(1) Na przestrzeni ostatnich lat technologie oparte na danych doprowadziły do przemian we wszystkich sektorach gospodarki. W szczególności szybki wzrost liczby produktów podłączonych do internetu przyczynił się do zwiększenia ilości danych i ich potencjalnej wartości dla konsumentów, przedsiębiorstw i ogółu społeczeństwa. Wysokiej jakości interoperacyjne dane z różnych dziedzin sprzyjają konkurencyjności i innowacyjności oraz zapewniają zrównoważony wzrost gospodarczy. Te same dane mogą zostać wykorzystane i być ponownie wykorzystywane do wielu różnych celów i w nieograniczonym zakresie, bez jakiegokolwiek uszczerbku dla jakości czy ilości.

(2) Bariery utrudniające dzielenie się danymi uniemożliwiają optymalne wykorzystywanie danych z pożytkiem dla społeczeństwa. Bariery te obejmują brak czynników zachęcających posiadaczy danych do dobrowolnego zawierania umów o dzieleniu się danymi, brak pewności w kwestii praw i obowiązków związanych z danymi, koszty zawierania umów na interfejsy techniczne i wdrażania tych interfejsów, wysoki poziom rozdrobnienia informacji w silosach danych, niezadowalająca jakość zarządzania metadanymi, brak norm interoperacyjności semantycznej i technicznej, wąskie gardła utrudniające dostęp do danych, brak wspólnych praktyk w dziedzinie dzielenia się danymi oraz nadużywanie braku równowagi kontraktowej w kwestiach dotyczących dostępu do danych i ich wykorzystywania.

(3) W sektorach charakteryzujących się znacznym udziałem mikroprzedsiębiorstw, małych przedsiębiorstw i średnich przedsiębiorstw, zdefiniowanych w art. 2 załącznika do zalecenia Komisji 2003/361/WE 5  (MŚP), niejednokrotnie można zaobserwować niedobór zdolności cyfrowych oraz umiejętności zbierania, analizowania i wykorzystywania danych; ponadto dostęp do danych często jest ograniczony z uwagi na fakt, że jeden podmiot ma je w posiadaniu w swoim systemie, lub z uwagi na brak interoperacyjności między danymi, brak interoperacyjności między usługami w zakresie danych czy brak interoperacyjności transgranicznej.

(4) Aby zaspokoić potrzeby gospodarki cyfrowej i usunąć bariery stojące na drodze do dobrze prosperującego wewnętrznego rynku danych, należy ustanowić zharmonizowane ramy określające, kto jest uprawniony do wykorzystywania danych z produktu lub z usługi powiązanej, na jakich warunkach i na jakiej podstawie. Państwa członkowskie nie powinny zatem przyjmować ani utrzymywać dodatkowych wymagań krajowych w odniesieniu do kwestii wchodzących w zakres stosowania niniejszego rozporządzenia, chyba że wyraźnie stanowi ono inaczej, ponieważ miałoby to wpływ to na jego bezpośrednie i jednolite stosowanie. Ponadto działanie na poziomie Unii powinno pozostawać bez uszczerbku dla obowiązków i zobowiązań ustanowionych w międzynarodowych umowach handlowych zawartych przez Unię.

(5) Celem niniejszego rozporządzenia jest zapewnienie użytkownikom produktu skomunikowanego lub usługi powiązanej w Unii możliwości terminowego dostępu do danych generowanych w wyniku korzystania z danego produktu skomunikowanego lub z danej usługi powiązanej oraz wykorzystywania tych danych, w tym dzielenia się nimi z wybranymi przez siebie osobami trzecimi. Nakłada ono na posiadaczy danych obowiązek udostępniania danych w określonych okolicznościach użytkownikom i osobom trzecim wybranym przez użytkowników. Zapewnia również, aby posiadacze danych udostępniali dane odbiorcom danych w Unii na sprawiedliwych, rozsądnych i niedyskry- minujących zasadach oraz w sposób przejrzysty. Kluczowe znaczenie w ramach dzielenia się danymi mają przepisy prawa prywatnego. Z tego względu w niniejszym rozporządzeniu dostosowuje się przepisy prawa zobowiązań i zapobiega nadużywaniu braku równowagi kontraktowej, która utrudnia sprawiedliwy dostęp do danych i ich uczciwe wykorzystywanie. W przypadku wystąpienia wyjątkowej potrzeby, niniejsze rozporządzenie nakłada również na posiadaczy danych obowiązek udostępniania organom sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu lub organom Unii danych niezbędnych do wykonywania określonego zadania realizowanego w interesie publicznym. Celem niniejszego rozporządzenia jest ponadto ułatwienie zmiany dostawcy usług przetwarzania danych, zwiększenie interoperacyjności danych oraz mechanizmów i usług dzielenia się danymi w Unii. Przepisów niniejszego rozporządzenia nie należy interpretować jako uznających ani przyznających posiadaczom danych jakiekolwiek nowe prawo do wykorzystywania danych generowanych w wyniku korzystania z produktu skomunikowanego lub usługi powiązanej.

(6) Generowanie danych stanowi rezultat działań co najmniej dwóch podmiotów, w szczególności twórców lub producentów produktu skomunikowanego, którzy w wielu przypadkach mogą być także dostawcami usług powiązanych, i użytkownika tego produktu skomunikowanego lub usług powiązanych. Rodzi to pytania o sprawiedliwość w gospodarce cyfrowej, ponieważ dane utrwalane przez takie produkty skomunikowane lub usługi powiązane są istotnymi danymi wejściowymi dla usług świadczonych na rynkach posprzedażowych, usług pomocniczych oraz innego rodzaju usług. Aby czerpać z danych znaczne korzyści gospodarcze, w tym poprzez dzielenie się danymi na podstawie dobrowolnych umów i szersze tworzenie wartości ekonomicznej na podstawie danych przez unijne przedsiębiorstwa, należy przyjąć ogólne podejście regulujące udzielanie praw dostępu do danych i ich wykorzystywania, zamiast przyznawania w tym celu prawa wyłącznego. W niniejszym rozporządzeniu ustanowione są przepisy horyzontalne, a kolejnym krokiem może być ustanowienie prawa Unii lub prawa krajowego uwzględniającego konkretną sytuację określonych sektorów.

(7) Prawo podstawowe do ochrony danych osobowych zostało zagwarantowane w szczególności w rozporządzeniach Parlamentu Europejskiego i Rady (UE) 2016/679 6  i (UE) 2018/1725 7 . Dodatkową ochronę życia prywatnego i poufności komunikacji zapewnia dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady 8 , w tym poprzez określenie warunków przechowywania wszelkich danych osobowych i nieosobowych w urządzeniach końcowych oraz warunków uzyskiwania dostępu do tych danych z urządzeń końcowych. Te unijne akty prawne stanowią podstawę zrównoważonego i odpowiedzialnego przetwarzania danych, również w sytuacjach, w których zestawy danych zawierają równocześnie dane osobowe i dane nieosobowe. Niniejsze rozporządzenie uzupełnia prawo Unii w zakresie ochrony danych osobowych i prywatności, w szczególności rozporządzenia (UE) 2016/679 i (UE) 2018/1725 oraz dyrektywę 2002/58/WE, i pozostaje bez uszczerbku dla tego prawa. Żaden przepis niniejszego rozporządzenia nie powinien być stosowany ani interpretowany w sposób umniejszający lub ograniczający prawo do ochrony danych osobowych lub prawo do prywatności i poufności komunikacji. Wszelkie przetwarzanie danych osobowych zgodnie z niniejszym rozporządzeniem powinno być zgodne z prawem Unii dotyczącym ochrony danych, w tym m.in. z wymogiem istnienia ważnej podstawy prawnej do przetwarzania na podstawie art. 6 rozporządzenia (UE) 2016/679 oraz, w stosownym przypadku, z warunkami przewidzianymi w art. 9 tego rozporządzenia oraz w art. 5 ust. 3 dyrektywy 2002/58/WE. Niniejsze rozporządzenie nie stanowi podstawy prawnej do zbierania ani generowania danych osobowych przez posiadacza danych. Niniejsze rozporządzenie nakłada na posiadaczy danych obowiązek udostępniania danych osobowych użytkownikom oraz, na wniosek użytkownika, wybranym przez niego osobom trzecim. Taki dostęp powinien dotyczyć danych osobowych przetwarzanych przez posiadacza danych na mocy którejkolwiek z podstaw prawnych, o których mowa w art. 6 rozporządzenia (UE) 2016/679. W przypadku gdy użytkownik nie jest osobą, której dane dotyczą, niniejsze rozporządzenie nie stanowi podstawy prawnej do zapewniania dostępu do danych osobowych ani do ich udostępniania osobie trzeciej i nie należy go interpretować jako przyznającego posiadaczowi danych jakiekolwiek nowe prawo do wykorzystywania danych osobowych generowanych w wyniku korzystania z produktu skomunikowanego lub usługi powiązanej. W takich przypadkach w interesie użytkownika może być ułatwienie wypełnienia wymagań przewidzianych w art. 6 rozporządzenia (UE) 2016/679. Ponieważ niniejsze rozporządzenie nie powinno negatywnie wpływać na prawa do ochrony danych osobowych osób, których dane dotyczą, w takich przypadkach posiadacz danych może stosować się do wniosków m.in. przez zastosowanie anonimizacji danych osobowych lub, gdy łatwo dostępne dane zawierają dane osobowe kilku osób, których dane dotyczą, przez przekazanie wyłącznie danych osobowych dotyczących użytkownika.

(8) Zasady minimalizacji danych, uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych mają kluczowe znaczenie w sytuacji, gdy przetwarzanie danych wiąże się z istotnym ryzykiem dla praw podstawowych osób fizycznych. Biorąc pod uwagę aktualny stan wiedzy naukowej i technicznej, wszystkie strony procesu dzielenia się danymi, w tym również dzielenia się danymi w ramach zakresu stosowania niniejszego rozporządzenia, powinny wdrożyć środki techniczne i organizacyjne pozwalające na ochronę tych praw. Środki takie obejmują nie tylko pseudonimizację i szyfrowanie, lecz także korzystanie z coraz powszechniej dostępnej technologii umożliwiającej przekazywanie algorytmów do danych (ang. bring algorithm to the data), co pozwala wywnioskować wartościowe informacje bez konieczności przesyłania danych między stronami lub zbędnego kopiowania samych surowych lub ustrukturyzowanych danych.

(9) O ile nie zostało to odmiennie uregulowane niniejszym rozporządzeniem, niniejsze rozporządzenie nie wpływa na krajowe prawo zobowiązań, w tym na przepisy dotyczące zawierania, ważności lub skutków umów, lub konsekwencji rozwiązania umów. Niniejsze rozporządzenie uzupełnia prawo Unii mające na celu wspieranie interesów konsumentów, zapewnianie konsumentom wysokiego poziomu ochrony oraz ochronę ich zdrowia, bezpieczeństwa i interesów ekonomicznych, w szczególności dyrektywę Rady 93/13/EWG 9  oraz dyrektywy Parlamentu Europejskiego i Rady 2005/29/WE 10  i 2011/83/UE 11 , i pozostaje bez uszczerbku dla tego prawa.

(10) Niniejsze rozporządzenie pozostaje bez uszczerbku dla aktów prawnych Unii i krajowych aktów prawnych ustanawiających dzielenie się danymi, dostęp do danych oraz wykorzystywanie danych do celów związanych z zapobieganiem przestępczości, prowadzeniem postępowań przygotowawczych, wykrywaniem lub ściganiem czynów zabronionych lub wykonywaniem kar lub do celów celnych i podatkowych, niezależnie od podstawy prawnej przewidzianej w Traktacie o funkcjonowaniu Unii Europejskiej (TFUE), w oparciu o którą te akty prawne Unii zostały przyjęte, a także dla w tym zakresie prowadzonej współpracy międzynarodowej w szczególności na podstawie Konwencji Rady Europy o cyberprzestępczości sporządzonej w Budapeszcie dnia 23 listopada 2001 r. (CETS nr 185). Akty te obejmują rozporządzenia Parlamentu Europejskiego i Rady (UE) 2021/784 12 , (UE) 2022/2065 13 , (UE) 2023/1543 14  oraz dyrektywę Parlamentu Europejskiego i Rady (UE) 2023/1544 15 . Niniejsze rozporządzenie nie ma zastosowania do gromadzenia lub udostępniania danych, dostępu do nich ani ich wykorzystywania na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2015/847 16  i dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/849 17 . Niniejsze rozporządzenie nie ma zastosowania do dziedzin niewchodzących w zakres prawa Unii i w żadnym wypadku nie wpływa na kompetencje państw członkowskich w dziedzinie bezpieczeństwa publicznego, obronności lub bezpieczeństwa narodowego, administracji celnej i podatkowej lub zdrowia i bezpieczeństwa obywateli, niezależnie od rodzaju podmiotu, któremu państwo członkowskie powierzyło realizowanie zadań związanych z tymi kompetencjami.

(11) Niniejsze rozporządzenie nie powinno wpływać na prawo Unii określające wymagania dotyczące fizycznego projektu i wymogi dotyczące danych w przypadku produktów wprowadzanych do obrotu w Unii, chyba że niniejsze rozporządzenie wyraźnie stanowi inaczej.

(12) Niniejsze rozporządzenie jest uzupełnieniem i pozostaje bez uszczerbku dla prawa Unii określającego wymagania dostępności niektórych produktów i usług, w szczególności dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/882 18 .

(13) Niniejsze rozporządzenie pozostaje bez uszczerbku dla aktów prawnych Unii i krajowych aktów prawnych przewidujących ochronę praw własności intelektualnej, w tym dyrektyw Parlamentu Europejskiego i Rady 2001/29/WE 19 , 2004/48/WE 20  oraz (UE) 2019/790 21 .

