02022R0868 — PL — 03.06.2022 — 000.004
Dokument ten służy wyłącznie do celów informacyjnych i nie ma mocy prawnej. Unijne instytucje nie ponoszą żadnej odpowiedzialności za jego treść. Autentyczne wersje odpowiednich aktów prawnych, włącznie z ich preambułami, zostały opublikowane w Dzienniku Urzędowym Unii Europejskiej i są dostępne na stronie EUR-Lex. Bezpośredni dostęp do tekstów urzędowych można uzyskać za pośrednictwem linków zawartych w dokumencie
|
ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/868 z dnia 30 maja 2022 r. w sprawie europejskiego zarządzania danymi i zmieniające rozporządzenie (UE) 2018/1724 (akt w sprawie zarządzania danymi) (Tekst mający znaczenie dla EOG) (Dz.U. L 152 z 3.6.2022, s. 1) |
sprostowane przez:
|
Sprostowanie, Dz.U. L 90204, 21.12.2023, s. 1 ((UE) 2022/868) |
ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/868
z dnia 30 maja 2022 r.
w sprawie europejskiego zarządzania danymi i zmieniające rozporządzenie (UE) 2018/1724 (akt w sprawie zarządzania danymi)
(Tekst mający znaczenie dla EOG)
ROZDZIAŁ I
Przepisy ogólne
Artykuł 1
Przedmiot i zakres stosowania
W niniejszym rozporządzeniu ustanawia się:
warunki ponownego wykorzystywania w Unii niektórych kategorii danych będących w posiadaniu podmiotów sektora publicznego;
ramy dotyczące zgłaszania i nadzoru w odniesieniu do świadczenia usług pośrednictwa danych;
ramy dotyczące dobrowolnej rejestracji podmiotów, które gromadzą i przetwarzają dane udostępniane z pobudek altruistycznych; oraz
ramy dotyczące ustanowienia Europejskiej Rady ds. Innowacji w zakresie Danych.
Niniejsze rozporządzenie pozostaje bez uszczerbku dla:
szczególnych przepisów prawa Unii lub prawa krajowego dotyczących dostępu do niektórych kategorii danych lub ich ponownego wykorzystywania, w szczególności w odniesieniu do udzielania dostępu do dokumentów urzędowych i ich ujawniania; oraz
wynikających z prawa Unii lub prawa krajowego obowiązków podmiotów sektora publicznego dotyczących zezwolenia na ponowne wykorzystywanie danych, a także dla wymogów związanych z przetwarzaniem danych nieosobowych.
Jeżeli sektorowe prawo Unii lub sektorowe prawo krajowe wymagają od podmiotów sektora publicznego, dostawców usług pośrednictwa danych lub uznanych organizacji altruizmu danych spełnienia szczególnych dodatkowych wymogów technicznych, administracyjnych lub organizacyjnych, w tym poprzez system zezwoleń lub certyfikacji, stosuje się również te przepisy danego sektorowego prawa Unii lub sektorowego prawa krajowego. Wszelkie takie szczególne dodatkowe wymogi muszą być niedyskryminujące, proporcjonalne i obiektywnie uzasadnione.
Artykuł 2
Definicje
Do celów niniejszego rozporządzenia stosuje się następujące definicje:
„dane” oznaczają cyfrowe odwzorowania działań, faktów lub informacji oraz wszelkie kompilacje takich działań, faktów lub informacji, w tym w formie zapisu dźwiękowego, wizualnego lub audiowizualnego;
„ponowne wykorzystywanie” oznacza wykorzystywanie przez osoby fizyczne lub prawne danych będących w posiadaniu podmiotów sektora publicznego, do celów komercyjnych lub niekomercyjnych innych niż ich pierwotne przeznaczenie w ramach zadań publicznych, dla którego to celu dane te zostały wytworzone, z wyjątkiem wymiany danych między podmiotami sektora publicznego służącej wyłącznie wykonywaniu zadań publicznych;
„dane osobowe” oznaczają dane osobowe zgodnie z definicją w art. 4 pkt 1 rozporządzenia (UE) 2016/679;
„dane nieosobowe” oznaczają dane inne niż dane osobowe;
„zgoda” oznacza zgodę zgodnie z definicją w art. 4 pkt 11 rozporządzenia (UE) 2016/679;
„pozwolenie” oznacza przyznanie użytkownikom danych prawa do przetwarzania danych nieosobowych;
„osoba, której dane dotyczą” oznacza osobę, której dane dotyczą, o której mowa w art. 4 pkt 1 rozporządzenia (UE) 2016/679;
„posiadacz danych” oznacza osobę prawną, w tym podmiot sektora publicznego lub organizację międzynarodową, lub osobę fizyczną niebędącą w odniesieniu do przedmiotowych konkretnych danych osobą, której dane dotyczą, która ma – zgodnie z mającym zastosowanie prawem Unii lub prawem krajowym – prawo do udzielania dostępu do niektórych danych osobowych lub danych nieosobowych lub do dzielenia się nimi;
„użytkownik danych” oznacza osobę fizyczną lub osobę prawną, która ma zgodny z prawem dostęp do niektórych danych osobowych lub nieosobowych i prawo, w tym – w przypadku danych osobowych – na podstawie rozporządzenia (UE) 2016/679, do wykorzystywania tych danych w celach komercyjnych lub niekomercyjnych;
„dzielenie się danymi” oznacza dostarczanie danych przez osobę, której dane dotyczą, lub przez posiadacza danych użytkownikowi danych do celów wspólnego lub indywidualnego wykorzystywania takich danych w oparciu o dobrowolne umowy lub na podstawie prawa Unii lub prawa krajowego, bezpośrednio lub z udziałem pośrednika, na przykład w ramach licencji otwartych lub handlowych, bezpłatnie lub za opłatą;
„usługa pośrednictwa danych” oznacza usługę, która ma na celu ustanowienie – za pomocą środków technicznych, prawnych lub innych – stosunków handlowych między – z jednej strony – nieokreśloną liczbą osób, których dane dotyczą, i posiadaczy danych oraz – z drugiej strony – użytkownikami danych do celów dzielenia się danymi, w tym do celów wykonywania praw osób, których dane dotyczą, w odniesieniu do danych osobowych, z wyłączeniem co najmniej:
usług, w ramach których dane są pozyskiwane od posiadaczy danych i agregowane, wzbogacane lub przekształcane w celu dodania im znaczącej wartości, a następnie użytkownikom danych udzielana jest licencja na wykorzystanie uzyskanych w ten sposób danych bez ustanawiania stosunku handlowego między nimi a posiadaczami danych;
usług skoncentrowanych na pośrednictwie treści chronionych prawem autorskim;
usług, z których korzysta wyłącznie jeden posiadacz danych w celu umożliwienia wykorzystywania danych będących w jego posiadaniu, lub usługi, z których korzysta wiele osób prawnych w zamkniętej grupie, w tym w ramach stosunków z dostawcami lub klientami lub współpracy nawiązanej na podstawie umowy, w szczególności usług, których głównym celem jest zapewnienie funkcjonalności przedmiotów i urządzeń podłączonych do internetu rzeczy;
usług dzielenia się danymi oferowanych przez podmioty sektora publicznego, które to usługi nie mają na celu ustanowienia stosunków handlowych;
„przetwarzanie” oznacza przetwarzanie zgodnie z definicją w art. 4 pkt 2 rozporządzenia (UE) 2016/679 w odniesieniu do danych osobowych lub zgodnie z definicją w art. 3 ust. 2 rozporządzenia (UE) 2018/1807 w odniesieniu do danych nieosobowych;
„dostęp” oznacza wykorzystywanie danych zgodnie ze szczegółowymi wymogami technicznymi, prawnymi lub organizacyjnymi, które niekoniecznie musi się wiązać z przesyłaniem lub pobieraniem danych;
„główna jednostka organizacyjna” osoby prawnej oznacza miejsce, w którym znajduje się jej centralna administracja w Unii;
„usługi świadczone przez spółdzielnie danych” oznaczają usługi pośrednictwa danych oferowane przez strukturę organizacyjną utworzoną przez osoby, których dane dotyczą, przedsiębiorstwa jednoosobowe lub MŚP będące członkami tej struktury, mającą za główne cele wspieranie swoich członków w wykonywaniu ich praw w odniesieniu do niektórych danych, w tym w odniesieniu do dokonywania świadomego wyboru przed wyrażeniem przez nich zgody na przetwarzanie danych, wymienianie poglądów na temat celów przetwarzania danych i warunków, które najlepiej będą odzwierciedlać interesy jej członków w odniesieniu do ich danych, oraz negocjowanie w imieniu jej członków warunków i zasad przetwarzania danych przed udzieleniem pozwolenia na przetwarzanie danych nieosobowych lub przed wyrażeniem zgody na przetwarzanie danych osobowych;
