Akt w sprawie danych, czyli o cyfrowej przyszłości Unii Europejskiej

Cele przyjęcia Aktu w sprawie danych

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 (Akt w sprawie danych)[1], zostało ogłoszone w Dzienniku Urzędowym UE 22 grudnia 2023 r., a weszło w życie 11 stycznia 2024 r. Prace legislacyjne nad nim trwały prawie 2 lata. Jego stosowanie rozpocznie się jednak co do zasady 12 września 2025 r. Podmioty rynkowe będą miały więc nieco czasu (20 miesięcy), aby przygotować się do stosowania nowych regulacji.

Akt w sprawie danych wraz z Aktem w sprawie zarządzania danymi[2] stanowią dwa legislacyjne filary Europejskiej Strategii w zakresie Danych[3], która z kolei jest częścią Europejskiej Strategii Cyfrowej.

Według zapowiedzi unijnych prawodawców celem przyjęcia Aktu w sprawie danych było zwiększenie wartości danych dla gospodarki przez umożliwienie jak największej liczbie użytkowników sprawowania kontroli nad generowanymi przez nich danymi i przez zwiększenie dostępności danych dla innowacji, przy jednoczesnym zachowaniu zachęt do inwestowania w generowanie danych.[4]

Warto zwrócić uwagę na deklarację zakorzenienia Aktu w sprawie danych w wartościach europejskich. Jeszcze w lutym 2020 r., ogłaszając Europejską Strategię w zakresie Danych, Komisja zapowiadała, że prace UE dotyczące rozwoju technologii będą koncentrowały się wokół trzech zasadniczych celów odzwierciedlających europejskie wartości:

• technologii w służbie człowieka,
• uczciwej i konkurencyjnej gospodarki oraz
• otwartego i demokratycznego społeczeństwa opartego na zrównoważonym rozwoju.[5]

Deklarację tę powtórzono w 2022 r. ogłaszając projekt Aktu w sprawie danych.

W uzasadnieniu projektu Aktu Komisja zauważyła m.in., że mimo rosnącej ilości danych w gospodarce, większość jest nieużywana lub jest skupiona w rękach kilku największych przedsiębiorstw. Wskazano, że uwolnienie pełnego potencjału usług opartych na danych wymaga usunięcia barier rozwoju gospodarki informacyjnej opartej na wartościach.[6]

O jakie bariery chodzi? W preambule Aktu w sprawie danych wskazano na:

• brak czynników zachęcających posiadaczy danych do dobrowolnego zawierania umów o dzieleniu się danymi,
• brak pewności w kwestii praw i obowiązków związanych z danymi,
• koszty zawierania umów na interfejsy techniczne i wdrażania tych interfejsów,
• wysoki poziom rozdrobnienia informacji w silosach danych,
• niezadowalająca jakość zarządzania metadanymi,
• brak norm interoperacyjności semantycznej i technicznej,
• „wąskie gardła” utrudniające dostęp do danych,
• brak wspólnych praktyk w dziedzinie dzielenia się danymi oraz
• nadużywanie braku równowagi kontraktowej w kwestiach dotyczących dostępu do danych i ich wykorzystywania[7].

Usunięciu barier służyć ma ustanowienie zharmonizowanych ram prawnych na poziomie unijnym, określających w szczególności kto jest uprawniony do wykorzystywania danych z produktu lub z tzw. usługi powiązanej, na jakich warunkach i na jakiej podstawie. Uznano, że cel ten może być lepiej osiągnięty przez działanie legislacyjne na poziomie UE, niż przez regulacje krajowe[8].

Zakres i charakter regulacji Aktu w sprawie danych

Akt w sprawie danych ustanawia przepisy horyzontalne, a więc jest to regulacja ogólna mająca zastosowanie co do zasady do wszystkich sektorów gospodarki. Nie wyklucza to przyjmowania w przyszłości, zarówno na poziomie unijnym, jak i przez państwa członkowskie, przepisów szczególnych o analogicznej materii, jednak mających zastosowanie do określonych gałęzi gospodarki, co zresztą zapowiedziano w preambule rozporządzenia[9].

