedy, any affected natural and legal person shall have the right to an effective judicial remedy with regard to legally binding decisions taken by competent authorities.
2.   W przypadku gdy właściwy organ nie podejmie działań w odpowiedzi na skargę, każda osoba fizyczna i prawna, których to dotyczy, ma zgodnie z prawem krajowym prawo do skutecznego sądowego środka ochrony prawnej albo do skorzystania z kontroli dokonywanej przez bezstronny organ dysponujący odpowiednią wiedzą specjalistyczną.2.   Where a competent authority fails to act on a complaint, any affected natural and legal person shall, in accordance with national law, either have the right to an effective judicial remedy or access to review by an impartial body with the appropriate expertise.
3.   Postępowania na podstawie niniejszego artykułu toczą się przed sądami lub trybunałami państwa członkowskiego, w którym znajduje się właściwy organ, przeciwko któremu sądowy środek ochrony prawnej został wniesiony indywidualnie lub – w stosownym przypadku – zbiorowo przez przedstawicieli osoby fizycznej lub prawnej lub kilka takich osób.3.   Proceedings pursuant to this Article shall be brought before the courts or tribunals of the Member State of the competent authority against which the judicial remedy is sought individually or, where relevant, collectively by the representatives of one or more natural or legal persons.
Artykuł 40Article 40
KaryPenalties
1.   Państwa członkowskie ustanawiają przepisy dotyczące kar mających zastosowanie w przypadku naruszeń niniejszego rozporządzenia i podejmują wszelkie niezbędne środki w celu zapewnienia ich wykonywania. Przewidziane kary są skuteczne, proporcjonalne i odstraszające.1.   Member States shall lay down the rules on penalties applicable to infringements of this Regulation and shall take all measures necessary to ensure that they are implemented. The penalties provided for shall be effective, proportionate and dissuasive.
2.   Do dnia 12 września 2025 r. państwa członkowskie powiadamiają Komisję o tych przepisach i środkach i bezzwłocznie informują ją o wszelkich późniejszych zmianach mających na nie wpływ. Komisja prowadzi i regularnie aktualizuje łatwo dostępny publiczny rejestr tych środków.2.   Member States shall by 12 September 2025 notify the Commission of those rules and measures and shall notify it without delay of any subsequent amendment affecting them. The Commission shall regularly update and maintain an easily accessible public register of those measures.
3.   Państwa członkowskie uwzględniają zalecenia Europejskiej Rady ds. Innowacji w zakresie Danych oraz następujące niewyczerpujące kryteria nakładania kar za naruszenia niniejszego rozporządzenia:3.   Member States shall take into account the recommendations of the EDIB and the following non-exhaustive criteria for the imposition of penalties for infringements of this Regulation:
a) | charakter, waga, skala i czas trwania naruszenia;(a) | the nature, gravity, scale and duration of the infringement;
b) | wszelkie działania podjęte przez stronę naruszającą w celu złagodzenia skutków lub naprawienia szkody spowodowanej naruszeniem;(b) | any action taken by the infringing party to mitigate or remedy the damage caused by the infringement;
c) | wszelkie wcześniejsze naruszenia dokonane przez stronę naruszającą;(c) | any previous infringements by the infringing party;
d) | korzyści finansowe uzyskane lub straty uniknięte przez stronę naruszającą w wyniku naruszenia, o ile takie korzyści lub straty można wiarygodnie ustalić;(d) | the financial benefits gained or losses avoided by the infringing party due to the infringement, insofar as such benefits or losses can be reliably established;
e) | inne czynniki obciążające lub łagodzące mające zastosowanie w okolicznościach danej sprawy;(e) | any other aggravating or mitigating factor applicable to the circumstances of the case;
f) | roczny obrót strony naruszającej w Unii w poprzednim roku budżetowym.(f) | infringing party’s annual turnover in the preceding financial year in the Union.
4.   Za naruszenia obowiązków ustanowionych w rozdziałach II, III i V niniejszego rozporządzenia organy nadzorcze odpowiedzialne za monitorowanie stosowania rozporządzenia (UE) 2016/679, mogą w zakresie swoich kompetencji nakładać administracyjne kary pieniężne zgodnie z art. 83 rozporządzenia (UE) 2016/679 do wysokości, o której mowa w art. 83 ust. 5 tego rozporządzenia.4.   For infringements of the obligations laid down in Chapter II, III and V of this Regulation, the supervisory authorities responsible for monitoring the application of Regulation (EU) 2016/679 may within their scope of competence impose administrative fines in accordance with Article 83 of Regulation (EU) 2016/679 and up to the amount referred to in Article 83(5) of that Regulation.
5.   Za naruszenia obowiązków ustanowionych w rozdziale V niniejszego rozporządzenia Europejski Inspektor Ochrony Danych może w zakresie swoich kompetencji nakładać administracyjne kary pieniężne zgodnie z art. 66 rozporządzenia (UE) 2018/1725 do wysokości, o której mowa w art. 66 ust. 3 tego rozporządzenia.5.   For infringements of the obligations laid down in Chapter V of this Regulation, the European Data Protection Supervisor may impose within its scope of competence administrative fines in accordance with Article 66 of Regulation (EU) 2018/1725 up to the amount referred to in Article 66(3) of that Regulation.