„altruizm danych” oznacza dobrowolne dzielenie się danymi na podstawie wyrażonej przez osoby, których dane dotyczą, zgody na przetwarzanie dotyczących ich danych osobowych lub na podstawie udzielonego przez posiadaczy danych pozwolenia na wykorzystywanie ich danych nieosobowych, bez żądania ani otrzymania za to wynagrodzenia wykraczającego poza zwrot kosztów poniesionych przez te osoby lub posiadaczy w związku z udostępnieniem ich danych do celów leżących w interesie ogólnym określonych – w stosownych przypadkach – w prawie krajowym, takich jak opieka zdrowotna, zwalczanie zmiany klimatu, poprawa mobilności, ułatwianie opracowywania, tworzenia i rozpowszechniania statystyk urzędowych, poprawa świadczenia usług publicznych, kształtowanie polityki publicznej lub do celów badań naukowych leżących w interesie ogólnym;
„podmiot sektora publicznego” oznacza państwo, organy regionalne lub lokalne, podmioty prawa publicznego lub stowarzyszenia złożone z co najmniej jednego takiego organu lub z co najmniej jednego takiego podmiotu prawa publicznego;
„podmiot prawa publicznego” oznacza podmiot, który posiada poniższe cechy:
został utworzony w konkretnym celu zaspokajania potrzeb w interesie ogólnym i nie ma charakteru przemysłowego ani komercyjnego;
posiada osobowość prawną;
jest finansowany w przeważającej części przez państwo, orany regionalne lub lokalne lub inne podmioty prawa publicznego, jego zarząd podlega nadzorowi ze strony tych organów lub podmiotów, albo ponad połowa członków jego organu administrującego, zarządzającego lub nadzorczego została wyznaczona przez państwo, organy regionalne lub lokalne, lub przez inne podmioty prawa publicznego;
„przedsiębiorstwo publiczne” oznacza przedsiębiorstwo, na które podmioty sektora publicznego mogą wywierać, bezpośrednio lub pośrednio, dominujący wpływ z racji bycia jego właścicielem, posiadania w nim udziału finansowego lub na podstawie przepisów, które regulują działalność tego przedsiębiorstwa; do celów niniejszej definicji zakłada się istnienie dominującego wpływu ze strony podmiotów sektora publicznego w dowolnym z poniższych przypadków, gdy podmioty te bezpośrednio lub pośrednio:
posiadają większość subskrybowanego kapitału przedsiębiorstwa;
kontrolują większość głosów przypadających na akcje wyemitowane przez przedsiębiorstwo;
mogą powoływać ponad połowę członków organu administrującego, zarządzającego lub nadzorczego przedsiębiorstwa;
„bezpieczne środowisko przetwarzania” oznacza środowisko fizyczne lub wirtualne oraz środki organizacyjne służące zapewnieniu przestrzegania prawa Unii, takiego jak rozporządzenie (UE) 2016/679, w szczególności pod względem praw osób, których dane dotyczą, praw własności intelektualnej oraz poufności informacji handlowych i statystycznych, integralności i dostępności, jak również mającego zastosowanie prawa krajowego oraz umożliwiające podmiotowi zapewniającemu bezpieczne środowisko przetwarzania określenie i nadzorowanie wszystkich działań związanych z przetwarzaniem danych, w tym wyświetlania, przechowywania, pobierania i eksportowania danych oraz obliczania danych pochodnych za pomocą algorytmów obliczeniowych;
„przedstawiciel prawny” oznacza osobę fizyczną lub prawną mającą miejsce zamieszkania lub siedzibę w Unii, wyznaczoną w wyraźny sposób do działania w imieniu niemających jednostki organizacyjnej w Unii dostawcy usług pośrednictwa danych lub podmiotu gromadzącego dane udostępniane do celów leżących w interesie ogólnym i na zasadzie altruizmu danych przez osoby fizyczne lub prawne; organy właściwe do spraw usług pośrednictwa danych i organy właściwe do spraw rejestracji organizacji altruizmu danych mogą się zwracać jednocześnie do tej osoby oraz dostawcy usług pośrednictwa danych lub podmiotu albo do tej osoby zamiast do dostawcy usług pośrednictwa danych lub podmiotu w związku z obowiązkami ustanowionymi na podstawie niniejszego rozporządzenia, w tym w związku ze wszczęciem postępowania egzekucyjnego przeciwko niespełniającym wymogów dostawcy usług pośrednictwa danych lub podmiotowi niemającym jednostki organizacyjnej w Unii.
ROZDZIAŁ II
Ponowne wykorzystywanie niektórych kategorii chronionych danych będących w posiadaniu podmiotów sektora publicznego
Artykuł 3
Kategorie danych
Niniejszy rozdział stosuje się do danych będących w posiadaniu podmiotów sektora publicznego, które są chronione ze względu na:
poufność informacji handlowych, w tym tajemnicę handlową, zawodową i tajemnicę przedsiębiorstwa;
poufność informacji statystycznych;
ochronę praw własności intelektualnej osób trzecich; lub
ochronę danych osobowych w zakresie, w jakim dane te wykraczają poza zakres stosowania dyrektywy (UE) 2019/1024.
Niniejszego rozdziału nie stosuje się do:
danych będących w posiadaniu przedsiębiorstw publicznych;
danych będących w posiadaniu publicznych nadawców radiowych i telewizyjnych oraz ich jednostek zależnych, a także innych podmiotów lub ich jednostek zależnych realizujących misję nadawców publicznych;
danych będących w posiadaniu instytucji kulturalnych i placówek edukacyjnych;
danych będących w posiadaniu podmiotów sektora publicznego, które są chronione ze względów bezpieczeństwa publicznego, obronności lub bezpieczeństwa narodowego; lub
danych, których dostarczanie jest działalnością wykraczającą poza zakres zadań publicznych zainteresowanych podmiotów sektora publicznego określonych przepisami ustawowymi lub innymi wiążącymi przepisami w danym państwie członkowskim lub, w przypadku braku takich przepisów, określonych zgodnie z powszechną praktyką administracyjną w tym państwie członkowskim, o ile zakres zadań publicznych jest przejrzysty i podlega przeglądowi.
Niniejszy rozdział pozostaje bez uszczerbku dla:
przepisów prawa Unii i prawa krajowego oraz postanowień umów międzynarodowych, których Unia lub państwa członkowskie są stronami, dotyczących ochrony kategorii danych, o których mowa w ust. 1; oraz
przepisów prawa Unii i prawa krajowego dotyczących dostępu do dokumentów.
Artykuł 4
Zakaz uzgodnień dotyczących wyłączności
Artykuł 5
Warunki ponownego wykorzystywania
Państwa członkowskie zapewniają, aby podmioty sektora publicznego były wyposażone w niezbędne zasoby w celu przestrzegania niniejszego artykułu.
Podmioty sektora publicznego zapewniają, zgodnie z prawem Unii i prawem krajowym, aby chroniony charakter danych został zachowany. Mogą one ustanawiać następujące wymagania:
dostępu do celów ponownego wykorzystywania danych udziela się wyłącznie pod warunkiem, że podmiot sektora publicznego lub właściwy podmiot po otrzymaniu wniosku o ponowne wykorzystywanie zapewniły, by dane te:
zostały zanonimizowane – w przypadku danych osobowych; oraz
zostały zmodyfikowane, zagregowane lub przekształcone za pomocą innej metody zapobiegającej ujawnieniu – w przypadku poufnych informacji handlowych, w tym tajemnic handlowych lub treści chronionych prawami własności intelektualnej;
dostęp do danych i ich ponowne wykorzystywanie odbywa się w sposób zdalny w bezpiecznym środowisku przetwarzania zapewnianym lub kontrolowanym przez podmiot sektora publicznego;
jeżeli nie można zezwolić na dostęp zdalny bez stwarzania zagrożenia dla praw i interesów osób trzecich, dostęp do danych i ich ponowne wykorzystywanie odbywa się w obrębie obiektów fizycznych, w których panuje bezpieczne środowisko przetwarzania zgodnie z rygorystycznymi normami bezpieczeństwa.
