Kompleksowy przegląd aktu w sprawie danych, w tym jego celów i sposobu jego funkcjonowania w praktyce.
Dlaczego akt w sprawie danych?
Akt w sprawie danych jest aktem prawnym mającym na celu wzmocnienie unijnej gospodarki opartej na danych i wspieranie konkurencyjnego rynku danych poprzez zwiększenie dostępności i użyteczności danych (w szczególności danych przemysłowych), zachęcanie do innowacji opartych na danych i zwiększenie dostępności danych. Aby to osiągnąć, akt w sprawie danych zapewnia sprawiedliwy podział wartości danych między podmioty gospodarki opartej na danych. Wyjaśnia, kto może korzystać z jakich danych i na jakich warunkach. Aby uzyskać bardziej szczegółowe informacje, proszę zapoznać się z najczęściej zadawanymi pytaniami dotyczącymi aktu w sprawie danych.
W ostatnich latach nastąpił szybki wzrost dostępności produktów podłączonych do internetu („produkty podłączone”) na rynku europejskim. Produkty te, które razem tworzą sieć znaną jako internet rzeczy (IoT), znacznie zwiększają ilość danych dostępnych do ponownego wykorzystania w UE. Stanowi to ogromny potencjał w zakresie innowacji i konkurencyjności w UE.
Akt w sprawie danych daje użytkownikom produktów skomunikowanych (przedsiębiorstwom lub osobom fizycznym, które są właścicielami takich produktów, dzierżawią je lub wynajmują) większą kontrolę nad generowanymi przez nie danymi, przy jednoczesnym utrzymaniu zachęt dla tych, którzy inwestują w technologie danych. Ponadto określono w nim ogólne warunki dotyczące sytuacji, w których przedsiębiorstwo ma prawny obowiązek udostępniania danych innemu przedsiębiorstwu.
Akt w sprawie danych obejmuje również środki mające na celu zwiększenie uczciwości i konkurencji na europejskim rynku usług w chmurze, a także ochronę przedsiębiorstw przed nieuczciwymi warunkami umownymi związanymi z udostępnianiem danych narzucanymi przez silniejsze podmioty. Ustanawia również mechanizm, za pomocą którego organy sektora publicznego mogą zwracać się o dane do przedsiębiorstwa, w którym istnieje wyjątkowa potrzeba, na przykład w sytuacjach zagrożenia publicznego, oraz określa jasne zasady dotyczące sposobu składania takich wniosków. Ponadto wprowadza ona zabezpieczenia, aby uniknąć sytuacji, w której organy rządowe z państw trzecich miałyby dostęp do danych nieosobowych, jeżeli byłoby to sprzeczne z prawem UE lub prawem krajowym. Ponadto w akcie w sprawie danych określono zasadnicze wymogi dotyczące interoperacyjności w celu zapewnienia płynnego przepływu danych między sektorami a państwami członkowskimi, ułatwianego przez wspólne europejskie przestrzenie danych, a także między dostawcami usług przetwarzania danych.
Akt w sprawie danych został opublikowany w Dzienniku Urzędowym UE 22 grudnia 2023 r. i ma zastosowanie od 12 września 2025 r.
Akt w sprawie danych uzupełnia akt w sprawie zarządzania danymi, który zaczął obowiązywać we wrześniu 2023 r. Chociaż akt w sprawie zarządzania danymi zwiększa zaufanie do mechanizmów dobrowolnego udostępniania danych, akt w sprawie danych zapewnia jasność prawa w odniesieniu do dostępu do danych i ich wykorzystywania.
Wraz z innymi środkami politycznymi i możliwościami finansowania te dwa rozporządzenia przyczyniają się do ustanowienia unijnego jednolitego rynku danych. Celem jest uczynienie Europy liderem w gospodarce opartej na danych poprzez wykorzystanie potencjału stale rosnących ilości danych, w szczególności danych przemysłowych, z korzyścią dla europejskiej gospodarki i europejskiego społeczeństwa.
Poruszone kwestie
Zgodnie z przepisami ogólnymi (rozdział I), które określają zakres rozporządzenia i kluczowe pojęcia, akt w sprawie danych składa się z sześciu głównych rozdziałów:
Rozdział II dotyczący wymiany danych między przedsiębiorstwami i między przedsiębiorstwami a konsumentami w kontekście internetu rzeczy: użytkownicy obiektów internetu rzeczy mogą uzyskiwać dostęp do danych, które współgenerują dzięki korzystaniu z produktu skomunikowanego, wykorzystywać je i przenosić.
Rozdział III dotyczący wymiany danych między przedsiębiorstwami: wyjaśnia to warunki udostępniania danych, w przypadku gdy przedsiębiorstwo jest prawnie zobowiązane, w tym na mocy aktu w sprawie danych, do udostępniania danych innemu przedsiębiorstwu.
Rozdział IV dotyczący nieuczciwych warunków umownych: przepisy te chronią wszystkie przedsiębiorstwa, w szczególności MŚP, przed nałożonymi na nie nieuczciwymi warunkami umownymi.
