Szanowni Państwo, Członkowie Związku Pracodawców Polska Miedź

Uprzejmie informuję, że do konsultacji publicznych skierowany został projekt ustawy o sprawiedliwym dostępie do danych i ich wykorzystywaniu (numer z wykazu UC114).

Przedmiotowy projekt aktu prawnego wraz Uzasadnieniem, Tabelą zgodności oraz Oceną Skutków Regulacji dostępny jest na stronach Rządowego Centrum Legislacji pod adresem:

https://legislacja.rcl.gov.pl/projekt/12404101/katalog/13168657#13168657

Uprzejmie proszę o przekazywanie ewentualnych uwag, opinii i stanowisk do projektu w terminie do 2 grudnia 2025 roku na adres: kuydowicz@pracodawcy.pl w wersji elektronicznej umożliwiającej edytowanie tekstu.

W dniu 11 stycznia 2024 r. weszło w życie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 (akt w sprawie danych), zwane dalej „DA”, „aktem w sprawie danych” lub „rozporządzeniem”. Rozporządzenie to stosuje się od dnia 12 września 2025 roku.

Rozporządzenie przewiduje:

1. wprowadzenie mechanizmów, dzięki którym użytkownicy urządzeń internetu rzeczy i zainstalowanych na nich usług powiązanych będą mieli dostęp do danych generowanych w wyniku korzystania z tych urządzeń (np. sprzętu tzw. inteligentnego domu, samochodów) oraz zyskają możliwość udostępnienia tych danych innym podmiotom (np. oferującym usługi na rynkach niższego szczebla, w tym usługi naprawy);
2. ustanowienie horyzontalnych przepisów regulujących przypadki obowiązkowej wymiany danych między przedsiębiorcami w sytuacjach, kiedy obowiązek udostępnienia danych wynika z prawa unijnego;
3. przeciwdziałanie nieuczciwym postanowieniom umownym między przedsiębiorstwami dotyczącym dostępu do danych i ich wykorzystywania; wprowadzenie katalogu niedozwolonych klauzul umownych jednostronnie nakładanych przez przedsiębiorstwa;
4. przyjęcie zasad umożliwiających organom sektora publicznego dostęp i wykorzystywanie danych, którymi dysponuje sektor prywatny; uzyskanie przez sektor publiczny dostępu do danych prywatnych będzie możliwe w  ograniczonych przypadkach;
5. wprowadzenie rozwiązań ułatwiających zmianę dostawców usług przetwarzania danych; wprowadzenie zabezpieczeń przed bezprawnym dostępem ze strony administracji rządowej państw trzecich do danych nieosobowych przechowywanych przez dostawców usług na terenie Unii Europejskiej, zwanej dalej „UE” lub „Unią”;
6. poprawę interoperacyjności danych oraz usług przetwarzania danych przez nałożenie na uczestników przestrzeni danych, dostawców usług przetwarzania danych i dostawców aplikacji z inteligentnymi umowami obowiązku spełnienia określonych wymogów w zakresie interoperacyjności;
7. dostosowanie dyrektywy 96/9/WE Parlamentu Europejskiego i Rady z dnia 11 marca 1996 r. w sprawie ochrony prawnej baz danych (Dz. Urz. UE L 77 z 27.03.1996, str. 20 oraz Dz. Urz. UE L 130 z 17.05.2019, str. 92) do specyfiki internetu rzeczy przez doprecyzowanie, że prawo sui generis (art. 7 tej dyrektywy) nie będzie mieć zastosowania do baz danych zawierających dane uzyskane lub wygenerowane w wyniku korzystania z produktu internetu rzeczy.

Choć DA jako rozporządzenie unijne jest stosowane bezpośrednio w państwach członkowskich Unii Europejskiej, zwanych dalej „państwami członkowskimi UE”, to poziom ujednolicenia regulacji nie jest pełny. Prawodawca unijny pozostawił państwom członkowskim UE pewną swobodę w zakresie ukształtowania otoczenia instytucjonalno-organizacyjnego oraz regulacyjnego dla potrzeb stosowania przepisów rozporządzenia.

W aspekcie instytucjonalno-organizacyjnym DA zobowiązuje państwa członkowskie UE do wyznaczenia jednego lub więcej właściwych organów odpowiedzialnych za stosowanie i egzekwowanie rozporządzenia. Jeżeli państwo członkowskie UE wyznaczy więcej niż jeden właściwy organ, wyznacza także spośród tych organów koordynatora danych. Oprócz tego, każde państwo członkowskie UE jest zobowiązane do wyznaczenia organu właściwego do spraw certyfikacji organów rozstrzygania sporów pomiędzy użytkownikami, posiadaczami danych, klientami lub dostawcami usług pośrednictwa danych, zwanego dalej „organem do spraw certyfikacji organów rozstrzygania sporów”.

