Digital Governance Act 2022/0868 PL

1)	„ dane” oznaczają cyfrowe odwzorowania działań, faktów lub informacji oraz wszelkie kompilacje takich działań, faktów lub informacji, w tym w formie zapisu dźwiękowego, wizualnego lub audiowizualnego;

„ ponowne_wykorzystywanie” oznacza wykorzystywanie przez osoby fizyczne lub prawne danych będących w posiadaniu podmiotów sektora publicznego, do celów komercyjnych lub niekomercyjnych innych niż ich pierwotne przeznaczenie w ramach zadań publicznych, dla którego to celu dane te zostały wytworzone, z wyjątkiem wymiany danych między podmiotami sektora publicznego służącej wyłącznie wykonywaniu zadań publicznych;

3)	„ dane osobowe” oznaczają dane osobowe zgodnie z definicją w art. 4 pkt 1 rozporządzenia (UE) 2016/679;

4)	„ dane nieosobowe” oznaczają dane inne niż dane osobowe;

5)	„ zgoda” oznacza zgodę zgodnie z definicją w art. 4 pkt 11 rozporządzenia (UE) 2016/679;

6)	„ pozwolenie” oznacza przyznanie użytkownikom danych prawa do przetwarzania danych nieosobowych;

7)	„osoba, której dane dotyczą” oznacza osobę, której dane dotyczą, o której mowa w art. 4 pkt 1 rozporządzenia (UE) 2016/679;

„ posiadacz_danych” oznacza osobę prawną, w tym podmiot_sektora_publicznego lub organizację międzynarodową, lub osobę fizyczną niebędącą w odniesieniu do przedmiotowych konkretnych danych osobą, której dane dotyczą, która ma – zgodnie z mającym zastosowanie prawem Unii lub prawem krajowym – prawo do udzielania dostępu do niektórych danych osobowych lub danych nieosobowych lub do dzielenia się nimi;

„ użytkownik_danych” oznacza osobę fizyczną lub osobę prawną, która ma zgodny z prawem dostęp do niektórych danych osobowych lub nieosobowych i prawo, w tym – w przypadku danych osobowych – na podstawie rozporządzenia (UE) 2016/679, do wykorzystywania tych danych w celach komercyjnych lub niekomercyjnych;

10)

„ dzielenie_się_danymi” oznacza dostarczanie danych przez osobę, której dane dotyczą, lub przez posiadacza danych użytkownikowi danych do celów wspólnego lub indywidualnego wykorzystywania takich danych w oparciu o dobrowolne umowy lub na podstawie prawa Unii lub prawa krajowego, bezpośrednio lub z udziałem pośrednika, na przykład w ramach licencji otwartych lub handlowych, bezpłatnie lub za opłatą;

11)

„ usługa_pośrednictwa_danych” oznacza usługę, która ma na celu ustanowienie – za pomocą środków technicznych, prawnych lub innych – stosunków handlowych między – z jednej strony – nieokreśloną liczbą osób, których dane dotyczą, i posiadaczy danych oraz – z drugiej strony – użytkownikami danych do celów dzielenia się danymi, w tym do celów wykonywania praw osób, których dane dotyczą, w odniesieniu do danych osobowych, z wyłączeniem co najmniej:

usług, w ramach których dane są pozyskiwane od posiadaczy danych i agregowane, wzbogacane lub przekształcane w celu dodania im znaczącej wartości, a następnie użytkownikom danych udzielana jest licencja na wykorzystanie uzyskanych w ten sposób danych bez ustanawiania stosunku handlowego między nimi a posiadaczami danych;

b)	usług skoncentrowanych na pośrednictwie treści chronionych prawem autorskim;

usług, z których korzysta wyłącznie jeden posiadacz_danych w celu umożliwienia wykorzystywania danych będących w jego posiadaniu, lub usługi, z których korzysta wiele osób prawnych w zamkniętej grupie, w tym w ramach stosunków z dostawcami lub klientami lub współpracy nawiązanej na podstawie umowy, w szczególności usług, których głównym celem jest zapewnienie funkcjonalności przedmiotów i urządzeń podłączonych do internetu rzeczy;

d)	usług dzielenia się danymi oferowanych przez podmioty sektora publicznego, które to usługi nie mają na celu ustanowienia stosunków handlowych;

12)	„ przetwarzanie” oznacza przetwarzanie zgodnie z definicją w art. 4 pkt 2 rozporządzenia (UE) 2016/679 w odniesieniu do danych osobowych lub zgodnie z definicją w art. 3 ust. 2 rozporządzenia (UE) 2018/1807 w odniesieniu do danych nieosobowych;

13)	„ dostęp” oznacza wykorzystywanie danych zgodnie ze szczegółowymi wymogami technicznymi, prawnymi lub organizacyjnymi, które niekoniecznie musi się wiązać z przesyłaniem lub pobieraniem danych;

14)	„ główna_jednostka_organizacyjna” osoby prawnej oznacza miejsce, w którym znajduje się jej centralna administracja w Unii;

15)

„ usługi_świadczone_przez_spółdzielnie_danych” oznaczają usługi pośrednictwa danych oferowane przez strukturę organizacyjną utworzoną przez osoby, których dane dotyczą, przedsiębiorstwa jednoosobowe lub MŚP będące członkami tej struktury, mającą za główne cele wspieranie swoich członków w wykonywaniu ich praw w odniesieniu do niektórych danych, w tym w odniesieniu do dokonywania świadomego wyboru przed wyrażeniem przez nich zgody na przetwarzanie danych, wymienianie poglądów na temat celów przetwarzania danych i warunków, które najlepiej będą odzwierciedlać interesy jej członków w odniesieniu do ich danych, oraz negocjowanie w imieniu jej członków warunków i zasad przetwarzania danych przed udzieleniem pozwolenia na przetwarzanie danych nieosobowych lub przed wyrażeniem zgody na przetwarzanie danych osobowych;

16)