Rozdział V dotyczący wymiany danych między przedsiębiorstwami a organami administracji: organy sektora publicznego będą mogły podejmować decyzje w większym stopniu oparte na dowodach w niektórych sytuacjach wyjątkowej potrzeby za pomocą środków dostępu do niektórych danych będących w posiadaniu sektora prywatnego.
Rozdział VI dotyczący zmiany dostawcy usług przetwarzania danych: dostawcy usług przetwarzania w chmurze i przetwarzania brzegowego muszą spełniać minimalne wymogi w celu ułatwienia interoperacyjności i umożliwienia zmiany dostawcy.
Rozdział VII dotyczący niezgodnego z prawem dostępu rządu państwa trzeciego do danych: dane nieosobowe przechowywane w UE są chronione przed niezgodnymi z prawem wnioskami rządu obcego o udzielenie dostępu.
Rozdział VIII dotyczący interoperacyjności: uczestnicy w przestrzeniach danych muszą spełniać kryteria umożliwiające przepływ danych w przestrzeniach danych i między nimi. Unijne repozytorium określi odpowiednie normy i specyfikacje dotyczące interoperacyjności chmury.
Rozdział IX dotyczący egzekwowania przepisów: Państwa członkowskie muszą wyznaczyć co najmniej jeden właściwy organ do monitorowania i egzekwowania aktu w sprawie danych. W przypadku wyznaczenia więcej niż jednego organu należy wyznaczyć „koordynatora danych”, który będzie pełnił funkcję pojedynczego punktu kontaktowego na szczeblu krajowym.
Rozdział II: Wymiana danych między przedsiębiorstwami i między przedsiębiorstwami a konsumentami w kontekście rynku IoT
Dlaczego?
Głównym celem aktu w sprawie danych jest zapewnienie sprawiedliwości w gospodarce opartej na danych i umożliwienie użytkownikom czerpania korzyści z danych, które generują, korzystając z produktów skomunikowanych, których są właścicielami, które wynajmują lub dzierżawią.
Akt w sprawie danych umożliwia użytkownikom produktów skomunikowanych (np. samochodów podłączonych do internetu, urządzeń medycznych i fitness, maszyn przemysłowych lub rolniczych) i usług powiązanych (tj. wszystkiego, co sprawiłoby, że produkt skomunikowany zachowywałby się w określony sposób, np. aplikacji do regulacji jasności świateł lub regulacji temperatury lodówki) dostęp do danych, które współtworzą, korzystając z produktów skomunikowanych / usług powiązanych.
Dostępność takich danych będzie miała znaczący wpływ na gospodarkę. Na przykład dane generowane przez produkty skomunikowane i powiązane usługi mogą być wykorzystywane do wspierania usług posprzedażnych i usług pomocniczych, a także do tworzenia całkowicie nowych usług, z korzyścią zarówno dla przedsiębiorstw, jak i konsumentów.
Przykłady produktów skomunikowanych: produkty konsumenckie (np. samochody podłączone do internetu, urządzenia monitorujące stan zdrowia, urządzenia inteligentnego domu), inne produkty (np. samoloty, roboty, maszyny przemysłowe).
Przykład usługi powiązanej: użytkownik kupuje pralkę i instaluje aplikację, która pozwala mu mierzyć wpływ cyklu prania na środowisko na podstawie danych z różnych czujników wewnątrz maszyny i odpowiednio dostosowuje cykl. Wniosek ten zostałby uznany za usługę powiązaną.
Przykłady usług posprzedażnych i usług pomocniczych: usługi naprawy i konserwacji, ubezpieczenia oparte na danych.
Rodzaje danych objętych zakresem
Rozdział II aktu w sprawie danych dotyczący wymiany danych między przedsiębiorstwami i między przedsiębiorstwami a konsumentami ma zastosowanie do wszystkich surowych i wstępnie przetworzonych danych generowanych w wyniku korzystania z produktu skomunikowanego lub powiązanej usługi, które są łatwo dostępne dla posiadacza danych (np. producenta produktu skomunikowanego / dostawcy powiązanej usługi), tj. danych, do których można łatwo uzyskać dostęp bez nieproporcjonalnego wysiłku, wykraczającego poza prostą operację. Dotyczy to zarówno danych osobowych, jak i nieosobowych, w tym odpowiednich metadanych.
Dane te obejmują dane zebrane z pojedynczego czujnika lub połączonej grupy czujników, takie jak temperatura, ciśnienie, natężenie przepływu, dźwięk, wartość pH, poziom cieczy, pozycja, przyspieszenie lub prędkość.
Wywnioskowane lub pochodne dane i treści (np. dane wysoko wzbogacone, materiały audiowizualne) nie wchodzą w zakres stosowania. Ponadto akt w sprawie danych pozostaje bez uszczerbku dla przepisów dotyczących ochrony praw własności intelektualnej.
