Digital Governance Act 2022/0868 PL

2. Niniejsze rozporządzenie nie nakłada na podmioty sektora publicznego obowiązku zezwalania na ponowne_wykorzystywanie danych ani nie zwalnia podmiotów sektora publicznego z obowiązków w zakresie zachowania poufności wynikających z prawa Unii lub prawa krajowego.

Niniejsze rozporządzenie pozostaje bez uszczerbku dla:

a)	szczególnych przepisów prawa Unii lub prawa krajowego dotyczących dostępu do niektórych kategorii danych lub ich ponownego wykorzystywania, w szczególności w odniesieniu do udzielania dostępu do dokumentów urzędowych i ich ujawniania; oraz

b)	wynikających z prawa Unii lub prawa krajowego obowiązków podmiotów sektora publicznego dotyczących zezwolenia na ponowne_wykorzystywanie danych, a także dla wymogów związanych z przetwarzaniem danych nieosobowych.

Jeżeli sektorowe prawo Unii lub sektorowe prawo krajowe wymagają od podmiotów sektora publicznego, dostawców usług pośrednictwa danych lub uznanych organizacji altruizmu danych spełnienia szczególnych dodatkowych wymogów technicznych, administracyjnych lub organizacyjnych, w tym poprzez system zezwoleń lub certyfikacji, stosuje się również te przepisy danego sektorowego prawa Unii lub sektorowego prawa krajowego. Wszelkie takie szczególne dodatkowe wymogi muszą być niedyskryminujące, proporcjonalne i obiektywnie uzasadnione.

3. Do danych osobowych przetwarzanych w związku z niniejszym rozporządzeniem zastosowanie mają prawo Unii i prawo krajowe w dziedzinie ochrony danych osobowych. W szczególności niniejsze rozporządzenie pozostaje bez uszczerbku dla rozporządzeń (UE) 2016/679 i (UE) 2018/1725 oraz dyrektyw 2002/58/WE i (UE) 2016/680, w tym z uwzględnieniem uprawnień i kompetencji organów nadzorczych. W przypadku kolizji pomiędzy niniejszym rozporządzenia a prawem Unii w dziedzinie ochrony danych osobowych lub prawem krajowym przyjętym zgodnie z takim prawem Unii pierwszeństwo ma odpowiednie prawo Unii lub prawo krajowe w dziedzinie ochrony danych osobowych. Niniejsze rozporządzenie nie tworzy podstawy prawnej dla przetwarzania danych osobowych ani nie ma wpływu na obowiązki i prawa określone w rozporządzeniach (UE) 2016/679 lub (UE) 2018/1725 lub w dyrektywach 2002/58/WE lub (UE) 2016/680.

4. Niniejsze rozporządzenie pozostaje bez uszczerbku dla stosowania prawa konkurencji.

5. Niniejsze rozporządzenie nie narusza kompetencji państw członkowskich w odniesieniu do ich działań z zakresu bezpieczeństwa publicznego, obronności i bezpieczeństwa narodowego.

Artykuł 2

Definicje

Do celów niniejszego rozporządzenia stosuje się następujące definicje:

1)	„ dane” oznaczają cyfrowe odwzorowania działań, faktów lub informacji oraz wszelkie kompilacje takich działań, faktów lub informacji, w tym w formie zapisu dźwiękowego, wizualnego lub audiowizualnego;

„ ponowne_wykorzystywanie” oznacza wykorzystywanie przez osoby fizyczne lub prawne danych będących w posiadaniu podmiotów sektora publicznego, do celów komercyjnych lub niekomercyjnych innych niż ich pierwotne przeznaczenie w ramach zadań publicznych, dla którego to celu dane te zostały wytworzone, z wyjątkiem wymiany danych między podmiotami sektora publicznego służącej wyłącznie wykonywaniu zadań publicznych;

3)	„ dane osobowe” oznaczają dane osobowe zgodnie z definicją w art. 4 pkt 1 rozporządzenia (UE) 2016/679;

4)	„ dane nieosobowe” oznaczają dane inne niż dane osobowe;

5)	„ zgoda” oznacza zgodę zgodnie z definicją w art. 4 pkt 11 rozporządzenia (UE) 2016/679;

6)	„ pozwolenie” oznacza przyznanie użytkownikom danych prawa do przetwarzania danych nieosobowych;

7)	„osoba, której dane dotyczą” oznacza osobę, której dane dotyczą, o której mowa w art. 4 pkt 1 rozporządzenia (UE) 2016/679;

„ posiadacz_danych” oznacza osobę prawną, w tym podmiot_sektora_publicznego lub organizację międzynarodową, lub osobę fizyczną niebędącą w odniesieniu do przedmiotowych konkretnych danych osobą, której dane dotyczą, która ma – zgodnie z mającym zastosowanie prawem Unii lub prawem krajowym – prawo do udzielania dostępu do niektórych danych osobowych lub danych nieosobowych lub do dzielenia się nimi;

„ użytkownik_danych” oznacza osobę fizyczną lub osobę prawną, która ma zgodny z prawem dostęp do niektórych danych osobowych lub nieosobowych i prawo, w tym – w przypadku danych osobowych – na podstawie rozporządzenia (UE) 2016/679, do wykorzystywania tych danych w celach komercyjnych lub niekomercyjnych;

10)