Dane w rozumieniu Aktu, to dane cyfrowe, czyli wszelkie cyfrowe odwzorowania działań, faktów lub informacji oraz wszelkie kompilacje takich działań, faktów lub informacji, w tym w formie zapisu dźwiękowego, wizualnego lub audiowizualnego[10]. Tym samym, pozostają poza zakresem rozporządzenia wszelkie utrwalenia informacji w formach innych, niż cyfrowa.

Rozporządzenie będzie miało zastosowanie zarówno do danych osobowych, jak i nieosobowych. Uwagi o relacjach Aktu w sprawie danych do przepisów o ochronie danych osobowych znajdują się w dalszej części artykułu.

Akt w sprawie danych nie ma zastosowania do:

• gromadzenia lub udostępniania danych, dostępu do nich lub ich wykorzystywania na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2015/847 z 20 maja 2015 r. w sprawie informacji towarzyszących transferom środków pieniężnych i dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/849 z 20 maja 2015 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu,[11]
• dziedzin niewchodzących w zakres prawa Unii, tj. tych, w których państwa członkowskie mają wyłączną kompetencję przyjmowania prawa: bezpieczeństwa publicznego, obronności lub bezpieczeństwa narodowego, administracji celnej i podatkowej, zdrowia i bezpieczeństwa obywateli.[12]

Przepisy Aktu w sprawie danych, w tym obowiązki związane z ich udostępnianiem, nie będą mogły być wykonywane w sposób mogący doprowadzić do naruszenia prawa własności intelektualnej. Zgodnie z art. 1 ust. 8 i 9 rozporządzenia, pozostaje ono bez uszczerbku dla unijnych i krajowych aktów prawnych przewidujących ochronę praw własności intelektualnej, w szczególności dyrektywy 2001/29/WE, 2004/48/WE oraz (UE) 2019/790.

Akt w sprawie danych dotyczy co do zasady tylko danych sektora prywatnego. W zakresie dostępu do danych sektora publicznego, zastosowanie mają inne przepisy prawa unijnego i krajowego, tj. dyrektywa 2019/1024 w sprawie otwartych danych i ponownego wykorzystywania informacji sektora publicznego, w Polsce wdrożona do systemu prawnego ustawą o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego[13], jak również wspomniany już Akt w sprawie zarządzania danymi.

Jednocześnie, Akt w sprawie danych w określonym zakresie będzie miał zastosowanie też do sektora publicznego, choć nie dotyczy to danych wygenerowanych w tymże sektorze, ale przekazywania danych przez sektor prywatny organom publicznym. Chodzi o udostępnianie danych przez osoby prawne organom sektora publicznego, Komisji Europejskiej, Europejskiemu Bankowi Centralnemu lub innemu organowi Unii, na ich wniosek, jeśli organy te wykażą wyjątkową potrzebę wykorzystania określonych danych w celu wykonania swoich ustawowych obowiązków realizowanych w interesie publicznym.

Zakres podmiotowy rozporządzenia

Akt w sprawie danych dotyczy szerokiego kręgu podmiotów, do których zalicza się:

1. producentów produktów skomunikowanych wprowadzanych do obrotu w UE i dostawców usług powiązanych, niezależnie od miejsca siedziby tych producentów i dostawców;
2. znajdujących się w UE użytkowników produktów skomunikowanych lub usług powiązanych, o których mowa w lit. a);
3. posiadaczy danych, którzy udostępniają dane odbiorcom danych w UE, niezależnie od miejsca siedziby tych posiadaczy;
4. odbiorców danych w UE, którym dane są udostępniane;
5. organów sektora publicznego, Komisji, Europejskiego Banku Centralnego oraz organów Unii, które w przypadku wyjątkowej potrzeby wykorzystania tych danych występują do posiadaczy danych z wnioskiem o udostępnienie danych do celów wykonania zadania realizowanego w interesie publicznym, oraz posiadaczy danych, którzy dostarczają tych danych w odpowiedzi na taki wniosek;
6. dostawców usług przetwarzania danych świadczących takie usługi klientom w UE, niezależnie od miejsca siedziby tych dostawców;
7. uczestników przestrzeni danych oraz sprzedawców aplikacji korzystających z inteligentnych umów, a także osób, których działalność handlowa, gospodarcza lub zawodowa obejmuje wdrażanie inteligentnych umów w ramach wykonywania umowy[14].