Na przykład, jeśli użytkownik ogląda film na podłączonym telewizorze, sam film nie jest objęty zakresem, ale dane o jasności ekranu są objęte zakresem.
W praktyce
Rozdział II aktu w sprawie danych umożliwia użytkownikom (tj. każdej osobie prawnej lub fizycznej, która jest właścicielem produktu skomunikowanego, wynajmuje go lub dzierżawi) dostęp do danych, które generują w wyniku korzystania przez nich z produktu skomunikowanego lub powiązanej usługi. Jeżeli użytkownik chce udostępnić te dane innemu podmiotowi lub osobie fizycznej („osobietrzeciej”),może to zrobić bezpośrednio lub zwrócić się do posiadacza danych o udostępnienie ich wybranej przez siebie osobie trzeciej (z wyłączeniem strażników dostępu na podstawie aktu o rynkach cyfrowych). Posiadaczem danych jest zazwyczaj przedsiębiorstwo, które wytwarza produkt skomunikowany lub świadczy powiązaną usługę. Posiadacz danych musi zawrzeć z użytkownikiem umowę (np. umowę sprzedaży, umowę najmu, powiązaną umowę o świadczenie usług itp.) określającą prawa dotyczące dostępu do danych generowanych przez produkt skomunikowany lub powiązaną usługę, ich wykorzystywania i udostępniania. Należy zauważyć, że posiadacz danych nie może wykorzystywać żadnych danych nieosobowych generowanych przez produkt bez zgody użytkownika.
Tytułem przykładu i mając na uwadze, że odnośna umowa określa dokładne role:
-
Firma prowadzi buldożer: posiadaczem danych byłby zazwyczaj producent buldożerów, a użytkownikiem przedsiębiorstwo eksploatujące buldożery.
-
Jeśli ktoś kupuje lodówkę połączoną i pobiera aplikację, która pomaga mu regulować optymalną temperaturę dla zawartości lodówki, potencjalnie istniałyby dwa posiadacze danych, a mianowicie podmiot, który wprowadził lodówkę do obrotu i podmiot oferujący powiązaną usługę (aplikacja), i tylko jeden użytkownik (właściciel lodówki).
Akt w sprawie danych zawiera kilka mechanizmów ułatwiających użytkownikom korzystanie z tych przepisów: posiadacze danych muszą przekazać użytkownikowi informacje na temat rodzaju danych, które będą generować podczas korzystania z produktu skomunikowanego lub powiązanej usługi (w tym wolumenu, częstotliwości gromadzenia danych itp.); użytkownicy powinni mieć możliwość zwrócenia się o dostęp do danych w ramach prostego procesu; oraz posiadacze danych muszą udostępniać dane użytkownikom bezpłatnie.
Ograniczenia w korzystaniu z danych
Aby nie zniechęcać przedsiębiorstw do inwestowania w produkty generujące dane, uzyskanych danych nie można wykorzystać do opracowania konkurencyjnego produktu skomunikowanego. Akt w sprawie danych nie zakazuje konkurencji w zakresie usług powiązanych lub usług posprzedażnych. Ponadto akt w sprawie danych nie nakłada na posiadacza danych obowiązku udostępniania danych osobom trzecim mającym siedzibę poza UE.
Akt w sprawie danych jest w pełni zgodny z przepisami o ochronie danych, w szczególności z RODO. W przypadku gdy użytkownik nie jest podmiotem danych, którego dane są wymagane, dane osobowe mogą zostać udostępnione tylko wtedy, gdy istnieje ważna podstawa prawna (np. zgoda). Jest to ważne, ponieważ współgenerowane dane często zawierają zarówno dane osobowe, jak i nieosobowe, które mogą być trudne do oddzielenia.
Zachęca do opracowywania produktów i usług skomunikowanych w oparciu o nowe przepływy danych, co ma szczególną wartość dla mniejszych przedsiębiorstw. Ponadto mikroprzedsiębiorstwa i małe przedsiębiorstwa, jako producenci lub dostawcy powiązanych usług, nie podlegają tym samym obowiązkom co większe przedsiębiorstwa.
Aby chronić tajemnice przedsiębiorstwa bez podważania celu aktu w sprawie danych, jakim jest udostępnienie większej ilości danych, posiadacz danych i użytkownik/osoba trzecia mogą uzgodnić pewne środki służące zachowaniu poufności tajemnic przedsiębiorstwa. W przypadku nieprzestrzegania tych środków posiadacz danych może wstrzymać lub zawiesić udostępnianie danych. Posiadacz danych może odmówić udostępnienia danych tylko wtedy, gdy może wykazać, że istnieje duże prawdopodobieństwo poniesienia poważnych szkód gospodarczych w wyniku ujawnienia tajemnic przedsiębiorstwa.
Posiadacz danych i użytkownik mogą zgodzić się na ograniczenie udostępniania danych, jeżeli istnieje ryzyko, że wymogi bezpieczeństwa produktu skomunikowanego mogłyby zostać naruszone, co miałoby poważne negatywne skutki dla zdrowia, bezpieczeństwa lub ochrony osób. Wymogi takie muszą być określone w prawie Unii lub prawie krajowym.