Podmioty sektora publicznego przesyłają poufne dane nieosobowe lub dane chronione prawami własności intelektualnej ponownemu użytkownikowi, który zamierza przekazać te dane do państwa trzeciego innego niż państwo wyznaczone zgodnie z ust. 12 wyłącznie wtedy, gdy ponowny użytkownik zobowiąże się na podstawie umowy do:
wypełniania obowiązków nałożonych zgodnie z ust. 7 i 8 nawet po przekazaniu danych do państwa trzeciego; oraz
uznania jurysdykcji sądów lub trybunałów państwa członkowskiego podmiotu sektora publicznego przesyłającego dane w odniesieniu do wszelkich sporów związanych z przestrzeganiem ust. 7 i 8.
Aby udzielać pomocy podmiotom sektora publicznego i ponownym użytkownikom, Komisja może przyjmować akty wykonawcze określające wzory klauzul umownych dotyczących wypełniania obowiązków, o których mowa w ust. 10 niniejszego artykułu. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 33 ust. 3.
Jeżeli jest to uzasadnione ze względu na znaczącą liczbę wniosków składanych w całej Unii dotyczących ponownego wykorzystywania danych nieosobowych w określonych państwach trzecich, Komisja może przyjąć akty wykonawcze, w których stwierdza, że stosowane przez dane państwo trzecie rozwiązania prawne, w zakresie nadzoru i egzekwowania przepisów:
zapewniają ochronę własności intelektualnej i tajemnic przedsiębiorstwa w sposób zasadniczo równoważny z ochroną zapewnianą na podstawie prawa Unii;
są skutecznie stosowane i egzekwowane; oraz
zapewniają skuteczne sądowe środki zaskarżenia.
Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 33 ust. 3.
Te warunki szczególne są ustalane w oparciu o charakter określonych w szczególnym akcie ustawodawczym Unii kategorii danych nieosobowych oraz w oparciu o powody uznania tych kategorii za szczególnie chronione w najwyższym stopniu, z uwzględnieniem ryzyka deanonimizacji zanonimizowanych danych nieosobowych. Te warunki szczególne muszą być niedyskryminujące i ograniczone do tego, co jest niezbędne do osiągnięcia celów polityki publicznej Unii określonych w tym akcie, zgodnie z międzynarodowymi zobowiązaniami Unii.
Jeżeli wymagają tego szczególne akty ustawodawcze Unii, o których mowa w akapicie pierwszym, takie warunki szczególne mogą obejmować warunki mające zastosowanie do przekazywania lub uzgodnień technicznych w tym zakresie, ograniczenia dotyczące ponownego wykorzystywania danych w państwach trzecich lub kategorii osób, które są uprawnione do przekazywania takich danych do państw trzecich, lub, w wyjątkowych przypadkach, ograniczenia dotyczące przekazywania do państw trzecich.
Artykuł 6
Opłaty
Opłaty muszą wynikać z kosztów związanych z prowadzeniem procedur dotyczących wniosków o ponowne wykorzystywanie kategorii danych, o których mowa w art. 3 ust. 1, oraz ograniczać się do niezbędnych kosztów związanych z:
powielaniem, dostarczaniem i rozpowszechnianiem danych;
weryfikacją praw;
anonimizacją lub innymi formami przygotowania danych osobowych i danych poufnych ze względów handlowych, jak przewidziano w art. 5 ust. 3;
utrzymaniem bezpiecznego środowiska przetwarzania;
nabywaniem przez osoby trzecie spoza sektora publicznego prawa do zezwalania na ponowne wykorzystywanie zgodnie z niniejszym rozdziałem; oraz
udzielaniem pomocy ponownym użytkownikom w uzyskiwaniu zgody osób, których dane dotyczą, oraz pozwolenia posiadaczy danych, w przypadku gdy takie ponowne wykorzystywanie może mieć wpływ na prawa i interesy tych osób i posiadaczy.
Artykuł 7
Właściwe podmioty
Pomoc, o której mowa w ust. 1, obejmuje, w razie potrzeby:
zapewnienie wsparcia technicznego poprzez udostępnienie bezpiecznego środowiska przetwarzania na potrzeby zapewnienia dostępu do celów ponownego wykorzystywania danych;
udzielenie wskazówek i zapewnianie wsparcia technicznego w zakresie jak najlepszego ustrukturyzowania danych i ich przechowywania, tak by były one łatwo dostępne;
zapewnienie wsparcia technicznego w zakresie pseudonimizacji oraz zapewnienie przetwarzania danych w sposób skutecznie chroniący prywatność, poufność, integralność i dostępność informacji zawartych w danych, na których ponowne wykorzystywanie zezwolono, w tym technik anonimizacji, uogólnienia, ukrywania i randomizacji danych osobowych lub innych najnowocześniejszych metod zachowania prywatności, oraz usuwania poufnych informacji handlowych, w tym tajemnic przedsiębiorstwa lub treści chronionych prawami własności intelektualnej;
udzielanie pomocy, w stosownych przypadkach, podmiotom sektora publicznego w zapewnianiu wsparcia ponownym użytkownikom w występowaniu do osób, których dane dotyczą, o zgodę na ponowne wykorzystywanie danych oraz do posiadaczy danych – o pozwolenie, zgodnie z ich konkretnymi decyzjami, w tym odnośnie do jurysdykcji, w której ma się odbywać przetwarzanie danych, oraz – w sytuacji, gdy jest to wykonalne w praktyce – udzielanie pomocy podmiotom sektora publicznego w ustanawianiu mechanizmów technicznych umożliwiających przekazywanie wniosków ponownych użytkowników o wyrażenie zgody lub udzielenie pozwolenia.
udzielenie pomocy podmiotom sektora publicznego w zakresie oceny adekwatności zobowiązań umownych zaciągniętych przez ponownego użytkownika zgodnie z art. 5 ust. 10.
Artykuł 8
Pojedyncze punkty informacyjne
Artykuł 9
Procedura składania wniosków o ponowne wykorzystywanie
►C1 W przypadku wyjątkowo obszernych i złożonych wniosków o ponowne wykorzystywanie, termin dwóch miesięcy może zostać przedłużony nie więcej niż o 30 dni ◄ . W takich przypadkach właściwe podmioty sektora publicznego lub właściwe podmioty, o których mowa w art. 7 ust. 1, powiadamiają jak najszybciej wnioskodawcę o tym, że do przeprowadzenia procedury potrzeba więcej czasu, wraz z uzasadnieniem tego opóźnienia.
ROZDZIAŁ III
Wymogi dotyczące usług pośrednictwa danych
Artykuł 10
Usługi pośrednictwa danych
Świadczenie następujących usług pośrednictwa danych musi być zgodne z art. 12 i podlega procedurze zgłaszania:
usługi pośrednictwa między posiadaczami danych a potencjalnymi użytkownikami danych, w tym udostępnianie środków technicznych lub innych umożliwiających świadczenie takich usług; usługi te mogą obejmować dwustronną lub wielostronną wymianę danych lub tworzenie platform lub baz danych umożliwiających wymianę lub wspólne wykorzystywanie danych, jak również tworzenie innej specjalnej infrastruktury do stworzenia powiązań między posiadaczami danych a użytkownikami danych;
usługi pośrednictwa między osobami, których dane dotyczą, zamierzającymi udostępnić swoje dane osobowe lub osobami fizycznymi zamierzającymi udostępnić dane nieosobowe a potencjalnymi użytkownikami danych, w tym udostępnianie środków technicznych lub innych umożliwiających świadczenie takich usług, w szczególności umożliwiających wykonywanie ustanowionych w rozporządzeniu (UE) 2016/679 praw osób, których dane dotyczą;
usługi świadczone przez spółdzielnie danych.