„ altruizm_danych” oznacza dobrowolne dzielenie_się_danymi na podstawie wyrażonej przez osoby, których dane dotyczą, zgody na przetwarzanie dotyczących ich danych osobowych lub na podstawie udzielonego przez posiadaczy danych pozwolenia na wykorzystywanie ich danych nieosobowych, bez żądania ani otrzymania za to wynagrodzenia wykraczającego poza zwrot kosztów poniesionych przez te osoby lub posiadaczy w związku z u dostępnieniem ich danych do celów leżących w interesie ogólnym określonych – w stosownych przypadkach – w prawie krajowym, takich jak opieka zdrowotna, zwalczanie zmiany klimatu, poprawa mobilności, ułatwianie opracowywania, tworzenia i rozpowszechniania statystyk urzędowych, poprawa świadczenia usług publicznych, kształtowanie polityki publicznej lub do celów badań naukowych leżących w interesie ogólnym;

17)	„ podmiot_sektora_publicznego” oznacza państwo, organy regionalne lub lokalne, podmioty prawa publicznego lub stowarzyszenia złożone z co najmniej jednego takiego organu lub z co najmniej jednego takiego podmiotu prawa publicznego;

18)

„ podmiot_prawa_publicznego” oznacza podmiot, który posiada poniższe cechy:

a)	został utworzony w konkretnym celu zaspokajania potrzeb w interesie ogólnym i nie ma charakteru przemysłowego ani komercyjnego;

b)	posiada osobowość prawną;

jest finansowany w przeważającej części przez państwo, orany regionalne lub lokalne lub inne podmioty prawa publicznego, jego zarząd podlega nadzorowi ze strony tych organów lub podmiotów, albo ponad połowa członków jego organu administrującego, zarządzającego lub nadzorczego została wyznaczona przez państwo, organy regionalne lub lokalne, lub przez inne podmioty prawa publicznego;

19)

„ przedsiębiorstwo_publiczne” oznacza przedsiębiorstwo, na które podmioty sektora publicznego mogą wywierać, bezpośrednio lub pośrednio, dominujący wpływ z racji bycia jego właścicielem, posiadania w nim udziału finansowego lub na podstawie przepisów, które regulują działalność tego przedsiębiorstwa; do celów niniejszej definicji zakłada się istnienie dominującego wpływu ze strony podmiotów sektora publicznego w dowolnym z poniższych przypadków, gdy podmioty te bezpośrednio lub pośrednio:

a)	posiadają większość subskrybowanego kapitału przedsiębiorstwa;

b)	kontrolują większość głosów przypadających na akcje wyemitowane przez przedsiębiorstwo;

c)	mogą powoływać ponad połowę członków organu administrującego, zarządzającego lub nadzorczego przedsiębiorstwa;

20)

„ bezpieczne_środowisko_przetwarzania” oznacza środowisko fizyczne lub wirtualne oraz środki organizacyjne służące zapewnieniu przestrzegania prawa Unii, takiego jak rozporządzenie (UE) 2016/679, w szczególności pod względem praw osób, których dane dotyczą, praw własności intelektualnej oraz poufności informacji handlowych i statystycznych, integralności i dostępności, jak również mającego zastosowanie prawa krajowego oraz umożliwiające podmiotowi zapewniającemu bezpieczne_środowisko_przetwarzania określenie i nadzorowanie wszystkich działań związanych z przetwarzaniem danych, w tym wyświetlania, przechowywania, pobierania i eksportowania danych oraz obliczania danych pochodnych za pomocą algorytmów obliczeniowych;

21)

„ przedstawiciel_prawny” oznacza osobę fizyczną lub prawną mającą miejsce zamieszkania lub siedzibę w Unii, wyznaczoną w wyraźny sposób do działania w imieniu niemających jednostki organizacyjnej w Unii dostawcy usług pośrednictwa danych lub podmiotu gromadzącego dane u dostępniane do celów leżących w interesie ogólnym i na zasadzie altruizmu danych przez osoby fizyczne lub prawne; organy właściwe do spraw usług pośrednictwa danych i organy właściwe do spraw rejestracji organizacji altruizmu danych mogą się zwracać jednocześnie do tej osoby oraz dostawcy usług pośrednictwa danych lub podmiotu albo do tej osoby zamiast do dostawcy usług pośrednictwa danych lub podmiotu w związku z obowiązkami ustanowionymi na podstawie niniejszego rozporządzenia, w tym w związku ze wszczęciem postępowania egzekucyjnego przeciwko niespełniającym wymogów dostawcy usług pośrednictwa danych lub podmiotowi niemającym jednostki organizacyjnej w Unii.

ROZDZIAŁ II

Ponowne wykorzystywanie niektórych kategorii chronionych danych będących w posiadaniu podmiotów sektora publicznego

Artykuł 3

Kategorie danych

1. Niniejszy rozdział stosuje się do danych będących w posiadaniu podmiotów sektora publicznego, które są chronione ze względu na:

a)	poufność informacji handlowych, w tym tajemnicę handlową, zawodową i tajemnicę przedsiębiorstwa;

b)	poufność informacji statystycznych;

c)	ochronę praw własności intelektualnej osób trzecich; lub

d)	ochronę danych osobowych w zakresie, w jakim dane te wykraczają poza zakres stosowania dyrektywy (UE) 2019/1024.

2. Niniejszego rozdziału nie stosuje się do:

a)	danych będących w posiadaniu przedsiębiorstw publicznych;

b)	danych będących w posiadaniu publicznych nadawców radiowych i telewizyjnych oraz ich jednostek zależnych, a także innych podmiotów lub ich jednostek zależnych realizujących misję nadawców publicznych;

c)	danych będących w posiadaniu instytucji kulturalnych i placówek edukacyjnych;

d)	danych będących w posiadaniu podmiotów sektora publicznego, które są chronione ze względów bezpieczeństwa publicznego, obronności lub bezpieczeństwa narodowego; lub

danych, których dostarczanie jest działalnością wykraczającą poza zakres zadań publicznych zainteresowanych podmiotów sektora publicznego określonych przepisami ustawowymi lub innymi wiążącymi przepisami w danym państwie członkowskim lub, w przypadku braku takich przepisów, określonych zgodnie z powszechną praktyką administracyjną w tym państwie członkowskim, o ile zakres zadań publicznych jest przejrzysty i podlega przeglądowi.