Na płaszczyźnie regulacyjnej DA nakłada na państwa członkowskie UE obowiązek uregulowania w prawie krajowym niektórych kwestii proceduralnych, a także wymaga ustanowienia przepisów dotyczących administracyjnych kar pieniężnych za naruszenie obowiązków przewidzianych w rozporządzeniu.

Z uwagi na brak w obecnym porządku prawnym kompleksowych rozwiązań odpowiadających wszystkim mechanizmom przewidzianym w DA, konieczne jest przyjęcie ustawy zapewniającej jego stosowanie.

I.            Rekomendowane rozwiązanie – nowa ustawa

Rekomendowanym rozwiązaniem jest uchwalenie nowej ustawy, w której zawarte zostaną przepisy prawa krajowego umożliwiające pełne stosowanie DA w Polsce. Przepisy te regulować będą obszary pozostawione przez prawodawcę europejskiego do uregulowania przez państwa członkowskie UE. Nowej ustawie proponuje się nadać tytuł odpowiadający tytułowi DA, czyli „ustawa o sprawiedliwym dostępie do danych i ich wykorzystywaniu”. Takie rozwiązanie wynika z braku w aktualnym systemie prawnym aktu prawnego o adekwatnym zakresie przedmiotowym i funkcjonalnym, w ramach którego możliwe byłoby dokonanie stosownej nowelizacji bez ryzyka rozproszenia regulacji, obniżenia przejrzystości systemu prawa oraz pogorszenia jego spójności. Konieczna jest interwencja legislacyjna, gdyż przyjęcie działań o charakterze wyłącznie organizacyjnym lub poza legislacyjnym nie pozwoliłoby na prawidłowe stosowanie rozporządzenia i realizację obowiązków nałożonych na państwo członkowskie UE.

II.           Zakres projektowanej regulacji

Rozwiązania przewidziane w projekcie służą zbudowaniu odpowiedniego otoczenia instytucjonalno-organizacyjnego oraz regulacyjnego, które umożliwi pełne stosowanie przepisów DA w Polsce. Proponowane rozwiązania zostały oparte na założeniu, że regulacja na poziomie krajowym dotyczyć będzie wyłącznie przepisów, które zostały przez prawodawcę unijnego wprost przekazane do uregulowania w prawie krajowym lub takich, w których DA zostawia swobodę regulacyjną państwom członkowskim UE.

A.           Otoczenie instytucjonalno-organizacyjne

W związku z koniecznością zorganizowania przez państwa członkowskie UE otoczenia instytucjonalno-organizacyjnego na potrzeby stosowania DA, ustawa zawierać będzie regulacje w ramach, których wyznaczone zostaną podmioty odpowiedzialne za realizację przepisów rozporządzenia. Projekt ustawy wyznacza:

1)           Właściwy organ

DA nakłada na państwa członkowskie UE obowiązek wyznaczenia jednego lub więcej właściwych organów odpowiedzialnych za stosowanie i egzekwowanie rozporządzenia. Zadania właściwego organu, poza nadzorowaniem stosowania przepisów DA, obejmują w szczególności:

1. propagowanie wśród użytkowników i podmiotów objętych zakresem DA umiejętności korzystania z danych oraz wiedzy na temat praw i obowiązków wynikających z rozporządzenia,
2. rozpatrywanie skarg wynikających z domniemanych naruszeń DA,
3. prowadzenie postępowań w sprawach dot. stosowania DA,
4. nakładanie administracyjnych kar pieniężnych,
5. monitoring rozwoju technologicznego i sytuacji gospodarczej mających wpływ na udostępnianie i wykorzystywanie danych,
6. współpracę z właściwymi organami innych państw członkowskich UE oraz, w stosownych przypadkach, z Komisją Europejską, zwaną dalej „KE” lub „Komisją”, w celu zapewnienia spójnego i skutecznego stosowania rozporządzenia,
7. współpracę z innymi właściwymi organami odpowiedzialnymi za wdrażanie unijnych lub krajowych aktów prawnych, w tym krajowymi organami ochrony danych osobowych odpowiedzialnym za monitorowanie stosowania RODO,
8. zapewnienie wycofania opłat z tytułu zmiany dostawcy usług przetwarzania danych,
9. analizę wniosków o dostęp organów administracji publicznej do danych prywatnych,
10. zbieranie informacji od posiadaczy danych o odmowie, ograniczeniu, wstrzymaniu się lub zawieszeniu dzielenia się danymi z użytkownikami i osobami trzecimi,
11. pośredniczenie w przekazywaniu wniosków dostawców usług przetwarzania danych o wydanie opinii w sprawie orzeczeń lub wyroku sądu lub trybunału państwa trzeciego lub decyzji organu administracyjnego państwa trzeciego nakazujących przekazanie przechowywanych na terenie UE danych nieosobowych objętych zakresem stosowania rozporządzenia lub udzielenie dostępu do tych danych.