Artykuł 11
Zgłoszenia dokonywane przez dostawców usług pośrednictwa danych
Do celów zapewnienia przestrzegania niniejszego rozporządzenia przedstawiciel prawny musi być upoważniony przez dostawcę usług pośrednictwa danych, by organy właściwe do spraw usług pośrednictwa danych lub osoby, których dane dotyczą, i posiadacze danych mogli się zwracać jednocześnie do przedstawiciela prawnego i dostawcy usług pośrednictwa danych albo do przedstawiciela prawnego zamiast do dostawcy usług pośrednictwa danych we wszystkich kwestiach dotyczących świadczonych usług pośrednictwa danych. Przedstawiciel prawny współpracuje z organami właściwymi do spraw usług pośrednictwa danych i na żądanie szczegółowo przedstawia im działania i przepisy wprowadzone przez dostawcę usług pośrednictwa danych w celu zapewnienia przestrzegania niniejszego rozporządzenia.
Uznaje się, że dostawca usług pośrednictwa danych podlega jurysdykcji tego państwa członkowskiego, w którym znajduje się jego przedstawiciel prawny. Wyznaczenie przedstawiciela prawnego przez dostawcę usług pośrednictwa danych pozostaje bez uszczerbku dla działań prawnych, które mogą zostać podjęte przeciwko dostawcy usług pośrednictwa danych.
Zgłoszenie, o którym mowa w ust. 1, musi zawierać następujące informacje:
nazwę dostawcy usług pośrednictwa danych;
status prawny, formę prawną, strukturę własności oraz odpowiednie jednostki zależne dostawcy usług pośrednictwa danych, a w przypadku gdy dostawca usług pośrednictwa danych jest zarejestrowany w rejestrze handlowym lub innym podobnym rejestrze publicznym – jego numer rejestracyjny;
adres głównej jednostki organizacyjnej dostawcy usług pośrednictwa danych w Unii, o ile takowa istnieje, oraz, jeżeli ma to zastosowanie, drugorzędnego oddziału w innym państwie członkowskim lub adres przedstawiciela prawnego;
ogólnodostępną stronę internetową, na której można znaleźć kompletne i aktualne informacje na temat dostawcy usług pośrednictwa danych oraz jego działalności, w tym co najmniej informacje, o których mowa w lit. a), b), c) i f);
osoby wyznaczone do kontaktów przez dostawcę usług pośrednictwa danych i dane kontaktowe tych osób;
opis usługi pośrednictwa danych, którą dostawca usług pośrednictwa danych zamierza świadczyć, oraz wskazanie kategorii wymienionych w art. 10, do których należą takie usługi pośrednictwa danych;
planowaną datę rozpoczęcia działalności, jeżeli jest inna od daty zgłoszenia.
Aby zapewnić łatwą rozpoznawalność uznanych w Unii dostawców usług pośrednictwa danych w całej Unii, Komisja ustanawia w drodze aktów wykonawczych projekt wspólnego logo. Uznani w Unii dostawcy usług pośrednictwa danych wyraźnie eksponują wspólne logo na każdej publikacji w internecie i poza nim, odnoszącej się do ich działalności związanej z pośrednictwem danych.
Te akty wykonawcze przyjmuje się zgodnie z procedurą doradczą, o której mowa w art. 33 ust. 2.
Artykuł 12
Warunki świadczenia usług pośrednictwa danych
Świadczenie usług pośrednictwa danych, o których mowa w art. 10, podlega następującym warunkom:
dostawca usług pośrednictwa danych nie może wykorzystywać danych będących przedmiotem świadczonych przez niego usług pośrednictwa danych do celów innych niż oddanie ich do dyspozycji użytkownikom danych, a usługi pośrednictwa danych świadczy poprzez odrębną osobę prawną;
warunki handlowe, w tym ceny, świadczenia usług pośrednictwa danych posiadaczowi danych lub użytkownikowi danych nie mogą być uzależnione od tego, czy posiadacz danych lub użytkownik danych korzysta z innych usług świadczonych przez tego samego dostawcę usług pośrednictwa danych powiązany podmiot, ani od tego w jakim zakresie posiadacz danych lub użytkownik danych korzysta z takich innych usług;
dane zebrane w odniesieniu do działalności osoby fizycznej lub prawnej w celu świadczenia usługi pośrednictwa danych, w tym dane dotyczące daty, godziny i geolokalizacji, czasu trwania działalności oraz połączeń ustanowionych przez osobę korzystającą z usługi pośrednictwa danych z innymi osobami fizycznymi lub prawnymi, mogą być wykorzystywane wyłącznie do celów rozwoju tej usługi pośrednictwa danych, co może obejmować wykorzystywanie danych do wykrywania oszustw lub na potrzeby cyberbezpieczeństwa; udostępnia się je na żądanie posiadaczom danych;
dostawca usług pośrednictwa danych ułatwia wymianę danych w formacie, w jakim otrzymuje je od osoby, której dane dotyczą, lub od posiadacza danych, konwertuje te dane do określonych formatów wyłącznie w celu zwiększenia interoperacyjności w obrębie sektorów i między sektorami lub na wniosek użytkownika danych lub w przypadku, gdy jest to wymagane przez prawo Unii, lub w celu zapewnienia harmonizacji z międzynarodowymi lub europejskimi standardami danych oraz oferuje osobom, których dane dotyczą, lub posiadaczom danych możliwość rezygnacji z tych konwersji, chyba że taka konwersja jest wymagana przez prawo Unii;
usługi pośrednictwa danych mogą obejmować oferowanie posiadaczom danych lub osobom, których dane dotyczą, dodatkowych specjalnych narzędzi i usług ułatwiających wymianę danych, takich jak tymczasowe przechowywanie, kuratorstwo, konwersja, anonimizacja i pseudonimizacja; przy czym z tych narzędzi korzysta się wyłącznie na wyraźny wniosek lub za zgodą posiadacza danych lub osoby, której dane dotyczą, a narzędzia osób trzecich oferowane w tym kontekście nie mogą wykorzystywać danych do innych celów;
dostawca usług pośrednictwa danych zapewnia, aby procedura dostępu do usługi była sprawiedliwa, przejrzysta i niedyskryminująca zarówno dla osób, których dane dotyczą, jak i posiadaczy danych, a także użytkowników danych, w tym w odniesieniu do cen i warunków świadczenia usługi;
dostawca usług pośrednictwa danych wprowadza procedury mające na celu zapobieganie praktykom stanowiącym oszustwo lub nadużycie w odniesieniu do podmiotów ubiegających się o dostęp za pośrednictwem jego usług pośrednictwa danych;
dostawca usług pośrednictwa danych zapewnia w przypadku niewypłacalności odpowiednią ciągłość świadczenia swoich usług pośrednictwa danych, a w przypadku gdy takie usługi pośrednictwa danych zapewniają przechowywanie danych, wprowadza mechanizmy umożliwiające posiadaczom danych i użytkownikom danych uzyskanie dostępu do ich danych, ich przekazywanie lub pobieranie, zaś w przypadku świadczenia takich usług pośrednictwa danych między osobami, których dane dotyczą, a użytkownikami danych umożliwiające osobom, których dane dotyczą, wykonywanie przysługujących im praw;
dostawca usług pośrednictwa danych podejmuje odpowiednie środki w celu zapewnienia interoperacyjności z innymi usługami pośrednictwa danych, między innymi za pomocą standardów otwartych, które są powszechnie stosowane w sektorze działalności danego dostawcy usług pośrednictwa danych;
dostawca usług pośrednictwa danych wprowadza odpowiednie środki techniczne, prawne i organizacyjne w celu zapobiegania niezgodnemu z prawem Unii lub z prawem krajowym danego państwa członkowskiego przekazywaniu danych nieosobowych lub dostępowi do tych danych;
dostawca usług pośrednictwa danych informuje niezwłocznie posiadaczy danych w przypadku gdy nastąpiły niedozwolone przekazanie, dostęp lub wykorzystanie danych nieosobowych, którymi się podzielił;
dostawca usług pośrednictwa danych podejmuje niezbędne środki w celu zapewnienia odpowiedniego poziomu bezpieczeństwa w zakresie przechowywania, przetwarzania i przesyłania danych nieosobowych; dostawca usług pośrednictwa danych zapewnia również najwyższy poziom bezpieczeństwa przy przechowywaniu i przesyłaniu istotnych dla konkurencji szczególnie chronionych informacji;
dostawca usług pośrednictwa danych oferujący usługi osobom, których dane dotyczą, działa w najlepszym interesie tych osób w przypadku gdy ułatwia wykonywanie przysługujących im praw, w szczególności zapewniając – zanim osoby, których dane dotyczą, wyrażą zgodę – informacje oraz, w stosownych przypadkach, doradztwo w zwięzły, przejrzysty, zrozumiały i łatwo dostępny sposób co do zamierzonego wykorzystywania danych przez użytkowników danych oraz co do standardowych warunków związanych z takim wykorzystywaniem;
w przypadku gdy dostawca usług pośrednictwa danych zapewnia narzędzia umożliwiające uzyskanie zgody od osób, których dane dotyczą, lub pozwoleń na przetwarzanie danych udostępnionych przez posiadaczy danych, określa on – w stosownych przypadkach – jurysdykcję państwa trzeciego, w których ma odbywać się wykorzystywanie danych, oraz dostarcza osobom, których dane dotyczą, narzędzia umożliwiające zarówno wyrażenie, jak i wycofanie zgody, a posiadaczom danych – narzędzia umożliwiające zarówno udzielenie, jak i wycofanie pozwolenia na przetwarzanie danych;
dostawca usług pośrednictwa danych prowadzi rejestr zdarzeń dotyczących działalności w zakresie pośrednictwa danych.