(14) Zakres stosowania niniejszego rozporządzenia powinien obejmować produkty skomunikowane, które za pomocą elementów składowych lub systemów operacyjnych pozyskują, generują lub zbierają dane dotyczące swojego działania, wykorzystywania lub środowiska, i które mogą komunikować te dane za pomocą usługi łączności elektronicznej, łącza fizycznego lub dostępu na urządzeniu, często określanych jako internet rzeczy, z wyjątkiem prototypów. Przykładem takich usług łączności elektronicznej są w szczególności naziemne sieci telefoniczne, sieci telewizji kablowej, sieci satelitarne i sieci komunikacji zbliżeniowej. Produkty skomunikowane można znaleźć we wszystkich segmentach gospodarki i życia społecznego, w tym w infrastrukturze prywatnej, cywilnej i handlowej, w pojazdach, w sprzęcie związanym ze zdrowiem i stylem życia, na statkach, w statkach powietrznych, w sprzętach domowych i towarach konsumpcyjnych, wyrobach medycznych i zdrowotnych lub maszynach rolniczych i przemysłowych. O tym, jakie dane jest w stanie udostępniać produkt skomunikowany, powinny decydować wybory projektowe producenta oraz w stosownym przypadku prawo Unii lub prawo krajowe uwzględniające potrzeby i cele danego sektora lub stosowne decyzje właściwych organów.

(15) Dane stanowią cyfrowe odwzorowanie czynności i zdarzeń z udziałem użytkownika i w związku z tym powinny być dla niego dostępne. Przepisy niniejszego rozporządzenia dotyczące dostępu do danych z produktów skomunikowanych i usług powiązanych oraz dotyczące ich wykorzystywania odnoszą się zarówno do danych z produktu, jak i do danych z usługi powiązanej. Dane z produktu to dane wygenerowane w wyniku korzystania z produktu skomunikowanego, które producent zaprojektował tak, by mogły być pobierane przez użytkownika, posiadacza danych lub osobę trzecią, w tym w stosownym przypadku producenta. Dane z usługi powiązanej to dane stanowiące cyfrowe odwzorowanie czynności lub zdarzeń z udziałem użytkownika związanych z produktem skomunikowanym, generowane podczas świadczenia usługi powiązanej przez dostawcę. Dane wygenerowane w wyniku korzystania z produktu skomunikowanego lub z usługi powiązanej należy rozumieć jako dane utrwalone celowo lub dane niebezpośrednio wynikające z czynności użytkownika, takie jak dane o środowisku produktu skomunikowanego lub o jego interakcjach. Powinny one obejmować dane o korzystaniu z produktu skomunikowanego wygenerowane przez interfejs użytkownika lub poprzez usługę powiązaną i nie powinny ograniczać się do informacji, że takie korzystanie miało miejsce, lecz powinny obejmować wszelkie dane, które generuje produkt skomunikowany w wyniku takiego korzystania, takie jak dane wygenerowane automatycznie przez czujniki oraz dane utrwalone przez wbudowane aplikacje, w tym aplikacje wskazujące stan i nieprawidłowe działanie urządzenia. Powinny one także obejmować dane wygenerowane przez produkt skomunikowany lub usługę powiązaną podczas bezczynności użytkownika, np. gdy użytkownik postanawia nie korzystać z produktu skomunikowanego przez określony czas i pozostawić go w trybie czuwania lub nawet go wyłączyć, z uwagi na to, że stan produktu skomunikowanego lub jego elementów składowych, takich jak baterie, może się różnić, gdy produkt skomunikowany znajduje się w trybie czuwania lub jest wyłączony. W zakres stosowania niniejszego rozporządzenia wchodzą dane, które nie są w znaczny sposób zmodyfikowane, tzn. dane surowe, nazywane także danymi źródłowymi czy danymi pierwotnymi, oznaczające punkty danych automatycznie generowane bez dalszego przetwarzania oraz dane, które zostały wstępnie przetworzone, po to aby przed dalszym przetwarzaniem i analizą były zrozumiałe i użyteczne. Takie dane obejmują dane zebrane przez pojedynczy czujnik lub przez skomunikowaną grupę czujników do celów uczynienia zebranych danych zrozumiałymi na potrzeby ich szerszego wykorzystania, poprzez określenie wielkości lub właściwości fizycznej lub zmiany wielkości fizycznej, np. temperatury, ciśnienia, natężenia przepływu, dźwięku, wartości pH, poziomu cieczy, pozycji, przyspieszenia lub prędkości. Pojęcia "dane wstępnie przetworzone" nie należy interpretować w sposób nakładający na posiadacza danych obowiązku dokonywania znacznych inwestycji w czyszczenie i transformację danych. Dane, które mają być udostępnione, powinny obejmować stosowne metadane, w tym ich podstawowy kontekst i znacznik czasu, aby dane były użyteczne w połączeniu z innymi danymi, takimi jak dane posortowane i sklasyfikowane z innymi odnoszącymi się do nich punktami danych, lub przeformatowane na powszechnie używany format. Takie dane mogą być cenne dla użytkownika i przyczyniać się do innowacji i do opracowania usług cyfrowych i innych usług chroniących środowisko, zdrowie i gospodarkę o obiegu zamkniętym, w tym poprzez umożliwianie konserwacji i naprawy przedmiotowych produktów skomunikowanych. W zakres niniejszego rozporządzenia nie powinny jednak wchodzić informacje wywiedzione lub wywnioskowane z takich danych, a które są wynikiem dodatkowych inwestycji w przypisywanie wartości do danych lub pozyskiwanie wiedzy z danych, w szczególności za pomocą złożonych algorytmów autorskich, w tym będących częścią oprogramowania zamkniętego, i w związku z tym obowiązek udostępniania tych informacji użytkownikowi lub odbiorcy danych spoczywający na posiadaczu danych nie powinien ich obejmować, chyba że użytkownik i posiadacz danych wspólnie postanowią inaczej. Dane takie mogą obejmować w szczególności informacje wywnioskowane za pomocą fuzji sensorycznej, która wywodzi lub wywnioskowuje dane z wielu czujników zebranych w produkcie skomunikowanym przy użyciu złożonych algorytmów autorskich i która może podlegać prawom własności intelektualnej.

(16) Niniejsze rozporządzenie pozwala użytkownikom produktów skomunikowanych korzystać z usług świadczonych na rynkach posprzedażowych, z usług pomocniczych oraz z innego rodzaju usług opartych na danych zebranych przez czujniki wbudowane w takie produkty; zbieranie tych danych może być wartościowe dla poprawy działania produktów skomunikowanych. Ważne jest, aby rozróżnić z jednej strony rynki oferujące takie wyposażone w czujniki produkty skomunikowane oraz usługi powiązane, a z drugiej - rynki niepowiązanego oprogramowania i niepowiązanych treści, takich jak treści tekstowe, dźwiękowe lub audiowizualne, często objęte prawami własności intelektualnej. W związku z tym zakresem stosowania niniejszego rozporządzenia nie powinny być objęte dane generowane przez takie wyposażone w czujniki produkty skomunikowane, gdy użytkownik utrwala, przesyła, wyświetla lub odtwarza treści, oraz same treści, często objęte prawami własności intelektualnej, w tym na użytek usługi online. Niniejsze rozporządzenie nie powinno również obejmować danych pozyskiwanych, generowanych lub dostępnych z produktu skomunikowanego lub na niego przesyłanych do celów przechowywania lub innych operacji przetwarzania w imieniu innych osób niebędących użytkownikami, tak jak może to mieć miejsce w przypadku serwerów lub infrastruktury chmury obsługiwanych przez właścicieli wyłącznie w imieniu osób trzecich, w tym na użytek usługi online.

(17) Należy ustanowić zasady dotyczące produktów, które podczas zakupu, najmu, dzierżawy lub leasingu są skomunikowane z usługą powiązaną w taki sposób, że jej brak uniemożliwiłby produktowi skomunikowanemu wykonywanie co najmniej jednej z jego funkcji, lub która później zostaje skomunikowana z produktem przez producenta lub osobę trzecią, aby dodać lub zmodyfikować funkcje produktu skomunikowanego. Takie usługi powiązane obejmują wymianę danych między produktem skomunikowanym a dostawcą usługi i należy je rozumieć jako ściśle powiązane z obsługą funkcji produktu skomunikowanego, takie jak usługi, które w stosownym przypadku przesyłają polecenia do produktu skomunikowanego, które są w stanie mieć wpływ na jego czynności lub działanie. Usługi, które nie wpływają na obsługę produktu skomunikowanego i które nie obejmują przesyłania danych ani poleceń do produktu skomunikowanego przez dostawcę usługi, nie powinny być uznawane za usługi powiązane. Wśród usług takich mogą być konsultacje pomocnicze, usługi analityczne lub finansowe, czy też bieżąca naprawa i konserwacja. Usługi powiązane mogą być oferowane w ramach umowy sprzedaży, najmu, dzierżawy czy leasingu. Usługi powiązane mogą też być świadczone w przypadku produktów tego samego rodzaju, a zatem użytkownicy mogą się spodziewać ich świadczenia uwzględniając charakter produktu i wszelkie publiczne oświadczenia ze strony lub w imieniu sprzedawcy, wynajmującego, wydzierżawiającego, leasingodawcy lub innej osoby na wcześniejszych etapach łańcucha transakcji, w tym producenta. Takie usługi powiązane mogą samodzielnie generować dane mające wartość dla użytkownika niezależnie od możliwości zbierania danych przez produkt skomunikowany, z którym są połączone. Niniejsze rozporządzenie powinno również mieć zastosowanie do usługi powiązanej dostarczanej nie przez sprzedawcę, wynajmującego, wydzierżawiającego lub leasingodawcę, lecz świadczonej przez osobę trzecią. W razie wątpliwości, czy dana usługa jest świadczona w ramach umowy sprzedaży, najmu, dzierżawy lub leasingu, niniejsze rozporządzenie powinno mieć zastosowanie. Zasilanie energią lub zapewnianie łączności nie powinny być interpretowane jako usługi powiązane do celów niniejszego rozporządzenia.

(18) Przez użytkownika produktu skomunikowanego należy rozumieć osobę fizyczną lub prawną, taką jak przedsiębiorstwo, konsument lub organ sektora publicznego, do której należy produkt skomunikowany, lub która na mocy umowy najmu, dzierżawy lub leasingu otrzymała pewne prawa tymczasowe umożliwiające dostęp do danych pozyskanych z produktu skomunikowanego lub ich wykorzystywanie, lub która korzysta z usług powiązanych z produktem skomunikowanym. Prawa dostępu nie powinny w żaden sposób zmieniać ani ingerować w prawa osób, których dane dotyczą i które mogą wchodzić w interakcje z produktem skomunikowanym lub usługą powiązaną w odniesieniu do danych osobowych generowanych przez produkt skomunikowany lub podczas świadczenia usługi powiązanej. Użytkownik ponosi ryzyko i czerpie korzyści w związku z korzystaniem z produktu skomunikowanego i powinien mieć również dostęp do danych generowanych przez ten produkt. Użytkownik powinien być zatem również uprawniony do czerpania korzyści związanych z danymi generowanymi przez ten produkt skomunikowany i każdą usługę powiązaną. Za użytkownika należy również uznać właściciela, najemcę, dzierżawcę lub leasingobiorcę, w tym gdy za użytkowników można uznać kilka podmiotów. W przypadku kilku użytkowników każdy z nich może w różny sposób przyczyniać się do generowania danych i być zainteresowany różnymi formami ich wykorzystywania, tak jak ma to miejsce między innymi przy zarządzaniu flotą przedsiębiorstwa leasingowego czy w ramach rozwiązań mobilnościowych dla osób fizycznych korzystających z usługi wspólnego użytkowania samochodów osobowych.

(19) Umiejętność korzystania z danych oznacza umiejętności, wiedzę i zrozumienie, które pozwalają użytkownikom, konsumentom i przedsiębiorstwom, w szczególności MŚP objętym zakresem stosowania niniejszego rozporządzenia, zdawać sobie sprawę z potencjalnej wartości danych, które generują, które tworzą i którymi się dzielą, oraz być zmotywowanymi, by oferować i zapewniać dostęp zgodnie ze stosownymi przepisami prawnymi. Umiejętność korzystania z danych powinna wykraczać poza uczenie się o narzędziach i technologiach i powinna służyć zdobywaniu przez obywateli i przedsiębiorstwa zdolności i potencjału korzystania z inkluzywnego i uczciwego rynku danych. Rozpowszechnienie środków rozwijających umiejętność korzystania z danych oraz wprowadzenie odpowiednich działań następczych mogłyby przyczynić się do poprawy warunków pracy, a w ostatecznym rozrachunku wsparłyby konsolidację i innowacyjną ścieżkę gospodarki opartej na danych w Unii. Właściwe organy powinny promować narzędzia i przyjmować środki zwiększające wśród użytkowników i podmiotów objętych zakresem niniejszego rozporządzenia umiejętność korzystania z danych oraz świadomość przysługujących im na jego podstawie praw i spoczywających na nich obowiązków.