Artykuł 41Article 41
Modelowe postanowienia umowne i standardowe postanowienia umowneModel contractual terms and standard contractual clauses
Przed dniem 12 września 2025 r. Komisja opracowuje i zaleca niewiążące modelowe postanowienia umowne dotyczące dostępu do danych i ich wykorzystywania, w tym postanowienia dotyczące zasadnej rekompensaty i ochrony tajemnic przedsiębiorstwa, oraz niewiążące standardowe postanowienia umowne na potrzeby umów o przetwarzanie w chmurze, aby pomóc stronom w sporządzaniu i negocjowaniu kontraktów przewidujących sprawiedliwe, zasadne i niedyskryminujące prawa i obowiązki umowne.The Commission, before 12 September 2025, shall develop and recommend non-binding model contractual terms on data access and use, including terms on reasonable compensation and the protection of trade secrets, and non-binding standard contractual clauses for cloud computing contracts to assist parties in drafting and negotiating contracts with fair, reasonable and non-discriminatory contractual rights and obligations.
Artykuł 42Article 42
Rola Europejskiej Rady ds. Innowacji w zakresie DanychRole of the EDIB
Europejska Rada ds. Innowacji w zakresie Danych, ustanowiona przez Komisję jako grupa ekspertów zgodnie z art. 29 rozporządzenia (UE) 2022/868, w której reprezentowane są właściwe organy, wspiera spójne stosowanie niniejszego rozporządzenia poprzez:The EDIB established by the Commission as an expert group pursuant to Article 29 of Regulation (EU) 2022/868, in which competent authorities shall be represented, shall support the consistent application of this Regulation by:
a) | doradzanie i pomoc Komisji w odniesieniu do stworzenia spójnej praktyki właściwych organów w egzekwowaniu rozdziałów II, III, V i VII;(a) | advising and assisting the Commission with regard to developing consistent practice of competent authorities in the enforcement of Chapters II, III, V and VII;
b) | ułatwianie współpracy między właściwymi organami poprzez budowę zdolności i wymianę informacji, w szczególności poprzez ustanowienie metod skutecznej wymiany informacji związanych z egzekwowaniem praw i obowiązków na podstawie rozdziałów II, III i V w sprawach transgranicznych, w tym koordynację dotyczącą ustalania kar;(b) | facilitating cooperation between competent authorities through capacity-building and the exchange of information, in particular by establishing methods for the efficient exchange of information relating to the enforcement of the rights and obligations under Chapters II, III and V in cross-border cases, including coordination with regard to the setting of penalties;
c) | doradzanie i pomoc Komisji w: | (i) | podjęciu decyzji, czy wystąpić z wnioskiem o przygotowanie norm zharmonizowanych, o których mowa w art. 33 ust. 4, art. 35 ust. 4 i art. 36 ust. 5; | (ii) | opracowaniu aktów wykonawczych, o których mowa w art. 33 ust. 5, art. 35 ust. 5 i 8 oraz art. 36 ust. 6; | (iii) | opracowaniu aktów delegowanych, o których mowa w art. 29 ust. 7 i art. 33 ust. 2; oraz | (iv) | przyjęciu wytycznych ustanawiających specyfikacje w zakresie interoperacyjnych ram wspólnych norm i praktyk na potrzeby funkcjonowania wspólnych europejskich przestrzeni danych, o których mowa w art. 33 ust. 11.(c) | advising and assisting the Commission with regard to: | (i) | whether to request the drafting of harmonised standards referred to in Article 33(4), Article 35(4) and Article 36(5); | (ii) | the preparation of the implementing acts referred to in Article 33(5), Article 35(5) and (8) and Article 36(6); | (iii) | the preparation of the delegated acts referred to in Article 29(7) and Article 33(2); and | (iv) | the adoption of the guidelines laying down interoperable frameworks for common standards and practices for the functioning of common European data spaces referred to in Article 33(11).
ROZDZIAŁ XCHAPTER X
PRAWO SUI GENERIS PRZEWIDZIANE W DYREKTYWIE 96/9/WESUI GENERIS RIGHT UNDER DIRECTIVE 96/9/EC
Artykuł 43Article 43
Bazy danych zawierające określone daneDatabases containing certain data
Prawo sui generis przewidziane w art. 7 dyrektywy 96/9/WE nie ma zastosowania, w przypadku gdy dane są pozyskiwane lub generowane z produktu skomunikowanego lub usługi powiązanej objętych zakresem stosowania niniejszego rozporządzenia, w szczególności w związku z jego art. 4 i 5.The sui generis right provided for in Article 7 of Directive 96/9/EC shall not apply when data is obtained from or generated by a connected product or related service falling within the scope of this Regulation, in particular in relation to Articles 4 and 5 thereof.
ROZDZIAŁ XICHAPTER XI
PRZEPISY KOŃCOWEFINAL PROVISIONS
Artykuł 44Article 44
Inne akty prawne Unii regulujące prawa i obowiązki w zakresie dostępu do danych i ich wykorzystywaniaOther Union legal acts governing rights and obligations on data access and use
1.   Obowiązki szczególne w zakresie udostępniania danych między przedsiębiorcami, między przedsiębiorcami a konsumentami oraz w wyjątkowych przypadkach między przedsiębiorcami a organami publicznymi, określone w aktach prawnych Unii, które weszły w życie do dnia 11 stycznia 2024 r. włącznie, oraz w aktach delegowanych lub wykonawczych przyjętych na ich podstawie, pozostają bez zmian.1.   The specific obligations for the making available of data between businesses, between businesses and consumers, and on exceptional basis between businesses and public bodies, in Union legal acts that entered into force on or before 11 January 2024, and delegated or implementing acts pursuant thereto, shall remain unaffected.
2.   Niniejsze rozporządzenie pozostaje bez uszczerbku dla prawa Unii określającego w świetle potrzeb sektora, wspólnej europejskiej przestrzeni danych lub obszaru służącego interesowi publicznemu dalsze wymagania, w szczególności w odniesieniu do:2.   This Regulation is without prejudice to Union law specifying, in light of the needs of a sector, a common European data space, or an area of public interest, further requirements, in particular in relation to:
a) | technicznych aspektów dostępu do danych;(a) | technical aspects of data access;
b) | ograniczeń praw posiadaczy danych do dostępu do określonych danych dostarczonych przez użytkowników lub wykorzystywania tych danych;(b) | limits on the rights of data holders to access or use certain data provided by users;
c) | aspektów wykraczających poza dostęp do danych i ich wykorzystywanie.(c) | aspects going beyond data access and use.