„ dzielenie_się_danymi” oznacza dostarczanie danych przez osobę, której dane dotyczą, lub przez posiadacza danych użytkownikowi danych do celów wspólnego lub indywidualnego wykorzystywania takich danych w oparciu o dobrowolne umowy lub na podstawie prawa Unii lub prawa krajowego, bezpośrednio lub z udziałem pośrednika, na przykład w ramach licencji otwartych lub handlowych, bezpłatnie lub za opłatą;

11)

„ usługa_pośrednictwa_danych” oznacza usługę, która ma na celu ustanowienie – za pomocą środków technicznych, prawnych lub innych – stosunków handlowych między – z jednej strony – nieokreśloną liczbą osób, których dane dotyczą, i posiadaczy danych oraz – z drugiej strony – użytkownikami danych do celów dzielenia się danymi, w tym do celów wykonywania praw osób, których dane dotyczą, w odniesieniu do danych osobowych, z wyłączeniem co najmniej:

usług, w ramach których dane są pozyskiwane od posiadaczy danych i agregowane, wzbogacane lub przekształcane w celu dodania im znaczącej wartości, a następnie użytkownikom danych udzielana jest licencja na wykorzystanie uzyskanych w ten sposób danych bez ustanawiania stosunku handlowego między nimi a posiadaczami danych;

b)	usług skoncentrowanych na pośrednictwie treści chronionych prawem autorskim;

usług, z których korzysta wyłącznie jeden posiadacz_danych w celu umożliwienia wykorzystywania danych będących w jego posiadaniu, lub usługi, z których korzysta wiele osób prawnych w zamkniętej grupie, w tym w ramach stosunków z dostawcami lub klientami lub współpracy nawiązanej na podstawie umowy, w szczególności usług, których głównym celem jest zapewnienie funkcjonalności przedmiotów i urządzeń podłączonych do internetu rzeczy;

d)	usług dzielenia się danymi oferowanych przez podmioty sektora publicznego, które to usługi nie mają na celu ustanowienia stosunków handlowych;

12)	„ przetwarzanie” oznacza przetwarzanie zgodnie z definicją w art. 4 pkt 2 rozporządzenia (UE) 2016/679 w odniesieniu do danych osobowych lub zgodnie z definicją w art. 3 ust. 2 rozporządzenia (UE) 2018/1807 w odniesieniu do danych nieosobowych;

13)	„ dostęp” oznacza wykorzystywanie danych zgodnie ze szczegółowymi wymogami technicznymi, prawnymi lub organizacyjnymi, które niekoniecznie musi się wiązać z przesyłaniem lub pobieraniem danych;

14)	„ główna_jednostka_organizacyjna” osoby prawnej oznacza miejsce, w którym znajduje się jej centralna administracja w Unii;

15)

„ usługi_świadczone_przez_spółdzielnie_danych” oznaczają usługi pośrednictwa danych oferowane przez strukturę organizacyjną utworzoną przez osoby, których dane dotyczą, przedsiębiorstwa jednoosobowe lub MŚP będące członkami tej struktury, mającą za główne cele wspieranie swoich członków w wykonywaniu ich praw w odniesieniu do niektórych danych, w tym w odniesieniu do dokonywania świadomego wyboru przed wyrażeniem przez nich zgody na przetwarzanie danych, wymienianie poglądów na temat celów przetwarzania danych i warunków, które najlepiej będą odzwierciedlać interesy jej członków w odniesieniu do ich danych, oraz negocjowanie w imieniu jej członków warunków i zasad przetwarzania danych przed udzieleniem pozwolenia na przetwarzanie danych nieosobowych lub przed wyrażeniem zgody na przetwarzanie danych osobowych;

16)

„ altruizm_danych” oznacza dobrowolne dzielenie_się_danymi na podstawie wyrażonej przez osoby, których dane dotyczą, zgody na przetwarzanie dotyczących ich danych osobowych lub na podstawie udzielonego przez posiadaczy danych pozwolenia na wykorzystywanie ich danych nieosobowych, bez żądania ani otrzymania za to wynagrodzenia wykraczającego poza zwrot kosztów poniesionych przez te osoby lub posiadaczy w związku z u dostępnieniem ich danych do celów leżących w interesie ogólnym określonych – w stosownych przypadkach – w prawie krajowym, takich jak opieka zdrowotna, zwalczanie zmiany klimatu, poprawa mobilności, ułatwianie opracowywania, tworzenia i rozpowszechniania statystyk urzędowych, poprawa świadczenia usług publicznych, kształtowanie polityki publicznej lub do celów badań naukowych leżących w interesie ogólnym;

17)	„ podmiot_sektora_publicznego” oznacza państwo, organy regionalne lub lokalne, podmioty prawa publicznego lub stowarzyszenia złożone z co najmniej jednego takiego organu lub z co najmniej jednego takiego podmiotu prawa publicznego;

18)

„ podmiot_prawa_publicznego” oznacza podmiot, który posiada poniższe cechy:

a)	został utworzony w konkretnym celu zaspokajania potrzeb w interesie ogólnym i nie ma charakteru przemysłowego ani komercyjnego;

b)	posiada osobowość prawną;

jest finansowany w przeważającej części przez państwo, orany regionalne lub lokalne lub inne podmioty prawa publicznego, jego zarząd podlega nadzorowi ze strony tych organów lub podmiotów, albo ponad połowa członków jego organu administrującego, zarządzającego lub nadzorczego została wyznaczona przez państwo, organy regionalne lub lokalne, lub przez inne podmioty prawa publicznego;