Artykuł 13
Organy właściwe do spraw usług pośrednictwa danych
Artykuł 14
Monitorowanie spełniania wymogów
Organ właściwy do spraw usług pośrednictwa danych jest uprawniony do żądania zaprzestania naruszeń, o których mowa w ust. 3, w rozsądnym terminie lub – w przypadku poważnego naruszenia – niezwłocznie, a także przyjmuje odpowiednie i proporcjonalne środki służące spełnianiu wymogów. W związku z tym organy właściwe do spraw usług pośrednictwa danych są w stosownych przypadkach uprawnione do:
nakładania, w drodze procedur administracyjnych, odstraszających kar pieniężnych, które mogą obejmować kary okresowe i kary z mocą wsteczną, lub wszczynania postępowań sądowych w celu nałożenia grzywien;
żądania przesunięcia rozpoczęcia lub zawieszenia świadczenia usługi pośrednictwa danych do czasu wprowadzenia zmian w warunkach, zgodnie z żądaniem organu właściwego do spraw usług pośrednictwa danych; lub
żądania zaprzestania świadczenia usługi pośrednictwa danych w przypadku gdy poważne lub powtarzające się naruszenia nie zostały usunięte pomimo uprzedniego powiadomienia zgodnie z ust. 3.
Organ właściwy do spraw usług pośrednictwa danych zwraca się do Komisji o usunięcie dostawcy usług pośrednictwa danych z rejestru dostawców usług pośrednictwa danych po nakazaniu zaprzestania świadczenia usługi pośrednictwa danych zgodnie z akapitem pierwszym lit. c).
Jeżeli dostawca usług pośrednictwa danych usunie naruszenia, dokonuje do organu właściwego do spraw usług pośrednictwa danych ponownego zgłoszenia. Organ właściwy do spraw usług pośrednictwa danych powiadamia Komisję o każdym ponownym zgłoszeniu.
W przypadku gdy organ właściwy do spraw usług pośrednictwa danych jednego państwa członkowskiego zwraca się o pomoc do organu właściwego do spraw usług pośrednictwa danych innego państwa członkowskiego, przedkłada przy tym uzasadniony wniosek. Organ właściwy do spraw usług pośrednictwa danych, do którego zwrócono się z takim wnioskiem, udziela odpowiedzi bez zbędnej zwłoki i w terminie proporcjonalnym do pilności wniosku.
Wszelkie informacje wymieniane w ramach pomocy, o którą zwraca się i której udziela się na podstawie niniejszego ustępu, są wykorzystywane jedynie w odniesieniu do kwestii, w której o nie wnioskowano.
Artykuł 15
Wyjątki
Niniejszego rozdziału nie stosuje się do uznanych organizacji altruizmu danych ani do innych podmiotów o charakterze niekomercyjnym w zakresie, w jakim ich działalność polega na gromadzeniu danych do celów leżących w interesie ogólnym, udostępnianych przez osoby fizyczne lub prawne w myśl altruizmu danych, chyba że te organizacje i podmioty mają na celu ustanowienie stosunków handlowych między nieokreśloną liczbą osób, których dane dotyczą, i posiadaczy danych z jednej strony oraz użytkownikami danych z drugiej strony.
ROZDZIAŁ IV
Altruizm danych
Artykuł 16
Krajowe rozwiązania w zakresie altruizmu danych
Państwa członkowskie mogą wprowadzić rozwiązania organizacyjne lub techniczne sprzyjające altruizmowi danych. W tym celu państwa członkowskie mogą określić krajowe polityki w zakresie altruizmu danych. Te krajowe polityki mogą w szczególności udzielać pomocy osobom, których dane dotyczą, w dobrowolnym udostępnianiu – do celów altruizmu danych – dotyczących ich danych osobowych będących w posiadaniu podmiotów sektora publicznego, a także określać niezbędne informacje na temat ponownego wykorzystywania ich danych w interesie ogólnym, które to informacje muszą być przekazywane osobom, których dane dotyczą.
Jeżeli państwo członkowskie opracowuje takie polityki krajowe, powiadamia o tym Komisję.
Artykuł 17
Publiczne rejestry uznanych organizacji altruizmu danych
Aby zapewnić łatwą rozpoznawalność uznanych organizacji altruizmu danych, Komisja ustanawia w drodze aktów wykonawczych projekt wspólnego logo. Uznane organizacje altruizmu danych wyraźnie eksponują wspólne logo na każdej publikacji w internecie i poza nim, odnoszącej się do ich działalności w zakresie altruizmu danych. Wspólnemu logo towarzyszy kod QR z linkiem do publicznego unijnego rejestru uznanych organizacji altruizmu danych.
Te akty wykonawcze przyjmuje się zgodnie z procedurą doradczą, o której mowa w art. 33 ust. 2.
Artykuł 18
Ogólne wymogi dotyczące rejestracji
Do zarejestrowania się w publicznym krajowym rejestrze uznanych organizacji altruizmu danych uprawniony jest podmioty, który:
prowadzi działalność w zakresie altruizmu danych;
jest osobą prawną ustanowioną zgodnie z prawem krajowym do realizacji celów leżących w interesie ogólnym określonych, w stosownych przypadkach, w prawie krajowym;
prowadzi działalność o charakterze niekomercyjnym i jest prawnie niezależny od jakiegokolwiek podmiotu nastawionego na zysk;
prowadzi działalność w zakresie altruizmu danych, wykorzystując przy tym strukturę funkcjonalnie odrębną od pozostałej działalności tego podmiotu;
przestrzega zbioru zasad, o którym mowa w art. 22 ust. 1, najpóźniej 18 miesięcy po dniu wejścia w życie aktów delegowanych, o których mowa w tym ustępie.
Artykuł 19
Rejestracja uznanych organizacji altruizmu danych
Do celów zapewnienia przestrzegania niniejszego rozporządzenia przedstawiciel prawny musi być upoważniony przez podmiot, by organy właściwe do spraw rejestracji organizacji altruizmu danych lub osoby, których dane dotyczą, i posiadacze danych mogli się zwracać jednocześnie do przedstawiciela prawnego i podmiotu albo do przedstawiciela prawnego zamiast do podmiotu we wszystkich kwestiach dotyczących tego podmiotu. Przedstawiciel prawny współpracuje z organami właściwymi do spraw rejestracji organizacji altruizmu danych i na żądanie szczegółowo przedstawia im działania i przepisy wprowadzone przez dany podmiot w celu zapewnienia przestrzegania niniejszego rozporządzenia.