3.   Niniejsze rozporządzenie z wyjątkiem rozdziału V pozostaje bez uszczerbku dla prawa Unii i prawa krajowego przewidujących dostęp do danych do celów badań naukowych i upoważniających do ich wykorzystania.3.   This Regulation, with the exception of Chapter V, is without prejudice to Union and national law providing for access to and authorising the use of data for scientific research purposes.
Artykuł 45Article 45
Wykonywanie przekazanych uprawnieńExercise of the delegation
1.   Powierzenie Komisji uprawnień do przyjmowania aktów delegowanych podlega warunkom określonym w niniejszym artykule.1.   The power to adopt delegated acts is conferred on the Commission subject to the conditions laid down in this Article.
2.   Uprawnienia do przyjmowania aktów delegowanych, o których mowa w art. 29 ust. 7 i art. 33 ust. 2, powierza się Komisji na czas nieokreślony od dnia 11 stycznia 2024 r.2.   The power to adopt delegated acts referred to in Article 29(7) and Article 33(2) shall be conferred on the Commission for an indeterminate period of time from 11 January 2024.
3.   Przekazanie uprawnień, o którym mowa w art. 29 ust. 7 i art. 33 ust. 2, może zostać w dowolnym momencie odwołane przez Parlament Europejski lub przez Radę. Decyzja o odwołaniu kończy przekazanie określonych w niej uprawnień. Decyzja o odwołaniu staje się skuteczna następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej lub w późniejszym terminie określonym w tej decyzji. Nie wpływa ona na ważność już obowiązujących aktów delegowanych.3.   The delegation of power referred to in Article 29(7) and Article 33(2) may be revoked at any time by the European Parliament or by the Council. A decision to revoke shall put an end to the delegation of the power specified in that decision. It shall take effect the day following the publication of the decision in the Official Journal of the European Union or at a later date specified therein. It shall not affect the validity of any delegated acts already in force.
4.   Przed przyjęciem aktu delegowanego Komisja konsultuje się z ekspertami wyznaczonymi przez każde państwo członkowskie zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa.4.   Before adopting a delegated act, the Commission shall consult experts designated by each Member State in accordance with the principles laid down in the Interinstitutional Agreement of 13 April 2016 on Better Law-Making.
5.   Niezwłocznie po przyjęciu aktu delegowanego Komisja przekazuje go równocześnie Parlamentowi Europejskiemu i Radzie.5.   As soon as it adopts a delegated act, the Commission shall notify it simultaneously to the European Parliament and to the Council.
6.   Akt delegowany przyjęty na podstawie art. 29 ust. 7 lub art. 33 ust. 2 wchodzi w życie wyłącznie wtedy, gdy ani Parlament Europejski, ani Rada nie wyraziły sprzeciwu w terminie trzech miesięcy od przekazania tego aktu Parlamentowi Europejskiemu i Radzie, lub gdy, przed upływem tego terminu, zarówno Parlament Europejski, jak i Rada poinformowały Komisję, że nie wniosą sprzeciwu. Termin ten przedłuża się o trzy miesiące z inicjatywy Parlamentu Europejskiego lub Rady.6.   A delegated act adopted pursuant to Article 29(7) or Article 33(2) shall enter into force only if no objection has been expressed either by the European Parliament or by the Council within a period of three months of notification of that act to the European Parliament and to the Council or if, before the expiry of that period, the European Parliament and the Council have both informed the Commission that they will not object. That period shall be extended by three months at the initiative of the European Parliament or of the Council.
Artykuł 46Article 46
Procedura komitetowaCommittee procedure
1.   Komisję wspomaga komitet ustanowiony na mocy rozporządzenia (UE) 2022/868. Komitet ten jest komitetem w rozumieniu rozporządzenia (UE) nr 182/2011.1.   The Commission shall be assisted by the Committee established by Regulation (EU) 2022/868. That committee shall be a committee within the meaning of Regulation (EU) No 182/2011.
2.   W przypadku odesłania do niniejszego ustępu stosuje się art. 5 rozporządzenia (UE) nr 182/2011.2.   Where reference is made to this paragraph, Article 5 of Regulation (EU) No 182/2011 shall apply.
Artykuł 47Article 47
Zmiana w rozporządzeniu (UE) 2017/2394Amendment to Regulation (EU) 2017/2394
W załączniku do rozporządzenia (UE) 2017/2394 dodaje się punkt w brzmieniu:In the Annex to Regulation (EU) 2017/2394 the following point is added:
„29. | Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 (akt w sprawie danych) (Dz.U. L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).”.‘29. | Regulation (EU) 2023/2854 of the European Parliament and of the Council of 13 December 2023 on harmonised rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828 (Data Act) (OJ L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).’