19)

„ przedsiębiorstwo_publiczne” oznacza przedsiębiorstwo, na które podmioty sektora publicznego mogą wywierać, bezpośrednio lub pośrednio, dominujący wpływ z racji bycia jego właścicielem, posiadania w nim udziału finansowego lub na podstawie przepisów, które regulują działalność tego przedsiębiorstwa; do celów niniejszej definicji zakłada się istnienie dominującego wpływu ze strony podmiotów sektora publicznego w dowolnym z poniższych przypadków, gdy podmioty te bezpośrednio lub pośrednio:

a)	posiadają większość subskrybowanego kapitału przedsiębiorstwa;

b)	kontrolują większość głosów przypadających na akcje wyemitowane przez przedsiębiorstwo;

c)	mogą powoływać ponad połowę członków organu administrującego, zarządzającego lub nadzorczego przedsiębiorstwa;

20)

„ bezpieczne_środowisko_przetwarzania” oznacza środowisko fizyczne lub wirtualne oraz środki organizacyjne służące zapewnieniu przestrzegania prawa Unii, takiego jak rozporządzenie (UE) 2016/679, w szczególności pod względem praw osób, których dane dotyczą, praw własności intelektualnej oraz poufności informacji handlowych i statystycznych, integralności i dostępności, jak również mającego zastosowanie prawa krajowego oraz umożliwiające podmiotowi zapewniającemu bezpieczne_środowisko_przetwarzania określenie i nadzorowanie wszystkich działań związanych z przetwarzaniem danych, w tym wyświetlania, przechowywania, pobierania i eksportowania danych oraz obliczania danych pochodnych za pomocą algorytmów obliczeniowych;

21)

„ przedstawiciel_prawny” oznacza osobę fizyczną lub prawną mającą miejsce zamieszkania lub siedzibę w Unii, wyznaczoną w wyraźny sposób do działania w imieniu niemających jednostki organizacyjnej w Unii dostawcy usług pośrednictwa danych lub podmiotu gromadzącego dane u dostępniane do celów leżących w interesie ogólnym i na zasadzie altruizmu danych przez osoby fizyczne lub prawne; organy właściwe do spraw usług pośrednictwa danych i organy właściwe do spraw rejestracji organizacji altruizmu danych mogą się zwracać jednocześnie do tej osoby oraz dostawcy usług pośrednictwa danych lub podmiotu albo do tej osoby zamiast do dostawcy usług pośrednictwa danych lub podmiotu w związku z obowiązkami ustanowionymi na podstawie niniejszego rozporządzenia, w tym w związku ze wszczęciem postępowania egzekucyjnego przeciwko niespełniającym wymogów dostawcy usług pośrednictwa danych lub podmiotowi niemającym jednostki organizacyjnej w Unii.

ROZDZIAŁ II

Ponowne wykorzystywanie niektórych kategorii chronionych danych będących w posiadaniu podmiotów sektora publicznego

Artykuł 3

Kategorie danych

1. Niniejszy rozdział stosuje się do danych będących w posiadaniu podmiotów sektora publicznego, które są chronione ze względu na:

a)	poufność informacji handlowych, w tym tajemnicę handlową, zawodową i tajemnicę przedsiębiorstwa;

b)	poufność informacji statystycznych;

c)	ochronę praw własności intelektualnej osób trzecich; lub

d)	ochronę danych osobowych w zakresie, w jakim dane te wykraczają poza zakres stosowania dyrektywy (UE) 2019/1024.

2. Niniejszego rozdziału nie stosuje się do:

a)	danych będących w posiadaniu przedsiębiorstw publicznych;

b)	danych będących w posiadaniu publicznych nadawców radiowych i telewizyjnych oraz ich jednostek zależnych, a także innych podmiotów lub ich jednostek zależnych realizujących misję nadawców publicznych;

c)	danych będących w posiadaniu instytucji kulturalnych i placówek edukacyjnych;

d)	danych będących w posiadaniu podmiotów sektora publicznego, które są chronione ze względów bezpieczeństwa publicznego, obronności lub bezpieczeństwa narodowego; lub

danych, których dostarczanie jest działalnością wykraczającą poza zakres zadań publicznych zainteresowanych podmiotów sektora publicznego określonych przepisami ustawowymi lub innymi wiążącymi przepisami w danym państwie członkowskim lub, w przypadku braku takich przepisów, określonych zgodnie z powszechną praktyką administracyjną w tym państwie członkowskim, o ile zakres zadań publicznych jest przejrzysty i podlega przeglądowi.

3. Niniejszy rozdział pozostaje bez uszczerbku dla:

a)	przepisów prawa Unii i prawa krajowego oraz postanowień umów międzynarodowych, których Unia lub państwa członkowskie są stronami, dotyczących ochrony kategorii danych, o których mowa w ust. 1; oraz

b)	przepisów prawa Unii i prawa krajowego dotyczących dostępu do dokumentów.