3. Niniejszy rozdział pozostaje bez uszczerbku dla:

a)	przepisów prawa Unii i prawa krajowego oraz postanowień umów międzynarodowych, których Unia lub państwa członkowskie są stronami, dotyczących ochrony kategorii danych, o których mowa w ust. 1; oraz

b)	przepisów prawa Unii i prawa krajowego dotyczących dostępu do dokumentów.

Artykuł 4

Zakaz uzgodnień dotyczących wyłączności

1. Nie jest dozwolone zawieranie umów lub stosowanie innych praktyk odnoszących się do ponownego wykorzystywania danych będących w posiadaniu podmiotów sektora publicznego, zawierających kategorie danych określone w art. 3 ust. 1, w ramach których przyznaje się prawa wyłączne lub których celem lub skutkiem jest przyznanie takich praw wyłącznych lub ograniczenie dostępności danych na potrzeby ponownego wykorzystywania przez podmioty niebędące stronami takich umów lub niestosujące innych tego typu praktyk.

2. Na zasadzie odstępstwa od ust. 1, prawo wyłączne do ponownego wykorzystywania danych, o którym mowa w tym ustępie, może zostać przyznane w zakresie niezbędnym do świadczenia usługi lub dostarczania produktu w interesie ogólnym, które w przeciwnym razie nie byłyby możliwe.

3. Prawo wyłączne, o którym mowa w ust. 2, jest przyznawane w drodze aktu administracyjnego lub uzgodnienia umownego zgodnie z mającym zastosowanie prawem Unii lub prawem krajowym oraz zgodnie z zasadami przejrzystości, równego traktowania i niedyskryminacji.

4. Prawo wyłączne do ponownego wykorzystywania danych nie może zostać przyznane na okres dłuższy niż 12 miesięcy. W przypadku zawarcia umowy okres obowiązywania zawartej umowy musi być taki sam jak okres, na który przyznano prawo wyłączne.

5. Przyznanie prawa wyłącznego zgodnie z ust. 2, 3 i 4, w tym uzasadnienie konieczności przyznania takiego prawa, musi być przejrzyste i po dane do wiadomości publicznej w internecie, w formie zgodnej z odpowiednim prawem Unii dotyczącym zamówień publicznych.

6. Umowy lub inne praktyki objęte zakresem stosowania zakazu, o którym mowa w ust. 1, niespełniające warunków ustanowionych w ust. 2 i 3, a które zostały zawarte przed dniem 23 czerwca 2022 r. ulegają rozwiązaniu wraz z końcem okresu obowiązywania danej umowy, a w każdym razie do dnia 24 grudnia 2024 r.

Artykuł 7

Właściwe podmioty

1. Na potrzeby wykonywania zadań, o których mowa w niniejszym artykule, każde państwo członkowskie wyznacza co najmniej jeden właściwy podmiot, którym może być podmiot właściwy w zakresie szczególnych sektorów, w celu udzielania pomocy podmiotom sektora publicznego udzielającym dostępu lub odmawiającym udzielenia dostępu do celów ponownego wykorzystywania kategorii danych, o których mowa w art. 3 ust. 1. Państwa członkowskie mogą ustanowić jeden nowy właściwy podmiot lub większą ich liczbę albo opierać się na istniejących podmiotach sektora publicznego lub na wewnętrznych służbach podmiotów sektora publicznego spełniających warunki określone w niniejszym rozporządzeniu.

2. Właściwe podmioty mogą zostać upoważnione do udzielania dostępu do celów ponownego wykorzystywania kategorii danych, o których mowa w art. 3 ust. 1, zgodnie z prawem Unii lub prawem krajowym, w którym przewidziano udzielenie takiego dostępu. W przypadku gdy takie właściwe podmioty udzielają lub odmawiają udzielenia dostępu do celów ponownego wykorzystywania, stosuje się do nich art. 4, 5, 6 i 9.

3. Właściwym podmiotom należy zapewnić odpowiednie zasoby prawne, finansowe, techniczne i ludzkie do wykonywania powierzonych im zadań, w tym niezbędną wiedzę techniczną, aby były w stanie przestrzegać odpowiednich przepisów prawa Unii lub prawa krajowego dotyczących systemów dostępu do kategorii danych, o których mowa w art. 3 ust. 1.

4. Pomoc, o której mowa w ust. 1, obejmuje, w razie potrzeby:

a)	zapewnienie wsparcia technicznego poprzez u dostępnienie bezpiecznego środowiska przetwarzania na potrzeby zapewnienia dostępu do celów ponownego wykorzystywania danych;

b)	udzielenie wskazówek i zapewnianie wsparcia technicznego w zakresie jak najlepszego ustrukturyzowania danych i ich przechowywania, tak by były one łatwo dostępne;

zapewnienie wsparcia technicznego w zakresie pseudonimizacji oraz zapewnienie przetwarzania danych w sposób skutecznie chroniący prywatność, poufność, integralność i dostępność informacji zawartych w danych, na których ponowne_wykorzystywanie zezwolono, w tym technik anonimizacji, uogólnienia, ukrywania i randomizacji danych osobowych lub innych najnowocześniejszych metod zachowania prywatności, oraz usuwania poufnych informacji handlowych, w tym tajemnic przedsiębiorstwa lub treści chronionych prawami własności intelektualnej;

udzielanie pomocy, w stosownych przypadkach, podmiotom sektora publicznego w zapewnianiu wsparcia ponownym użytkownikom w występowaniu do osób, których dane dotyczą, o zgodę na ponowne_wykorzystywanie danych oraz do posiadaczy danych – o pozwolenie, zgodnie z ich konkretnymi decyzjami, w tym odnośnie do jurysdykcji, w której ma się odbywać przetwarzanie danych, oraz – w sytuacji, gdy jest to wykonalne w praktyce – udzielanie pomocy podmiotom sektora publicznego w ustanawianiu mechanizmów technicznych umożliwiających przekazywanie wniosków ponownych użytkowników o wyrażenie zgody lub udzielenie pozwolenia.

e)	udzielenie pomocy podmiotom sektora publicznego w zakresie oceny adekwatności zobowiązań umownych zaciągniętych przez ponownego użytkownika zgodnie z art. 5 ust. 10.