Artykuł 48Article 48
Zmiana w dyrektywie (UE) 2020/1828Amendment to Directive (EU) 2020/1828
W załączniku I do dyrektywy (UE) 2020/1828 dodaje się punkt w brzmieniu:In Annex I to Directive (EU) 2020/1828 the following point is added:
„68. | Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 (akt w sprawie danych) (Dz.U. L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).”.‘68. | Regulation (EU) 2023/2854 of the European Parliament and of the Council of 13 December 2023 on harmonised rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828 (Data Act) (OJ L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj). ’
Artykuł 49Article 49
Ocena i przeglądEvaluation and review
1.   Do dnia 12 września 2028 r. Komisja przeprowadza ocenę niniejszego rozporządzenia i przedkłada Parlamentowi Europejskiemu i Radzie, a także Europejskiemu Komitetowi Ekonomiczno-Społecznemu sprawozdanie na temat głównych ustaleń. Ocena ta obejmuje w szczególności:1.   By 12 September 2028, the Commission shall carry out an evaluation of this Regulation and submit a report on its main findings to the European Parliament and to the Council, and to the European Economic and Social Committee. That evaluation shall assess, in particular:
a) | sytuacje uznawane za sytuacje wyjątkowej potrzeby do celów art. 15 niniejszego rozporządzenia i stosowanie rozdziału V niniejszego rozporządzenia w praktyce, w szczególności doświadczenie organów sektora publicznego, Komisji, Europejskiego Banku Centralnego oraz organów Unii w stosowaniu rozdziału V niniejszego rozporządzenia; liczbę i wynik postępowań wniesionych do właściwego organu na podstawie art. 18 ust. 5 w sprawie stosowania rozdziału V niniejszego rozporządzenia, zgodnie ze zgłoszeniami właściwych organów; skutki innych obowiązków ustanowionych w prawie Unii i prawie krajowym do celów realizacji wniosków o dostęp do informacji; wpływ mechanizmów dobrowolnego dzielenia się danymi, takich jak tych ustanowionych przez organizacje altruizmu danych uznane na podstawie rozporządzenia (UE) 2022/868, na realizację celów rozdziału V niniejszego rozporządzenia oraz rolę danych osobowych w kontekście art. 15 niniejszego rozporządzenia, w tym ewolucję technologii zwiększających prywatność;(a) | situations to be considered to be situations of exceptional need for the purpose of Article 15 of this Regulation and the application of Chapter V of this Regulation in practice, in particular the experience in the application of Chapter V of this Regulation by public sector bodies, the Commission, the European Central Bank and Union bodies; the number and outcome of the proceedings brought to the competent authority under Article 18(5) on the application of Chapter V of this Regulation, as reported by the competent authorities; the impact of other obligations laid down in Union or national law for the purposes of complying with requests for access to information; the impact of voluntary data-sharing mechanisms, such as those put in place by data altruism organisations recognised under Regulation (EU) 2022/868, on meeting the objectives of Chapter V of this Regulation, and the role of personal data in the context of Article 15 of this Regulation, including the evolution of privacy-enhancing technologies;
b) | wpływ niniejszego rozporządzenia na wykorzystywanie danych w gospodarce, w tym na innowacje w zakresie danych, monetyzację danych oraz usługi pośrednictwa danych oraz na dzielenie się danymi w ramach wspólnych europejskich przestrzeni danych;(b) | the impact of this Regulation on the use of data in the economy, including on data innovation, data monetisation practices and data intermediation services, as well as on data sharing within the common European data spaces;
c) | dostępność i wykorzystywanie różnych kategorii i rodzajów danych;(c) | the accessibility and use of different categories and types of data;
d) | wyłączenie niektórych kategorii przedsiębiorstw jako beneficjentów na mocy art. 5;(d) | the exclusion of certain categories of enterprises as beneficiaries under Article 5;
e) | brak wpływu na prawa własności intelektualnej;(e) | the absence of any impact on intellectual property rights;
f) | wpływ na tajemnice przedsiębiorstwa, w tym ochronę przed ich niezgodnym z prawem nabywaniem, wykorzystywaniem i ujawnianiem, oraz wpływ mechanizmu umożliwiającego posiadaczowi danych odrzucenie wniosku użytkownika na podstawie art. 4 ust. 8 i art. 5 ust. 11, przy uwzględnieniu w jak największym zakresie wszelkiej zmiany dyrektywy (UE) 2016/943;(f) | the impact on trade secrets, including on the protection against their unlawful acquisition, use and disclosure, as well as the impact of the mechanism allowing the data holder to refuse the user’s request under Article 4(8) and Article 5(11), taking into account, to the extent possible, any revision of Directive (EU) 2016/943;
g) | czy wykaz nieuczciwych postanowień umownych, o których mowa w art. 13, jest aktualny w świetle nowych praktyk prowadzenia działalności gospodarczej i szybkiego tempa innowacji na rynku;(g) | whether the list of unfair contractual terms referred to in Article 13 is up-to-date in light of new business practices and the rapid pace of market innovation;
h) | zmiany w praktykach umownych dostawców usług przetwarzania danych oraz czy prowadzi to do wystarczającego przestrzegania art. 25;(h) | changes in the contractual practices of providers of data processing services and whether this results in sufficient compliance with Article 25;
i) | obniżenie opłat za proces zmiany dostawcy nakładanych przez dostawców usług przetwarzania danych, zgodnie ze stopniowym wycofywaniem opłat z tytułu zmiany dostawcy na podstawie art. 29;(i) | the diminution of charges imposed by providers of data processing services for the switching process, in line with the gradual withdrawal of switching charges pursuant to Article 29;
j) | wzajemne oddziaływanie między niniejszym rozporządzeniem a innymi aktami prawnymi Unii istotnymi dla gospodarki opartej na danych;(j) | the interplay of this Regulation with other Union legal acts of relevance to the data economy;
k) | zapobieganie niezgodnemu z prawem dostępowi administracji rządowej do danych nieosobowych;(k) | the prevention of unlawful governmental access to non-personal data;
l) | efektywność systemu egzekwowania przepisów wymaganego na podstawie art. 37;(l) | the efficacy of the enforcement regime required under Article 37;
m) | wpływ niniejszego rozporządzenia na MŚP w odniesieniu do ich innowacyjności i do dostępności usług przetwarzania danych dla unijnych użytkowników oraz do obciążeń związanych z przestrzeganiem nowych obowiązków.(m) | the impact of this Regulation on SMEs with regard to their capacity to innovate and to the availability of data processing services for users in the Union and the burden of complying with new obligations.