Rozporządzenie jest więc skierowane zarówno do osób fizycznych nieprowadzących działalności gospodarczej jak i do przedsiębiorstw. W uwagi na wspomniane przepisy o możliwości skorzystania przez sektor publiczny z danych, którymi dysponuje sektor prywatny, Akt będzie regulował wymianę danych pomiędzy trzema grupami podmiotów:

• pomiędzy konsumentami, a przedsiębiorstwami,
• pomiędzy samymi przedsiębiorstwami oraz
• pomiędzy przedsiębiorstwami, a administracją publiczną[15].

Obowiązki posiadaczy danych do ich udostępnienia

Istotnymi pojęciami na gruncie Aktu jest produkt skomunikowany i usługa powiązana z takim produktem, bowiem to w związku z korzystaniem z tych produktów i usług mogą powstać dane, do których będą miały zastosowanie przepisy rozporządzenia.

Produktem skomunikowanym jest rzecz, która pozyskuje, generuje lub zbiera dostępne dane dotyczące wykorzystywania tego produktu lub jego otoczenia, i która jest w stanie komunikować dane z produktu za pomocą usługi łączności elektronicznej, łącza fizycznego lub dostępu na urządzeniu, i której podstawową funkcją nie jest przechowywanie, przetwarzanie ani przesyłanie danych w imieniu strony innej niż użytkownik[16].

Usługą powiązaną z produktem skomunikowanym jest zaś usługa cyfrowa, w tym oprogramowanie, z wyłączeniem usług łączności elektronicznej, która podczas zakupu, najmu, dzierżawy lub leasingu jest skomunikowana z produktem w taki sposób, że jej brak uniemożliwiłby produktowi skomunikowanemu wykonywanie co najmniej jednej z jego funkcji, lub która zostaje skomunikowana z produktem przez producenta lub osobę trzecią później, aby dodać, uaktualnić lub zmodyfikować funkcje produktu skomunikowanego.[17]

W odniesieniu do udostępniania danych z produktu skomunikowanego lub usługi powiązanej, rozporządzenie w pierwszej kolejności nakazuje, aby produkty i usługi były domyślnie projektowane, produkowane i świadczone w sposób, który – o ile to technicznie możliwe - zapewni bezpośredni dostęp użytkownika do danych, w tym do metadanych potrzebnych do interpretacji i wykorzystania danych. Dostęp ten powinien być łatwy, bezpieczny, bezpłatny i odbywać się w całościowym, powszechnie używanym i nadającym się do odczytu maszynowego formacie.[18]

Na wypadek, gdyby użytkownik nie mógł uzyskać bezpośredniego dostępu do danych z produktu skomunikowanego lub usługi powiązanej, art. 4 reguluje prawa i obowiązki użytkowników i posiadaczy danych w odniesieniu do dostępu do danych, ich wykorzystania i udostępniania.

Posiadacze danych, bez zbędnej zwłoki, w sposób łatwy i bezpieczny, powinni nieodpłatnie udostępniać użytkownikowi dane łatwo dostępne, wraz z odpowiednimi metadanymi niezbędnymi do interpretacji i wykorzystania tych danych, o takiej samej jakości, jaka jest dostępna dla posiadacza danych, w powszechnie używanym, nadającym się do odczytu maszynowego formacie i -  jeżeli jest to technicznie wykonalne – w sposób ciągły i w czasie rzeczywistym.[19]

Procedura uzyskiwania dostępu do danych przez użytkownika ma być prosta i nie powinna nakładać na niego nadmiernych uciążliwości. Nie przewiduje się specjalnej formy wniosku kierowanego do posiadacza danych. Wystarczy, że użytkownik złoży zwykły wniosek drogą elektroniczną (o ile jest to technicznie możliwe). Ponadto, posiadacz danych, w celu zweryfikowania, czy osoba występująca z wnioskiem faktycznie spełnia cechy użytkownika, nie może wymagać dostarczenia żadnych informacji poza tymi, które są niezbędne. Posiadacze danych nie mogą też zachowywać żadnych informacji na temat dostępu użytkownika do żądanych danych poza informacjami, które są niezbędne do wykonania wniosku użytkownika o dostęp oraz do zapewnienia bezpieczeństwa i utrzymania infrastruktury danych.