5. Każde państwo członkowskie powiadamia Komisję o danych identyfikacyjnych właściwych podmiotów wyznaczonych na podstawie ust. 1 do dnia 24 września 2023 r. Każde państwo członkowskie powiadamia również Komisję o wszelkich późniejszych zmianach danych identyfikacyjnych tych właściwych podmiotów.

Artykuł 10

Usługi pośrednictwa danych

Świadczenie następujących usług pośrednictwa danych musi być zgodne z art. 12 i podlega procedurze zgłaszania:

usługi pośrednictwa między posiadaczami danych a potencjalnymi użytkownikami danych, w tym u dostępnianie środków technicznych lub innych umożliwiających świadczenie takich usług; usługi te mogą obejmować dwustronną lub wielostronną wymianę danych lub tworzenie platform lub baz danych umożliwiających wymianę lub wspólne wykorzystywanie danych, jak również tworzenie innej specjalnej infrastruktury do stworzenia powiązań między posiadaczami danych a użytkownikami danych;

usługi pośrednictwa między osobami, których dane dotyczą, zamierzającymi u dostępnić swoje dane osobowe lub osobami fizycznymi zamierzającymi u dostępnić dane nieosobowe a potencjalnymi użytkownikami danych, w tym u dostępnianie środków technicznych lub innych umożliwiających świadczenie takich usług, w szczególności umożliwiających wykonywanie ustanowionych w rozporządzeniu (UE) 2016/679 praw osób, których dane dotyczą;

c)	usługi_świadczone_przez_spółdzielnie_danych.

Artykuł 12

Warunki świadczenia usług pośrednictwa danych

Świadczenie usług pośrednictwa danych, o których mowa w art. 10, podlega następującym warunkom:

a)	dostawca usług pośrednictwa danych nie może wykorzystywać danych będących przedmiotem świadczonych przez niego usług pośrednictwa danych do celów innych niż oddanie ich do dyspozycji użytkownikom danych, a usługi pośrednictwa danych świadczy poprzez odrębną osobę prawną;

warunki handlowe, w tym ceny, świadczenia usług pośrednictwa danych posiadaczowi danych lub użytkownikowi danych nie mogą być uzależnione od tego, czy posiadacz_danych lub użytkownik_danych korzysta z innych usług świadczonych przez tego samego dostawcę usług pośrednictwa danych powiązany podmiot, ani od tego w jakim zakresie posiadacz_danych lub użytkownik_danych korzysta z takich innych usług;

dane zebrane w odniesieniu do działalności osoby fizycznej lub prawnej w celu świadczenia usługi pośrednictwa danych, w tym dane dotyczące daty, godziny i geolokalizacji, czasu trwania działalności oraz połączeń ustanowionych przez osobę korzystającą z usługi pośrednictwa danych z innymi osobami fizycznymi lub prawnymi, mogą być wykorzystywane wyłącznie do celów rozwoju tej usługi pośrednictwa danych, co może obejmować wykorzystywanie danych do wykrywania oszustw lub na potrzeby cyberbezpieczeństwa; u dostępnia się je na żądanie posiadaczom danych;

dostawca usług pośrednictwa danych ułatwia wymianę danych w formacie, w jakim otrzymuje je od osoby, której dane dotyczą, lub od posiadacza danych, konwertuje te dane do określonych formatów wyłącznie w celu zwiększenia interoperacyjności w obrębie sektorów i między sektorami lub na wniosek użytkownika danych lub w przypadku, gdy jest to wymagane przez prawo Unii, lub w celu zapewnienia harmonizacji z międzynarodowymi lub europejskimi standardami danych oraz oferuje osobom, których dane dotyczą, lub posiadaczom danych możliwość rezygnacji z tych konwersji, chyba że taka konwersja jest wymagana przez prawo Unii;

usługi pośrednictwa danych mogą obejmować oferowanie posiadaczom danych lub osobom, których dane dotyczą, dodatkowych specjalnych narzędzi i usług ułatwiających wymianę danych, takich jak tymczasowe przechowywanie, kuratorstwo, konwersja, anonimizacja i pseudonimizacja; przy czym z tych narzędzi korzysta się wyłącznie na wyraźny wniosek lub za zgodą posiadacza danych lub osoby, której dane dotyczą, a narzędzia osób trzecich oferowane w tym kontekście nie mogą wykorzystywać danych do innych celów;

f)	dostawca usług pośrednictwa danych zapewnia, aby procedura dostępu do usługi była sprawiedliwa, przejrzysta i niedyskryminująca zarówno dla osób, których dane dotyczą, jak i posiadaczy danych, a także użytkowników danych, w tym w odniesieniu do cen i warunków świadczenia usługi;

g)	dostawca usług pośrednictwa danych wprowadza procedury mające na celu zapobieganie praktykom stanowiącym oszustwo lub nadużycie w odniesieniu do podmiotów ubiegających się o dostęp za pośrednictwem jego usług pośrednictwa danych;

dostawca usług pośrednictwa danych zapewnia w przypadku niewypłacalności odpowiednią ciągłość świadczenia swoich usług pośrednictwa danych, a w przypadku gdy takie usługi pośrednictwa danych zapewniają przechowywanie danych, wprowadza mechanizmy umożliwiające posiadaczom danych i użytkownikom danych uzyskanie dostępu do ich danych, ich przekazywanie lub pobieranie, zaś w przypadku świadczenia takich usług pośrednictwa danych między osobami, których dane dotyczą, a użytkownikami danych umożliwiające osobom, których dane dotyczą, wykonywanie przysługujących im praw;

i)	dostawca usług pośrednictwa danych podejmuje odpowiednie środki w celu zapewnienia interoperacyjności z innymi usługami pośrednictwa danych, między innymi za pomocą standardów otwartych, które są powszechnie stosowane w sektorze działalności danego dostawcy usług pośrednictwa danych;