Uznaje się, że podmiot podlega jurysdykcji tego państwa członkowskiego, w którym znajduje się jego przedstawiciel prawny. Taki podmiot może złożyć wniosek o rejestrację w publicznym krajowym rejestrze uznanych organizacji altruizmu danych w tym państwie członkowskim. Wyznaczenie przedstawiciela prawnego przez podmiot pozostaje bez uszczerbku dla działań prawnych, które mogą zostać podjęte przeciwko podmiotowi.
Wnioski o rejestrację, o których mowa w ust. 1, 2 i 3, zawierają następujące informacje:
nazwę podmiotu;
status prawny oraz formę prawną podmiotu, a w przypadku gdy podmiot jest zarejestrowany w publicznym rejestrze krajowym – jego numer rejestracyjny;
statut podmiotu, stosownie do przypadku;
źródła dochodu podmiotu;
adres głównej jednostki organizacyjnej podmiotu w Unii, jeżeli ma to zastosowanie, oraz drugorzędnego oddziału w innym państwie członkowskim, o ile takowy istnieje, lub adres przedstawiciela prawnego;
ogólnodostępną stronę internetową, na której można znaleźć kompletne i aktualne informacje o podmiocie oraz jego działalności, w tym co najmniej informacje, o których mowa w lit. a), b), d), e) i h);
osoby wyznaczone do kontaktów przez podmiot i dane kontaktowe tych osób;
cele leżące w interesie ogólnym, które podmiot zamierza wspierać przy gromadzeniu danych;
charakter danych, które podmiot zamierza kontrolować lub przetwarzać, a w przypadku danych osobowych – wskazanie ich kategorii;
wszelkie inne dokumenty, które wykazują, że wymagania art. 18 zostały spełnione.
Organ właściwy do spraw rejestracji organizacji altruizmu danych powiadamia Komisję o wszelkich rejestracjach. Komisja uwzględnia rejestrację w publicznym unijnym rejestrze uznanych organizacji altruizmu danych.
Organ właściwy do spraw rejestracji organizacji altruizmu danych niezwłocznie powiadamia Komisję o każdym takim powiadomieniu drogą elektroniczną. Na podstawie takiego powiadomienia Komisja niezwłocznie aktualizuje publiczny unijny rejestr uznanych organizacji altruizmu danych.
Artykuł 20
Wymogi dotyczące przejrzystości
Uznana organizacja altruizmu danych prowadzi pełną i dokładną dokumentację dotyczącą:
wszystkich osób fizycznych lub prawnych, które otrzymały możliwość przetwarzania danych będących w posiadaniu tej uznanej organizacji altruizmu danych, oraz ich dane kontaktowe;
daty lub czasu trwania przetwarzania danych osobowych lub wykorzystywania danych nieosobowych;
celu przetwarzania zadeklarowanego przez osobę fizyczną lub prawną, która otrzymała możliwość przetwarzania;
opłat uiszczonych przez osoby fizyczne lub prawne przetwarzające dane.
Uznana organizacja altruizmu danych sporządza i przekazuje odpowiedniemu organowi właściwemu do spraw rejestracji organizacji altruizmu danych roczne sprawozdanie z działalności, które zawiera co najmniej:
informację o działalności uznanej organizacji altruizmu danych;
opis sposobu, w jaki w ciągu danego roku obrotowego wspierano cele leżące w interesie ogólnym, dla których dane były gromadzone;
wykaz wszystkich osób fizycznych i prawnych, którym zezwolono na przetwarzanie posiadanych danych, w tym skrócony opis celów leżących w interesie ogólnym, którym służy takie przetwarzanie danych, oraz opis zastosowanych do tego celu środków technicznych, wraz z opisem technik stosowanych w celu zachowania prywatności i ochrony danych;
w stosownych przypadkach podsumowanie wyników przetwarzania danych, na które zezwoliła uznana organizacja altruizmu danych;
informacje o źródłach dochodów uznanej organizacji altruizmu danych, w szczególności o wszystkich dochodach z tytułu zezwolenia na dostęp do danych, oraz o wydatkach.
Artykuł 21
Szczególne wymogi dotyczące zabezpieczenia praw i interesów osób, których dane dotyczą, oraz posiadaczy danych w odniesieniu do ich danych
Uznana organizacja altruizmu danych informuje w jasny i łatwo zrozumiały sposób osoby, których dane dotyczą, lub posiadaczy danych, przed przetwarzaniem ich danych, o:
celach leżących w interesie ogólnym oraz, w stosownych przypadkach, o konkretnym, wyraźnym i zgodnym z prawem celu przetwarzania danych osobowych, dla których uznana organizacja altruizmu danych pozwala na przetwarzanie danych osób, których dane dotyczą, lub posiadaczy danych przez użytkowników danych;
miejscu przetwarzania oraz celach leżących w interesie ogólnym, dla których uznana organizacja altruizmu danych pozwala na przetwarzanie w państwie trzecim, jeżeli przetwarzania dokonuje uznana organizacja altruizmu danych.
Artykuł 22
Zbiór zasad
Komisja przyjmuje zgodnie z art. 32 akty delegowane w celu uzupełnienia niniejszego rozporządzenia przez ustanowienie zbioru zasad określającego:
odpowiednie wymogi informacyjne w celu zapewnienia, aby osoby, których dane dotyczą, i posiadacze danych otrzymali przed wyrażeniem zgody lub udzieleniem pozwolenia na altruizm danych wystarczająco szczegółowe, jasne i przejrzyste informacje dotyczące wykorzystywania danych, narzędzi wyrażania zgody lub udzielania pozwolenia i ich wycofywania oraz środków podejmowanych w celu uniknięcia nieprawidłowego wykorzystywania danych, którymi podzielono się z organizacją altruizmu danych;
odpowiednie wymogi techniczne i wymogi bezpieczeństwa, by zapewnić odpowiedni poziom bezpieczeństwa przy przechowywaniu i przetwarzaniu danych, a także w odniesieniu do narzędzi wyrażania zgody lub udzielania pozwolenia i ich wycofywania;
plany działania w zakresie komunikacji zakładające multidyscyplinarne podejście do budowania wśród odpowiednich interesariuszy – w szczególności posiadaczy danych i osób, których dane dotyczą, potencjalnie dzielących się swoimi danymi – świadomości na temat altruizmu danych, określania mianem „uznanej w Unii organizacji altruizmu danych” oraz na temat zbioru zasad;
zalecenia dotyczące odpowiednich standardów interoperacyjności.
Artykuł 23
Organy właściwe do spraw rejestracji organizacji altruizmu danych
Organy właściwe do spraw rejestracji organizacji altruizmu danych muszą spełniać wymogi określone w art. 26.
Artykuł 24
Monitorowanie spełniania wymogów
Jeżeli uznana organizacja altruizmu danych nie spełnia co najmniej jednego wymogu określonego w niniejszym rozdziale, nawet po otrzymaniu od organu właściwego do spraw rejestracji organizacji altruizmu danych powiadomienia zgodnie z ust. 3, ta uznana organizacja altruizmu danych:
traci prawo do posługiwania się w swojej komunikacji pisemnej i ustnej oznakowaniem „uznana w Unii organizacja altruizmu danych”;
zostaje usunięta z odpowiedniego publicznego krajowego rejestru uznanych organizacji altruizmu danych oraz z publicznego unijnego rejestru uznanych organizacji altruizmu danych.
Decyzja o pozbawieniu prawa do posługiwania się oznakowaniem „uznana w Unii organizacja altruizmu danych” podjęta na podstawie akapitu pierwszego lit. a) jest podawana do wiadomości publicznej przez organ właściwy do spraw rejestracji organizacji altruizmu danych.
W przypadku gdy organ właściwy do spraw rejestracji organizacji altruizmu danych jednego państwa członkowskiego zwraca się o pomoc do organu właściwego do spraw rejestracji organizacji altruizmu danych innego państwa członkowskiego, przedkłada przy tym uzasadniony wniosek. Organ właściwy do spraw rejestracji organizacji altruizmu danych, do którego zwrócono się z takim wnioskiem, udziela odpowiedzi bez zbędnej zwłoki i w terminie proporcjonalnym do pilności wniosku.