2.   Do dnia 12 września 2028 r. Komisja przeprowadza ocenę niniejszego rozporządzenia i przedkłada sprawozdanie na temat jej głównych ustaleń Parlamentowi Europejskiemu i Radzie, a także Europejskiemu Komitetowi Ekonomiczno-Społecznemu. Ocena ta uwzględnia wpływ art. 23 do 31 oraz art. 34 i 35, w szczególności na wycenę i różnorodność usług przetwarzania danych oferowanych w Unii, ze szczególnym uwzględnieniem dostawców będących MŚP.2.   By 12 September 2028, the Commission shall carry out an evaluation of this Regulation and submit a report on its main findings to the European Parliament and to the Council, and to the European Economic and Social Committee. That evaluation shall assess the impact of Articles 23 to 31 and Articles 34 and 35, in particular regarding pricing and the diversity of data processing services offered within the Union, with a special focus on SME providers.
3.   Państwa członkowskie przekazują Komisji informacje niezbędne do przygotowania sprawozdań, o których mowa w ust. 1 i 2.3.   Member States shall provide the Commission with the information necessary for the preparation of the reports referred to in paragraphs 1 and 2.
4.   Na podstawie sprawozdań, o których mowa w ust. 1 i 2, Komisja może w stosownym przypadku przedłożyć Parlamentowi Europejskiemu i Radzie wniosek ustawodawczy dotyczący zmiany niniejszego rozporządzenia.4.   On the basis of the reports referred to in paragraphs 1 and 2, the Commission may, where appropriate, submit a legislative proposal to the European Parliament and to the Council to amend this Regulation.
Artykuł 50Article 50
Wejście w życie i rozpoczęcie stosowaniaEntry into force and application
Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.This Regulation shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Union.
Niniejsze rozporządzenie stosuje się od dnia 12 września 2025 r.It shall apply from 12 September 2025.
Obowiązki wynikające z art. 3 ust. 1 mają zastosowanie do produktów skomunikowanych i usług z nimi powiązanych wprowadzonych na rynek po dniu 12 września 2026 r.The obligation resulting from Article 3(1) shall apply to connected products and the services related to them placed on the market after 12 September 2026.
Rozdział III ma zastosowanie wyłącznie do obowiązków udostępniania danych ustanowionych na mocy prawa Unii lub prawa krajowego przyjętego zgodnie z prawem Unii, które to prawo Unii lub prawo krajowe przyjęte zgodnie z prawem Unii wchodzi w życie po dniu 12 września 2025 r.Chapter III shall apply in relation to obligations to make data available under Union law or national legislation adopted in accordance with Union law, which enters into force after 12 September 2025.
Rozdział IV ma zastosowanie do umów zawartych po dniu 12 września 2025 r.Chapter IV shall apply to contracts concluded after 12 September 2025.
Rozdział IV ma zastosowanie od dnia 12 września 2027 r. do umów zawartych do dnia 12 września 2025 r. włącznie, pod warunkiem że:Chapter IV shall apply from 12 September 2027 to contracts concluded on or before 12 September 2025 provided that they are:
a) | zostały zawarte na czas nieokreślony; lub(a) | of indefinite duration; or
b) | wygasają co najmniej 10 lat po dniu 11 stycznia 2024 r.(b) | due to expire at least 10 years from 11 January 2024.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.This Regulation shall be binding in its entirety and directly applicable in all Member States.
Sporządzono w Strasburgu dnia 13 grudnia 2023 r.Done at Strasbourg, 13 December 2023.
W imieniu Parlamentu EuropejskiegoFor the European Parliament
PrzewodniczącaThe President
R. METSOLAR. METSOLA
W imieniu RadyFor the Council
PrzewodniczącyThe President
P. NAVARRO RÍOSP. NAVARRO RÍOS
(1)   Dz.U. C 402 z 19.10.2022, s. 5.(1)   OJ C 402, 19.10.2022, p. 5.
(2)   Dz.U. C 365 z 23.9.2022, s. 18.(2)   OJ C 365, 23.9.2022, p. 18.
(3)   Dz.U. C 375 z 30.9.2022, s. 112.(3)   OJ C 375, 30.9.2022, p. 112.
(4)  Stanowisko Parlamentu Europejskiego z dnia 9 listopada 2023 r. (dotychczas nieopublikowane w Dzienniku Urzędowym) oraz decyzja Rady z dnia 27 listopada 2023 r.(4)  Position of the European Parliament of 9 November 2023 (not yet published in the Official Journal) and decision of the Council of 27 November 2023.
(5)  Zalecenie Komisji 2003/361/WE z dnia 6 maja 2003 r. dotyczące definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw (Dz.U. L 124 z 20.5.2003, s. 36).(5)  Commission Recommendation 2003/361/EC of 6 May 2003 concerning the definition of micro, small and medium-sized enterprises (OJ L 124, 20.5.2003, p. 36).
(6)  Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).(6)  Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (OJ L 119, 4.5.2016, p. 1).
(7)  Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).(7)  Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018, p. 39).
(8)  Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37).(8)  Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications) (OJ L 201, 31.7.2002, p. 37).
(9)  Dyrektywa Rady 93/13/EWG z dnia 5 kwietnia 1993 r. w sprawie nieuczciwych warunków w umowach konsumenckich (Dz.U. L 95 z 21.4.1993, s. 29).(9)  Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts (OJ L 95, 21.4.1993, p. 29).