Ponadto przedstawiciele właściwego organu współpracować będą z Europejską Radą ds. Innowacji w zakresie Danych, zwaną dalej „EDIB”. DA powierza jej szereg funkcji. EDIB będzie przede wszystkim odpowiadać za zagwarantowanie spójnego stosowania DA w państwach członkowskich UE (stworzenie spójnej praktyki właściwych organów). Będzie też doradzać KE przy tworzeniu aktów wykonawczych i delegowanych wydawanych na podstawie DA dot. normalizacji

i interoperacyjności.

W przepisach projektu ustawy wyznaczony zostanie jeden właściwy organ. Funkcję tę pełnić będzie Prezes Urzędu Komunikacji Elektronicznej, zwany dalej „Prezesem UKE”.

DA przewiduje również, że zawarte w nim przepisy, pozostają bez uszczerbku dla przepisów prawa Unii i prawa krajowego dotyczących ochrony danych osobowych. W związku z tym w celu wyeliminowania jakichkolwiek wątpliwości w projekcie wprowadzi się zasadę, że przepisy ustawy nie naruszają, wynikających z przepisów o ochronie danych osobowych, kompetencji Prezesa Urzędu Ochrony Danych Osobowych do monitorowania stosowania DA, w tym kompetencji, o których mowa w art. 17 ust. 2 lit. i, w art. 37 ust. 3 i 4, w art. 37 ust. 5 lit. g, art. 38 ust. 3 oraz w art. 40 ust. 4 DA.

2)           Koordynator danych

W przypadku gdy państwo członkowskie UE wyznaczy więcej niż jeden właściwy organ, wyznacza spośród nich koordynatora danych, który ułatwia współpracę między właściwymi organami i pomaga podmiotom objętym zakresem DA we wszystkich sprawach związanych z jego stosowaniem i egzekwowaniem. Koordynator działa jako pojedynczy punkt kontaktu w sprawach związanych ze stosowaniem rozporządzenia. Ponadto:

1. publikuje w internecie wnioski o udostępnienie danych podmiotów prywatnych składane przez organy sektora publicznego,
2. promuje dobrowolne umowy o dzieleniu się danymi między organami sektora publicznego a posiadaczami danych,
3. co roku informuje Komisję o przypadkach, kiedy posiadacz danych ograniczył lub wstrzymał dostęp do danych urządzeń skomunikowanych, kiedy przetwarzanie takich danych mogło zagrozić wymogom bezpieczeństwu urządzenia lub mieć poważny negatywny wpływ na zdrowie, bezpieczeństwo lub ochronę osób fizycznych lub kiedy mimo zastosowania uzgodnionych środków chroniących poufność danych, ujawnienie danych objętych tajemnicą handlową z dużym prawdopodobieństwem poskutkuje poważną szkodą ekonomiczną.

W przypadku wyznaczenia jednego właściwego organu DA przewiduje, że zadania koordynatora danych będzie realizował ten organ.

W związku z tym zadania koordynatora danych realizować będzie Prezes UKE jako właściwy organ.

3)           Organ do spraw certyfikacji organów rozstrzygania sporów

DA nakłada na państwa członkowskie UE obowiązek wyznaczenia organu do spraw certyfikacji organów rozstrzygania sporów. Do zadań tego organu należy certyfikowanie i zgłaszanie do KE organów rozstrzygania sporów pomiędzy użytkownikami, posiadaczami danych, klientami lub dostawcami usług pośrednictwa danych. Funkcję tę pełnić będzie Prezes UKE.

DA daje państwom członkowskim UE swobodę ukształtowania otoczenia instytucjonalnego, które może obejmować jeden lub kilka właściwych organów. Rozwiązanie zaproponowane w projekcie ustawy – powierzenie wszystkich zadań jednemu właściwemu organowi (Prezesowi UKE) – podyktowane jest chęcią stworzenia prostego i przejrzystego systemu instytucjonalnego, co ułatwi obywatelom i przedsiębiorcom stosowanie skomplikowanych przepisów DA. Takie rozwiązanie eliminuje ryzyko operacyjne po stronie jednostek i podmiotów stosujących DA, które w sytuacji wielości właściwych organów mogą mieć problemy z poprawnym wyborem tego, który odpowiada za nadzór nad poszczególnymi rozdziałami bądź przepisami rozporządzenia.