Wszelkie informacje wymieniane w ramach pomocy, o którą zwraca się i której udziela się na podstawie niniejszego ustępu, są wykorzystywane jedynie w odniesieniu do kwestii, w której o nie wnioskowano.
Artykuł 25
Europejski formularz zgody do celów altruizmu danych
ROZDZIAŁ V
Właściwe organy i przepisy proceduralne
Artykuł 26
Wymogi dotyczące właściwych organów
Artykuł 27
Prawo do wniesienia skargi
Organ właściwy do spraw usług pośrednictwa danych lub organ właściwy do spraw rejestracji organizacji altruizmu danych, do którego wniesiono skargę, informuje skarżącego o:
przebiegu postępowania i podjętej decyzji; oraz
środkach ochrony prawnej przed sądem określonych w art. 28.
Artykuł 28
Prawo do skutecznego środka ochrony prawnej przed sądem
ROZDZIAŁ VI
Europejska Rada ds. Innowacji w zakresie Danych
Artykuł 29
Europejska Rada ds. Innowacji w zakresie Danych
Europejska Rada ds. Innowacji w zakresie Danych składa się z co najmniej trzech podgrup:
podgrupy organów właściwych do spraw usług pośrednictwa danych i organów właściwych do spraw rejestracji organizacji altruizmu danych, z myślą o wykonywaniu zadań zgodnie z art. 30 lit. a, c), j) i k);
podgrupy ds. dyskusji technicznych dotyczących normalizacji, przenoszenia i interoperacyjności zgodnie z art. 30 lit. f) i g);
podgrupy ds. zaangażowania interesariuszy składającej się z odpowiednich przedstawicieli przemysłu, środowisk naukowych i akademickich, społeczeństwa obywatelskiego, organizacji normalizacyjnych, odpowiednich wspólnych europejskich przestrzeni danych oraz innych odpowiednich interesariuszy i osób trzecich doradzających Europejskiej Radzie ds. Innowacji w zakresie Danych w zakresie zadań zgodnie z art. 30 lit. d), e), f), g) i h).
Artykuł 30
Zadania Europejskiej Rady ds. Innowacji w zakresie Danych
Europejska Rada ds. Innowacji w zakresie Danych ma następujące zadania:
doradzanie Komisji i udzielanie jej pomocy w odniesieniu do rozwijania spójnej praktyki podmiotów sektora publicznego i właściwych podmiotów, o których mowa w art. 7 ust. 1, w zakresie rozpatrywania wniosków o ponowne wykorzystywanie kategorii danych, o których mowa w art. 3 ust. 1;
doradzanie Komisji i udzielanie jej pomocy w odniesieniu do rozwijania spójnej praktyki w zakresie altruizmu danych w całej Unii;
doradzanie Komisji i udzielanie jej pomocy w odniesieniu do rozwijania spójnej praktyki organów właściwych do spraw usług pośrednictwa danych i organów właściwych do spraw rejestracji organizacji altruizmu danych w zakresie stosowania wymogów mających zastosowanie do dostawców usług pośrednictwa danych oraz uznanych organizacji altruizmu danych;
doradzanie Komisji i udzielanie jej pomocy w odniesieniu do opracowywania spójnych wytycznych dotyczących sposobów zapewniania jak najlepszej ochrony w kontekście niniejszego rozporządzenia szczególnie chronionych danych handlowych o charakterze nieosobowym, w szczególności tajemnic handlowych, a także danych nieosobowych przedstawiających treści chronione prawami własności intelektualnej, przed niezgodnym z prawem dostępem, który może prowadzić do kradzieży własności intelektualnej lub szpiegostwa przemysłowego;
doradzanie Komisji i udzielanie jej pomocy w odniesieniu do opracowywania spójnych wytycznych dotyczących wymogów w zakresie cyberbezpieczeństwa w odniesieniu do wymiany i przechowywania danych;
doradzanie Komisji, w szczególności z uwzględnieniem wkładu organizacji normalizacyjnych, w zakresie ustalania priorytetów dotyczących norm międzysektorowych, które mają być stosowane i opracowywane do celów wykorzystywania danych i międzysektorowego dzielenia się danymi między powstającymi wspólnymi europejskimi przestrzeniami danych, międzysektorowego porównywania i wymiany najlepszych praktyk w odniesieniu do wymogów sektorowych w zakresie bezpieczeństwa oraz procedur dostępu, z uwzględnieniem specyficznych dla danego sektora działań normalizacyjnych, w szczególności w zakresie wyjaśniania i rozróżniania, które normy i praktyki są międzysektorowe, a które sektorowe;
udzielanie pomocy Komisji, w szczególności z uwzględnieniem wkładu organizacji normalizacyjnych, w rozwiązywaniu problemu fragmentacji rynku wewnętrznego i gospodarki danych na rynku wewnętrznym przez zwiększanie transgranicznej międzysektorowej interoperacyjności danych, jak również usług dzielenia się danymi między różnymi sektorami i w różnych dziedzinach, w oparciu o istniejące normy europejskie, międzynarodowe lub krajowe, między innymi w celu pobudzania tworzenia wspólnych europejskich przestrzeni danych;
proponowanie wytycznych dotyczących wspólnych europejskich przestrzeni danych, oznaczających interoperacyjne ramy wspólnych norm i praktyk, specyficzne dla danego celu lub sektora bądź międzysektorowe, służących dzieleniu się danymi lub ich wspólnemu przetwarzaniu na potrzeby między innymi opracowywania nowych produktów i usług, badań naukowych lub inicjatyw społeczeństwa obywatelskiego; przy czym takie wspólne normy i praktyki uwzględniają istniejące normy, są zgodne z regułami konkurencji i zapewniają wszystkim uczestnikom niedyskryminacyjny dostęp w celu ułatwiania dzielenia się danymi w Unii i wykorzystania potencjału istniejących i przyszłych przestrzeni danych, obejmując między innymi:
normy międzysektorowe, które mają być stosowane i opracowywane do celów wykorzystywania danych i międzysektorowego dzielenia się danymi, międzysektorowego porównywania i wymiany najlepszych praktyk w odniesieniu do sektorowych wymogów bezpieczeństwa oraz procedur dostępu, z uwzględnieniem specyficznych dla danego sektora działań normalizacyjnych, w szczególności w zakresie wyjaśniania i rozróżniania, które normy i praktyki są międzysektorowe, a które sektorowe;
wymogi związane z usuwaniem barier utrudniających wejście na rynek i z zapobieganiem efektom lock-in, aby zapewnić uczciwą konkurencję i interoperacyjność;
odpowiedni poziom ochrony zgodnego z prawem przekazywania danych do państw trzecich, w tym zabezpieczenia przed przekazywaniem zabronionym w prawie Unii;
odpowiednią i niedyskryminacyjną reprezentację odpowiednich interesariuszy w zarządzaniu wspólnymi europejskimi przestrzeniami danych;
obowiązek stosowania się do wymogów w zakresie cyberbezpieczeństwa zgodnie z prawem Unii;
ułatwianie współpracy między państwami członkowskimi w zakresie ustalenia zharmonizowanych warunków pozwalających na ponowne wykorzystywanie kategorii danych, o których mowa w art. 3 ust. 1, będących w posiadaniu podmiotów sektora publicznego na całym rynku wewnętrznym;
ułatwianie współpracy między organami właściwymi do spraw usług pośrednictwa danych i organami właściwymi do spraw rejestracji organizacji altruizmu danych, poprzez budowanie zdolności i wymianę informacji, w szczególności poprzez ustanowienie metod skutecznej wymiany informacji dotyczących procedury zgłaszania dostawców usług pośrednictwa danych oraz rejestracji i monitorowania uznanych organizacji altruizmu danych, w tym koordynacji w zakresie ustalania opłat lub kar, a także ułatwianie współpracy między organami właściwymi do spraw usług pośrednictwa danych i organami właściwymi do spraw rejestracji organizacji altruizmu danych w zakresie międzynarodowego dostępu do danych i ich przekazywania;
doradzanie Komisji i udzielanie jej pomocy w odniesieniu do dokonywania oceny odnośnie do przyjmowania aktów wykonawczych, o których mowa w art. 5 ust. 11 i 12;
doradzanie Komisji i udzielanie jej pomocy w odniesieniu do opracowywania europejskiego formularza zgody do celów altruizmu danych zgodnie z art. 25 ust. 1;
doradzanie Komisji w zakresie poprawy międzynarodowego otoczenia regulacyjnego w zakresie danych nieosobowych, z uwzględnieniem normalizacji.