(20) W praktyce nie wszystkie dane generowane przez produkty skomunikowane lub usługi powiązane są łatwo dostępne dla użytkowników, a możliwość przenoszenia danych generowanych przez produkty podłączone do internetu często jest ograniczona. Użytkownicy nie są w stanie pozyskiwać danych niezbędnych do korzystania z usług naprawy i innych usług oferowanych przez dostawców, a przedsiębiorstwa nie są w stanie wprowadzać innowacyjnych, wygodnych i wydajniejszych usług. W wielu sektorach na podstawie kontroli technicznego projektu produktów skomunikowanych lub usług powiązanych producenci są w stanie ustalić, jakie dane są generowane i w jaki sposób można uzyskać do nich dostęp, mimo że nie mają tytułu prawnego do tych danych. Należy zatem zapewnić, aby produkty skomunikowane były projektowane i wytwarzane, a usługi powiązane projektowane i świadczone, w taki sposób, aby użytkownik zawsze mógł z łatwością i bezpiecznie uzyskać dostęp do danych z produktu i usługi powiązanej, w tym powiązanych metadanych niezbędnych do interpretacji i wykorzystania tych danych, w tym w celu ich pobierania i wykorzystywania oraz dzielenia się nimi - nieodpłatnie, w całościowym, ustrukturyzowa- nym, powszechnie używanym formacie nadającym się do odczytu maszynowego. Dane z produktu i dane z usługi powiązanej, które posiadacz danych zgodnie z prawem pozyskuje lub może zgodnie z prawem pozyskać z produktu skomunikowanego lub z powiązanej usługi, w tym dzięki projektowi produktu skomunikowanego, umowie posiadacza danych z użytkownikiem na świadczenie usług powiązanych oraz dzięki technicznym metodom dostępu do danych, bez nieproporcjonalnego wysiłku, są nazywane "danymi łatwo dostępnymi". Dane łatwo dostępne nie obejmują danych generowanych w wyniku korzystania z produktu skomunikowanego, jeżeli projekt produktu skomunikowanego nie przewiduje przechowywania lub przesyłania takich danych poza elementem składowym, w którym są one generowane, lub poza całym produktem. Nie należy zatem rozumieć, że niniejsze rozporządzenie wprowadza obowiązek przechowywania danych na centralnej jednostce obliczeniowej produktu skomunikowanego. Brak takiego obowiązku nie powinien uniemożliwiać producentowi lub posiadaczowi danych dokonywania dobrowolnych uzgodnień z użytkownikiem w sprawie wprowadzenia takich adaptacji. Przewidziane w niniejszym rozporządzeniu obowiązki związane z projektem pozostają także bez uszczerbku dla zasady minimalizacji danych określonej w art. 5 ust. 1 lit. c) rozporządzenia (UE) 2016/679 i nie należy ich rozumieć jako wprowadzających obowiązek projektowania produktów skomunikowanych i usług powiązanych w taki sposób, aby przechowywały lub w inny sposób przetwarzały dane osobowe inne niż dane osobowe niezbędne do celów, w jakich są przetwarzane. Prawo Unii lub prawo krajowe może zostać ustanowione w celu doprecyzowania dalszej specyfiki, takiej jak dane z produktu, które powinny być dostępne z produktów skomunikowanych lub usług powiązanych, ponieważ takie dane mogą być nieodzowne do skutecznej obsługi, naprawy lub konserwacji tych produktów skomunikowanych lub usług powiązanych. W przypadku gdy późniejsze aktualizacje lub przeróbki produktu skomunikowanego lub usługi powiązanej przez producenta lub inną osobę skutkują dodatkowymi dostępnymi danymi lub ograniczeniem pierwotnie dostępnych danych, o zmianach takich powinno się poinformować użytkownika w kontekście aktualizacji lub przeróbki.

(21) W przypadku gdy za użytkowników uznawanych jest kilka osób lub podmiotów, np. w razie współwłasności lub w razie gdy właściciel, najemca, dzierżawca lub leasingobiorca współdzielą prawa dostępu do danych lub ich wykorzystywania, projekt produktu skomunikowanego, usługi powiązanej lub stosownego interfejsu powinien umożliwiać każdemu z użytkowników dostęp do generowanych przez niego danych. Użytkownicy produktów skomunikowanych zwykle muszą założyć konto użytkownika. Takie konto umożliwia identyfikację użytkownika przez posiadacza danych, który może być producentem. Może być również wykorzystywane jako środek komunikacji oraz do składania i przetwarzania wniosków o dostęp do danych. W przypadku gdy kilku producentów lub dostawców usług powiązanych sprzedało, wynajęło, wydzierżawiło lub oddało w leasing produkty skomunikowane lub świadczyło usługi powiązane, które są wspólnie zintegrowane, temu samemu użytkownikowi, użytkownik ten powinien zwrócić się do każdej ze stron, z którą zawarł umowę. Producenci lub projektanci produktu skomunikowanego, z którego zwykle korzysta kilka osób, powinni zapewnić niezbędne mechanizmy w stosownym przypadku umożliwiające założenie oddzielnych kont użytkownika dla poszczególnych osób lub korzystanie z tego samego konta użytkownika przez kilka osób. Rozwiązania dotyczące konta powinny pozwalać użytkownikom usuwać konta i związane z nimi dane i mogą pozwalać użytkownikom zakończyć dostęp do danych, ich wykorzystywanie lub dzielenie się nimi lub składać wnioski o takie zakończenie, w szczególności z uwzględnieniem sytuacji, w których zmienia się właściciel produktu skomunikowanego lub sposób jego użytkowania. Użytkownik powinien uzyskiwać dostęp za pomocą zwykłych mechanizmów, które automatycznie wykonują wniosek, bez konieczności analizy lub zatwierdzenia ze strony producenta lub posiadacza danych. Oznacza to, że dane powinny być udostępniane wyłącznie na faktyczne życzenie użytkownika. W przypadku gdy automatyczne wykonanie wniosku o dostęp do danych jest niemożliwe, np. za pomocą konta użytkownika lub aplikacji mobilnej towarzyszącej produktowi skomunikowanemu lub usłudze powiązanej, producent powinien poinformować użytkownika, w jaki sposób może on uzyskać dostęp do danych.

(22) Produkty skomunikowane mogą być zaprojektowane tak, aby niektóre dane były bezpośrednio dostępne w pamięci urządzenia lub na zdalnym serwerze, któremu dane są komunikowane. Dostęp do pamięci urządzenia można zapewnić za pomocą kablowych lub bezprzewodowych sieci lokalnych podłączonych do publicznie dostępnych usług łączności elektronicznej lub do sieci mobilnej. Serwerem może być własny lokalny serwer producenta lub serwer osoby trzeciej lub dostawcy usług w chmurze. Podmioty przetwarzające dane zdefiniowane w art. 4 pkt 8) rozporządzenia (UE) 2016/679 nie są uznawane za posiadaczy danych. Jednakże może być im wyznaczone konkretne zadanie udostępniania danych przez administratora danych zdefiniowane w art. 4 pkt 7) rozporządzenia (UE) 2016/679. Produkty skomunikowane mogą być zaprojektowane tak, aby użytkownik lub osoba trzecia mogli przetwarzać dane w produkcie skomunikowanym, w jednostce obliczeniowej producenta lub w wybranym przez użytkownika lub osobę trzecią środowisku informatycznym.

(23) Coraz większą rolę w ramach cyfryzacji otoczenia konsumenckiego i zawodowego odgrywają wirtualni asystenci, którzy służą jako łatwy w użyciu interfejs do odtwarzania treści, pozyskiwania informacji lub uruchamiania produktów podłączonych do internetu. Wirtualni asystenci mogą pełnić rolę pojedynczego punktu dostępu, np. w środowisku inteligentnego domu, i utrwalać znaczne ilości istotnych danych o sposobie interakcji użytkowników z produktami podłączonymi do internetu, w tym produktami wyprodukowanymi przez inne podmioty, i mogą zastępować interfejsy zapewniane przez producenta, takie jak ekrany dotykowe czy aplikacje na smartfon. Użytkownik może chcieć udostępniać takie dane zewnętrznym producentom i umożliwiać powstawanie nowatorskich inteligentnych usług. Wirtualni asystenci powinni być objęci prawami dostępu do danych przewidzianymi w niniejszym rozporządzeniu. Powinny być nimi też objęte dane generowane w trakcie interakcji użytkownika z produktem skomunikowanym za pomocą wirtualnego asystenta zapewnionego przez podmiot niebędący producentem produktu skomunikowanego. W zakres stosowania niniejszego rozporządzenia powinny wchodzić jednak wyłącznie dane wynikające z interakcji między użytkownikiem a produktem skomunikowanym lub usługą powiązaną za pośrednictwem wirtualnego asystenta. W zakres stosowania niniejszego rozporządzenia nie wchodzą dane generowane przez wirtualnego asystenta, które nie są związane z korzystaniem z produktu skomunikowanego lub usługi powiązanej.

(24) Przed zawarciem umowy sprzedaży, najmu, dzierżawy lub leasingu produktu skomunikowanego użytkownik musi otrzymać od sprzedawcy, wynajmującego, wydzierżawiającego lub leasingodawcy, którymi może być producent, jasne i zrozumiałe informacje o danych z produktu, które produkt skomunikowany jest w stanie wygenerować, w tym o rodzaju, formacie i szacowanej ilości takich danych. Może to obejmować, o ile są dostępne, informacje o strukturach danych, formatach danych, słownikach, systemach klasyfikacji, taksonomiach i wykazach kodów oraz jasne i wystarczające informacje, które są istotne dla wykonywania przez użytkownika przysługujących mu praw, o tym, jak można przechowywać dane, pobierać je lub uzyskiwać do nich dostęp, w tym warunki użytkowania i jakość usług interfejsów programowania aplikacji lub w stosownym przypadku warunki dostarczenia narzędzi do programowania. Obowiązek ten zapewnia przejrzystość danych generowanych z produktu i ułatwia użytkownikowi dostęp. Obowiązek informacyjny można wypełnić dzięki utrzymywaniu stabilnego ujednoliconego formatu adresowania zasobów (URL) w internecie, który można rozpowszechniać jako link do strony lub kod QR odsyłający do stosownych informacji i który może zostać wskazany użytkownikowi przez sprzedawcę, wynajmującego, wydzierżawiającego lub leasingodawcę, którymi może być producent, przed zawarciem umowy sprzedaży, najmu, dzierżawy lub leasingu produktu skomunikowanego. W każdym wypadku należy zapewnić użytkownikowi możliwość przechowywania tych informacji w sposób pozwalający na dostęp do nich w przyszłości i na odtworzenie przechowywanych informacji w niezmienionej postaci. Nie można oczekiwać, że posiadacz danych będzie bezterminowo przechowywać dane na potrzeby użytkownika produktu skomunikowanego, powinien on jednak wdrożyć rozsądną politykę zatrzymywania danych, tam, gdzie ma to zastosowanie, zgodnie z zasadą ograniczenia przechowywania zgodnie z art. 5 ust. 1 lit. e) rozporządzenia (UE) 2016/679, która pozwoli na skuteczne stosowanie praw dostępu do danych przewidzianych w niniejszym rozporządzeniu. Ten obowiązek przedstawienia informacji nie wpływa na spoczywający na administratorze danych obowiązek przedstawienia informacji osobie, której dane dotyczą, zgodnie z art. 12, 13 i 14 rozporządzenia (UE) 2016/679. Obowiązek przedstawienia informacji przed zawarciem umowy o świadczenie usługi powiązanej powinien spoczywać na przyszłym posiadaczu danych, niezależnie od tego, czy zawiera on umowę sprzedaży, najmu, dzierżawy lub leasingu produktu skomunikowanego. Użytkownika należy także poinformować, jeżeli w okresie trwałości produktu skomunikowanego lub w okresie obowiązywania umowy na usługę powiązaną informacje te się zmienią, w tym gdy cel, w jakim dane mają być wykorzystywane, zmieni się w stosunku do celu określonego pierwotnie.

(25) Przepisów niniejszego rozporządzenia nie należy rozumieć jako przyznających posiadaczom danych jakiekolwiek nowe prawo do wykorzystywania danych z produktu lub z usługi powiązanej. W przypadku gdy posiadaczem danych jest producent produktu skomunikowanego, podstawą wykorzystywania przez niego danych nieosobowych powinna być umowa między producentem a użytkownikiem. Taka umowa może być częścią umowy o świadczenie usługi powiązanej, którą można zaoferować wraz z umową sprzedaży, najmu, dzierżawy lub leasingu dotyczącą produktu skomunikowanego. Każde postanowienie umowne stanowiące, że posiadacz danych może wykorzystywać dane z produktu lub z usługi powiązanej, powinno być dla użytkownika przejrzyste, w tym w odniesieniu do celów, w jakich posiadacz danych zamierza wykorzystywać dane. Cele takie mogą obejmować poprawę funkcjonowania produktu skomunikowanego lub usług powiązanych, opracowanie nowych produktów lub usług lub agregację danych w celu udostępnienia wywnioskowanych danych osobom trzecim, o ile takie wywnioskowane dane nie umożliwiają identyfikacji konkretnych danych przesłanych posiadaczowi danych z produktu skomunikowanego ani nie umożliwiają osobie trzeciej wywnioskowania tych danych z zestawu danych. Wszelkie zmiany w umowie powinny zależeć od świadomej zgody użytkownika. Niniejsze rozporządzenie nie uniemożliwia stronom uzgodnienia postanowień umownych skutkujących wykluczeniem lub ograniczeniem wykorzystywania danych nieosobo- wych lub niektórych kategorii danych nieosobowych przez posiadacza danych. Nie uniemożliwia ono także stronom udostępnienia - bezpośrednio lub pośrednio, albo w stosownym przypadku za pośrednictwem innego posiadacza danych - danych z produktu skomunikowanego lub z usługi powiązanej osobom trzecim. Co więcej, niniejsze rozporządzenie nie uniemożliwia przyjmowania sektorowych wymagań regulacyjnych w prawie Unii lub w prawie krajowym przyjętym zgodnie z prawem Unii, które to wymogi powodowałyby wykluczenie lub ograniczenie wykorzystywania niektórych takich danych przez posiadacza danych w przypadkach uzasadnionych wyraźnie zdefiniowanymi względami porządku publicznego. Niniejsze rozporządzenie nie uniemożliwia użytkownikom, w przypadku stosunków między przedsiębiorcami, udostępniania danych osobom trzecim lub posiadaczom danych na podstawie zgodnych z prawem postanowień umownych, w tym poprzez uzgodnienie ograniczenia lub zawężenia dalszego dzielenia się takimi danymi; nie uniemożliwia im także otrzymania proporcjonalnej rekompensaty, np. w zamian za zrzeczenie się prawa do wykorzystywania takich danych lub dzielenia się nimi. Pojęcie "posiadacz danych" zasadniczo nie obejmuje organów sektora publicznego, może jednak obejmować przedsiębiorstwa publiczne.