Jeżeli posiadacz danych zawiesza, wstrzymuje lub odmawia udostępniania danych ze względu na ochronę tajemnic przedsiębiorstwa lub wymogi bezpieczeństwa, musi powiadomić o tym właściwy organ krajowy. Użytkownicy mogą zaskarżyć taką decyzję przed właściwym sądem lub trybunałem państwa członkowskiego, w drodze skargi do właściwego organu lub za zgodą posiadacza danych przed organem rozstrzygania sporów.
Rozdział III: Przepisy dotyczące obowiązkowej wymiany danych między przedsiębiorstwami
Dlaczego?
Akt w sprawie danych wprowadza przepisy dotyczące sytuacji, w których przedsiębiorstwo („posiadacz danych”) ma na mocy prawa Unii lub prawa krajowego obowiązek prawny udostępniania danych innemu przedsiębiorstwu („odbiorca danych”), w tym w kontekście danych dotyczących internetu rzeczy. W szczególności warunki udostępniania danych muszą być sprawiedliwe, rozsądne i niedyskryminacyjne.
Jako zachętę do udostępniania danych posiadacze danych, którzy są zobowiązani do udostępniania danych, mogą żądać od odbiorcy danych „rozsądnej rekompensaty”.
Rodzaje danych objętych zakresem
Rozdział III aktu w sprawie danych ma zastosowanie do wszystkich danych (zarówno osobowych, jak i nieosobowych) będących w posiadaniu przedsiębiorstwa, w tym do sytuacji objętych rozdziałem II aktu w sprawie danych.
W praktyce
Posiadacze danych mogą żądać rozsądnej rekompensaty za udostępnienie danych odbiorcy danych. Może to obejmować koszty ponoszone w związku z udostępnianiem danych, a także koszty techniczne związane z rozpowszechnianiem i przechowywaniem. Mikroprzedsiębiorstwa, MŚP i organizacje badawcze nienastawione na zysk nie mogą jednak zostać obciążone kosztami wyższymi niż koszty poniesione w związku z udostępnieniem danych.
Aby chronić posiadaczy danych, akt w sprawie danych zawiera niewyczerpujący wykaz środków mających na celu zaradzenie sytuacjom, w których osoba trzecia lub użytkownik bezprawnie uzyskali dostęp do danych lub z nich korzystali. Na przykład posiadacz danych może wymagać, aby strona naruszająca zaprzestała produkcji danego produktu lub zniszczyła dane, które uzyskała niezgodnie z prawem, lub może dochodzić odszkodowania.
Wszelkie obowiązki w zakresie udostępniania danych, które poprzedzają akt w sprawie danych, pozostają nienaruszone. Obowiązki w przyszłym prawodawstwie (sektorowym) należy dostosować do przepisów rozdziału III aktu w sprawie danych.
Rozdział IV: Nieuczciwe warunki umowne
Dlaczego?
Swoboda zawierania umów ma kluczowe znaczenie dla relacji między przedsiębiorstwami. Akt w sprawie danych ma jednak na celu ochronę wszystkich europejskich przedsiębiorstw pragnących pozyskać dane, w szczególności MŚP, przed nieuczciwymi warunkami umownymi za pomocą środków interweniowania w sytuacjach, w których na przykład jedno z przedsiębiorstw ma silniejszą pozycję negocjacyjną (np. ze względu na wielkość rynku) i nakłada niezbywalny warunek („take-it-or-leave-it”) związany z dostępem do danych i ich wykorzystywaniem.
Rodzaje danych objętych zakresem
Przepisy te obejmują wszystkie dane, zarówno osobowe, jak i nieosobowe, będące w posiadaniu podmiotu prywatnego, do których uzyskuje się dostęp i które są wykorzystywane na podstawie umowy między przedsiębiorstwami.
W praktyce
Jednostronnie nałożone warunki typu „bierz lub wypuść” mogą, w przypadku gdy odnoszą się do udostępniania danych, podlegać testowi nieuczciwego charakteru.
Akt w sprawie danych ustanawia niewyczerpujący wykaz warunków, które zawsze uznaje się za nieuczciwe (np. które wyłączałyby lub ograniczałyby odpowiedzialność strony, która jednostronnie nałożyła warunek za umyślne działania lub rażące niedbalstwo), oraz warunków, które uznaje się za nieuczciwe (np. które niewłaściwie ograniczałyby środki ochrony prawnej w przypadku niewykonania zobowiązań umownych lub odpowiedzialności w przypadku naruszenia tych zobowiązań, lub rozszerzałyby odpowiedzialność przedsiębiorstwa, na które warunek został jednostronnie nałożony). Jeżeli warunek zostanie uznany za nieuczciwy, traci on ważność – w miarę możliwości zostaje po prostu oddzielony od umowy. Jeżeli domniemywa się, że warunek jest nieuczciwy, podmiot, który go nałożył, może próbować wykazać, że warunek ten nie jest nieuczciwy.