j)	dostawca usług pośrednictwa danych wprowadza odpowiednie środki techniczne, prawne i organizacyjne w celu zapobiegania niezgodnemu z prawem Unii lub z prawem krajowym danego państwa członkowskiego przekazywaniu danych nieosobowych lub dostępowi do tych danych;

k)	dostawca usług pośrednictwa danych informuje niezwłocznie posiadaczy danych w przypadku gdy nastąpiły niedozwolone przekazanie, dostęp lub wykorzystanie danych nieosobowych, którymi się podzielił;

dostawca usług pośrednictwa danych podejmuje niezbędne środki w celu zapewnienia odpowiedniego poziomu bezpieczeństwa w zakresie przechowywania, przetwarzania i przesyłania danych nieosobowych; dostawca usług pośrednictwa danych zapewnia również najwyższy poziom bezpieczeństwa przy przechowywaniu i przesyłaniu istotnych dla konkurencji szczególnie chronionych informacji;

dostawca usług pośrednictwa danych oferujący usługi osobom, których dane dotyczą, działa w najlepszym interesie tych osób w przypadku gdy ułatwia wykonywanie przysługujących im praw, w szczególności zapewniając – zanim osoby, których dane dotyczą, wyrażą zgodę – informacje oraz, w stosownych przypadkach, doradztwo w zwięzły, przejrzysty, zrozumiały i łatwo dostępny sposób co do zamierzonego wykorzystywania danych przez użytkowników danych oraz co do standardowych warunków związanych z takim wykorzystywaniem;

w przypadku gdy dostawca usług pośrednictwa danych zapewnia narzędzia umożliwiające uzyskanie zgody od osób, których dane dotyczą, lub pozwoleń na przetwarzanie danych u dostępnionych przez posiadaczy danych, określa on – w stosownych przypadkach – jurysdykcję państwa trzeciego, w których ma odbywać się wykorzystywanie danych, oraz dostarcza osobom, których dane dotyczą, narzędzia umożliwiające zarówno wyrażenie, jak i wycofanie zgody, a posiadaczom danych – narzędzia umożliwiające zarówno udzielenie, jak i wycofanie pozwolenia na przetwarzanie danych;

o)	dostawca usług pośrednictwa danych prowadzi rejestr zdarzeń dotyczących działalności w zakresie pośrednictwa danych.

Artykuł 13

Organy właściwe do spraw usług pośrednictwa danych

1. Każde państwo członkowskie wyznacza co najmniej jeden organ właściwy do wykonywania zadań związanych z procedurą zgłaszania dotyczącą usług pośrednictwa danych i powiadamia Komisję o danych identyfikacyjnych tych właściwych organów do dnia 24 września 2023 r. Każde państwo członkowskie powiadamia również Komisję o wszelkich późniejszych zmianach danych identyfikacyjnych tych właściwych organów.

2. Organy właściwe do spraw usług pośrednictwa danych muszą spełniać wymogi określone art. 26.

3. Uprawnienia organów właściwych do spraw usług pośrednictwa danych nie naruszają uprawnień organów ochrony danych, krajowych organów ochrony konkurencji, organów odpowiedzialnych za cyberbezpieczeństwo oraz innych odpowiednich organów sektorowych. Zgodnie z zakresem właściwości każdego z nich na podstawie prawa Unii i prawa krajowego organy te ustanawiają ścisłą współpracę i wymieniają się informacjami, które są niezbędne do wykonywania ich zadań w odniesieniu do dostawców usług pośrednictwa danych, oraz dbają o spójność w zakresie decyzji podejmowanych w związku ze stosowaniem niniejszego rozporządzenia.

Artykuł 14

Monitorowanie spełniania wymogów

1. Organy właściwe do spraw usług pośrednictwa danych monitorują i nadzorują spełnianie przez dostawców usług pośrednictwa danych wymogów niniejszego rozdziału. Organy właściwe do spraw usług pośrednictwa danych mogą również monitorować i nadzorować spełnianie tych wymogów przez dostawców usług pośrednictwa danych na podstawie wniosków osób fizycznych lub prawnych.

2. Organy właściwe do spraw usług pośrednictwa danych są uprawnione do zwracania się do dostawców usług pośrednictwa danych lub ich przedstawicieli prawnych z wnioskiem o wszelkie informacje niezbędne do zweryfikowania spełniania wymogów określonych w niniejszym rozdziale. Każdy wniosek o informacje musi być proporcjonalny do wykonywanego zadania i musi być uzasadniony.

3. W przypadku ustalenia przez organ właściwy do spraw usług pośrednictwa danych, że dostawca usług pośrednictwa danych nie spełnia co najmniej jednego wymogu określonego w niniejszym rozdziale, organ ten powiadamia dostawcę usług pośrednictwa danych o swoich ustaleniach i daje mu możliwość przedstawienia swojego stanowiska w terminie 30 dni od dnia otrzymania powiadomienia.

4. Organ właściwy do spraw usług pośrednictwa danych jest uprawniony do żądania zaprzestania naruszeń, o których mowa w ust. 3, w rozsądnym terminie lub – w przypadku poważnego naruszenia – niezwłocznie, a także przyjmuje odpowiednie i proporcjonalne środki służące spełnianiu wymogów. W związku z tym organy właściwe do spraw usług pośrednictwa danych są w stosownych przypadkach uprawnione do:

a)	nakładania, w drodze procedur administracyjnych, odstraszających kar pieniężnych, które mogą obejmować kary okresowe i kary z mocą wsteczną, lub wszczynania postępowań sądowych w celu nałożenia grzywien;

b)	żądania przesunięcia rozpoczęcia lub zawieszenia świadczenia usługi pośrednictwa danych do czasu wprowadzenia zmian w warunkach, zgodnie z żądaniem organu właściwego do spraw usług pośrednictwa danych; lub

c)	żądania zaprzestania świadczenia usługi pośrednictwa danych w przypadku gdy poważne lub powtarzające się naruszenia nie zostały usunięte pomimo uprzedniego powiadomienia zgodnie z ust. 3.