(26) Aby sprzyjać powstawaniu płynnych, uczciwych i wydajnych rynków danych nieosobowych, użytkownicy produktów skomunikowanych powinni mieć możliwość dzielenia się danymi z innymi, w tym do celów komercyjnych, przy minimalnym wysiłku prawnym i technicznym. Obecnie przedsiębiorcom często trudno jest uzasadnić koszty zatrudnienia i koszty oprogramowania, które są niezbędne do przygotowania zestawów danych nieosobowych lub produktów opartych na danych, i zaoferować je potencjalnym kontrahentom za pośrednictwem usług pośrednictwa danych, w tym rynków danych. Istotną przeszkodą w dzieleniu się danymi nieosobowymi przez przedsiębiorców jest zatem brak przewidywalności zwrotu z inwestycji w selekcję i udostępnianie zestawów danych i produktów opartych na danych. Aby umożliwić powstanie płynnych, uczciwych i wydajnych rynków danych nieosobowych w Unii, należy wyraźnie określić, która strona ma prawo oferować takie dane na rynku. Użytkownicy powinni więc mieć prawo do dzielenia się danymi nieosobowymi z odbiorcami danych w celach komercyjnych i niekomercyjnych. Takie dzielenie się danymi może być dokonywane bezpośrednio przez użytkownika, na wniosek użytkownika, za pośrednictwem posiadacza danych lub poprzez usługi pośrednictwa danych. Usługi pośrednictwa danych, regulowane rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2022/868 22 , mogą ułatwić stworzenie gospodarki opartej na danych poprzez ustanowienie stosunków handlowych między użytkownikami, odbiorcami danych i osobami trzecimi oraz mogą wspierać użytkowników w wykonywaniu prawa do wykorzystywania danych, np. poprzez zapewnienie anonimizacji danych lub agregacji dostępu do danych osobowych pochodzących od wielu użytkowników indywidualnych. W przypadku gdy dane nie są objęte spoczywającym na posiadaczu danych obowiązku udostępniania danych użytkownikom lub osobom trzecim, zakres takich danych może zostać określony w umowie o świadczenie usługi powiązanej między użytkownikiem a posiadaczem danych, tak aby użytkownicy mogli łatwo stwierdzić, którymi danymi mogą się dzielić z odbiorcami danych lub osobami trzecimi. Posiadacze danych nie powinni udostępniać danych nieosobowych z produktu osobom trzecim w celach komercyjnych lub niekomercyjnych innych niż realizacja umowy z użytkownikiem, bez uszczerbku dla wymagań prawnych zgodnie z prawem Unii lub prawem krajowym zobowiązujących posiadacza danych do udostępniania danych. W stosownym przypadku posiadacze danych powinni umownie zobowiązać osoby trzecie, by nie dzieliły się dalej otrzymanymi od nich danymi.

(27) W sektorach charakteryzujących się koncentracją małej liczby producentów zaopatrujących użytkowników końcowych w produkty skomunikowane użytkownicy mogą mieć ograniczone możliwości dostępu do danych, ich wykorzystywania i dzielenia się nimi. W takich okolicznościach umowy mogą nie wystarczyć do osiągnięcia celu, którym jest wzmocnienie pozycji użytkownika, tym samym utrudniając użytkownikom czerpanie korzyści z wartości danych generowanych przez produkt skomunikowany, który kupili, wzięli w najem, w dzierżawę lub w leasing. W rezultacie innowacyjne mniejsze przedsiębiorstwa mają ograniczoną możliwość oferowania rozwiązań opartych na danych w sposób konkurencyjny i ograniczona jest możliwość rozwoju w Unii zróżnicowanej gospodarki opartej na danych. W niniejszym rozporządzeniu należy zatem oprzeć się na ostatnich dokonaniach w konkretnych sektorach, np. kodeksie postępowania w zakresie dzielenia się danymi dotyczącymi rolnictwa na podstawie umowy. Można ustanowić prawo Unii lub prawo krajowe służące zaspokojeniu potrzeb sektorowych i osiągnięciu celów sektorowych. Ponadto posiadacze danych nie powinni wykorzystywać dostępnych danych, które nie są danymi nieoso- bowymi, do pozyskiwania informacji o sytuacji ekonomicznej użytkownika, jego aktywach lub metodach produkcji lub o takim wykorzystywaniu przez użytkownika w żaden inny sposób, który mógłby osłabić pozycję handlową tego użytkownika na rynkach jego działalności. Może to dotyczyć wykorzystywania ze szkodą dla użytkownika wiedzy o ogólnych wynikach działalności gospodarczej lub gospodarstwa rolnego w prowadzonych z użytkownikiem negocjacjach umownych w sprawie potencjalnego nabycia produktów lub produktów rolnych użytkownika lub wprowadzania takich informacji do większych baz danych dotyczących określonych rynków w ramach danych zagregowanych, np. baz danych o wydajności plonów w nadchodzącej porze zbiorów, gdyż takie wykorzystywanie danych może pośrednio negatywnie wpłynąć na użytkownika. Użytkownik powinien otrzymać niezbędny interfejs techniczny do zarządzania zgodami, przy czym najlepiej, aby taki interfejs zawierał opcje szczegółowej kontroli zgód, np. "zezwól tylko raz" lub "zezwól podczas używania aplikacji lub usługi" oraz możliwość cofnięcia takich zgód.

(28) W umowach między posiadaczem danych a konsumentem będącym użytkownikiem produktu skomunikowanego lub usługi powiązanej generującymi dane zastosowanie ma unijne prawo ochrony konsumentów, w szczególności dyrektywy 93/13/EWG i 2005/29/WE, które ma zapewnić, aby konsument nie podlegał nieuczciwym postanowieniom umownym. Na potrzeby niniejszego rozporządzenia nieuczciwe postanowienia umowne nałożone jednostronnie na przedsiębiorstwo nie powinny być dla tego przedsiębiorstwa wiążące.

(29) Posiadacze danych mogą wymagać odpowiedniej identyfikacji użytkownika potrzebnej do zweryfikowania, czy użytkownik jest uprawniony do uzyskania dostępu do danych. W przypadku danych osobowych przetwarzanych przez podmiot przetwarzający w imieniu administratora danych posiadacze danych powinni zapewnić, aby podmiot przetwarzający otrzymał i rozpatrzył wniosek o dostęp.

(30) Użytkownik powinien móc wykorzystywać dane w każdym zgodnym z prawem celu. Obejmuje to dostarczenie danych, które użytkownik otrzymał w ramach wykonywania praw przysługujących mu na podstawie niniejszego rozporządzenia, osobie trzeciej oferującej usługę na rynkach posprzedażowych, która może być usługą konkurencyjną względem usługi świadczonej przez posiadacza danych, lub też zlecenie takiego dostarczenia danych posiadaczowi danych. Wniosek powinien zostać złożony przez użytkownika lub przez upoważnioną osobę trzecią działającą w imieniu użytkownika, w tym dostawcę usługi pośrednictwa danych. Posiadacze danych powinni zapewnić, aby dane udostępniane osobie trzeciej były tak samo prawidłowe, kompletne, wiarygodne, stosowne i aktualne, jak dane generowane w wyniku korzystania z produktu skomunikowanego lub z usługi powiązanej, do których danych posiadacz danych sam może uzyskać dostęp lub jest uprawniony do uzyskania dostępu. W ramach posługiwania się danymi należy przestrzegać wszelkich praw własności intelektualnej. Istotnym jest zachowanie zachęt do inwestowania w produkty posiadające funkcje oparte na wykorzystywaniu danych pochodzących z czujników, w które wyposażone są te produkty.

(31) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/943 23  przewiduje, że pozyskiwanie, wykorzystywanie lub ujawnianie tajemnicy przedsiębiorstwa uznaje się za zgodne z prawem m.in wtedy, gdy takiego pozyskiwania, wykorzystywania lub ujawniania wymagają prawo Unii lub prawo krajowe, lub gdy na nie zezwalają. Choć niniejsze rozporządzenie wymaga od posiadaczy danych ujawniania pewnych danych użytkownikom lub wybranym przez użytkownika osobom trzecim, nawet jeżeli dane te kwalifikują się do ochrony jako tajemnice przedsiębiorstwa, rozporządzenie to należy interpretować w taki sposób, aby zachować ochronę przewidzianą dla tajemnic przedsiębiorstwa na podstawie dyrektywy (UE) 2016/943. W tym kontekście posiadacze danych powinni móc wymagać od użytkowników lub wybranych przez użytkownika osób trzecich zachowania poufności danych uznawanych za tajemnice przedsiębiorstwa. W tym celu posiadacze danych powinni zidentyfikować tajemnice przedsiębiorstwa przed ujawnieniem danych i powinni móc uzgodnić z użytkownikami lub wybranymi przez użytkownika osobami trzecimi niezbędne środki służące zachowaniu poufności, w tym przez zastosowanie modelowych postanowień umownych, umów o poufności, rygorystycznych protokołów dostępu, norm technicznych oraz kodeksów postępowania. Poza posługiwaniem się modelowymi postanowieniami umownymi, które zostaną opracowane i będą zalecane przez Komisję, ustanowienie kodeksów postępowania i norm technicznych związanych z ochroną tajemnic przedsiębiorstwa w posługiwaniu się danymi może pomóc w osiągnięciu celu niniejszego rozporządzenia i powinno być promowane. W przypadku braku umowy w zakresie niezbędnych środków, lub w przypadku gdy użytkownik lub wybrana przez użytkownika osoba trzecia nie stosują uzgodnionych środków lub naruszają poufność tajemnic przedsiębiorstwa, posiadacz danych powinien móc cofnąć lub zawiesić dzielenie się danymi zidentyfikowanymi jako tajemnice przedsiębiorstwa. W takich przypadkach posiadacz danych powinien przedstawić decyzję na piśmie użytkownikowi lub osobie trzeciej bez zbędnej zwłoki i powiadomić właściwy organ państwa członkowskiego, w którym posiadacz danych ma siedzibę, że cofnął lub zawiesił dzielenie się danymi, i wskazać, których środków nie uzgodniono lub nie zastosowano oraz, w stosownym przypadku, poufność których tajemnic przedsiębiorstwa naruszono. Posiadacze danych co do zasady nie mogą odrzucić wniosku o dostęp do danych wystosowanego na podstawie niniejszego rozporządzenia wyłącznie ze względu na to, że niektóre dane uznaje się za tajemnicę przedsiębiorstwa, ponieważ przeczyłoby to zamierzonym celom niniejszego rozporządzenia. Jednak w wyjątkowych okolicznościach posiadacz danych będący posiadaczem tajemnicy przedsiębiorstwa powinien móc w indywidualnym przypadku odrzucić wniosek o dostęp do określonych danych, jeżeli jest w stanie udowodnić użytkownikowi lub osobie trzeciej, że mimo środków technicznych i organizacyjnych podjętych przez użytkownika lub osobę trzecią, istnieje duże prawdopodobieństwo, że ujawnienie tej tajemnicy przedsiębiorstwa poskutkuje poważną szkodą ekonomiczną. "Poważna szkoda ekonomiczna" oznacza poważne i nieodwracalne straty ekonomiczne. Posiadacz danych powinien bez zbędnej zwłoki należycie uzasadnić odmowę użytkownikowi lub osobie trzeciej na piśmie i powiadomić właściwy organ. Uzasadnienie powinno być oparte na obiektywnych elementach i wskazywać konkretne ryzyko poważnej szkody ekonomicznej, która ma wynikać z ujawnienia określonych danych, oraz powody, dla których środki podjęte dla ochrony żądanych danych nie są uznane za wystarczające. W tym kontekście można uwzględnić ewentualny negatywny wpływ na cyberbezpieczeństwo. Bez uszczerbku dla prawa dochodzenia roszczeń przed sądem lub trybunałem państwa członkowskiego, jeżeli użytkownik lub osoba trzecia chcą zaskarżyć decyzję posiadacza danych o odmowie, lub cofnąć lub zawiesić dzielenie się danymi, mogą oni złożyć skargę do właściwego organu, który bez zbędnej zwłoki powinien zdecydować, czy i na jakich warunkach należy rozpocząć lub wznowić dzielenie się danymi, lub uzgodnić z posiadaczem danych odesłanie sprawy do organu rozstrzygania sporów. Wyjątki od praw dostępu do danych przewidzianych w niniejszym rozporządzeniu w żadnym wypadku nie powinny ograniczać przysługujących osobom, których dane dotyczą, praw dostępu ani praw przenoszenia danych na podstawie rozporządzenia (UE) 2016/679.

(32) Celem niniejszego rozporządzenia jest nie tylko sprzyjanie opracowywaniu nowych, innowacyjnych produktów skomunikowanych lub usług powiązanych, pobudzanie innowacji na rynkach posprzedażowych, lecz także pobudzanie opracowywania zupełnie nowatorskich usług z wykorzystaniem określonych danych, w tym na podstawie danych z różnorodnych produktów skomunikowanych lub usług powiązanych. Jednocześnie celem niniejszego rozporządzenia jest uniknięcie osłabiania zachęt do inwestowania w ten rodzaj produktu skomunikowanego, z którego pozyskiwane są dane, np. w wyniku wykorzystywania danych do opracowania konkurencyjnego produktu skomunikowanego, który uznawany jest przez użytkowników za zamienny lub zastępowalny, w szczególności ze względu na jego cechy, cenę i zamierzony użytek. Niniejsze rozporządzenie nie zakazuje opracowywania usług powiązanych z wykorzystaniem danych pozyskanych na podstawie niniejszego rozporządzenia, ponieważ miałoby to niepożądany, zniechęcający wpływ na innowacje. Zakaz wykorzystywania danych, do których dostęp uzyskano na podstawie niniejszego rozporządzenia, do opracowania konkurencyjnego produktu skomunikowanego chroni wysiłki innowacyjne posiadacza danych. To, czy produkt skomunikowany konkuruje z produktem, z którego pochodzą dane, zależy od tego, czy oba produkty skomunikowane konkurują ze sobą na tym samym rynku produktowym. Należy to ustalić na podstawie ugruntowanych zasad unijnego prawa konkurencji służących definiowaniu stosownego rynku produktowego. Jednakże zgodnym z prawem celem wykorzystywania danych może być inżynieria odwrotna, o ile spełnia wymagania określone w niniejszym rozporządzeniu, prawie Unii lub prawie krajowym. Może tak być w przypadku celu, którym jest naprawa lub przedłużenie okresu trwałości produktu skomunikowanego, lub w przypadku świadczenia usług rynku posprzedażowego dla produktów skomunikowanych.