Rozdział V: Wymiana danych między przedsiębiorstwami a organami administracji
Dlaczego?
Dane będące w posiadaniu podmiotów prywatnych mogą być niezbędne organowi sektora publicznego do wykonania zadania leżącego w interesie publicznym. Rozdział V aktu w sprawie danych umożliwia organom sektora publicznego dostęp do takich danych, pod pewnymi warunkami, w przypadku wyjątkowej potrzeby. To ostatnie odnosi się do sytuacji, która jest nieprzewidywalna i ograniczona w czasie, w której dane będące w posiadaniu podmiotu prywatnego są niezbędne do wykonania zadania leżącego w interesie publicznym, w szczególności do usprawnienia procesu decyzyjnego opartego na dowodach. Sytuacje wyjątkowej potrzeby obejmują zarówno sytuacje zagrożenia publicznego (takie jak poważne klęski żywiołowe lub katastrofy spowodowane przez człowieka, pandemie i cyberincydenty), jak i sytuacje niezwiązane z sytuacją nadzwyczajną (na przykład zagregowane i zanonimizowane dane z systemów GPS kierowców mogłyby zostać wykorzystane do optymalizacji przepływów ruchu).
Akt w sprawie danych zapewni organom publicznym dostęp do takich danych w sposób terminowy i wiarygodny, bez nakładania nadmiernych obciążeń administracyjnych na przedsiębiorstwa.
Rodzaje danych objętych zakresem
Zgodnie z rozdziałem V zakres stosowania obejmuje wszystkie dane, ze szczególnym uwzględnieniem danych nieosobowych.
W rozdziale V aktu w sprawie danych dotyczącym wymiany danych między przedsiębiorstwami a organami administracji rozróżnia się dwa scenariusze:
-
Aby zareagować na niebezpieczeństwo publiczne, organ sektora publicznego powinien zażądać danych nieosobowych. Jeśli jednak jest to niewystarczające, aby zareagować na sytuację, można zażądać danych osobowych. W miarę możliwości posiadacz danych powinien zanonimizować te dane.
-
W sytuacjach innych niż sytuacje nadzwyczajne organy sektora publicznego mogą żądać jedynie danych nieosobowych.
Kluczowe zainteresowane strony
Do podmiotów uprawnionych do żądania danych należą organy sektora publicznego państw członkowskich, a także niektóre instytucje, organy i agencje UE. Podmioty te mogą również udostępniać dane organizacjom prowadzącym i finansującym badania pod pewnymi warunkami.
W kontekście wniosków między przedsiębiorstwami a organami administracji posiadacze danych są zazwyczaj podmiotami prywatnymi, ale mogą również obejmować przedsiębiorstwa publiczne.
W praktyce
Pod pewnymi warunkami organ sektora publicznego może zobowiązać posiadacza danych do bezzwłocznego udostępnienia niektórych danych w celu zareagowania na niebezpieczeństwo publiczne. W akcie w sprawie danych zdefiniowano niebezpieczeństwo publiczne; ale jego istnienie ustala się zgodnie z procedurami lub przepisami krajowymi lub unijnymi.
W przypadku wyjątkowych potrzeb, które nie są związane z niebezpieczeństwem publicznym, organ sektora publicznego może zwrócić się o dane nieosobowe w celu wykonania określonego zadania leżącego w interesie publicznym i przewidzianego prawem, jeżeli organ sektora publicznego może udowodnić, że nie był w stanie uzyskać dostępu do danych za pomocą innych środków.
W obu przypadkach (nagłych i nienagłych) wnioski muszą być zgodne z szeregiem rygorystycznych zasad i warunków. Na przykład wnioski muszą być konkretne, przejrzyste i proporcjonalne, tajemnice przedsiębiorstwa muszą być chronione, a dane muszą zostać usunięte, gdy przestaną być potrzebne.
W poniższej tabeli podsumowano, o jakie dane przedsiębiorstwa mogą zwrócić się w tym kontekście do organu sektora publicznego.
Rekompensata za udostępnienie danych na podstawie rozdziału V aktu w sprawie danych
| Przedsiębiorstwa inne niż mikroprzedsiębiorstwa i małe przedsiębiorstwa mogą zwrócić się o: | Mikroprzedsiębiorstwa i małe przedsiębiorstwa mogą zwrócić się o: | |
| Niebezpieczeństwo publiczne | Przedsiębiorstwa mogą zwrócić się o uznanie i publiczne uznanie ich danych przez otrzymujący organ sektora publicznego. | Rozsądne wynagrodzenie nieprzekraczające poniesionych kosztów technicznych i organizacyjnych + publiczne potwierdzenie, na żądanie |
| Sytuacja niezwiązana z sytuacją nadzwyczajną | Rozsądne wynagrodzenie nieprzekraczające poniesionych kosztów technicznych i organizacyjnych (z wyjątkiem tworzenia statystyki publicznej) | Nie dotyczy (zwolnienie z obowiązku przekazywania danych) |
Aby zminimalizować obciążenie przedsiębiorstw, więcej niż jeden organ sektora publicznego nie może żądać tych samych danych więcej niż jeden raz („zasada jednorazowości”). Z tego powodu koordynator danych musi podać wszystkie wnioski do wiadomości publicznej (chyba że istnieją obawy dotyczące bezpieczeństwa).