ROZDZIAŁ VII
Dostęp międzynarodowy i przekazywanie międzynarodowe
Artykuł 31
Dostęp międzynarodowy i przekazywanie międzynarodowe
Przy braku umowy międzynarodowej, o której mowa w ust. 2 niniejszego artykułu, w przypadku gdy podmiot sektora publicznego, osoba fizyczna lub prawna, której przyznano prawo do ponownego wykorzystywania danych na podstawie rozdziału II, dostawca usług pośrednictwa danych lub uznana organizacja altruizmu danych jest adresatem orzeczenia lub wyroku sądu lub trybunału państwa trzeciego lub decyzji organu administracyjnego państwa trzeciego nakazującej przekazanie objętych zakresem stosowania niniejszego rozporządzenia danych nieosobowych przechowywanych na terenie Unii lub udzielenia do nich dostępu, a zastosowanie się do takiej decyzji wiązałoby się dla adresata z ryzykiem pozostawania w sprzeczności z prawem Unii lub z prawem krajowym danego państwa członkowskiego, przekazanie takich danych organowi państwa trzeciego lub udzielenie mu dostępu do takich danych może mieć miejsce wyłącznie gdy:
system państwa trzeciego wymaga, aby powody i proporcjonalność takiego orzeczenia, wyroku lub decyzji zostały określone oraz aby takie orzeczenie, wyrok lub decyzja miały szczególny charakter, na przykład poprzez ustanowienie wystarczającego związku z niektórymi osobami podejrzanymi lub naruszeniami;
uzasadniony sprzeciw adresata podlega kontroli właściwego sądu lub trybunału państwa trzeciego; oraz
właściwy sąd lub trybunał państwa trzeciego wydający orzeczenie lub wyrok lub dokonujący kontroli decyzji organu administracyjnego jest upoważniony na podstawie prawa tego państwa trzeciego do należytego uwzględnienia odpowiednich interesów prawnych dostawcy danych chronionych na podstawie prawa Unii lub prawa krajowego danego państwa członkowskiego.
ROZDZIAŁ VIII
Przekazanie uprawnień i procedura komitetowa
Artykuł 32
Wykonywanie przekazanych uprawnień
Artykuł 33
Procedura komitetowa
ROZDZIAŁ IX
Przepisy końcowe i przejściowe
Artykuł 34
Kary
Przy nakładaniu na dostawców usług pośrednictwa danych i uznane organizacje altruizmu danych kar za naruszenia przepisów niniejszego rozporządzenia, państwa członkowskie – stosownie do przypadku – uwzględniają następujące niewyczerpujące i orientacyjne kryteria:
charakter, wagę, skalę i czas trwania naruszenia;
działania podjęte przez dostawcę usług pośrednictwa danych lub uznaną organizację altruizmu danych, aby złagodzić lub naprawić szkodę spowodowaną naruszeniem;
wcześniejsze naruszenia ze strony dostawcy usług pośrednictwa danych lub uznanej organizacji altruizmu danych;
korzyści majątkowe uzyskane przez dostawcę usług pośrednictwa danych lub uznaną organizację altruizmu danych lub straty, których uniknęli, wskutek naruszenia, o ile takie korzyści lub straty można oszacować w sposób wiarygodny;
inne czynniki obciążające lub łagodzące mające zastosowanie w okolicznościach danej sprawy.
Artykuł 35
Ocena i przegląd
Do dnia 24 września 2025 r. Komisja przeprowadzi ocenę niniejszego rozporządzenia i przedłoży Parlamentowi Europejskiemu i Radzie, a także Europejskiemu Komitetowi Ekonomiczno-Społecznemu sprawozdanie na temat głównych ustaleń. W razie potrzeby sprawozdaniu towarzyszą wnioski ustawodawcze.
W sprawozdaniu ocenia się w szczególności:
stosowanie i funkcjonowanie przepisów dotyczących kar ustanowionych przez państwa członkowskie zgodnie z art. 34;
poziom przestrzegania niniejszego rozporządzenia przez przedstawicieli prawnych niemających jednostki organizacyjnej w Unii dostawców usług pośrednictwa danych lub uznanych organizacji altruizmu danych oraz poziom egzekwowania kar nałożonych na tych dostawców i te organizacje;
rodzaj organizacji altruizmu danych zarejestrowanych zgodnie z rozdziałem IV oraz przegląd celów leżących w interesie ogólnym, którym służy dzielenie się danymi, z myślą o ustanowieniu jasnych kryteriów w tym zakresie.
Państwa członkowskie przekazują Komisji informacje niezbędne do przygotowania tego sprawozdania.
Artykuł 36
Zmiana rozporządzenia (UE) 2018/1724
W tabeli w załączniku II do rozporządzenia (UE) 2018/1724 wpis „Rozpoczęcie, prowadzenie i zakończenie działalności gospodarczej” otrzymuje brzmienie:
|
Zdarzenia życiowe |
Procedury |
Oczekiwany wynik z zastrzeżeniem, w stosownych przypadkach, oceny wniosku przez właściwy organ zgodnie z prawem krajowym |
|
Rozpoczęcie, prowadzenie i zakończenie działalności gospodarczej |
Powiadomienie o działalności gospodarczej, zezwolenie na prowadzenie działalności gospodarczej, zmiana działalności gospodarczej i zakończenie takiej działalności nieobejmujące procedur dotyczących niewypłacalności lub likwidacji, z wyłączeniem procedur dotyczących początkowej rejestracji działalności gospodarczej w rejestrze przedsiębiorców oraz z wyłączeniem procedur dotyczących zakładania spółek oraz późniejszego zgłaszania składania dokumentów przez spółki, w rozumieniu art. 54 akapit drugi TFUE |
Potwierdzenie otrzymania zgłoszenia lub zmiany działalności gospodarczej, lub wniosku o zezwolenie na prowadzenie działalności gospoda |
|
Rejestracja pracodawcy (osoby fizycznej) w obowiązkowych systemach emerytalno-rentowych i ubezpieczeniowych |
Potwierdzenie rejestracji lub numer rejestracyjny ubezpieczenia społecznego |
|
|
Rejestracja pracowników w obowiązkowych systemach emerytalno-rentowych i ubezpieczeniowy |
Potwierdzenie rejestracji lub numer rejestracyjny ubezpieczenia społecznego |
|
|
Złożenie deklaracji podatkowej dotyczącej podatku od osób prawnych |
Potwierdzenie przyjęcia deklaracji podatkowej |
|
|
Zgłoszenie w systemach zabezpieczenia społecznego rozwiązania umowy z pracownikiem, z wyłączeniem procedur grupowego rozwiązywania umów z pracownikami |
Potwierdzenie otrzymania zgłoszenia |
|
|
Płatność składek na ubezpieczenia społeczne pracowników |
Pokwitowanie lub inna forma potwierdzenia płatności składek na ubezpieczenia społeczne pracowników |
|
|
Zgłoszenie dostawcy usług pośrednictwa danych |
Potwierdzenie przyjęcia zgłoszenia |
|
|
Rejestracja jako uznana w Unii organizacja altruizmu danych |
Potwierdzenie rejestracji |
Artykuł 37
Przepisy przejściowe
Podmioty świadczące w dniu 23 czerwca 2022 r. usługi pośrednictwa danych, o których mowa w art. 10, muszą spełnić obowiązki określone w rozdziale III do dnia 24 września 2025 r.
Artykuł 38
Wejście w życie i rozpoczęcie stosowania
Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Niniejsze rozporządzenie stosuje się od dnia 24 września 2023 r.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.