(33) Osobą trzecią, której udostępniane są dane, może być osoba fizyczna lub prawna, np. konsument, przedsiębiorstwo, organizacja badawcza, organizacja niekomercyjna lub podmiot działający w ramach swoich obowiązków zawodowych. Udostępniając dane osobie trzeciej, posiadacz danych nie powinien nadużywać swojej pozycji w celu uzyskania przewagi konkurencyjnej na rynkach, na których posiadacz danych i osoba trzecia mogą bezpośrednio ze sobą konkurować. Posiadacz danych nie powinien zatem wykorzystywać danych łatwo dostępnych do pozyskiwania informacji o sytuacji ekonomicznej takiej osoby trzeciej, jej aktywach lub metodach produkcji ani też nie powinien wykorzystywać takich danych w żaden inny sposób, który mógłby osłabić pozycję handlową osoby trzeciej na rynkach jej działalności. Użytkownik powinien móc dzielić się danymi nieosobowymi z osobami trzecimi w celach komercyjnych. Za zgodą użytkownika i z zastrzeżeniem przepisów niniejszego rozporządzenia osoby trzecie powinny móc przekazywać udostępnione przez użytkownika prawa dostępu do danych innym osobom trzecim, w tym za rekompensatą. Pośrednicy danych między przedsiębiorcami i systemy zarządzania informacjami osobowymi, określeni jako usługi pośrednictwa danych w rozporządzeniu (UE) 2022/868, mogą wspierać użytkowników lub osoby trzecie w ustanawianiu stosunków handlowych z nieokreśloną liczbą potencjalnych kontrahentów w jakimkolwiek zgodnym z prawem celu wchodzącym w zakres stosowania niniejszego rozporządzenia. Mogą oni odgrywać zasadniczą rolę w agregowaniu dostępu do danych, tak aby ułatwić analizę dużych zestawów danych lub uczenie się maszyn, pod warunkiem że użytkownicy zachowują pełną kontrolę nad wnoszeniem swoich danych do takiej agregacji oraz nad warunkami handlowymi wykorzystywania ich danych.

(34) W wyniku korzystania z produktu skomunikowanego lub usługi powiązanej, zwłaszcza gdy użytkownikiem jest osoba fizyczna, mogą być generowane dane odnoszące się do osoby, której dane dotyczą. Przetwarzanie takich danych podlega zasadom określonym w rozporządzeniu (UE) 2016/679, w tym w przypadku gdy w zestawie danych dane osobowe i nieosobowe są ze sobą nierozerwalnie związane. Osobą, której dane dotyczą, może być użytkownik lub inna osoba fizyczna. Udostępnienia danych osobowych może żądać wyłącznie administrator danych lub osoba, której dane dotyczą. Użytkownik będący osobą, której dane dotyczą, w określonych okolicznościach ma na podstawie rozporządzenia (UE) 2016/679 prawo dostępu do dotyczących go danych osobowych, a niniejsze rozporządzenie nie ma wpływu na takie prawa. Zgodnie z niniejszym rozporządzeniem użytkownik będący osobą fizyczną ma również prawo dostępu do wszystkich danych, osobowych i nieosobowych, generowanych w czasie użytkowania produktu skomunikowanego. Użytkownik uznawany jest za administratora, w przypadku gdy użytkownikiem nie jest osoba, której dane dotyczą, tylko przedsiębiorstwo, w tym przedsiębiorca indywidualny, z wyłączeniem przypadków wspólnego użytkowania produktu skomunikowanego przez członków gospodarstwa domowego. W związku z tym, gdy taki użytkownik, jako administrator danych, zamierza zażądać danych osobowych generowanych w wyniku korzystania z produktu skomunikowanego lub usługi powiązanej, musi on mieć podstawę prawną do przetwarzania danych przewidzianą w art. 6 ust. 1 rozporządzenia (UE) 2016/679, taką jak zgoda osoby, której dane dotyczą, lub wykonanie umowy, którego stroną jest osoba, której dane dotyczą. Taki użytkownik powinien zapewnić, aby osoba, której dane dotyczą, została odpowiednio poinformowana o konkretnych, wyraźnych i prawnie uzasadnionych celach przetwarzania takich danych oraz o tym, w jaki sposób może skutecznie dochodzić swoich praw. Jeżeli posiadacz danych i użytkownik są współadministratorami w rozumieniu art. 26 rozporządzenia (UE) 2016/679, wówczas w drodze wspólnych uzgodnień w przejrzysty sposób muszą określić odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z tego rozporządzenia. Po udostępnieniu danych, uznaje się, że taki użytkownik może stać się posiadaczem danych, jeżeli spełnia kryteria określone w niniejszym rozporządzeniu, i tym samym będzie podlegać obowiązkom udostępniania danych określonym w niniejszym rozporządzeniu.

(35) Dane z produktu lub z usługi powiązanej należy udostępniać osobie trzeciej wyłącznie na wniosek użytkownika. Niniejsze rozporządzenie uzupełnia więc prawo przysługujące osobom, których dane dotyczą, przewidziane w art. 20 rozporządzenia (UE) 2016/679, do otrzymania danych ich dotyczących w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego i do przesłania tych danych innemu administratorowi, jeżeli dane te są przetwarzane w sposób zautomatyzowany na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) lub na podstawie umowy w myśl art. 6 ust. 1 lit. b) tego rozporządzenia. Osoby, których dane dotyczą, mają również prawo żądania, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe. W art. 20 rozporządzenia (UE) 2016/679 wskazano, że artykuł ten dotyczy danych dostarczonych przez osobę, której dane dotyczą, ale nie określono, czy wymaga to czynnego zachowania ze strony osoby, której dane dotyczą, czy też ma on zastosowanie również w sytuacjach, w których produkt skomunikowany lub usługa powiązana, ze względu na sposób swojego zaprojektowania, w bierny sposób rejestrują zachowanie osoby, której dane dotyczą, lub inne informacje związane z osobą, której dane dotyczą. Prawa przewidziane w niniejszym rozporządzeniu na różne sposoby uzupełniają prawo dostępu i przenoszenia danych osobowych na mocy art. 20 rozporządzenia (UE) 2016/679. Niniejsze rozporządzenie przyznaje użytkownikom prawo dostępu do danych z produktu lub z usługi powiązanej oraz prawo udostępniania takich danych osobie trzeciej, niezależnie od ich charakteru jako danych osobowych, podziału na dane czynnie dostarczane i dane rejestrowane w sposób bierny oraz niezależnie od podstawy prawnej przetwarzania. W przeciwieństwie do art. 20 rozporządzenia (UE) 2016/679 niniejsze rozporządzenie nakazuje i zapewnia techniczną możliwość dostępu osób trzecich do wszelkiego rodzaju danych objętych zakresem stosowania niniejszego rozporządzenia, niezależnie od tego, czy są to dane osobowe czy dane nieosobowe, a tym samym zapewnia, aby przeszkody techniczne nie utrudniały ani uniemożliwiały już dostępu do takich danych. Pozwala ono także posiadaczom danych określić zasadną rekompensatę uiszczaną przez osoby trzecie, ale nie przez użytkownika, z tytułu kosztów poniesionych w związku z udzieleniem bezpośredniego dostępu do danych generowanych przez produkt skomunikowany użytkownika. Brak porozumienia między posiadaczem danych a osobą trzecią co do warunków takiego bezpośredniego dostępu nie powinien w żaden sposób uniemożliwiać osobie, której dane dotyczą, wykonywania praw określonych w rozporządzeniu (UE) 2016/679, w tym prawa do przenoszenia danych, poprzez skorzystanie ze środków ochrony prawnej zgodnie z tym rozporządzeniem. W tym kontekście należy rozumieć, że zgodnie z rozporządzeniem (UE) 2016/679 umowa nie umożliwia posiadaczowi danych ani osobie trzeciej przetwarzania szczególnych kategorii danych osobowych.

(36) Dostęp do jakichkolwiek danych przechowywanych w urządzeniu końcowym i udostępnianych z tego urządzenia podlega przepisom dyrektywy 2002/58/WE i wymaga zgody abonenta lub użytkownika w rozumieniu tej dyrektywy, chyba że dostęp do takich danych jest ściśle niezbędny w celu świadczenia usługi społeczeństwa informacyjnego, której wyraźnie zażądali użytkownik lub abonent, lub jedynie w celu wykonania transmisji komunikatu. Dyrektywa 2002/58/WE chroni integralność końcowego urządzenia użytkownika w zakresie korzystania z możliwości przetwarzania i przechowywania oraz zbierania informacji. Urządzenie podłączone do internetu rzeczy uznaje się za urządzenie końcowe, jeżeli jest bezpośrednio lub pośrednio podłączone do publicznej sieci łączności.

(37) Aby nie dopuścić do nadużyć wobec użytkowników, osoby trzecie, którym udostępniono dane na wniosek użytkownika, powinny przetwarzać te dane wyłącznie do celów uzgodnionych z użytkownikiem i dzielić się nimi z inną osobą trzecią wyłącznie za zgodą użytkownika.

(38) Zgodnie z zasadą minimalizacji danych osoby trzecie powinny uzyskać dostęp wyłącznie do tych informacji, które są niezbędne do świadczenia usługi, której zażądał użytkownik. Po uzyskaniu dostępu do danych osoba trzecia powinna przetwarzać je do celów uzgodnionych z użytkownikiem bez ingerencji ze strony posiadacza danych. Odmówienie dostępu do danych osobie trzeciej przez użytkownika lub wycofanie przez użytkownika zgody na dostęp osoby trzeciej do danych powinno być tak samo proste, jak udzielenie zgody na taki dostęp przez użytkownika. Osoby trzecie i posiadacze danych nie powinni bezzasadnie utrudniać użytkownikom wykonywania praw lub dokonywania wyborów, w tym przez oferowanie użytkownikom wyboru w sposób nieneutralny, ani w żaden sposób zmuszać użytkownika, wprowadzać w błąd ani nim manipulować, ani podważać lub ograniczać autonomii, zdolności decyzyjnych lub wyborów użytkownika, w tym za pomocą interfejsu cyfrowego użytkownika lub jego części. W tym kontekście osoby trzecie lub posiadacze danych nie powinni podczas projektowania swoich interfejsów cyfrowych stosować tzw. zwodniczych interfejsów. Zwodnicze interfejsy to techniki projektowe służące do wymuszania na konsumentach decyzji, które mają dla nich negatywne skutki, lub wprowadzenia konsumentów w błąd w celu skłonienia ich do takich decyzji. Te techniki manipulacji mogą być wykorzystywane, by skłonić użytkowników, w szczególności konsumentów podatnych na zagrożenia, do niechcianych zachowań, wprowadzić ich błąd poprzez nakłanianie do decyzji w sprawie udostępnienia danych lub też by nieobiektywnie wpłynąć na zdolności decyzyjne użytkowników usługi w sposób podważający lub ograniczający ich autonomię, zdolności decyzyjne i wybór. Powszechne i uzasadnione praktyki handlowe zgodne z prawem Unii nie powinny same w sobie być uznawane za zwodnicze interfejsy. Osoby trzecie i posiadacze danych powinni wywiązywać się ze swoich obowiązków określonych w stosownym prawie Unii, w szczególności z wymagań określonych w dyrektywach Parlamentu Europejskiego i Rady 98/6/WE 24  i 2000/31/WE 25 , oraz dyrektywach 2005/29/WE i 2011/83/UE.

(39) Osoby trzecie nie powinny ponadto wykorzystywać danych wchodzących w zakres stosowania niniejszego rozporządzenia do profilowania osób fizycznych, chyba że takie czynności przetwarzania są ściśle niezbędne do świadczenia usługi, której zażądał użytkownik, w tym w ramach zautomatyzowanego podejmowania decyzji. Wymaganie usunięcia danych, które nie są już niezbędne do celu uzgodnionego z użytkownikiem, o ile w odniesieniu do danych nieosobowych uzgodniono inaczej, stanowi uzupełnienie prawa do usunięcia danych przysługującego osobie, której dane dotyczą, na podstawie art. 17 rozporządzenia (UE) 2016/679. W przypadku gdy osoba trzecia jest dostawcą usługi pośrednictwa, zastosowanie mają zabezpieczenia wobec osoby, której dane dotyczą, przewidziane w rozporządzeniu (UE) 2022/868. Osoba trzecia może wykorzystywać dane do opracowania nowego, innowacyjnego produktu skomunikowanego lub nowej, innowacyjnej usługi powiązanej, lecz nie do opracowania konkurencyjnego produktu skomunikowanego.