Rozdział VI: Przełączanie między usługami przetwarzania danych
Dlaczego?
Aby zapewnić konkurencyjny rynek w UE, klienci korzystający z usług przetwarzania danych (w tym usług w chmurze i usług brzegowych) powinni mieć możliwość płynnego przejścia od jednego dostawcy do drugiego. Klienci napotykają jednak obecnie szereg przeszkód, w tym wysokie opłaty związane na przykład z wyprowadzaniem danych, długimi procedurami i brakiem interoperacyjności między dostawcami, co może prowadzić do utraty danych i aplikacji.
Akt w sprawie danych sprawi, że przełączanie będzie bezpłatne, szybkie i płynne. Przyniesie to korzyści klientom, którzy mogą swobodnie wybierać usługi najlepiej odpowiadające ich potrzebom, a także dostawcom, którzy skorzystają z większej puli klientów.
Zakres stosowania
Rozdział VI aktu w sprawie danych ma zastosowanie do dostawców usług przetwarzania danych (tj. usług cyfrowych umożliwiających wszechobecny dostęp do sieci na żądanie, takich jak sieci, serwery lub inna wirtualna lub fizyczna infrastruktura i oprogramowanie). Dane, które mają kluczowe znaczenie dla zmiany dostawcy, obejmują dane wejściowe i wyjściowe, w tym metadane, wygenerowane w wyniku korzystania przez klienta z usługi, z wyłączeniem danych chronionych prawami własności intelektualnej lub stanowiących tajemnicę przedsiębiorstwa dostawcy usług.
W praktyce
Aby przezwyciężyć brak równowagi sił między dostawcami a klientami na rynku usług w chmurze, w akcie w sprawie danych określono minimalne wymogi dotyczące treści umów w chmurze. W szczególności klienci z sektora prywatnego i publicznego skorzystają ze znacznie większej przejrzystości umów.
Akt w sprawie danych obejmuje środki mające na celu zapewnienie klientom możliwości szybkiego i sprawnego przejścia od jednego dostawcy usług przetwarzania danych („dostawca źródła”) do innego dostawcy („docelowy”) bez utraty jakichkolwiek danych ani funkcjonalności aplikacji. Na przykład dostawcy platformy i oprogramowania jako usługi muszą udostępniać otwarte interfejsy i co najmniej eksportować dane w powszechnie używanym formacie nadającym się do odczytu maszynowego. Dostawcy infrastruktury jako usługi muszą podjąć środki w celu ułatwienia, aby w przypadku gdy klient przechodzi na usługę tego samego rodzaju, uzyskał on zasadniczo porównywalne wyniki w odpowiedzi na te same dane wejściowe dotyczące cech wspólnych dla obu usług („równoważność funkcjonalna”). Jako przykład takiego środka dostawca źródła może być zmuszony do korzystania z narzędzi do przenoszenia obciążeń obliczeniowych z jednej technologii wirtualizacji do drugiej.
Wszyscy dostawcy są zobowiązani do usunięcia przeszkód, które mogą napotkać ich klienci, gdy chcą zmienić dostawcę lub korzystać z kilku usług jednocześnie.
Akt w sprawie danych całkowicie zniesie również opłaty za zmianę dostawcy, w tym opłaty za wyprowadzenie danych (tj. opłaty za tranzyt danych), od dnia 12 stycznia 2027 r. Oznacza to, że dostawcy nie będą mogli pobierać od swoich klientów opłat za operacje, które są niezbędne do ułatwienia zmiany dostawcy lub wyjścia danych. Jako środek przejściowy w ciągu pierwszych 3 lat po wejściu w życie aktu w sprawie danych (od 11 stycznia 2024 r. do 12 stycznia 2027 r.) dostawcy mogą jednak nadal pobierać od swoich klientów opłaty za koszty poniesione w związku ze zmianą dostawcy i wyprowadzaniem danych.
Rozdział VII: Bezprawny dostęp rządu państwa trzeciego
Dlaczego?
Czasami decyzja lub wyrok wydane przez państwo spoza UE („państwo trzecie”) mają na celu umożliwienie rządowi dostępu do danych nieosobowych przetwarzanych i przechowywanych w UE oraz ich przekazywania. W niektórych przypadkach udzielenie dostępu do takich danych lub ich przekazanie może być jednak w rzeczywistości niezgodne z prawem, w szczególności gdy wniosek jest sprzeczny z przepisami i gwarancjami UE dotyczącymi ochrony praw podstawowych osób fizycznych, interesów bezpieczeństwa narodowego lub szczególnie chronionych danych handlowych.