Artykuł 5

Warunki ponownego wykorzystywania

1. Podmioty sektora publicznego, które na mocy prawa krajowego są właściwe do udzielania lub odmowy udzielania dostępu do celów ponownego wykorzystywania co najmniej jednej kategorii danych, o których mowa w art. 3 ust. 1, muszą u dostępniać publicznie warunki, które muszą zostać spełnione w celu zezwolenia na takie ponowne_wykorzystywanie, oraz procedurę występowania z wnioskiem o ponowne_wykorzystywanie za pośrednictwem pojedynczego punktu informacyjnego, o którym mowa w art. 8. Podmiotom sektora publicznego mogą pomagać w udzielaniu lub odmowie udzielania dostępu do celów ponownego wykorzystania właściwe podmioty określone w art. 7 ust. 1.

Państwa członkowskie zapewniają, aby podmioty sektora publicznego były wyposażone w niezbędne zasoby w celu przestrzegania niniejszego artykułu.

2. W odniesieniu do kategorii danych i celów ponownego wykorzystywania oraz charakteru danych, na których ponowne_wykorzystywanie zezwolono, warunki ponownego wykorzystywania muszą być niedyskryminujące, przejrzyste, proporcjonalne i obiektywnie uzasadnione. Warunki te nie mogą być stosowane do ograniczania konkurencji.

3. Podmioty sektora publicznego zapewniają, zgodnie z prawem Unii i prawem krajowym, aby chroniony charakter danych został zachowany. Mogą one ustanawiać następujące wymagania:

dostępu do celów ponownego wykorzystywania danych udziela się wyłącznie pod warunkiem, że podmiot_sektora_publicznego lub właściwy podmiot po otrzymaniu wniosku o ponowne_wykorzystywanie zapewniły, by dane te:

(i)	zostały zanonimizowane – w przypadku danych osobowych; oraz

(ii)	zostały zmodyfikowane, zagregowane lub przekształcone za pomocą innej metody zapobiegającej ujawnieniu – w przypadku poufnych informacji handlowych, w tym tajemnic handlowych lub treści chronionych prawami własności intelektualnej;

b)	dostęp do danych i ich ponowne_wykorzystywanie odbywa się w sposób zdalny w bezpiecznym środowisku przetwarzania zapewnianym lub kontrolowanym przez podmiot_sektora_publicznego;

c)	jeżeli nie można zezwolić na dostęp zdalny bez stwarzania zagrożenia dla praw i interesów osób trzecich, dostęp do danych i ich ponowne_wykorzystywanie odbywa się w obrębie obiektów fizycznych, w których panuje bezpieczne_środowisko_przetwarzania zgodnie z rygorystycznymi normami bezpieczeństwa.

4. W przypadku ponownego wykorzystywania, na które zezwolono zgodnie z ust. 3 lit. b) i c), podmioty sektora publicznego nakładają warunki, które pozwalają zachować integralność funkcjonowania systemów technicznych wykorzystywanego bezpiecznego środowiska przetwarzania. Podmiot sektora publicznego zastrzega sobie prawo weryfikacji procesu, środków oraz wszelkich wyników przetwarzania danych przez ponownego użytkownika, aby zachować integralność ochrony danych oraz zastrzega sobie prawo do zakazania wykorzystywania takich wyników, które zawierają informacje zagrażające prawom i interesom osób trzecich. Decyzja o zakazie wykorzystywania wyników musi być zrozumiała i przejrzysta dla ponownego użytkownika.

5. O ile w prawie krajowym nie ustanowiono szczególnych zabezpieczeń dotyczących mających zastosowanie obowiązków w zakresie zachowania poufności związanych z ponownym wykorzystywaniem danych, o których mowa w art. 3 ust. 1, podmiot_sektora_publicznego uzależnia ponowne_wykorzystywanie danych przekazanych zgodnie z ust. 3 niniejszego artykułu od przestrzegania przez ponownego użytkownika obowiązku w zakresie zachowania poufności, zgodnie z którym zakazane jest ujawniania informacji, które stwarzają zagrożenie dla praw i interesów osób trzecich, a które pomimo wprowadzonych zabezpieczeń mogłyby się znaleźć w posiadaniu ponownego użytkownika. Ponowni użytkownicy mają zakaz deanonimizacji osób, których dane dotyczą, i podejmują środki techniczne i operacyjne w celu zapobieżenia deanonimizacji oraz zawiadomienia podmiotu sektora publicznego o wszelkich naruszeniach ochrony danych prowadzących do deanonimizacji osób zainteresowanych, których dane dotyczą. W przypadku niedozwolonego ponownego wykorzystywania danych nieosobowych ponowny użytkownik bez zwłoki i – w stosownych przypadkach – z pomocą podmiotu sektora publicznego informuje osoby prawne, na których prawa i interesy może to mieć wpływ.

6. W przypadku gdy nie można zezwolić na ponowne_wykorzystywanie danych zgodnie z obowiązkami określonymi w ust. 3 i 4 niniejszego artykułu i nie ma podstawy prawnej do przesłania danych na podstawie rozporządzenia (UE) 2016/679, podmiot_sektora_publicznego dokłada wszelkich starań zgodnie z prawem Unii i prawem krajowym, by potencjalnym ponownym użytkownikom udzielić pomocy w uzyskiwaniu zgody osób, których dane dotyczą, lub pozwolenia posiadaczy danych – na których prawa i interesy takie ponowne_wykorzystywanie może mieć wpływ – oraz – o ile jest to możliwe – bez powodowania nieproporcjonalnie dużego obciążenia dla danego podmiotu sektora publicznego. Podmiotowi sektora publicznego mogą pomagać w udzielaniu takiej pomocy właściwe podmioty, o których mowa w art. 7 ust. 1.