(40) Przedsiębiorstwom typu startup, małym przedsiębiorstwom, przedsiębiorstwom, które kwalifikują się jako średnie przedsiębiorstwa zgodnie z art. 2 załącznika do zalecenia 2003/361/WE, oraz przedsiębiorstwom z tradycyjnych sektorów o mniej rozwiniętych zdolnościach cyfrowych trudno jest uzyskać dostęp do istotnych danych. Niniejsze rozporządzenie ma na celu ułatwienie dostępu do danych takim podmiotom, a jednocześnie zapewnienie, aby odpowiednie obowiązki były jak najbardziej proporcjonalne w celu uniknięcia nadmiernego obciążenia regulacyjnego. Ponadto pojawiła się niewielka liczba bardzo dużych przedsiębiorstw posiadających znaczną siłę gospodarczą w gospodarce cyfrowej dzięki koncentracji i agregacji wielkich ilości danych oraz dzięki infrastrukturze technicznej pozwalającej na czerpanie z nich korzyści finansowych. Te bardzo duże przedsiębiorstwa obejmują przedsiębiorstwa świadczące podstawowe usługi platformowe kontrolujące całe ekosystemy platformowe w gospodarce cyfrowej, z którymi to przedsiębiorstwami istniejący lub nowi uczestnicy rynku nie są w stanie konkurować ani którym nie są w stanie zagrozić. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/1925 26  ma skorygować te braki i zakłócenia równowagi poprzez umożliwienie Komisji wskazania przedsiębiorstwa jako "strażnika dostępu"; określa ono szereg obowiązków takich strażników dostępu, w tym zakaz łączenia niektórych danych bez uzyskania zgody oraz obowiązek zapewnienia skutecznych praw do przenoszenia danych zgodnie z art. 20 rozporządzenia (UE) 2016/679. Zgodnie z rozporządzeniem (UE) 2022/1925 i mając na uwadze bezkonkurencyjną zdolność tych przedsiębiorstw do pozyskiwania danych, uwzględnienie strażników dostępu wśród beneficjentów prawa dostępu do danych nie jest niezbędne do osiągnięcia celu niniejszego rozporządzenia i tym samym byłoby nieproporcjonalne dla posiadaczy danych, na których ciążą takie obowiązki. Takie uwzględnienie strażników dostępu mogłoby także ograniczyć korzyści wynikające z niniejszego rozporządzenia dla MŚP w zakresie sprawiedliwej dystrybucji wartości danych wśród uczestników rynku. Oznacza to, że przedsiębiorstwo świadczące podstawowe usługi platformowe, które zostało wskazane jako strażnik dostępu, nie może żądać ani uzyskiwać dostępu do danych użytkownika generowanych w wyniku korzystania z produktu skomunikowanego, usługi powiązanej lub wirtualnego asystenta zgodnie z niniejszym rozporządzeniem. Ponadto osoby trzecie, którym udostępniane są dane na wniosek użytkownika, nie mogą udostępniać tych danych strażnikowi dostępu. Na przykład osoba trzecia nie może zlecić strażnikowi dostępu podwykonawstwa świadczenia usługi. Nie oznacza to jednak, że osoby trzecie nie mogą korzystać z usług przetwarzania danych oferowanych przez strażnika dostępu. Nie uniemożliwia to także tym przedsiębiorstwom pozyskiwania ani wykorzystywania tych samych danych innymi zgodnymi z prawem sposobami. Prawa dostępu określone w niniejszym rozporządzeniu pomagają w zapewnieniu konsumentom szerszego wyboru usług. Ponieważ możliwość zawarcia dobrowolnej umowy między strażnikami dostępu a posiadaczami danych pozostaje nienaruszona, ograniczenie udzielania dostępu strażnikom dostępu nie wykluczałoby ich z rynku ani nie uniemożliwiałoby im oferowania usług.

(41) Biorąc pod uwagę obecny stan rozwoju technologii, nakładanie dalszych obowiązków w zakresie projektowania produktów skomunikowanych produkowanych lub projektowanych przez mikroprzedsiębiorstwa i małe przedsiębiorstwa lub usług powiązanych świadczonych przez takie przedsiębiorstwa wiązałoby się dla nich z nadmiernym obciążeniem. Nie dotyczy to jednak sytuacji, w której mikroprzedsiębiorstwo lub małe przedsiębiorstwo ma przedsiębiorstwo partnerskie lub przedsiębiorstwo powiązane w rozumieniu w art. 3 załącznika do zalecenia Komisji 2003/361/WE, które nie kwalifikuje się jako mikroprzedsiębiorstwo lub małe przedsiębiorstwo, i któremu zostaje zlecone wyprodukowanie lub zaprojektowanie produktu skomunikowanego lub świadczenie usługi powiązanej w ramach podwykonawstwa. W takich sytuacjach przedsiębiorstwo, które zleciło produkcję lub projekt w ramach podwykonawstwa mikroprzedsiębiorstwu lub małemu przedsiębiorstwu, jest w stanie zapewnić podwykonawcy odpowiednią rekompensatę. Mikroprzedsiębiorstwo lub małe przedsiębiorstwo, jeżeli nie jest producentem produktu skomunikowanego ani dostawcą usług powiązanych, może jednak podlegać wymaganiom ustanowionym w niniejszym rozporządzeniu jako posiadacz danych. Okres przejściowy powinien mieć zastosowanie do przedsiębiorstwa, które kwalifikuje się jako średnie przedsiębiorstwo przez okres krótszy niż rok, a także do produktów skomunikowanych przez okres jednego roku od dnia wprowadzenia ich do obrotu przez średnie przedsiębiorstwo. Taki roczny okres przejściowy umożliwia średniemu przedsiębiorstwu dostosowanie się i przygotowanie przed zmierzeniem się z konkurencją na rynku usług dla produktów skomunikowanych, które produkuje, na podstawie praw dostępu określonych w niniejszym rozporządzeniu. Ten okres przejściowy nie ma zastosowania w przypadku gdy takie średnie przedsiębiorstwo ma przedsiębiorstwo partnerskie lub przedsiębiorstwo powiązane, które nie kwalifikuje się jako mikroprzedsiębiorstwo lub małe przedsiębiorstwo, i gdy takiemu średniemu przedsiębiorstwu zostało zlecone wyprodukowanie lub zaprojektowanie produktu skomunikowanego lub świadczenie usługi powiązanej w ramach podwykonawstwa.

(42) Aby uwzględnić liczne produkty skomunikowane generujące dane o różnym charakterze, ilości i częstotliwości, stwarzające różny poziom ryzyka związanego z danymi i z cyberbezpieczeństwem oraz oferujące możliwości ekonomiczne o różnej wartości oraz aby zapewnić spójność praktyk w ramach dzielenia się danymi na rynku wewnętrznym, w tym między sektorami, i zachęcać do stosowania uczciwych praktyk dzielenia się danymi i promować takie praktyki nawet w dziedzinach, w których takie prawo dostępu do danych nie jest przewidziane, niniejsze rozporządzenie przewiduje horyzontalne zasady w sprawie uzgodnień dotyczących dostępu do danych, gdy posiadacz danych jest zobowiązany z mocy prawa Unii lub prawa krajowego przyjętego zgodnie z prawem Unii do udostępnienia danych odbiorcy danych. Takiego dostępu należy udzielać na sprawiedliwych, uzasadnionych, niedyskrymina- cyjnych i przejrzystych zasadach. Takie ogólne zasady dostępu nie mają zastosowania do obowiązków udostępniania danych na podstawie rozporządzenia (UE) 2016/679. Zasady te nie mają wpływu na dobrowolne dzielenie się danymi. Niewiążące modelowe postanowienia umowne dotyczące dzielenia się danymi między przedsiębiorcami, które zostaną opracowane i będą zalecane przez Komisję mogą pomóc stronom w zawieraniu umów, które będą przewidywać sprawiedliwe, uzasadnione i niedyskryminacyjne zasady i będą wdrażane w sposób przejrzysty. Zawarcie umów, które mogą zawierać nieważące modelowe postanowienia umowne, nie powinno oznaczać, że prawo do dzielenia się danymi z osobami trzecimi w jakikolwiek sposób zależy od istnienia takiej umowy. Gdyby strony nie były w stanie zawrzeć umowy o dzieleniu się danymi, w tym przy wsparciu organów rozstrzygania sporów, prawa do dzielenia się danymi z osobami trzecimi można dochodzić w sądach i trybunałach krajowych.

(43) Na podstawie zasady swobody zawierania umów strony powinny nadal móc swobodnie ustalać szczegółowe warunki udostępniania danych w ich umowach, w ramach ogólnych zasad dostępu dotyczących udostępniania danych. Wśród warunków takich umów mogą się znaleźć środki techniczne i organizacyjne, w tym te związane z bezpieczeństwem danych.

(44) W celu zapewnienia, aby warunki obowiązkowego dostępu do danych były sprawiedliwe dla obu stron umowy, ogólne zasady dotyczące praw dostępu do danych powinny odnosić się do zasady unikania nieuczciwych postanowień umownych.

(45) Umowa zawarta w stosunkach między przedsiębiorcami w celu udostępniania danych nie powinna rozróżniać porównywalnych kategorii odbiorców danych, niezależnie od tego, czy stronami są duże przedsiębiorstwa czy MŚP. Ponieważ brak informacji na temat warunków poszczególnych umów utrudnia odbiorcom ocenę, czy warunki udostępniania danych są niedyskryminacyjne, ciężar dowodu, że postanowienia umowne są niedyskryminacyjne powinien spoczywać na posiadaczach danych. Stosowanie przez posiadacza danych różnych postanowień umownych dotyczących udostępniania danych nie stanowi niezgodnej z prawem dyskryminacji, jeżeli różnice te są uzasadnione obiektywnymi względami. Obowiązki te pozostają bez uszczerbku dla rozporządzenia (UE) 2016/679.

(46) Aby zachęcać do dalszych inwestycji w generowanie i udostępnianie wartościowych danych, w tym do inwestycji w stosowne narzędzia techniczne, a jednocześnie zapobiegać nadmiernym obciążeniom w zakresie dostępu do danych i ich wykorzystywania, w wyniku których dzielenie się danymi nie jest opłacalne, niniejsze rozporządzenie zawiera zasadę, zgodnie z którą w stosunkach między przedsiębiorcami posiadacze danych mogą zażądać zasadnej rekompensaty, gdy są zobowiązani zgodnie z prawem Unii lub prawem krajowym przyjętym zgodnie z prawem Unii do udostępnienia danych odbiorcy danych. |Rekompensaty takiej nie należy rozumieć jako płatności za same dane. Komisja powinna przyjąć wytyczne w sprawie obliczania zasadnej rekompensaty w gospodarce opartej na danych.

(47) Po pierwsze, zasadna rekompensata za wywiązanie się z obowiązku zastosowania się do wniosku o udostępnienie danych, zgodnie z prawem Unii lub prawem krajowym przyjętym zgodnie z prawem Unii, może obejmować rekompensatę za poniesione koszty udostępnienia danych. Do kosztów tych mogą należeć koszty techniczne, np. takie, które trzeba ponieść w związku ze zwielokrotnieniem danych, rozpowszechnieniem danych za pomocą środków elektronicznych i przechowywaniem danych, ale nie ze zbieraniem lub tworzeniem danych. Takie koszty techniczne mogą obejmować również koszty przetwarzania niezbędne do udostępnienia danych, w tym koszty związane z formatowaniem danych. Koszty związane z udostępnieniem danych mogą również obejmować koszty odpowiadania na konkretne wnioski o udostępnienie danych. Mogą też być zróżnicowane zależnie od ilości danych oraz od przyjętych uzgodnień dotyczących udostępnienia danych. Długoterminowe uzgodnienia między posiadaczami danych a odbiorcami danych, np. w formie modelu abonenckiego lub inteligentnych umów, mogłyby obniżyć koszty regularnych lub powtarzających się transakcji w stosunkach między przedsiębiorcami. Koszty związane z udostępnieniem danych są albo szczególne dla danego wniosku, albo dzielone z innymi wnioskami. W tym drugim przypadku pojedynczy odbiorca danych nie powinien ponosić pełnych kosztów udostępnienia danych. Po drugie, zasadna rekompensata może obejmować też marżę, z wyjątkiem w odniesieniu do MŚP i niekomercyjnych organizacji badawczych. Marża może być zróżnicowana zależnie od czynników związanych z samymi danymi, takich jak ilość, format lub charakter danych. Może uwzględniać także koszty zebrania danych. Marża może zatem być mniejsza, gdy posiadacz danych zebrał dane na potrzeby własnej działalności bez znacznych inwestycji, lub może być większa, gdy inwestycje w zebranie danych do celów działalności posiadacza danych są znaczne. Może być ona ograniczona lub nawet wyłączona w sytuacjach, w których wykorzystanie danych przez odbiorcę danych nie wpływa na działalność posiadacza danych. Fakt, że dane są współgenerowane przez produkt skomunikowany należący do użytkownika, wzięty przez niego w najem, w dzierżawę lub w leasing, może również obniżyć wysokość rekompensaty w porównaniu z innymi sytuacjami, w których dane są generowane wyłącznie przez posiadacza danych, np. w trakcie świadczenia usługi powiązanej.

(48) Nie ma potrzeby interwencji w przypadku dzielenia się danymi między dużymi przedsiębiorstwami lub w przypadku, w którym posiadaczem danych jest małe lub średnie przedsiębiorstwo, a odbiorcą danych - duże przedsiębiorstwo. W takich przypadkach uznaje się, że przedsiębiorstwa są w stanie wynegocjować zasadną i niedyskryminu- jącą rekompensatę.

(49) Na potrzeby ochrony MŚP przed nadmiernymi obciążeniami ekonomicznymi, przez które przedsiębiorstwom tym z handlowego punktu widzenia byłoby zbyt trudno opracowywać i realizować innowacyjne modele biznesowe, wypłacana przez nie zasadna rekompensata za udostępnienie danych nie powinno przekraczać kosztu bezpośrednio związanego z udostępnieniem tych danych. Ten sam system powinien mieć zastosowanie do niekomercyjnych organizacji badawczych.

(50) W należycie uzasadnionych przypadkach, w tym w przypadku gdy istnieje potrzeba zapewnienia udziału konsumentów i konkurencyjności lub promowania innowacyjności na niektórych rynkach, można uregulować rekompensatę za udostępnianie określonych rodzajów danych w prawie Unii lub prawie krajowym przyjętym zgodnie z prawem Unii.