Akt w sprawie danych jest zgodny z aktem w sprawie zarządzania danymi w odniesieniu do przepisów mających na celu zapobieganie bezprawnemu dostępowi władz państw trzecich do danych nieosobowych przechowywanych w UE oraz ich przekazywaniu. Takie przepisy nie mają wpływu na regularną wymianę danych między przedsiębiorstwami. Zwiększają one przejrzystość i pewność prawa w odniesieniu do procesu i warunków, na jakich organy rządowe spoza UE mogą uzyskać dostęp do danych nieosobowych lub przekazać je organom rządowym spoza UE.
Rodzaje danych objętych zakresem
Wszelkie dane nieosobowe przechowywane w UE przez dostawcę usługi przetwarzania danych.
W praktyce
Akt w sprawie danych nie zakazuje transgranicznego przepływu danych, ale zapewnia, aby ochrona zapewniana danym w UE wiązała się z wszelkimi danymi przekazywanymi poza UE.
W tym kontekście w akcie w sprawie danych ustanowiono przepisy i zabezpieczenia dotyczące wniosków o dostęp składanych przez zagraniczny organ sektora publicznego do danych nieosobowych przechowywanych w Unii. Przepisy te nie mają wpływu na uzasadnioną współpracę międzynarodową w zakresie egzekwowania prawa.
Jeżeli nie istnieje umowa międzynarodowa regulująca dostęp rządu państwa trzeciego do danych nieosobowych znajdujących się w UE, dane te można przekazywać lub uzyskiwać do nich dostęp wyłącznie na określonych warunkach. Warunki te odnoszą się do pewnych gwarancji chroniących prawa europejskie, które muszą być spełnione przez system prawny państwa trzeciego, w tym wymogu przedstawienia powodów i oceny proporcjonalności w decyzji. Dostawca usług przetwarzania danych, którego dotyczy taka decyzja, może skontaktować się z odpowiednim organem krajowym, aby pomóc w ocenie, czy spełnione są warunki określone w akcie w sprawie danych. Aby pomóc w ocenie, czy warunki te zostały spełnione, Komisja Europejska opracuje wytyczne wraz z Europejską Radą ds. Innowacji w zakresie Danych (grupą ekspertów ustanowioną na mocy aktu w sprawie zarządzania danymi w celu ułatwienia wymiany najlepszych praktyk i priorytetowego traktowania międzysektorowych norm interoperacyjności).
Dostawcy usług przetwarzania danych powinni podjąć wszelkie uzasadnione środki (np. szyfrowanie, audyty, przestrzeganie systemów certyfikacji) w celu uniemożliwienia dostępu do systemów, w których przechowują dane nieosobowe. Środki te powinny być publikowane na ich stronach internetowych. Ponadto w miarę możliwości powinni oni informować swoich klientów przed udzieleniem dostępu do swoich danych.
Rozdział VIII: Interoperacyjność
Dlaczego?
Normy i interoperacyjność mają kluczowe znaczenie dla zapewnienia, aby dane z różnych źródeł mogły być wykorzystywane w ramach wspólnych europejskich przestrzeni danych i między nimi w celu wspierania badań naukowych i opracowywania nowych produktów lub usług. W tym celu w akcie w sprawie danych ustanowiono pewne zasadnicze wymogi, które muszą spełniać uczestnicy przestrzeni danych i które Komisja Europejska może doprecyzować w drodze aktów delegowanych.
Ma on również na celu zapewnienie interoperacyjności między usługami przetwarzania danych; ma to zasadnicze znaczenie, jeśli klienci mają skorzystać z łatwiejszej zmiany dostawcy.
Kluczowe zainteresowane strony
Niniejszy rozdział jest skierowany do uczestników przestrzeni danych, którzy oferują dane lub usługi oparte na danych innym uczestnikom i którzy ułatwiają udostępnianie danych w przestrzeni danych lub angażują się w takie udostępnianie.
Dotyczy to również dostawców inteligentnych umów, a także dostawców usług przetwarzania danych.
W praktyce
Uczestnicy przestrzeni danych powinni spełniać szereg zasadniczych wymogów, aby umożliwić przepływ danych w przestrzeni danych i między nimi. Na przykład opis struktur danych, formatów danych i słowników, o ile są dostępne, powinien być publicznie dostępny. Ponadto należy zapewnić środki zapewniające interoperacyjność umów o udostępnianiu danych, takich jak inteligentne umowy.
Akt w sprawie danych przygotowuje również grunt pod zwiększenie interoperacyjności usług przetwarzania danych dzięki zharmonizowanym normom i otwartym specyfikacjom interoperacyjności.
Ponadto określono w nim wymogi dla sprzedawców inteligentnych umów dotyczące zautomatyzowanego wykonywania umów o udostępnianiu danych, na przykład w celu zapewnienia prawidłowego wykonywania przez nich postanowień umowy o udostępnianiu danych i odporności na manipulacje ze strony osób trzecich.