7. Na ponowne_wykorzystywanie danych można zezwolić wyłącznie z poszanowaniem praw własności intelektualnej. Prawo producenta bazy danych ustanowione w art. 7 ust. 1 dyrektywy 96/9/WE nie może być wykonywane przez podmioty sektora publicznego w celu uniemożliwienia ponownego wykorzystywania danych lub ograniczenia ponownego wykorzystywania w zakresie wykraczającym poza ograniczenia określone w niniejszym rozporządzeniu.

8. W przypadku gdy dane, o które się zwrócono, są uznawane za poufne zgodnie z prawem Unii lub prawem krajowym dotyczącym poufności informacji handlowych lub statystycznych, podmioty sektora publicznego zapewniają, aby w wyniku zezwolenia na ponowne_wykorzystywanie nie zostały ujawnione dane poufne, chyba że na takie ponowne_wykorzystywanie zezwolono zgodnie z ust. 6.

9. W przypadku gdy ponowny użytkownik zamierza przekazać do państwa trzeciego dane nieosobowe chronione ze względów określonych w art. 3 ust. 1, informuje o swoim zamiarze przekazania takich danych podmiot_sektora_publicznego, podając w momencie składania wniosku o ponowne_wykorzystywanie takich danych również cel tego przekazania. W przypadku ponownego wykorzystywania zgodnie z ust. 6 niniejszego artykułu ponowny użytkownik, w stosownych przypadkach z pomocą podmiotu sektora publicznego, informuje osobę prawną, na której prawa i interesy może to mieć wpływ, o swoim zamiarze, celu oraz o odpowiednich zabezpieczeniach. Podmiot sektora publicznego nie zezwala na ponowne_wykorzystywanie, o ile dana osoba prawna nie udzieli pozwolenia na przekazanie.

10. Podmioty sektora publicznego przesyłają poufne dane nieosobowe lub dane chronione prawami własności intelektualnej ponownemu użytkownikowi, który zamierza przekazać te dane do państwa trzeciego innego niż państwo wyznaczone zgodnie z ust. 12 wyłącznie wtedy, gdy ponowny użytkownik zobowiąże się na podstawie umowy do:

a)	wypełniania obowiązków nałożonych zgodnie z ust. 7 i 8 nawet po przekazaniu danych do państwa trzeciego; oraz

b)	uznania jurysdykcji sądów lub trybunałów państwa członkowskiego podmiotu sektora publicznego przesyłającego dane w odniesieniu do wszelkich sporów związanych z przestrzeganiem ust. 7 i 8.

11. Podmioty sektora publicznego, w stosownych przypadkach i w miarę swoich zdolności, udzielają ponownym użytkownikom wskazówek oraz udzielają pomocy w wypełnianiu obowiązków, o których mowa w ust. 10 niniejszego artykułu.

Aby udzielać pomocy podmiotom sektora publicznego i ponownym użytkownikom, Komisja może przyjmować akty wykonawcze określające wzory klauzul umownych dotyczących wypełniania obowiązków, o których mowa w ust. 10 niniejszego artykułu. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 33 ust. 3.

12. Jeżeli jest to uzasadnione ze względu na znaczącą liczbę wniosków składanych w całej Unii dotyczących ponownego wykorzystywania danych nieosobowych w określonych państwach trzecich, Komisja może przyjąć akty wykonawcze, w których stwierdza, że stosowane przez dane państwo trzecie rozwiązania prawne, w zakresie nadzoru i egzekwowania przepisów:

a)	zapewniają ochronę własności intelektualnej i tajemnic przedsiębiorstwa w sposób zasadniczo równoważny z ochroną zapewnianą na podstawie prawa Unii;

b)	są skutecznie stosowane i egzekwowane; oraz

c)	zapewniają skuteczne sądowe środki zaskarżenia.

Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 33 ust. 3.

13. Na podstawie szczególnych aktów ustawodawczych Unii można do celów niniejszego artykułu uznać niektóre kategorie danych nieosobowych będące w posiadaniu podmiotów sektora publicznego za szczególnie chronione w najwyższym stopniu, w przypadku gdy ich przekazanie do państw trzecich może zagrozić celom polityki publicznej Unii, takim jak bezpieczeństwo i zdrowie publiczne, lub może prowadzić do ryzyka deanonimizacji zanonimizowanych danych nieosobowych. W przypadku gdy taki akt zostanie przyjęty, Komisja przyjmuje zgodnie z art. 32 akty delegowane uzupełniające niniejsze rozporządzenie poprzez ustanowienie warunków szczególnych mających zastosowanie do przekazywania takich danych do państw trzecich.

Te warunki szczególne są ustalane w oparciu o charakter określonych w szczególnym akcie ustawodawczym Unii kategorii danych nieosobowych oraz w oparciu o powody uznania tych kategorii za szczególnie chronione w najwyższym stopniu, z uwzględnieniem ryzyka deanonimizacji zanonimizowanych danych nieosobowych. Te warunki szczególne muszą być niedyskryminujące i ograniczone do tego, co jest niezbędne do osiągnięcia celów polityki publicznej Unii określonych w tym akcie, zgodnie z międzynarodowymi zobowiązaniami Unii.