Organ właściwy do spraw usług pośrednictwa danych zwraca się do Komisji o usunięcie dostawcy usług pośrednictwa danych z rejestru dostawców usług pośrednictwa danych po nakazaniu zaprzestania świadczenia usługi pośrednictwa danych zgodnie z akapitem pierwszym lit. c).

Jeżeli dostawca usług pośrednictwa danych usunie naruszenia, dokonuje do organu właściwego do spraw usług pośrednictwa danych ponownego zgłoszenia. Organ właściwy do spraw usług pośrednictwa danych powiadamia Komisję o każdym ponownym zgłoszeniu.

5. W przypadku gdy niemający jednostki organizacyjnej w Unii dostawca usług pośrednictwa danych nie wyznaczy przedstawiciela prawnego lub przedstawiciel_prawny nie dostarczy na żądanie organu właściwego do spraw usług pośrednictwa danych niezbędnych informacji, które w pełni wykazują przestrzeganie niniejszego rozporządzenia, organ właściwy do spraw usług pośrednictwa danych jest uprawniony do przesunięcia rozpoczęcia lub zawieszenia świadczenia usługi pośrednictwa danych do czasu wyznaczenia przedstawiciela prawnego lub dostarczenia niezbędnych informacji.

6. Organy właściwe do spraw usług pośrednictwa danych niezwłocznie powiadamiają zainteresowanego dostawcę usług pośrednictwa danych o środkach nałożonych zgodnie z ust. 4 i 5 oraz o powodach ich nałożenia, jak również o niezbędnych środkach, jakie należy wprowadzić w celu usunięcia odpowiednich niedociągnięć, i wyznaczają rozsądny – ale nie dłuższy niż 30 dni – termin na zastosowanie tych środków.

7. Jeżeli dostawca usług pośrednictwa danych ma swoją główną jednostkę organizacyjną lub swojego przedstawiciela prawnego w państwie członkowskim, ale świadczy usługi w innych państwach członkowskich, organ właściwy do spraw usług pośrednictwa danych państwa członkowskiego, w którym znajduje się główna_jednostka_organizacyjna lub przedstawiciel_prawny, oraz organy właściwe do spraw usług pośrednictwa danych innych państw członkowskich, w których dostawca świadczy usługi, współpracują i udzielają sobie wzajemnej pomocy. Taka pomoc i współpraca mogą obejmować wymianę między zainteresowanymi organami właściwymi do spraw usług pośrednictwa danych informacji do celów ich zadań na podstawie niniejszego rozporządzenia oraz uzasadnione wnioski o wprowadzenie środków, o których mowa w niniejszym artykule.

W przypadku gdy organ właściwy do spraw usług pośrednictwa danych jednego państwa członkowskiego zwraca się o pomoc do organu właściwego do spraw usług pośrednictwa danych innego państwa członkowskiego, przedkłada przy tym uzasadniony wniosek. Organ właściwy do spraw usług pośrednictwa danych, do którego zwrócono się z takim wnioskiem, udziela odpowiedzi bez zbędnej zwłoki i w terminie proporcjonalnym do pilności wniosku.

Wszelkie informacje wymieniane w ramach pomocy, o którą zwraca się i której udziela się na podstawie niniejszego ustępu, są wykorzystywane jedynie w odniesieniu do kwestii, w której o nie wnioskowano.

Artykuł 15

Wyjątki

Niniejszego rozdziału nie stosuje się do uznanych organizacji altruizmu danych ani do innych podmiotów o charakterze niekomercyjnym w zakresie, w jakim ich działalność polega na gromadzeniu danych do celów leżących w interesie ogólnym, u dostępnianych przez osoby fizyczne lub prawne w myśl altruizmu danych, chyba że te organizacje i podmioty mają na celu ustanowienie stosunków handlowych między nieokreśloną liczbą osób, których dane dotyczą, i posiadaczy danych z jednej strony oraz użytkownikami danych z drugiej strony.

ROZDZIAŁ IV

Altruizm danych

Artykuł 21

Szczególne wymogi dotyczące zabezpieczenia praw i interesów osób, których dane dotyczą, oraz posiadaczy danych w odniesieniu do ich danych

1. Uznana organizacja altruizmu danych informuje w jasny i łatwo zrozumiały sposób osoby, których dane dotyczą, lub posiadaczy danych, przed przetwarzaniem ich danych, o:

celach leżących w interesie ogólnym oraz, w stosownych przypadkach, o konkretnym, wyraźnym i zgodnym z prawem celu przetwarzania danych osobowych, dla których uznana organizacja altruizmu danych pozwala na przetwarzanie danych osób, których dane dotyczą, lub posiadaczy danych przez użytkowników danych;

b)	miejscu przetwarzania oraz celach leżących w interesie ogólnym, dla których uznana organizacja altruizmu danych pozwala na przetwarzanie w państwie trzecim, jeżeli przetwarzania dokonuje uznana organizacja altruizmu danych.

2. Uznana organizacja altruizmu danych nie może wykorzystywać danych do celów innych niż cele leżące w interesie ogólnym, w odniesieniu do których osoba, której dane dotyczą, lub posiadacz_danych zezwolili na przetwarzanie. Uznana organizacja altruizmu danych nie może stosować wprowadzających w błąd praktyk marketingowych, by nakłaniać do przekazywania danych.

3. Uznana organizacja altruizmu danych zapewnia narzędzia umożliwiające uzyskanie zgody od osób, których dane dotyczą, lub pozwoleń na przetwarzanie danych u dostępnianych przez posiadaczy danych. Uznana organizacja altruizmu danych zapewnia także narzędzia umożliwiające łatwe wycofanie takiej zgody lub takiego pozwolenia.

4. Uznana organizacja altruizmu danych podejmuje środki w celu zapewnienia odpowiedniego poziomu bezpieczeństwa przechowywania i przetwarzania danych nieosobowych, które zgromadziła w ramach altruizmu danych.