(10)  Dyrektywa 2005/29/WE Parlamentu Europejskiego i Rady z dnia 11 maja 2005 r. dotycząca nieuczciwych praktyk handlowych stosowanych przez przedsiębiorstwa wobec konsumentów na rynku wewnętrznym oraz zmieniająca dyrektywę Rady 84/450/EWG, dyrektywy 97/7/WE, 98/27/WE i 2002/65/WE Parlamentu Europejskiego i Rady oraz rozporządzenie (WE) nr 2006/2004 Parlamentu Europejskiego i Rady („Dyrektywa o nieuczciwych praktykach handlowych”) (Dz.U. L 149 z 11.6.2005, s. 22).(10)  Directive 2005/29/EC of the European Parliament and of the Council of 11 May 2005 concerning unfair business-to-consumer commercial practices in the internal market and amending Council Directive 84/450/EEC, Directives 97/7/EC, 98/27/EC and 2002/65/EC of the European Parliament and of the Council and Regulation (EC) No 2006/2004 of the European Parliament and of the Council (‘Unfair Commercial Practices Directive’) (OJ L 149, 11.6.2005, p. 22).
(11)  Dyrektywa Parlamentu Europejskiego i Rady 2011/83/UE z dnia 25 października 2011 r. w sprawie praw konsumentów, zmieniająca dyrektywę Rady 93/13/EWG i dyrektywę 1999/44/WE Parlamentu Europejskiego i Rady oraz uchylająca dyrektywę Rady 85/577/EWG i dyrektywę 97/7/WE Parlamentu Europejskiego i Rady (Dz.U. L 304 z 22.11.2011, s. 64).(11)  Directive 2011/83/EU of the European Parliament and of the Council of 25 October 2011 on consumer rights, amending Council Directive 93/13/EEC and Directive 1999/44/EC of the European Parliament and of the Council and repealing Council Directive 85/577/EEC and Directive 97/7/EC of the European Parliament and of the Council (OJ L 304, 22.11.2011, p. 64).
(12)  Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2021/784 z dnia 29 kwietnia 2021 r. w sprawie przeciwdziałania rozpowszechnianiu w internecie treści o charakterze terrorystycznym (Dz.U. L 172 z 17.5.2021, s. 79).(12)  Regulation (EU) 2021/784 of the European Parliament and of the Council of 29 April 2021 on addressing the dissemination of terrorist content online (OJ L 172, 17.5.2021, p. 79).
(13)  Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 z dnia 19 października 2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (akt o usługach cyfrowych) (Dz.U. L 277 z 27.10.2022, s. 1).(13)  Regulation (EU) 2022/2065 of the European Parliament and of the Council of 19 October 2022 on a Single Market For Digital Services and amending Directive 2000/31/EC (Digital Services Act) (OJ L 277, 27.10.2022, p. 1).
(14)  Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/1543 z dnia 12 lipca 2023 r. w sprawie europejskich nakazów wydania i europejskich nakazów zabezpieczenia dowodów elektronicznych w postępowaniu karnym oraz w postępowaniu karnym wykonawczym w związku z wykonaniem kar pozbawienia wolności (Dz.U. L 191 z 28.7.2023, s. 118).(14)  Regulation (EU) 2023/1543 of the European Parliament and of the Council of 12 July 2023 on European Production Orders and European Preservation Orders for electronic evidence in criminal proceedings and for the execution of custodial sentences following criminal proceedings (OJ L 191, 28.7.2023, p. 118).
(15)  Dyrektywa Parlamentu Europejskiego i Rady (UE) 2023/1544 z dnia 12 lipca 2023 r. w sprawie zharmonizowanych przepisów dotyczących wskazywania wyznaczonych zakładów i ustanawiania przedstawicieli prawnych w celu gromadzenia dowodów elektronicznych w postępowaniach karnych (Dz.U. L 191 z 28.7.2023, s. 181).(15)  Directive (EU) 2023/1544 of the European Parliament and of the Council of 12 July 2023 laying down harmonised rules on the designation of designated establishments and the appointment of legal representatives for the purpose of gathering electronic evidence in criminal proceedings (OJ L 191, 28.7.2023, p. 181).
(16)  Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2015/847 z dnia 20 maja 2015 r. w sprawie informacji towarzyszących transferom środków pieniężnych i uchylenia rozporządzenia (WE) nr 1781/2006 (Dz.U. L 141 z 5.6.2015, s. 1).(16)  Regulation (EU) 2015/847 of the European Parliament and of the Council of 20 May 2015 on information accompanying transfers of funds and repealing Regulation (EC) No 1781/2006 (OJ L 141, 5.6.2015, p. 1).
(17)  Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/849 z dnia 20 maja 2015 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu, zmieniająca rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 i uchylająca dyrektywę Parlamentu Europejskiego i Rady 2005/60/WE oraz dyrektywę Komisji 2006/70/WE (Dz.U. L 141 z 5.6.2015, s. 73);(17)  Directive (EU) 2015/849 of the European Parliament and of the Council of 20 May 2015 on the prevention of the use of the financial system for the purposes of money laundering or terrorist financing, amending Regulation (EU) No 648/2012 of the European Parliament and of the Council, and repealing Directive 2005/60/EC of the European Parliament and of the Council and Commission Directive 2006/70/EC (OJ L 141, 5.6.2015, p. 73).
(18)  Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/882 z dnia 17 kwietnia 2019 r. w sprawie wymogów dostępności produktów i usług (Dz.U. L 151 z 7.6.2019, s. 70).(18)  Directive (EU) 2019/882 of the European Parliament and of the Council of 17 April 2019 on the accessibility requirements for products and services (OJ L 151, 7.6.2019, p. 70).