Jeżeli wymagają tego szczególne akty ustawodawcze Unii, o których mowa w akapicie pierwszym, takie warunki szczególne mogą obejmować warunki mające zastosowanie do przekazywania lub uzgodnień technicznych w tym zakresie, ograniczenia dotyczące ponownego wykorzystywania danych w państwach trzecich lub kategorii osób, które są uprawnione do przekazywania takich danych do państw trzecich, lub, w wyjątkowych przypadkach, ograniczenia dotyczące przekazywania do państw trzecich.

14. Osoba fizyczna lub prawna, której przyznano prawo do ponownego wykorzystywania danych nieosobowych, może przekazywać te dane tylko do tych państw trzecich, w przypadku których spełnione są wymogi określone w ust. 10, 12 i 13.

Artykuł 7

Właściwe podmioty

1. Na potrzeby wykonywania zadań, o których mowa w niniejszym artykule, każde państwo członkowskie wyznacza co najmniej jeden właściwy podmiot, którym może być podmiot właściwy w zakresie szczególnych sektorów, w celu udzielania pomocy podmiotom sektora publicznego udzielającym dostępu lub odmawiającym udzielenia dostępu do celów ponownego wykorzystywania kategorii danych, o których mowa w art. 3 ust. 1. Państwa członkowskie mogą ustanowić jeden nowy właściwy podmiot lub większą ich liczbę albo opierać się na istniejących podmiotach sektora publicznego lub na wewnętrznych służbach podmiotów sektora publicznego spełniających warunki określone w niniejszym rozporządzeniu.

2. Właściwe podmioty mogą zostać upoważnione do udzielania dostępu do celów ponownego wykorzystywania kategorii danych, o których mowa w art. 3 ust. 1, zgodnie z prawem Unii lub prawem krajowym, w którym przewidziano udzielenie takiego dostępu. W przypadku gdy takie właściwe podmioty udzielają lub odmawiają udzielenia dostępu do celów ponownego wykorzystywania, stosuje się do nich art. 4, 5, 6 i 9.

3. Właściwym podmiotom należy zapewnić odpowiednie zasoby prawne, finansowe, techniczne i ludzkie do wykonywania powierzonych im zadań, w tym niezbędną wiedzę techniczną, aby były w stanie przestrzegać odpowiednich przepisów prawa Unii lub prawa krajowego dotyczących systemów dostępu do kategorii danych, o których mowa w art. 3 ust. 1.

4. Pomoc, o której mowa w ust. 1, obejmuje, w razie potrzeby:

a)	zapewnienie wsparcia technicznego poprzez u dostępnienie bezpiecznego środowiska przetwarzania na potrzeby zapewnienia dostępu do celów ponownego wykorzystywania danych;

b)	udzielenie wskazówek i zapewnianie wsparcia technicznego w zakresie jak najlepszego ustrukturyzowania danych i ich przechowywania, tak by były one łatwo dostępne;

zapewnienie wsparcia technicznego w zakresie pseudonimizacji oraz zapewnienie przetwarzania danych w sposób skutecznie chroniący prywatność, poufność, integralność i dostępność informacji zawartych w danych, na których ponowne_wykorzystywanie zezwolono, w tym technik anonimizacji, uogólnienia, ukrywania i randomizacji danych osobowych lub innych najnowocześniejszych metod zachowania prywatności, oraz usuwania poufnych informacji handlowych, w tym tajemnic przedsiębiorstwa lub treści chronionych prawami własności intelektualnej;

udzielanie pomocy, w stosownych przypadkach, podmiotom sektora publicznego w zapewnianiu wsparcia ponownym użytkownikom w występowaniu do osób, których dane dotyczą, o zgodę na ponowne_wykorzystywanie danych oraz do posiadaczy danych – o pozwolenie, zgodnie z ich konkretnymi decyzjami, w tym odnośnie do jurysdykcji, w której ma się odbywać przetwarzanie danych, oraz – w sytuacji, gdy jest to wykonalne w praktyce – udzielanie pomocy podmiotom sektora publicznego w ustanawianiu mechanizmów technicznych umożliwiających przekazywanie wniosków ponownych użytkowników o wyrażenie zgody lub udzielenie pozwolenia.

e)	udzielenie pomocy podmiotom sektora publicznego w zakresie oceny adekwatności zobowiązań umownych zaciągniętych przez ponownego użytkownika zgodnie z art. 5 ust. 10.

5. Każde państwo członkowskie powiadamia Komisję o danych identyfikacyjnych właściwych podmiotów wyznaczonych na podstawie ust. 1 do dnia 24 września 2023 r. Każde państwo członkowskie powiadamia również Komisję o wszelkich późniejszych zmianach danych identyfikacyjnych tych właściwych podmiotów.

Artykuł 11

Zgłoszenia dokonywane przez dostawców usług pośrednictwa danych

1. Każdy dostawca usług pośrednictwa danych, który zamierza świadczyć usługi pośrednictwa danych, o których mowa w art. 10, dokonuje zgłoszenia do organu właściwego do spraw usług pośrednictwa danych, o którym mowa w art. 13.

2. Do celów niniejszego rozporządzenia uznaje się, że dostawca usług pośrednictwa danych posiadający jednostki organizacyjne w więcej niż jednym państwie członkowskim podlega jurysdykcji państwa członkowskiego, w którym ma swoją główną jednostkę organizacyjną, bez uszczerbku dla przepisów prawa Unii regulujących transgraniczne roszczenia odszkodowawcze i powiązane postępowania.