Wyznaczanie jednego właściwego organu poprawi też skuteczność stosowania DA po stronie administracji. DA jako akt o charakterze horyzontalnym będzie funkcjonował jako część coraz bardziej skomplikowanego systemu dot. wymiany i dostępu do danych, ustanowionego przepisami m.in. RODO, aktu o usługach cyfrowych, aktu w sprawie sztucznej inteligencji czy przepisami sektorowymi (jak rozporządzenie dot. przestrzeni danych dot. zdrowia). DA nakłada na właściwy organ obowiązek współdziałania z organami sektorowymi, w tym tymi powołanymi do stosowania wymienionych aktów prawnych, nie dając jednocześnie jasnych wskazówek co do podziału obowiązków. Biorąc pod uwagę te niejasności, konieczne wydaje się maksymalne uproszczenie systemu instytucjonalnego w ramach samego DA. Egzekucja przepisów aktu w sprawie danych będzie łatwiejsza i efektywniejsza, jeśli nie będzie wymagała dodatkowego uzgadniania zadań i czasochłonnej współpracy pomiędzy kilkoma właściwymi organami.

Wybór Prezesa UKE jako jedynego właściwego organu wynika z jego doświadczenia w zakresie zadań związanych z regulacją rynku, co jest zasadniczą funkcją DA. Dodatkowo, Prezes UKE jako organ posiadający doświadczenie w dziedzinie usług opartych na danych i usług łączności elektronicznej, został przez przepisy DA wskazany wprost jako właściwy w odniesieniu do rozdziału VII dotyczącego usług chmurowych. Jest to zasadnicza z punktu widzenia nadzorowania stosowania prawa w procedurze administracyjnej cześć DA.

B.           Otoczenie regulacyjne

Państwa członkowskie UE zobowiązane są zapewnić możliwość realizacji w prawie krajowym przepisów proceduralnych przewidzianych w rozporządzeniu oraz ustanowić regulacje dotyczące administracyjnych kar pieniężnych za naruszenie jego przepisów. W projekcie zawarto przepisy regulujące wskazane obszary. Kształt przepisów proceduralnych jest ściśle powiązany z rozwiązaniami instytucjonalnymi. Z kolei w przypadku regulacji dotyczących administracyjnych kar pieniężnych projektowane przepisy opierają się na rozwiązaniach podobnych do tych przewidzianych w już obowiązujących przepisach,  np. w ustawie z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej (Dz. U. poz. 1221 oraz z 2025 r. poz. 637 i 820), czy ustawie z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572 oraz z 2025 r. poz. 769). Wysokość administracyjnych kar pieniężnych określono biorąc pod uwagę rozwiązania przyjęte w innych państwach członkowskich, takich jak Niemcy czy Finlandia, a także wymogi DA, zgodnie z którymi państwa członkowskie zapewnią możliwość karania za naruszenia przepisów DA w sposób skuteczny, proporcjonalny i odstraszający, uwzględniając charakter, wagę, skalę i czas trwania naruszenia oraz możliwości ekonomiczne podmiotu dopuszczającego się naruszenia. W projekcie ustawy przewidziano, że administracyjna kara pieniężną nakładana przez właściwy organ za naruszenie przepisów DA będzie wynosić do 100 000 zł, a w przypadku przedsiębiorcy – w wysokości nie większej niż 4 % obrotu osiągniętego przez ukarany podmiot w roku obrotowym poprzedzającym rok nałożenia kary

Projekt określa maksymalną wysokość administracyjnych kar pieniężnych pozostawiając Prezesowi UKE jako właściwemu organowi swobodę określania jej wysokości w toku indywidualnych postępowań w oparciu o przesłanki zawarte w art. 40 ust. 3 DA.

Oprócz tego DA nakłada na państwa członkowskie UE obowiązki informacyjne względem KE. Państwa członkowskie UE zostały zobowiązane do powiadamiania KE o prawie krajowym, które nie zezwala na sprzedaż danych na potrzeby tworzenia statystki publicznej, a także do przekazywania KE informacji o zastrzeżeniach co do wprowadzanych (aktami wykonawczymi KE) wspólnych specyfikacji dot. interoperacyjności lub inteligentnych umów. Oba te obowiązki będzie realizować minister właściwy do spraw informatyzacji. Informacje o prawie krajowym, które nie będzie zezwalać na sprzedaż danych na potrzeby tworzenia statystyki publicznej będzie natomiast do ministra właściwego do spraw informatyzacji przekazywać Prezes Głównego Urzędu Statystycznego.

Z wyrazami szacunku