Komisja oceni bariery utrudniające interoperacyjność i priorytetowo potraktuje potrzeby w zakresie normalizacji, na podstawie których może zwrócić się do europejskich organizacji normalizacyjnych o opracowanie norm zharmonizowanych zgodnych z wyżej wymienionymi wymogami.
Jeżeli wniosek nie prowadzi do opracowania normy zharmonizowanej lub jeżeli norma jest niewystarczająca do zapewnienia zgodności z aktem w sprawie danych, Komisja może przyjąć wspólne specyfikacje jako rozwiązanie awaryjne. Powinny one być opracowywane w sposób otwarty i sprzyjający włączeniu społecznemu, z uwzględnieniem informacji zwrotnych od Europejskiej Rady ds. Innowacji w zakresie Danych.
Rozdział IX: Egzekwowanie przepisów i przepisy nadrzędne
Państwa członkowskie wyznaczą co najmniej jeden (nowy lub istniejący) właściwy organ w celu zapewnienia skutecznego wdrożenia aktu w sprawie danych. W przypadku gdy istnieje wiele właściwych organów, państwa członkowskie muszą wyznaczyć jeden z nich na „koordynatora danych”. Koordynator danych będzie działał jako punkt kompleksowej obsługi we wszystkich kwestiach związanych z wdrażaniem aktu w sprawie danych na szczeblu krajowym, ułatwiając stosowanie zarówno przez przedsiębiorstwa, jak i organy publiczne. Na przykład jeżeli przedsiębiorstwo dochodzi zadośćuczynienia za naruszenie praw przysługujących mu na mocy aktu w sprawie danych, koordynator danych powinien (na żądanie) udzielić wszelkich niezbędnych informacji, aby pomóc mu w złożeniu skargi do odpowiedniego właściwego organu. Koordynator danych ułatwi również współpracę w sytuacjach transgranicznych, na przykład gdy właściwy organ z danego państwa członkowskiego nie wie, do którego organu powinien się zwrócić w państwie członkowskim koordynatora danych.
Komisja będzie prowadzić publiczny rejestr właściwych organów i koordynatorów danych.
Europejska Rada ds. Innowacji w zakresie Danych ułatwi dyskusje między właściwymi organami, na przykład w celu koordynacji i przyjęcia zaleceń dotyczących ustalania sankcji za naruszenia aktu w sprawie danych. Kary są ustalane przez właściwe organy, a zgodnie z aktem w sprawie danych powinny istnieć skuteczne, proporcjonalne i odstraszające kary.
Państwa członkowskie mogą, jeśli sobie tego życzą, ustanowić certyfikowane organy rozstrzygania sporów, aby pomóc stronom, które nie mogą uzgodnić sprawiedliwych, rozsądnych i niedyskryminacyjnych warunków udostępniania danych. Strony mogą zwrócić się do dowolnego organu rozstrzygania sporów – w państwie członkowskim, w którym mają siedzibę, albo w innym.
Certyfikowane mechanizmy rozstrzygania sporów i wyspecjalizowane właściwe organy ułatwią przedsiębiorstwom, w szczególności małym przedsiębiorstwom, egzekwowanie ich praw wynikających z aktu w sprawie danych, ponieważ oferują one zainteresowanym stronom proste, szybkie i tanie rozwiązanie.
Wspieranie wdrażania aktu w sprawie danych
Akt w sprawie danych ma zastosowanie od dnia 12 września 2025 r. Aby ułatwić przedsiębiorstwom poruszanie się po nowych przepisach, Komisja opublikowała:
- Najczęściej zadawane pytania (FAQ) dotyczące aktu w sprawie danych
- Projekt zalecenia w sprawie niewiążących modelowych warunków umownych dotyczących dostępu do danych i ich wykorzystywania oraz niewiążących standardowych klauzul umownych dotyczących umów w chmurze obliczeniowej
- Wytyczne dotyczące danych o pojazdach, towarzyszące aktowi w sprawie danych
W przyszłości Komisja opublikuje wytyczne dotyczące rozsądnej rekompensaty za obowiązkową wymianę danych między przedsiębiorstwami w kontekście rozdziału III aktu w sprawie danych.
Opierając się na już opublikowanych materiałach zawierających wytyczne, uruchomiony punkt pomocy prawnej ds. aktu w sprawie danych oferuje zainteresowanym stronom konkretne wytyczne dotyczące kwestii prawnych związanych z aktem w sprawie danych.
W cyfrowym zbiorczym akcie prawnym Komisja proponuje konkretne zmiany w akcie w sprawie danych, aby przynieść natychmiastową ulgę zarówno przedsiębiorstwom, administracjom publicznym, jak i obywatelom, a także pobudzić konkurencyjność.
W ciągu trzech lat od rozpoczęcia jego stosowania Komisja przeprowadzi ocenę skutków aktu w sprawie danych. Na tej podstawie, w razie potrzeby, Komisja może zaproponować zmianę ustawy.
Nota prawna
Niniejszego dokumentu nie należy uznawać za reprezentatywny dla oficjalnego stanowiska Komisji Europejskiej.