3. Dostawca usług pośrednictwa danych, który nie ma w Unii jednostki organizacyjnej, ale oferuje w Unii usługi pośrednictwa danych, o których mowa w 10, wyznacza przedstawiciela prawnego w jednym z państw członkowskich, w których usługi te są oferowane.

Do celów zapewnienia przestrzegania niniejszego rozporządzenia przedstawiciel_prawny musi być upoważniony przez dostawcę usług pośrednictwa danych, by organy właściwe do spraw usług pośrednictwa danych lub osoby, których dane dotyczą, i posiadacze danych mogli się zwracać jednocześnie do przedstawiciela prawnego i dostawcy usług pośrednictwa danych albo do przedstawiciela prawnego zamiast do dostawcy usług pośrednictwa danych we wszystkich kwestiach dotyczących świadczonych usług pośrednictwa danych. Przedstawiciel prawny współpracuje z organami właściwymi do spraw usług pośrednictwa danych i na żądanie szczegółowo przedstawia im działania i przepisy wprowadzone przez dostawcę usług pośrednictwa danych w celu zapewnienia przestrzegania niniejszego rozporządzenia.

Uznaje się, że dostawca usług pośrednictwa danych podlega jurysdykcji tego państwa członkowskiego, w którym znajduje się jego przedstawiciel_prawny. Wyznaczenie przedstawiciela prawnego przez dostawcę usług pośrednictwa danych pozostaje bez uszczerbku dla działań prawnych, które mogą zostać podjęte przeciwko dostawcy usług pośrednictwa danych.

4. Po dokonaniu zgłoszenia zgodnie z ust. 1 dostawca usług pośrednictwa danych może rozpocząć działalność z zastrzeżeniem warunków określonych w niniejszym rozdziale.

5. Zgłoszenie, o którym mowa w ust. 1, uprawnia dostawcę usług pośrednictwa danych do świadczenia usług pośrednictwa danych we wszystkich państwach członkowskich.

6. Zgłoszenie, o którym mowa w ust. 1, musi zawierać następujące informacje:

a)	nazwę dostawcy usług pośrednictwa danych;

b)	status prawny, formę prawną, strukturę własności oraz odpowiednie jednostki zależne dostawcy usług pośrednictwa danych, a w przypadku gdy dostawca usług pośrednictwa danych jest zarejestrowany w rejestrze handlowym lub innym podobnym rejestrze publicznym – jego numer rejestracyjny;

c)	adres głównej jednostki organizacyjnej dostawcy usług pośrednictwa danych w Unii, o ile takowa istnieje, oraz, jeżeli ma to zastosowanie, drugorzędnego oddziału w innym państwie członkowskim lub adres przedstawiciela prawnego;

d)	ogólno dostępną stronę internetową, na której można znaleźć kompletne i aktualne informacje na temat dostawcy usług pośrednictwa danych oraz jego działalności, w tym co najmniej informacje, o których mowa w lit. a), b), c) i f);

e)	osoby wyznaczone do kontaktów przez dostawcę usług pośrednictwa danych i dane kontaktowe tych osób;

f)	opis usługi pośrednictwa danych, którą dostawca usług pośrednictwa danych zamierza świadczyć, oraz wskazanie kategorii wymienionych w art. 10, do których należą takie usługi pośrednictwa danych;

g)	planowaną datę rozpoczęcia działalności, jeżeli jest inna od daty zgłoszenia.

7. Organ właściwy do spraw usług pośrednictwa danych zapewnia, by procedura zgłoszenia była niedyskryminująca i nie zakłócała konkurencji.

8. Na wniosek dostawcy usług pośrednictwa danych organ właściwy do spraw usług pośrednictwa danych wydaje w terminie jednego tygodnia od zgłoszenia wypełnionego w sposób należyty i całkowity standardowe oświadczenie, potwierdzające, że dostawca usług pośrednictwa danych dokonał zgłoszenia, o którym mowa w ust. 1, oraz że zgłoszenie zawiera informacje, o których mowa w ust. 6.

9. Na wniosek dostawcy usług pośrednictwa danych, organ właściwy do spraw usług pośrednictwa danych potwierdza, że dostawca usług pośrednictwa danych przestrzega niniejszego artykułu oraz art. 12. Po otrzymaniu takiego potwierdzenia dostawca usług pośrednictwa danych może w swojej komunikacji pisemnej i ustnej posługiwać się oznakowaniem „uznany w Unii dostawca usług pośrednictwa danych” oraz używać wspólnego logo.

Aby zapewnić łatwą rozpoznawalność uznanych w Unii dostawców usług pośrednictwa danych w całej Unii, Komisja ustanawia w drodze aktów wykonawczych projekt wspólnego logo. Uznani w Unii dostawcy usług pośrednictwa danych wyraźnie eksponują wspólne logo na każdej publikacji w internecie i poza nim, odnoszącej się do ich działalności związanej z pośrednictwem danych.

Te akty wykonawcze przyjmuje się zgodnie z procedurą doradczą, o której mowa w art. 33 ust. 2.