(51) Przejrzystość stanowi ważną zasadę potrzebną do zapewnienia, aby rekompensata żądana przez posiadacza danych była zasadna lub - jeżeli odbiorcą danych jest MŚP lub niekomercyjna organizacja badawcza - aby rekompensata nie przekraczała kosztów bezpośrednio związanych z udostępnieniem danych odbiorcy danych i wiązała się z konkretnym wnioskiem. Aby odbiorcy danych byli w stanie ocenić i zweryfikować, czy rekompensata spełnia wymagania określone w niniejszym rozporządzeniu, posiadacz danych powinien przedstawić odbiorcy danych informacje na tyle szczegółowe, aby można było obliczyć tę rekompensatę.

(52) Zapewnienie dostępu do alternatywnych metod rozwiązywania krajowych i transgranicznych sporów związanych z udostępnianiem danych powinno być korzystne dla posiadaczy danych i odbiorców danych, i tym samym powinno skutkować wzrostem wiarygodności dzielenia się danymi. Jeżeli strony nie są w stanie uzgodnić sprawiedliwych, rozsądnych i niedyskryminujących zasad udostępniania danych, organy rozstrzygania sporów powinny zaoferować stronom proste, szybkie i tanie rozwiązanie. Niniejsze rozporządzenie ustanawia jedynie warunki, które muszą zostać spełnione przez organy rozstrzygania sporów, aby uzyskać certyfikację, państwa członkowskie mogą jednak przyjąć szczególne zasady procedury certyfikacji, w tym wygaśnięcia lub cofnięcia certyfikacji. Przepisy niniejszego rozporządzenia dotyczące rozstrzygania sporów nie powinny nakładać na państwa członkowskie obowiązku ustanowienia organów rozstrzygania sporów.

(53) Procedura rozstrzygania sporów przewidziana w niniejszym rozporządzeniu jest procedurą dobrowolną, umożliwiającą użytkownikom, posiadaczom danych i odbiorcom danych ustalenie, że ich spór zostanie wniesiony do organu rozstrzygania sporów. Dlatego strony powinny móc zwrócić się do wybranego przez siebie organu rozstrzygania sporów w państwach członkowskich, w których strony mają siedzibę, lub poza tymi państwami.

(54) Aby zapobiec przypadkom, w których ten sam spór zostaje skierowany do dwóch lub więcej organów rozstrzygania sporów, w szczególności w sytuacji transgranicznej, organ rozstrzygania sporów powinien móc odrzucić wniosek o rozwiązanie sporu, który został już przedstawiony innemu organowi rozstrzygania sporów bądź sądowi lub trybunałowi państwa członkowskiego.

(55) Aby zapewnić jednolite stosowanie niniejszego rozporządzenia, organy rozstrzygania sporów powinny uwzględniać niewiążące modelowe postanowienia umowne, które zostaną opracowane i będą zalecane przez Komisję, oraz prawo Unii lub prawo krajowe doprecyzowujące obowiązki dzielenia się danymi lub wytyczne organów sektorowych w sprawie stosowania takiego prawa.

(56) Stronom postępowania w sprawie rozstrzygnięcia sporu nie należy uniemożliwiać wykonania przysługującego im podstawowego prawa do skutecznego środka prawnego i sprawiedliwego procesu. Dlatego też decyzja o przekazaniu sporu do organu rozstrzygającego spory nie powinna skutkować utratą przez takie strony prawa do dochodzenia roszczeń przed sądem lub trybunałem państwa członkowskiego. Organy rozstrzygania sporów powinny podawać do wiadomości publicznej roczne sprawozdania z działalności.

(57) Posiadacze danych mogą stosować odpowiednie techniczne środki ochrony, aby zapobiegać niezgodnemu z prawem ujawnianiu danych i dostępowi do danych. Środki te nie powinny jednak powodować nierównego traktowania odbiorców danych ani utrudniać użytkownikom lub odbiorcom danych dostępu do danych lub ich wykorzystywania. W przypadku nadużyć ze strony odbiorcy danych, np. wprowadzenia posiadacza danych w błąd poprzez przedstawienie fałszywych informacji w celu wykorzystania danych do celów niezgodnych z prawem, w tym opracowania na podstawie tych danych konkurencyjnego produktu skomunikowanego, posiadacz danych oraz, w stosownych przypadkach i w przypadku gdy nie są one tą samą osobą, posiadacz tajemnicy przedsiębiorstwa lub użytkownik mogą wystąpić do osoby trzeciej lub odbiorcy danych z wnioskiem o zastosowanie bez zbędnej zwłoki środków naprawczych lub zaradczych. Wszelkie takie wnioski, w szczególności wnioski o zaprzestanie produkcji, oferowania lub wprowadzania do obrotu towarów, danych wywnioskowanych lub usług oraz o zaprzestanie przywozu, wywozu, magazynowania towarów naruszających prawo lub o ich zniszczenie, powinny być oceniane w świetle ich proporcjonalności w stosunku do interesów posiadacza danych, posiadacza tajemnic przedsiębiorstwa lub użytkownika.

(58) W przypadku gdy jedna ze stron ma silniejszą pozycję negocjacyjną, istnieje ryzyko, że strona ta wykorzysta swoją pozycję ze szkodą dla drugiej umawiającej się strony w ramach negocjowania dostępu do danych i sprawi, że dostęp do danych będzie komercyjnie mniej opłacalny, a czasem nawet ekonomicznie zaporowy. Taki brak równowagi kontraktowej jest szkodliwy dla wszystkich przedsiębiorstw nieposiadających rzeczywistej możliwości negocjowania warunków dostępu do danych, które to przedsiębiorstwa ze względu na brak wyboru mogą być zmuszone do zaakceptowania postanowień umownych oferowanych na zasadzie "przyjmij albo zrezygnuj". Z tego względu nieuczciwe postanowienia umowne regulujące dostęp do danych i ich wykorzystywanie lub regulujące odpowiedzialność i środki ochrony prawnej wobec naruszenia lub odstąpienia od obowiązków dotyczących danych nie powinny być dla przedsiębiorstw wiążące, jeżeli postanowienia te zostały na nie nałożone jednostronnie.

(59) W przepisach dotyczących postanowień umownych należy uwzględnić zasadę swobody zawierania umów, będącą podstawową ideą stosunków między przedsiębiorcami. Dlatego też analizie nieuczciwego charakteru powinny podlegać nie wszystkie postanowienia umowne, ale wyłącznie te, które zostały nałożone jednostronnie. Dotyczy to zasady "przyjmij albo zrezygnuj", w której to sytuacji dany przedsiębiorca nie jest w stanie wywrzeć wpływu na treść postanowienia umownego zaproponowanego przez drugą stronę pomimo prób negocjacji w jego sprawie. Za postanowienie umowne nałożone jednostronnie nie należy uznawać postanowienia, które zostało po prostu przedstawione przez jedną stronę i zaakceptowane przez drugiego przedsiębiorcę ani też postanowienia wynegocjowanego i następnie przyjętego po zmianach przez umawiające się strony.

(60) Ponadto zasady dotyczące nieuczciwych postanowień umownych powinny mieć zastosowanie wyłącznie do elementów umowy związanych z udostępnianiem danych, tj. do postanowień umownych dotyczących dostępu do danych i ich wykorzystywania oraz odpowiedzialności lub środków ochrony prawnej wobec naruszenia i odstąpienia od obowiązków dotyczących danych. Analiza nieuczciwego charakteru ustanowiona w niniejszym rozporządzeniu nie powinna mieć zastosowania do innych części tej samej umowy, niezwiązanych z udostępnianiem danych.

(61) Kryteria służące do identyfikacji nieuczciwych postanowień umownych należy stosować wyłącznie wobec nieproporcjonalnych postanowień umownych, w przypadku których doszło do nadużycia silniejszej pozycji negocjacyjnej. Zdecydowana większość postanowień umownych, które w kontekście handlowym są korzystniejsze dla jednej ze stron, w tym postanowienia zwykle występujące w umowach między przedsiębiorcami, zwyczajnie odzwierciedla zasadę swobody zawierania umów i nadal obowiązuje. Do celów niniejszego rozporządzenia rażące odstępstwo od dobrej praktyki handlowej obejmuje m.in. obiektywne zmniejszenie zdolności strony, na którą jednostronnie nałożone zostało postanowienie, do ochrony uzasadnionego interesu handlowego leżącego w przedmiotowych danych.

(62) Aby zagwarantować pewność prawa, ustanawia się w niniejszym rozporządzeniu wykaz postanowień umownych, które bez wyjątku uznaje się za nieuczciwe, oraz wykaz postanowień umownych, w odniesieniu do których domniemywa się, że są nieuczciwe. W tym drugim przypadku przedsiębiorstwo, które nakłada dane postanowienie umowne, powinno być w stanie obalić domniemanie nieuczciwości, wykazując, że w konkretnym przypadku postanowienie wymienione w niniejszym rozporządzeniu nie jest nieuczciwe. Jeżeli postanowienie umowne nie widnieje w wykazie postanowień, które zawsze uznaje się za nieuczciwe albo w odniesieniu do których domniemywa się, że są nieuczciwe, zastosowanie ma ogólny przepis dotyczący nieuczciwego charakteru. W tym względzie postanowienia umowne wymienione w niniejszym rozporządzeniu jako postanowienia nieuczciwe powinny służyć jako kryteria interpretacji ogólnego przepisu dotyczącego nieuczciwego charakteru. Ponadto w negocjowaniu umów mogą pomóc stronom będącym podmiotami prowadzącymi działalność gospodarczą także opracowane i zalecane przez Komisję niewiążące modelowe postanowienia umowne dla umów między przedsiębiorcami w sprawie dzielenia się danymi. Jeżeli postanowienie umowne zostaje uznane za nieuczciwe, dana umowa powinna nadal obowiązywać bez tego postanowienia, chyba że nie można go oddzielić od pozostałych postanowień umownych.

(63) W sytuacji wyjątkowej potrzeby niezbędne może być wykorzystanie przez organy sektora publicznego, Komisję, Europejski Bank Centralny lub organy Unii istniejących danych, w tym w stosownym przypadku powiązanych meta- danych, w celu wykonania ustawowych obowiązków realizowanych w interesie publicznym, aby zareagować na niebezpieczeństwo publiczne lub w innych wyjątkowych przypadkach. Wyjątkowe potrzeby to okoliczności nieprzewidziane i ograniczone w czasie w przeciwieństwie do innych okoliczności, które mogą być zaplanowane, wyznaczone, okresowe lub częste. Pojęcie "posiadacz danych" zasadniczo nie obejmuje organów sektora publicznego, może ono jednak obejmować przedsiębiorstwa publiczne. Organizacje prowadzące badania naukowe i organizacje finansujące badania naukowe także mogą być organami sektora publicznego lub podmiotami prawa publicznego. Aby ograniczyć ciężar spoczywający na przedsiębiorstwach, mikroprzedsiębiorstwa i małe przedsiębiorstwa powinny podlegać obowiązkowi dostarczenia danych organom sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu lub organom Unii wyłącznie w sytuacjach wyjątkowej potrzeby, w przypadku gdy takie dane są niezbędne w celu zareagowania na niebezpieczeństwo publiczne a organ sektora publicznego, Komisja, Europejski Bank Centralny lub organ Unii nie są w stanie uzyskać takich danych za pomocą alternatywnych środków w sposób terminowy i skuteczny na równoważnych warunkach.

(64) W przypadku niebezpieczeństwa publicznego, takiego jak stan zagrożenia zdrowia publicznego, sytuacje wyjątkowe związane z klęskami żywiołowymi, w tym sytuacje pogarszane przez zmianę klimatu i degradację środowiska, oraz poważne katastrofy spowodowane przez człowieka, takie jak poważne cyberincydenty, interes publiczny wynikający z wykorzystania danych będzie nadrzędny względem interesów posiadacza danych związanych ze swobodnym dysponowaniem danymi, które są w jego posiadaniu. W takim przypadku posiadacze danych powinni być zobowiązani do udostępnienia danych organom sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu lub organom Unii na ich wniosek. Występowanie niebezpieczeństwa publicznego należy ustalić lub ogłosić zgodnie z prawem Unii lub prawem krajowym na podstawie odpowiednich procedur, w tym procedur stosowanych przez odpowiednie organizacje międzynarodowe. W takich przypadkach organ sektora publicznego powinien wykazać, że w przeciwnym razie danych objętych wnioskiem nie da się pozyskać na czas, skutecznie i na równoważnych warunkach, np. w wyniku ich dobrowolnego dostarczenia przez inne przedsiębiorstwo lub w wyniku kwerendy w publicznej bazie danych.

(65) Wyjątkowa potrzeba może wynikać również z sytuacji innych niż niebezpieczne. W takich przypadkach organ sektora publicznego, Komisja, Europejski Bank Centralny lub organ Unii powinny mieć możliwość występowania z wnioskiem wyłącznie o dane nieosobowe. Organ sektora publicznego powinien wykazać, że dane są niezbędne do realizacji konkretnego zadania realizowanego w interesie publicznym, które zostało wyraźnie przewidziane prawem, takiego jak tworzenie statystyki publicznej lub łagodzenie stanu niebezpieczeństwa publicznego lub przywrócenie stanu wyjściowego po jego wystąpieniu. Ponadto z takim wnioskiem można wystąpić wyłącznie wtedy, gdy organ sektora publicznego, Komisja, Europejski Bank Centralny lub organ Unii zidentyfikują konkretne dane, których w przeciwnym razie nie da się pozyskać na czas, skutecznie i na równoważnych warunkach, i wyłącznie wtedy, gdy wyczerpią wszystkie inne dostępne im sposoby pozyskiwania takich danych, takie jak pozyskanie danych na podstawie dobrowolnych umów, w tym zakup danych nieosobowych na rynku poprzez zaoferowanie stawek rynkowych, lub odwołanie się do istniejących obowiązków udostępnienia danych, lub przyjęcie nowych środków ustawodawczych, które mogłyby zagwarantować dostępność danych na czas. Zastosowanie powinny mieć zasady dotyczące wniosków, takie jak te związane z ograniczeniem celu, proporcjonalnością, przejrzystością oraz ograniczeniem w czasie. W przypadku wniosków o dane niezbędne do tworzenia statystyki publicznej organ sektora publicznego występujący z wnioskiem powinien także wykazać, czy prawo krajowe pozwala mu zakupić dane nie- osobowe na rynku.