Ułatwienia przy zmianie dostawy usług chmury

Jedną z kategorii podmiotów, na które Akt w sprawie danych nakłada istotne obowiązki są dostawcy usług chmury obliczeniowej. Usługa chmury obliczeniowej jest nazwana w rozporządzeniu usługą przetwarzania danych. Jest to świadczona na rzecz klienta usługa cyfrowa umożliwiająca wszechobecny sieciowy dostęp na żądanie do wspólnego zbioru konfigurowalnych, skalowalnych i elastycznych zasobów obliczeniowych o charakterze scentralizowanym, rozproszonym lub wysoce rozproszonym, które mogą być szybko przydzielone i uwolnione przy minimalnym wysiłku pod względem zarządzania lub interakcji z dostawcą usług.[20]

Dostawcy tak opisanych usług przetwarzania danych będą zobowiązani do stosowania określonych środków, aby umożliwić klientom łatwą zmianę usługi w chmurze. Owa zmiana może polegać na:

• zmianie usługi przetwarzania danych w chmurze na usługę tego samego typu świadczoną przez innego dostawcę chmury lub
• zmianie usługi chmury na lokalną infrastrukturę klienta lub
• zmianie na korzystanie z usług kilku dostawców chmury równocześnie.

W szczególności, dostawcy usług w chmurze nie mogą stawiać klientom przeszkód przedkomercyjnych, handlowych, technicznych, umownych i organizacyjnych oraz powinni je usuwać, jeżeli przeszkody te utrudniają klientom:

1. rozwiązanie umowy o świadczenie usługi przetwarzania danych po upływie maksymalnego okresu wypowiedzenia i pomyślną finalizację procesu zmiany dostawcy;
2. zawarcie nowych umów z innym dostawcą usług przetwarzania danych obejmujących usługi tego samego typu;
3. przeniesienie danych eksportowalnych i aktywów cyfrowych klienta do innego dostawcy usług przetwarzania danych lub do infrastruktury lokalnej, w tym po skorzystaniu z oferty na poziomie bezpłatnym;
4. uzyskanie równoważności funkcjonalnej w ramach korzystania z nowej usługi przetwarzania danych w środowisku informatycznym innego dostawcy obejmującym usługę tego samego typu;
5. oddzielenie, jeżeli jest to technicznie możliwe, usług dotyczących skalowalnych i elastycznych zasobów obliczeniowych ograniczonych do elementów infrastruktury, takich jak serwery, sieci i zasoby wirtualne od innych usług przetwarzania danych świadczonych przez dostawcę usługi przetwarzania danych[21].

Dostawca usługi przetwarzania danych będzie zobowiązany do zawarcia z klientem umowy na piśmie, która będzie zawierała postanowienia dotyczące zmiany dostawcy takich usług lub przeniesienia do infrastruktury lokalnej. Dostawca musi udostępnić taką umowę klientowi przed podpisaniem w sposób umożliwiający jej przechowywanie i reprodukowanie.

Taka umowa musi zawierać szereg postanowień, m.in.:

• klauzule umożliwiające klientowi na wniosek zmianę dostawcy usług przetwarzania danych na innego dostawcę chmury lub przeniesienie wszystkich danych eksportowalnych i aktywów cyfrowych do infrastruktury lokalnej bez zbędnej zwłoki i nie później niż po upływie obowiązkowego maksymalnego okresu przejściowego wynoszącego 30 dni kalendarzowych i rozpoczynającego się po maksymalnym okresie wypowiedzenia;
• zobowiązanie dostawcy do wsparcia strategii odejścia klienta, w tym poprzez przekazanie wszelkich istotnych informacji;
• postanowienie określające, że umowa zostaje uznana za rozwiązaną, a klient zostaje poinformowany o jej rozwiązaniu w jednym z następujących przypadków:

- po pomyślnym zakończeniu procesu zmiany dostawcy;

- na zakończenie maksymalnego okresu wypowiedzenia, w przypadku gdy klient nie chce zmienić dostawcy, ale chce usunąć wszystkie swoje dane eksportowalne i aktywa cyfrowe po zakończeniu usługi