(19)  Dyrektywa 2001/29/WE Parlamentu Europejskiego i Rady z dnia 22 maja 2001 r. w sprawie harmonizacji niektórych aspektów praw autorskich i pokrewnych w społeczeństwie informacyjnym (Dz.U. L 167 z 22.6.2001, s. 10).(19)  Directive 2001/29/EC of the European Parliament and of the Council of 22 May 2001 on the harmonisation of certain aspects of copyright and related rights in the information society (OJ L 167, 22.6.2001, p. 10).
(20)  Dyrektywa 2004/48/WE Parlamentu Europejskiego i Rady z dnia 29 kwietnia 2004 r. w sprawie egzekwowania praw własności intelektualnej (Dz.U. L 157 z 30.4.2004, s. 45).(20)  Directive 2004/48/EC of the European Parliament and of the Council of 29 April 2004 on the enforcement of intellectual property rights (OJ L 157, 30.4.2004, p. 45).
(21)  Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/790 z dnia 17 kwietnia 2019 r. w sprawie prawa autorskiego i praw pokrewnych na jednolitym rynku cyfrowym oraz zmiany dyrektyw 96/9/WE i 2001/29/WE (Dz.U. L 130 z 17.5.2019, s. 92).(21)  Directive (EU) 2019/790 of the European Parliament and of the Council of 17 April 2019 on copyright and related rights in the Digital Single Market and amending Directives 96/9/EC and 2001/29/EC (OJ L 130, 17.5.2019, p. 92).
(22)  Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/868 z dnia 30 maja 2022 r. w sprawie europejskiego zarządzania danymi i zmieniające rozporządzenie (UE) 2018/1724 (akt w sprawie zarządzania danymi) (Dz.U. L 152 z 3.6.2022, s. 1).(22)  Regulation (EU) 2022/868 of the European Parliament and of the Council of 30 May 2022 on European data governance and amending Regulation (EU) 2018/1724 (Data Governance Act) (OJ L 152, 3.6.2022, p. 1).
(23)  Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/943 z dnia 8 czerwca 2016 r. w sprawie ochrony niejawnego know-how i niejawnych informacji handlowych (tajemnic przedsiębiorstwa) przed ich bezprawnym pozyskiwaniem, wykorzystywaniem i ujawnianiem (Dz.U. L 157 z 15.6.2016, s. 1).(23)  Directive (EU) 2016/943 of the European Parliament and of the Council of 8 June 2016 on the protection of undisclosed know-how and business information (trade secrets) against their unlawful acquisition, use and disclosure (OJ L 157, 15.6.2016, p. 1).
(24)  Dyrektywa 98/6/WE Parlamentu Europejskiego i Rady z dnia 16 lutego 1998 r. w sprawie ochrony konsumenta przez podawanie cen produktów oferowanych konsumentom (Dz.U. L 80 z 18.3.1998, s. 27).(24)  Directive 98/6/EC of the European Parliament and of the Council of 16 February 1998 on consumer protection in the indication of the prices of products offered to consumers (OJ L 80, 18.3.1998, p. 27).
(25)  Dyrektywa 2000/31/WE Parlamentu Europejskiego i Rady z dnia 8 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego w ramach rynku wewnętrznego (dyrektywa o handlu elektronicznym) (Dz.U. L 178 z 17.7.2000, s. 1).(25)  Directive 2000/31/EC of the European Parliament and of the Council of 8 June 2000 on certain legal aspects of information society services, in particular electronic commerce, in the Internal Market (‘Directive on electronic commerce’) (OJ L 178, 17.7.2000, p. 1).
(26)  Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/1925 z dnia 14 września 2022 r. w sprawie kontestowalnych i uczciwych rynków w sektorze cyfrowym oraz zmiany dyrektyw (UE) 2019/1937 i (UE) 2020/1828 (akt o rynkach cyfrowych) (Dz.U. L 265 z 12.10.2022, s. 1).(26)  Regulation (EU) 2022/1925 of the European Parliament and of the Council of 14 September 2022 on contestable and fair markets in the digital sector and amending Directives (EU) 2019/1937 and (EU) 2020/1828 (Digital Markets Act) (OJ L 265, 12.10.2022, p. 1).
(27)  Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 223/2009 z dnia 11 marca 2009 r. w sprawie statystyki europejskiej oraz uchylające rozporządzenie Parlamentu Europejskiego i Rady (WE, Euratom) nr 1101/2008 w sprawie przekazywania do Urzędu Statystycznego Wspólnot Europejskich danych statystycznych objętych zasadą poufności, rozporządzenie Rady (WE) nr 322/97 w sprawie statystyk Wspólnoty oraz decyzję Rady 89/382/EWG, Euratom w sprawie ustanowienia Komitetu ds. Programów Statystycznych Wspólnot Europejskich (Dz.U. L 87 z 31.3.2009, s. 164).(27)  Regulation (EC) No 223/2009 of the European Parliament and of the Council of 11 March 2009 on European statistics and repealing Regulation (EC, Euratom) No 1101/2008 of the European Parliament and of the Council on the transmission of data subject to statistical confidentiality to the Statistical Office of the European Communities, Council Regulation (EC) No 322/97 on Community Statistics, and Council Decision 89/382/EEC, Euratom establishing a Committee on the Statistical Programmes of the European Communities (OJ L 87, 31.3.2009, p. 164).
(28)  Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1024 z dnia 20 czerwca 2019 r. w sprawie otwartych danych i ponownego wykorzystywania informacji sektora publicznego (Dz.U. L 172 z 26.6.2019, s. 56).(28)  Directive (EU) 2019/1024 of the European Parliament and of the Council of 20 June 2019 on open data and the re-use of public sector information (OJ L 172, 26.6.2019, p. 56).