5. Uznana organizacja altruizmu danych niezwłocznie informuje posiadaczy danych w przypadku gdy nastąpiły niedozwolone przekazanie, dostęp lub wykorzystanie danych nieosobowych, którymi się podzieliła.

6. W przypadku gdy uznana organizacja altruizmu danych ułatwia osobom trzecim przetwarzanie danych, w tym poprzez zapewnianie narzędzi umożliwiających uzyskanie zgody od osób, których dane dotyczą, lub pozwoleń na przetwarzanie danych u dostępnionych przez posiadaczy danych, określa – w stosownych przypadkach –jurysdykcję państwa trzeciego, w których ma się odbywać wykorzystywanie danych.

Artykuł 24

Monitorowanie spełniania wymogów

1. Organy właściwe do spraw rejestracji organizacji altruizmu danych monitorują i nadzorują spełnianie przez uznane organizacje altruizmu danych wymogów określonych w niniejszym rozdziale. Organ właściwy do spraw rejestracji organizacji altruizmu danych może również monitorować i nadzorować spełnianie tych wymogów przez takie uznane organizacje altruizmu danych na podstawie wniosków osób fizycznych lub prawnych.

2. Organy właściwe do spraw rejestracji organizacji altruizmu danych są uprawnione do zwracania się do uznanych organizacji altruizmu danych z wnioskiem o informacje niezbędne do zweryfikowania spełniania wymogów określonych w niniejszym rozdziale. Każdy wniosek o informacje musi być proporcjonalny do wykonywanego zadania i musi być uzasadniony.

3. W przypadku ustalenia przez organ właściwy do spraw rejestracji organizacji altruizmu danych, że uznana organizacja altruizmu danych nie spełnia co najmniej jednego wymogu określonego w niniejszym rozdziale, organ ten powiadamia tę uznaną organizację altruizmu danych o swoich ustaleniach i daje jej możliwość przedstawienia swojego stanowiska w terminie 30 dni od dnia otrzymania powiadomienia.

4. Organ właściwy do spraw rejestracji organizacji altruizmu danych jest uprawniony do żądania zaprzestania naruszeń, o których mowa w ust. 3, niezwłocznie albo w rozsądnym terminie, a także przyjmuje odpowiednie i proporcjonalne środki służące zapewnieniu spełnianiu wymogów.

5. Jeżeli uznana organizacja altruizmu danych nie spełnia co najmniej jednego wymogu określonego w niniejszym rozdziale, nawet po otrzymaniu od organu właściwego do spraw rejestracji organizacji altruizmu danych powiadomienia zgodnie z ust. 3, ta uznana organizacja altruizmu danych:

a)	traci prawo do posługiwania się w swojej komunikacji pisemnej i ustnej oznakowaniem „uznana w Unii organizacja altruizmu danych”;

b)	zostaje usunięta z odpowiedniego publicznego krajowego rejestru uznanych organizacji altruizmu danych oraz z publicznego unijnego rejestru uznanych organizacji altruizmu danych.

Decyzja o pozbawieniu prawa do posługiwania się oznakowaniem „uznana w Unii organizacja altruizmu danych” podjęta na podstawie akapitu pierwszego lit. a) jest podawana do wiadomości publicznej przez organ właściwy do spraw rejestracji organizacji altruizmu danych.

6. Jeżeli uznana organizacja altruizmu danych ma swoją główną jednostkę organizacyjną lub swojego przedstawiciela prawnego w państwie członkowskim, ale prowadzi działalność w innych państwach członkowskich, organ właściwy do spraw rejestracji organizacji altruizmu danych państwa członkowskiego, w którym znajdują się główna_jednostka_organizacyjna lub przedstawiciel_prawny, oraz organy właściwe do spraw rejestracji organizacji altruizmu danych innych państw członkowskich, w których podmiot prowadzi działalność, współpracują i udzielają sobie wzajemnej pomocy. Taka pomoc i współpraca mogą obejmować wymianę między zainteresowanymi organami właściwymi do spraw rejestracji organizacji altruizmu danych informacji do celów ich zadań na podstawie niniejszego rozporządzenia oraz uzasadnione wnioski o wprowadzenie środków, o których mowa w niniejszym artykule.

W przypadku gdy organ właściwy do spraw rejestracji organizacji altruizmu danych jednego państwa członkowskiego zwraca się o pomoc do organu właściwego do spraw rejestracji organizacji altruizmu danych innego państwa członkowskiego, przedkłada przy tym uzasadniony wniosek. Organ właściwy do spraw rejestracji organizacji altruizmu danych, do którego zwrócono się z takim wnioskiem, udziela odpowiedzi bez zbędnej zwłoki i w terminie proporcjonalnym do pilności wniosku.

Artykuł 26

Wymogi dotyczące właściwych organów

1. Organy właściwe do spraw usług pośrednictwa danych i organy właściwe do spraw rejestracji organizacji altruizmu danych muszą być prawnie odrębne i funkcjonalnie niezależne od dostawców usług pośrednictwa danych lub uznanych organizacji altruizmu danych. Funkcje organów właściwych do spraw usług pośrednictwa danych i organów właściwych do spraw rejestracji organizacji altruizmu danych może wykonywać ten sam organ. Państwa członkowskie mogą w tym celu ustanowić jeden nowy organ lub większą ich liczbę albo opierać się na istniejących organach.

2. Organy właściwe do spraw usług pośrednictwa danych i organy właściwe do spraw rejestracji organizacji altruizmu danych wykonują swoje zadania w sposób bezstronny, przejrzysty, spójny, wiarygodny i terminowy. Przy wykonywaniu swoich zadań dbają one o ochronę uczciwej konkurencji i niedyskryminację.

3. Członkowie kadry kierowniczej wyższego szczebla i personel odpowiedzialny za wykonywanie odpowiednich zadań organów właściwych do spraw usług pośrednictwa danych i organów właściwych do spraw rejestracji organizacji altruizmu danych nie mogą być projektantami, producentami, dostawcami, instalatorami, nabywcami, właścicielami, użytkownikami ani osobami odpowiedzialnymi za utrzymanie usług, które oceniają, nie mogą też być przedstawicielem upoważnionym przez którąkolwiek z tych osób. Nie wyklucza to korzystania z ocenianych usług, które są niezbędne do wykonywania działań organu właściwego do spraw usług pośrednictwa danych ani organu właściwego do spraw rejestracji organizacji altruizmu danych, lub korzystania z takich usług do celów osobistych.