• maksymalny okres wypowiedzenia rozpoczynający proces zmiany dostawcy, nieprzekraczający dwóch miesięcy;
• szczegółową specyfikację wszystkich kategorii danych i aktywów cyfrowych, które można przenieść w trakcie procesu zmiany dostawcy;
• minimalny okres, w którym można pobrać dane, wynoszący co najmniej 30 dni kalendarzowych, rozpoczynający się po zakończeniu okresu przejściowego uzgodnionego między klientem, a dostawcą;
• postanowienie gwarantujące całkowite usunięcie wszystkich danych eksportowalnych i aktywów cyfrowych wygenerowanych bezpośrednio przez klienta lub bezpośrednio dotyczących klienta po upływie okresu pobierania lub po upływie alternatywnego uzgodnionego okresu w terminie późniejszym niż termin upływu okresu pobierania, pod warunkiem że pomyślnie ukończony został proces zmiany dostawcy;
• opłaty z tytułu zmiany dostawcy, które dostawcy usług przetwarzania danych mogą nałożyć zgodnie z rozporządzeniem.[22]

Jeśli jednak chodzi o opłaty, od 12. 01. 2027 r. dostawcy usług chmurowych nie będą mogli nakładać na klientów opłat z tytułu zmiany dostawcy usługi, natomiast do tego czasu mogą stosować jedynie opłaty obniżone, które nie przekraczają kosztów poniesionych przez dostawcę, bezpośrednio związanych z danym procesem zmiany dostawcy.

Ponadto, dostawcy chmury będą musieli przekazać klientowi:

1. informacje o procedurach zmiany dostawcy i przeniesienia usługi przetwarzania danych, w tym informacje o dostępnych metodach i formatach zmiany dostawcy i przeniesienia oraz o limitach i ograniczeniach technicznych znanych dostawcy usług przetwarzania danych;
2. odniesienie do aktualnego rejestru internetowego prowadzonego przez dostawcę, ze szczegółowymi informacjami o wszelkich strukturach danych i formatach danych oraz o stosownych normach i otwartych specyfikacjach w zakresie interoperacyjności, w których dostępne są dane eksportowalne.

Obowiązkowe zabezpieczenia w chmurze

Akt w sprawie danych przewiduje też przepisy związane z potencjalnym nieuprawnionym dostępem do danych znajdujących się w przestrzeni unijnej ze strony rządów państw trzecich. Aby zapobiec niezgodnemu z prawem dostępowi administracji rządowej państw trzecich do danych nieosobowych, dostawcy usług w chmurze, zgodnie z rozporządzeniem powinni stosować wszelkie rozsądne środki w celu uniemożliwienia dostępu do tych danych, np. poprzez szyfrowanie danych, poddawanie się audytom, przestrzeganie odpowiednich systemów certyfikacji gwarancji bezpieczeństwa oraz zmianę polityki korporacyjnej[23].

Zgodnie z art. 32 ust. 1 Aktu dostawcy usługi chmury mają obowiązek stosowania odpowiednich środków technicznych, organizacyjnych i prawnych, w tym odpowiednich umów, w celu zapobiegania międzynarodowemu dostępowi administracji rządowej państw trzecich do danych nieosobowych przechowywanych na terenie UE oraz międzynarodowemu przekazywaniu takich danych, w przypadku gdy takie przekazywanie lub dostęp byłyby sprzeczne z prawem Unii lub prawem krajowym państwa członkowskiego.

Dostawcy usług w chmurze będą mogli przychylić się do wniosku państwa trzeciego o udostępnienie danych na podstawie wyroku sądu lub decyzji organu takiego państwa, wyłącznie jeśli wniosek jest oparty na umowie międzynarodowej (np. o wzajemnej pomocy prawnej) pomiędzy UE, a państwem trzecim lub między państwem trzecim, a państwem członkowskim. W każdym wypadku dostawca usług w chmurze może udostępnić jedynie jak najmniejszą ilość danych, jak również musi poinformować klienta o wniosku państwa trzeciego, chyba że wniosek jest związany z procedurą ścigania przestępstw.