(29)  Dyrektywa 96/9/WE Parlamentu Europejskiego i Rady z dnia 11 marca 1996 r. w sprawie ochrony prawnej baz danych (Dz.U. L 77 z 27.3.1996, s. 20).(29)  Directive 96/9/EC of the European Parliament and of the Council of 11 March 1996 on the legal protection of databases (OJ L 77, 27.3.1996, p. 20).
(30)  Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1807 z dnia 14 listopada 2018 r. w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej (Dz.U. L 303 z 28.11.2018, s. 59).(30)  Regulation (EU) 2018/1807 of the European Parliament and of the Council of 14 November 2018 on a framework for the free flow of non-personal data in the European Union (OJ L 303, 28.11.2018, p. 59).
(31)  Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/770 z dnia 20 maja 2019 r. w sprawie niektórych aspektów umów o dostarczanie treści cyfrowych i usług cyfrowych (Dz.U. L 136 z 22.5.2019, s. 1).(31)  Directive (EU) 2019/770 of the European Parliament and of the Council of 20 May 2019 on certain aspects concerning contracts for the supply of digital content and digital services (OJ L 136, 22.5.2019, p. 1).
(32)  Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz.U. L 333 z 27.12.2022, s. 1).(32)  Regulation (EU) 2022/2554 of the European Parliament and of the Council of 14 December 2022 on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014, (EU) No 909/2014 and (EU) 2016/1011 (OJ L 333, 27.12.2022, p. 1).
(33)  Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1025/2012 z dnia 25 października 2012 r. w sprawie normalizacji europejskiej, zmieniające dyrektywy Rady 89/686/EWG i 93/15/EWG oraz dyrektywy Parlamentu Europejskiego i Rady 94/9/WE, 94/25/WE, 95/16/WE, 97/23/WE, 98/34/WE, 2004/22/WE, 2007/23/WE, 2009/23/WE i 2009/105/WE oraz uchylające decyzję Rady 87/95/EWG i decyzję Parlamentu Europejskiego i Rady nr 1673/2006/WE (Dz.U. L 316 z 14.11.2012, s. 12).(33)  Regulation (EU) No 1025/2012 of the European Parliament and of the Council of 25 October 2012 on European standardisation, amending Council Directives 89/686/EEC and 93/15/EEC and Directives 94/9/EC, 94/25/EC, 95/16/EC, 97/23/EC, 98/34/EC, 2004/22/EC, 2007/23/EC, 2009/23/EC and 2009/105/EC of the European Parliament and of the Council and repealing Council Decision 87/95/EEC and Decision No 1673/2006/EC of the European Parliament and of the Council (OJ L 316, 14.11.2012, p. 12).
(34)  Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 765/2008 z dnia 9 lipca 2008 r. ustanawiające wymagania w zakresie akredytacji i nadzoru rynku odnoszące się do warunków wprowadzania produktów do obrotu i uchylające rozporządzenie (EWG) nr 339/93 (Dz.U. L 218 z 13.8.2008, s. 30).(34)  Regulation (EC) No 765/2008 of the European Parliament and of the Council of 9 July 2008 setting out the requirements for accreditation and repealing Regulation (EEC) No 339/93 (OJ L 218, 13.8.2008, p. 30).
(35)  Decyzja Parlamentu Europejskiego i Rady nr 768/2008/WE z dnia 9 lipca 2008 r. w sprawie wspólnych ram dotyczących wprowadzania produktów do obrotu, uchylająca decyzję Rady 93/465/EWG (Dz.U. L 218 z 13.8.2008, s. 82).(35)  Decision No 768/2008/EC of the European Parliament and of the Council of 9 July 2008 on a common framework for the marketing of products, and repealing Council Decision 93/465/EEC (OJ L 218, 13.8.2008, p. 82).
(36)  Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2017/2394 z dnia 12 grudnia 2017 r. w sprawie współpracy między organami krajowymi odpowiedzialnymi za egzekwowanie przepisów prawa w zakresie ochrony konsumentów i uchylające rozporządzenie (WE) nr 2006/2004 (Dz.U. L 345 z 27.12.2017, s. 1).(36)  Regulation (EU) 2017/2394 of the European Parliament and of the Council of 12 December 2017 on cooperation between national authorities responsible for the enforcement of consumer protection laws and repealing Regulation (EC) No 2006/2004 (OJ L 345, 27.12.2017, p. 1).
(37)  Dyrektywa Parlamentu Europejskiego i Rady (UE) 2020/1828 z dnia 25 listopada 2020 r. w sprawie powództw przedstawicielskich wytaczanych w celu ochrony zbiorowych interesów konsumentów i uchylająca dyrektywę 2009/22/WE (Dz.U. L 409 z 4.12.2020, s. 1).(37)  Directive (EU) 2020/1828 of the European Parliament and of the Council of 25 November 2020 on representative actions for the protection of the collective interests of consumers and repealing Directive 2009/22/EC (OJ L 409, 4.12.2020, p. 1).
(38)   Dz.U. L 123 z 12.5.2016, s. 1.(38)   OJ L 123, 12.5.2016, p. 1.
(39)  Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 182/2011 z dnia 16 lutego 2011 r. ustanawiające przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję (Dz.U. L 55 z 28.2.2011, s. 13).(39)  Regulation (EU) No 182/2011 of the European Parliament and of the Council of 16 February 2011 laying down the rules and general principles concerning mechanisms for control by the Member States of the Commission’s exercise of implementing powers (OJ L 55, 28.2.2011, p. 13).
ELI: http://data.europa.eu/eli/reg/2023/2854/ojELI: http://data.europa.eu/eli/reg/2023/2854/oj
ISSN 1977-0766 (electronic edition)ISSN 1977-0677 (electronic edition)