10. Organ właściwy do spraw usług pośrednictwa danych niezwłocznie powiadamia drogą elektroniczną Komisję o każdym nowym zgłoszeniu. Komisja prowadzi i regularnie aktualizuje publiczny rejestr wszystkich dostawców usług pośrednictwa danych świadczących swoje usługi w Unii Informacje, o których mowa w ust. 6 lit. a), b), c), d),f) i g), są publikowane w publicznym rejestrze.

11. Organ właściwy do spraw usług pośrednictwa danych może pobierać opłaty za zgłoszenie zgodnie z prawem krajowym. Opłaty te muszą być proporcjonalne i obiektywne oraz muszą opierać się na kosztach administracyjnych związanych z monitorowaniem spełniania wymogów i innymi działaniami związanymi z kontrolą rynku prowadzonymi przez organy właściwe do spraw usług pośrednictwa danych w związku ze zgłoszeniami dotyczącymi usług pośrednictwa danych. W przypadku MŚP i przedsiębiorstw typu start-up organ właściwy do spraw usług pośrednictwa danych może pobierać obniżoną opłatę lub zrezygnować z pobrania opłaty.

12. Dostawcy usług pośrednictwa danych powiadamiają organy właściwe do spraw usług pośrednictwa danych o wszelkich zmianach informacji przekazanych na podstawie ust. 6 w terminie 14 dni od dnia, w którym nastąpiła zmiana.

13. W przypadku gdy dostawca usług pośrednictwa danych zaprzestaje swojej działalności, zgłasza ten fakt w terminie 15 dni odpowiedniemu organowi właściwemu do spraw pośrednictwa danych określonemu zgodnie z ust. 1, 2 i 3.

14. Organ właściwy do spraw usług pośrednictwa danych niezwłocznie powiadamia Komisję drogą elektroniczną o każdym zgłoszeniu, o którym mowa w ust. 12 i 13. Komisja odpowiednio aktualizuje publiczny rejestr dostawców usług pośrednictwa danych w Unii.

Artykuł 34

Kary

1. Państwa członkowskie ustanawiają przepisy dotyczące kar mających zastosowanie w przypadku naruszeń obowiązków dotyczących przekazywania danych nieosobowych do państw trzecich zgodnie z art. 5 ust. 14 i art. 31, obowiązku dostawców usług pośrednictwa danych dotyczącego zgłoszeń zgodnie z art. 11, warunków świadczenia usług pośrednictwa danych zgodnie z art. 12 oraz warunków rejestracji jako uznana organizacja altruizmu danych zgodnie z art. 18, 20, 21 i 22 oraz podejmują wszelkie niezbędne środki w celu zapewnienia ich wykonywania. Przewidziane kary muszą być skuteczne, proporcjonalne i odstraszające. W przepisach dotyczących kar państwa członkowskie uwzględniają zalecenia Europejskiej Rady ds. Innowacji w zakresie Danych. Państwa członkowskie powiadamiają Komisję o tych przepisach i środkach do dnia 24 września 2023 r., a także powiadamiają ją niezwłocznie o wszelkich późniejszych zmianach, które ich dotyczą.

2. Przy nakładaniu na dostawców usług pośrednictwa danych i uznane organizacje altruizmu danych kar za naruszenia przepisów niniejszego rozporządzenia, państwa członkowskie – stosownie do przypadku – uwzględniają następujące niewyczerpujące i orientacyjne kryteria:

a)	charakter, wagę, skalę i czas trwania naruszenia;

b)	działania podjęte przez dostawcę usług pośrednictwa danych lub uznaną organizację altruizmu danych, aby złagodzić lub naprawić szkodę spowodowaną naruszeniem;

c)	wcześniejsze naruszenia ze strony dostawcy usług pośrednictwa danych lub uznanej organizacji altruizmu danych;

d)	korzyści majątkowe uzyskane przez dostawcę usług pośrednictwa danych lub uznaną organizację altruizmu danych lub straty, których uniknęli, wskutek naruszenia, o ile takie korzyści lub straty można oszacować w sposób wiarygodny;

e)	inne czynniki obciążające lub łagodzące mające zastosowanie w okolicznościach danej sprawy.

Artykuł 35

Ocena i przegląd

Do dnia 24 września 2025 r. Komisja przeprowadzi ocenę niniejszego rozporządzenia i przedłoży Parlamentowi Europejskiemu i Radzie, a także Europejskiemu Komitetowi Ekonomiczno-Społecznemu sprawozdanie na temat głównych ustaleń. W razie potrzeby sprawozdaniu towarzyszą wnioski ustawodawcze.

W sprawozdaniu ocenia się w szczególności:

a)	stosowanie i funkcjonowanie przepisów dotyczących kar ustanowionych przez państwa członkowskie zgodnie z art. 34;

b)	poziom przestrzegania niniejszego rozporządzenia przez przedstawicieli prawnych niemających jednostki organizacyjnej w Unii dostawców usług pośrednictwa danych lub uznanych organizacji altruizmu danych oraz poziom egzekwowania kar nałożonych na tych dostawców i te organizacje;

c)	rodzaj organizacji altruizmu danych zarejestrowanych zgodnie z rozdziałem IV oraz przegląd celów leżących w interesie ogólnym, którym służy dzielenie_się_danymi, z myślą o ustanowieniu jasnych kryteriów w tym zakresie.

Państwa członkowskie przekazują Komisji informacje niezbędne do przygotowania tego sprawozdania.

whereas

keyboard_tab Digital Governance Act 2022/0868 PL

Digital Governance Act 2022/0868 PL