Na podstawie Aktu w sprawie danych Komisja Europejska ma opracować modelowe klauzule umowne związane z przetwarzaniem i udostępnianiem danych w chmurze, które będą mogli stosować przedsiębiorcy. Do 12 września 2025 r. KE ma przygotować zalecenia w zakresie niewiążących modelowych postanowień umownych dotyczących dostępu do danych i ich wykorzystywania, w tym postanowień dotyczących rekompensaty i ochrony tajemnic przedsiębiorstwa, a także niewiążących standardowych postanowień umownych na potrzeby umów o przetwarzanie w chmurze, aby wesprzeć strony w sporządzaniu i negocjowaniu kontraktów zawierających sprawiedliwe, niedyskryminujące prawa i obowiązki umowne.[24]

Akt w sprawie danych, a Akt w sprawie zarządzania danymi

Jak wspomniano, Akt w sprawie danych wraz z Aktem w sprawie zarządzania danymi tworzą uzupełniający się tandem w ramach Europejskiej Strategii w zakresie danych. Akt w sprawie zarządzania danymi wszedł w życie w czerwcu 2022 r., a jego stosowanie zaczęło się we wrześniu 2023 r. Podobnie jak w przypadku Aktu w sprawie danych, również w przypadku Aktu w sprawie zarządzania danymi uzasadnieniem jego przyjęcia było dążenie do zwiększenia dostępu do danych na rynku. Akt w sprawie zarządzania danymi ma ten cel realizować poprzez ustanowienie zharmonizowanych ram, procesów i struktur umożliwiających wymianę danych przez przedsiębiorców, konsumentów i sektor publiczny. Akt w sprawie zarządzania danymi reguluje w szczególności kwestie ponownego wykorzystywania niektórych kategorii danych będących w posiadaniu sektora publicznego, nową kategorię usług na rynku cyfrowym – usługi pośrednictwa danymi oraz zagadnienie udostępniania danych z pobudek altruistycznych.

Akt w sprawie danych, a RODO

W odniesieniu do danych osobowych, które również są objęte Aktem w sprawie danych i mogą podlegać udostępnieniu, należy pamiętać, że rozporządzenie to nie wyłącza i nie modyfikuje stosowania unijnego i krajowego prawa ochrony danych osobowych i prywatności. Ilekroć na gruncie Aktu w sprawie danych będą przetwarzane (w tym udostępniane) dane osobowe, niezależnie od przepisów tego rozporządzenia i stosowania określonych w nim mechanizmów, zastosowanie będą miały również ogólne przepisy o ochronie danych osobowych, a więc przede wszystkim rozporządzenie RODO[25] i – w Polsce – ustawa o ochronie danych osobowych[26].

Co więcej, zgodnie z art. 1 ust. 5 Aktu w sprawie danych, w razie kolizji pomiędzy tym rozporządzeniem, a unijnym prawem dotyczącym ochrony danych osobowych lub prawem krajowym przyjętym zgodnie z takimi unijnymi przepisami, pierwszeństwo ma unijne lub krajowe prawo ochrony danych osobowych.

Uwagi końcowe

Przed Aktem w sprawie danych stoi ambitne zadanie zwiększenia dostępu dla obywateli UE do danych w sprawiedliwy sposób. Przyszła praktyka jego stosowania pokaże, czy narzędzie, jakim jest legislacja faktycznie jest w stanie zrealizować ten cel.

Jednocześnie, omawiany akt warto też umieścić w kontekście trwających prac legislacyjnych nad przyszłym unijnym rozporządzeniem w sprawie sztucznej inteligencji[27]. Prace nad jego projektem w chwili pisania tego artykułu wchodzą w ostateczną fazę; na początku lutego 2024 r. Rada UE opublikowała dokument prezentujący ostateczną treść uzgodnionego projektu, który przez kilka miesięcy podlegał tzw. trilogowi, czyli negocjacjom Rady UE i Parlamentu Europejskiego pod egidą Komisji[28]. Nie jest więc wykluczone, że rozpoczęcie stosowania obu tych aktów prawnych przypadnie w zbliżonym czasie. Akt w sprawie danych wraz z Aktem w sprawie zarządzania danymi z jednej strony, oraz Akt w sprawie sztucznej inteligencji z drugiej strony mają stanowić podwaliny Europejskiej Strategii Cyfrowej, którą w ogólnych słowach można podsumować jako wpieranie rozwoju technologii i gospodarki cyfrowej przy jednoczesnym zachowaniu wartości, na jakich opiera się UE jako wspólnota.