4. Członkowie kadry kierowniczej wyższego szczebla i personel organów właściwych do spraw usług pośrednictwa danych i organów właściwych do spraw rejestracji organizacji altruizmu danych nie angażują się w żadną działalność, która mogłaby zagrozić niezależności ich osądów lub uczciwości w odniesieniu do powierzonych im działań związanych z oceną.

5. Organy właściwe do spraw usług pośrednictwa danych i organy właściwe do spraw rejestracji organizacji altruizmu danych mają do dyspozycji odpowiednie zasoby finansowe i ludzkie do wykonywania powierzonych im zadań, w tym niezbędną wiedzę techniczną i niezbędne zasoby techniczne.

6. Organy właściwe do spraw usług pośrednictwa danych i organy właściwe do spraw rejestracji organizacji altruizmu danych państwa członkowskiego dostarczają Komisji i organom właściwym do spraw usług pośrednictwa danych i organom właściwym do spraw rejestracji organizacji altruizmu danych innych państw członkowskich, na uzasadniony wniosek i niezwłocznie, informacje niezbędne do wykonywania ich zadań na podstawie niniejszego rozporządzenia. W przypadku gdy organ właściwy do spraw usług pośrednictwa danych lub organ właściwy do spraw rejestracji organizacji altruizmu danych uznają wnioskowane informacje za poufne zgodnie z przepisami prawa Unii i prawa krajowego dotyczącymi tajemnicy handlowej i zawodowej, Komisja i wszelkie inne zainteresowane organy właściwe do spraw usług pośrednictwa danych lub organy właściwe do spraw rejestracji organizacji altruizmu danych zapewniają poufność takich informacji.

Artykuł 28

Prawo do skutecznego środka ochrony prawnej przed sądem

1. Niezależnie od administracyjnych lub innych pozasądowych środków ochrony prawnej osoby fizyczne i prawne, których to dotyczy, mają prawo do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącym decyzjom, o których mowa w art. 14, wydanych przez organy właściwe do spraw usług pośrednictwa danych, w ramach zarządzania systemem zgłaszania dostawców usług pośrednictwa danych, kontrolowania tego systemu i egzekwowania go, oraz przeciwko prawnie wiążącym decyzjom, o których mowa w art. 19 i 24, wydanych przez organy właściwe do spraw rejestracji organizacji altruizmu danych w ramach monitorowania uznanych organizacji altruizmu danych.

2. Postępowanie wszczęte na podstawie niniejszego artykułu toczy się przed sądem lub trybunałem państwa członkowskiego, w którym znajduje się organ właściwy do spraw usług pośrednictwa danych lub organ właściwy do spraw rejestracji organizacji altruizmu danych, przeciwko któremu wniesiony został indywidualnie lub – w stosownych przypadkach – wspólnie przez przedstawicieli osoby fizycznej lub prawnej lub kilku takich osób środek ochrony prawnej przed sądem.

3. W przypadku gdy organ właściwy do spraw usług pośrednictwa danych lub organ właściwy do spraw rejestracji organizacji altruizmu danych pozostanie bezczynny w odniesieniu do skargi, osoba fizyczna i prawna, których to dotyczy, ma zgodnie z prawem krajowym prawo do skutecznego środka ochrony prawnej przed sądem albo możliwość skorzystania z kontroli przez bezstronny podmiot dysponujący odpowiednią wiedzą fachową.

ROZDZIAŁ VI

Europejska Rada ds. Innowacji w zakresie Danych

Artykuł 29

Europejska Rada ds. Innowacji w zakresie Danych

1. Komisja ustanawia Europejską Radę ds. Innowacji w zakresie Danych w postaci grupy ekspertów składającej się z przedstawicieli organów właściwych do spraw usług pośrednictwa danych i organów właściwych do spraw rejestracji organizacji altruizmu danych ze wszystkich państw członkowskich, Europejskiej Rady Ochrony Danych, Europejskiego Inspektora Ochrony Danych, ENISA, Komisji, pełnomocnika UE ds. MŚP lub przedstawiciela wyznaczonego przez sieć pełnomocników ds. MŚP i z innych przedstawicieli odpowiednich podmiotów w poszczególnych sektorach, a także podmiotów dysponujących szczególną wiedzą fachową. Przy powoływaniu poszczególnych ekspertów Komisja dąży do osiągnięcia wśród członków grupy ekspertów równowagi płci i równowagi geograficznej.

2. Europejska Rada ds. Innowacji w zakresie Danych składa się z co najmniej trzech podgrup:

a)	podgrupy organów właściwych do spraw usług pośrednictwa danych i organów właściwych do spraw rejestracji organizacji altruizmu danych, z myślą o wykonywaniu zadań zgodnie z art. 30 lit. a, c), j) i k);

b)	podgrupy ds. dyskusji technicznych dotyczących normalizacji, przenoszenia i interoperacyjności zgodnie z art. 30 lit. f) i g);

podgrupy ds. zaangażowania interesariuszy składającej się z odpowiednich przedstawicieli przemysłu, środowisk naukowych i akademickich, społeczeństwa obywatelskiego, organizacji normalizacyjnych, odpowiednich wspólnych europejskich przestrzeni danych oraz innych odpowiednich interesariuszy i osób trzecich doradzających Europejskiej Radzie ds. Innowacji w zakresie Danych w zakresie zadań zgodnie z art. 30 lit. d), e), f), g) i h).

3. Posiedzeniom Europejskiej Rady ds. Innowacji w zakresie Danych przewodniczy Komisja.

4. Europejską Radę ds. Innowacji w zakresie Danych wspiera sekretariat zapewniony przez Komisję.

whereas

keyboard_tab Digital Governance Act 2022/0868 PL

Digital Governance Act 2022/0868 PL