Dorota Pielak

radca prawny, partnerka w kancelarii prawa własności intelektualnej LGL – Lewandowski Gradek Lewandowska. LGL oferuje wsparcie prawników w zakresie stosowania prawa własności intelektualnej, pomoc mediatorów w rozwiązywaniu sporów związanych z własnością intelektualną i doradztwo rzeczników patentowych w zakresie postępowań przed urzędami patentowymi dla ochrony innowacyjnych rozwiązań opartych o wiedzę, kreację i naukę. LGL świadczy unikalną usługę audytu zasobów intelektualnych przedsiębiorstwa, np. do celów raportowania ESG czy sukcesji, pomoc prawną przy wdrożeniach technologii, doradztwo w prawnych aspektach marketingu i reklamy, a także oferuje narzędzia LegalTech, szkolenia i gotowe produkty prawne.

---

[1] Dz. Urz. UE, 22. 12. 2023; rozporządzenie w przypisach zwane jest dalej Aktem ws. danych

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/868 z 30 maja 2022 r. w sprawie europejskiego zarządzania danymi i zmieniające rozporządzenie (UE) 2018/1724 (akt w sprawie zarządzania danymi), Dz. Urz. UE, 03.06.2022

[3] Więcej na ten temat; dostęp: 20.02.2024 r.

[4] Więcej na ten temat; dostęp: 20. 02. 2024, tłumaczenie własne

[5] Więcej na ten temat; dostęp: 20. 02. 2024, tłumaczenie własne

[6]Wniosek KE dot. Rozporządzenia Parlamentu Europejskiego i Rady w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania (akt w sprawie danych), Komisja Europejska, Bruksela, 23.02.2022, COM (2022) 68 final, 2022/0047 (COD)

[7] Pkt (2) preambuły Aktu ws. danych

[8] Zgodnie z pkt. (4) preambuły Aktu ws danych, państwa członkowskie nie powinny przyjmować dodatkowych wymagań krajowych w odniesieniu do przedmiotu rozporządzenia, chyba że wyraźnie stanowi ono inaczej.

[9] Zgodnie z pkt. (6) preambuły Aktu ws. danych kolejnym krokiem może być ustanowienie zarówno prawa Unii lub prawa krajowego dotyczącego konkretnej sytuację określonych sektorów

[10] Art. 2 pkt.1) Aktu ws. danych

[11] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2015/847 z 20 maja 2015 r. w sprawie informacji towarzyszących transferom środków pieniężnych i uchylenia rozporządzenia (WE) nr 1781/2006, Dz. Urz. UE z 05.06.2015 i Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/849 z 20 maja 2015 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu, zmieniająca rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 i uchylająca dyrektywę Parlamentu Europejskiego i Rady 2005/60/WE oraz dyrektywę Komisji 2006/70/WE., Dz. Urz. UE z 05.06.2015

[12] Pkt (10) preambuły Aktu ws. danych

[13] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1024 z 20 czerwca 2019 r. w sprawie otwartych danych i ponownego wykorzystywania informacji sektora publicznego, Dz. Urz. UE L 172 z 26.06.2019 i Ustawa z 11. 08. 2021 r. o otwartych danych i ponownym wykorzystaniu informacji sektora publicznego (Dz. U. 2021 poz.1641 z późn zm.)

[14] Art. 1 ust. 3 Aktu ws. danych.

[15] Więcej na ten temat; dostęp: 19.02.2024 r.

[16] Art. 2 pkt. 5 Aktu ws. danych

[17] Art. 2 pkt. 6 Aktu ws. danych

[18] Art. 3 ust. 1 Aktu ws. danych

[19] Art. 4 ust. 1 Aktu ws. danych

[20] Art. 2 pkt. 8 Aktu ws. danych

[21] Art. 23 Aktu ws. danych

[22] Art. 25 ust. 2 Aktu ws. danych

[23] Pkt. (102) preambuły Aktu ws. danych

[24] Art. 41 Aktu ws. danych

[25] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz. Urz. UE z 04.05.2016

[26] Ustawa z 10.05.2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 z późn. zm.)

[27] Projekt Rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji (akt w sprawie sztucznej inteligencji) i zmieniającego niektóre akty ustawodawcze Unii, ogłoszony przez KE 21.04.2021 i będący przedmiotem dalszych prac legislacyjnych UE.

[28] Brussels, 26 January 2024 (OR. en) 5662/24, Council of the European Union, Proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act) and amending certain Union legislative acts: analysis of the final compromise text with a view to agreement