(66) Niniejsze rozporządzenie nie powinno dotyczyć ani wykluczać dobrowolnych uzgodnień dotyczących wymiany danych między podmiotami prywatnymi i publicznymi, w tym dotyczących dostarczania danych przez MŚP, i pozo- staje bez uszczerbku dla aktów prawnych Unii ustanawiających obowiązkowe wnioski o udzielenie informacji kierowane przez podmioty publiczne do podmiotów prywatnych. Niniejsze rozporządzenie nie powinno wpływać na obowiązki posiadaczy danych dotyczące dostarczania danych w sytuacjach, w których nie zachodzi wyjątkowa potrzeba, w szczególności gdy zakres danych i posiadaczy danych jest znany lub gdy wykorzystywanie danych może odbywać się regularnie, tak jak ma to miejsce w przypadku obowiązków sprawozdawczych i obowiązków związanych z rynkiem wewnętrznym. Niniejsze rozporządzenie nie powinno również wpływać na wymagania dotyczące dostępu do danych w celu weryfikacji przestrzegania mających zastosowanie przepisów, w tym w przypadkach, w których organy sektora publicznego zlecają przeprowadzenie weryfikacji jednostkom niebędącym organami sektora publicznego.

(67) Niniejsze rozporządzenie uzupełnia prawo Unii i prawo krajowe przewidujące dostęp do danych i ich wykorzystywanie w celach statystycznych i pozostaje bez uszczerbku dla tego prawa, w szczególności rozporządzenia Parlamentu Europejskiego (WE) nr 223/2009 27  oraz krajowych aktów prawnych dotyczących statystyki publicznej.

(68) Do celów realizacji zadań w obszarze zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania lub ścigania czynów zabronionych lub przestępstw administracyjnych, wykonywania sankcji karnych i administracyjnych, a także zbierania danych do celów celnych lub podatkowych organy sektora publicznego, Komisja, Europejski Bank Centralny lub organy Unii powinny korzystać z uprawnień nadanych im na mocy prawa Unii lub prawa krajowego. Niniejsze rozporządzenie nie wpływa zatem na akty prawne dotyczące dzielenia się danymi, uzyskiwania do nich dostępu i ich wykorzystywania w tych obszarach.

(69) Zgodnie z art. 6 ust. 1 i 3 rozporządzenia (UE) 2016/679 do określenia podstawy prawnej udostępnienia danych przez posiadaczy danych - w przypadku wyjątkowej potrzeby - organom sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu lub organom Unii niezbędne są na poziomie Unii proporcjonalne, ograniczone i przewidywalne ramy zarówno w celu zagwarantowania pewności prawa, jak i ograniczenia do minimum obciążeń administracyjnych nakładanych na przedsiębiorców. W tym celu wnioski o dane od organów sektora publicznego, Komisji, Europejskiego Banku Centralnego lub organów Unii do posiadaczy danych powinny być konkretne, przejrzyste i proporcjonalne pod względem zakresu treści i poziomu szczegółowości. Należy wyraźnie i konkretnie wskazać cel wniosku i planowane wykorzystanie żądanych danych, a jednocześnie dopuścić odpowiednią elastyczność, tak aby podmiot występujący z wnioskiem mógł zrealizować swoje określone zadania realizowane w interesie publicznym. We wniosku należy również wziąć pod uwagę uzasadnione interesy posiadacza danych będącego adresatem wniosku. Należy ograniczyć do minimum ciężar nakładany na posiadaczy danych poprzez zobowiązanie podmiotów występujących z wnioskiem do przestrzegania zasady jednorazowości, która zapobiega wielokrotnemu występowaniu o te same dane przez więcej niż jeden organ sektora publicznego, lub Komisję, Europejski Bank Centralny lub organ Unii. Aby zapewnić przejrzystość, wnioski o dane od Komisji, Europejskiego Banku Centralnego lub organów Unii powinny zostać bez zbędnej zwłoki podane do wiadomości publicznej przez podmiot występujący z wnioskiem o dane. Europejski Bank Centralny lub organy Unii powinny informować Komisję o ich wnioskach o dane. W przypadku gdy z wnioskiem o dane wystąpił organ sektora publicznego, organ ten powinien także powiadomić koordynatora danych państwa członkowskiego, w którym ma siedzibę organ sektora publicznego. Należy zapewnić, aby wszystkie wnioski były publicznie dostępne w internecie. Po otrzymaniu powiadomienia dotyczącego wniosku o dane właściwy organ może zdecydować o poddaniu wniosku ocenie, czy jest on zgodny z prawem, i wykonać swoje funkcje związane z egzekwowaniem i stosowaniem niniejszego rozporządzenia. Koordynator danych powinien zapewnić, by wszystkie wnioski, z którymi wystąpiły organy sektora publicznego, były publicznie dostępne w internecie.

(70) Celem obowiązku dostarczania danych jest zapewnienie, aby organy sektora publicznego, Komisja, Europejski Bank Centralny lub organy Unii dysponowały niezbędną wiedzą pozwalającą reagować na niebezpieczeństwa publiczne, zapobiegać im lub przywracać stan wyjściowy po wystąpieniu niebezpieczeństwa publicznego lub utrzymywać zdolność do realizacji konkretnych zadań wyraźnie określonych w prawie. Wśród danych pozyskiwanych przez te podmioty mogą znajdować się szczególnie chronione informacje handlowe. Z tego względu do danych udostępnianych na podstawie niniejszego rozporządzenia nie powinny mieć zastosowania ani rozporządzenie (UE) 2022/868, ani dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1024 28 , i nie należy uznawać, że są to otwarte dane, które mogą być ponownie wykorzystywane przez osoby trzecie. Nie powinno to jednak wpływać na stosowanie dyrektywy (UE) 2019/1024 do ponownego wykorzystywania statystyki publicznej, przy której tworzeniu wykorzystano dane pozyskane na podstawie niniejszego rozporządzenia, pod warunkiem że ponowne wykorzystanie nie dotyczy danych bazowych. Ponadto - pod warunkiem że spełnione są warunki określone w niniejszym rozporządzeniu - możliwość dzielenia się danymi do celów prowadzenia badań lub opracowywania, tworzenia i rozpowszechniania statystyki publicznej nie powinna być ograniczona. Organy sektora publicznego powinny również mieć możliwość wymiany danych pozyskanych na podstawie niniejszego rozporządzenia z innymi organami sektora publicznego, Komisją, Europejskim Bankiem Centralnym lub organami Unii, aby odpowiedzieć na wyjątkowe potrzeby, w związku z którymi wystąpiono z wnioskiem o dane.

(71) Posiadacze danych powinni móc odrzucić wniosek, z którym wystąpiły organ sektora publicznego, Komisja, Europejski Bank Centralny lub organ Unii albo zwrócić się o jego zmianę bez zbędnej zwłoki i w każdym przypadku nie później niż w terminie 5 lub 30 dni roboczych w zależności od charakteru wyjątkowej potrzeby, na którą powołano się we wniosku. W stosownych przypadkach posiadacz danych powinien mieć taką możliwość, jeżeli nie ma kontroli nad żądanymi danymi, tzn. jeżeli nie ma do nich natychmiastowego dostępu i nie może stwierdzić ich dostępności. Uzasadnionym powodem odmowy dzielenia się danymi jest wykazana okoliczność, że podobny wniosek został już wcześniej złożony w tym samym celu przez inny organ sektora publicznego, Komisję, Europejski Bank Centralny lub inny organ Unii, a posiadacz danych nie został powiadomiony o usunięciu danych zgodnie z niniejszym rozporządzeniem. Posiadacz danych, który odrzuca wniosek lub zwraca się o jego zmianę, powinien przedstawić stosowne uzasadnienie organowi sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu lub organowi Unii występującym z wnioskiem o dane. Gdy do żądanych zestawów danych mają zastosowanie prawa sui generis do baz danych przewidziane w dyrektywie 96/9/WE Parlamentu Europejskiego i Rady 29 , posiadacze danych powinni wykonywać przysługujące im prawa w sposób, który nie uniemożliwia organowi sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu lub organowi Unii pozyskania danych lub dzielenia się nimi zgodnie z niniejszym rozporządzeniem.

(72) W przypadku wyjątkowej potrzeby związanej z reagowaniem na niebezpieczeństwo publiczne organy sektora publicznego powinny, o ile to możliwe, wykorzystywać dane nieosobowe. W przypadku wniosków na podstawie wyjątkowej potrzeby, ale niezwiązanych z niebezpieczeństwem publicznym, nie można wystąpić z wnioskiem o dane osobowe. Jeżeli w zakres wniosku wchodzą dane osobowe, posiadacz danych powinien zanonimizować dane. Jeżeli uwzględnienie danych osobowych w danych udostępnianych organowi sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu lub organowi Unii jest ściśle niezbędne lub jeżeli anonimizacja danych okaże się niemożliwa, organ występujący z wnioskiem o dane powinien wykazać, że dane te są ściśle niezbędne, oraz przedstawić konkretne i ograniczone cele przetwarzania. Należy przestrzegać mających zastosowanie przepisów dotyczących ochrony danych osobowych. Udostępniając, a następnie wykorzystując dane, należy zapewnić zabezpieczenia chroniące prawa i interesy osób fizycznych, których dane te dotyczą.

(73) Dane udostępniane organom sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu lub organom Unii na podstawie wyjątkowej potrzeby należy wykorzystywać wyłącznie w celu wskazanym we wniosku, chyba że posiadacz danych, który udostępnił dane, udzielił wyraźnej zgody na wykorzystanie tych danych do innych celów. Dane należy usunąć, gdy tylko przestaną być niezbędne do celu wskazanego we wniosku, chyba że uzgodniono inaczej, a o ich usunięciu należy powiadomić posiadacza danych. Niniejsze rozporządzenie opiera się na systemach dostępu obowiązujących w Unii i w państwach członkowskich i nie zmienia prawa krajowego dotyczącego dostępu do dokumentów w kontekście obowiązków dotyczących przejrzystości. Dane należy usunąć, gdy tylko przestaną być potrzebne do wywiązania się z takich obowiązków dotyczących przejrzystości.

(74) Ponownie wykorzystując dane dostarczone przez posiadaczy danych, organy sektora publicznego, Komisja, Europejski Bank Centralny lub organy Unii powinny przestrzegać zarówno mającego zastosowanie prawa Unii lub prawa krajowego, jak i zobowiązań umownych, którym podlega posiadacz danych. Powinny one powstrzymać się od opracowania lub udoskonalenia produktu skomunikowanego lub usługi powiązanej, które konkurują z produktem skomunikowanym lub usługą powiązaną posiadacza danych, oraz od dzielenia się danymi w tych celach z osobą trzecią. Powinny one także na wniosek posiadaczy danych zapewnić im publiczne uznanie i powinny być odpowiedzialne za utrzymanie bezpieczeństwa otrzymanych danych. W przypadku gdy ujawnienie tajemnic przedsiębiorstwa posiadacza danych organom sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu lub organom Unii jest ściśle niezbędne do osiągnięcia celu wskazanego we wniosku o dane, przed ujawnieniem danych należy zagwarantować poufność takiego ujawnienia.

(75) Jeżeli konieczna jest ochrona istotnego dobra publicznego, np. w przypadku reagowania na niebezpieczeństwa publiczne, od danego organu sektora publicznego, Komisji, Europejskiego Banku Centralnego lub organu Unii nie należy oczekiwać wypłaty przedsiębiorstwom rekompensaty za pozyskane dane. Niebezpieczeństwo publiczne należy do zdarzeń rzadkich i nie wszystkie przypadki takiego niebezpieczeństwa wymagają wykorzystywania danych będących w posiadaniu przedsiębiorstw. Jednocześnie obowiązek dostarczenia danych może stanowić znaczne obciążenie dla mikroprzedsiębiorstw i małych przedsiębiorstw. Powinny więc one móc domagać się rekompensaty nawet w kontekście reagowania na niebezpieczeństwo publiczne. Korzystanie z przepisów niniejszego rozporządzenia przez organy sektora publicznego, Komisję, Europejski Bank Centralny lub organy Unii prawdopodobnie nie będzie więc negatywnie wpływać na działalność gospodarczą posiadaczy danych. Ponieważ jednak częściej mogą występować przypadki wyjątkowej potrzeby niezwiązane z reagowaniem na niebezpieczeństwo publiczne, w takich przypadkach posiadacze danych powinni być uprawnieni do zasadnej rekompensaty, której kwota nie powinna przekraczać kosztów technicznych i organizacyjnych poniesionych w związku z zastosowaniem się do wniosku i stosownej marży żądanej za udostępnienie danych organowi sektora publicznego, Komisji, Europejskiego Banku Centralnego lub organowi Unii. Rekompensaty nie należy rozumieć jako płatności za same dane i jako płatności obowiązkowej. Posiadacze danych nie powinni móc domagać się rekompensaty, w przypadku gdy prawo krajowe nie zezwala krajowym urzędom statystycznym lub innym organom krajowym odpowiedzialnym za tworzenie statystyk na wynagradzanie posiadaczy danych za ich udostępnienie. Dany organ sektora publicznego, Komisja, Europejski Bank Centralny lub organ Unii powinny móc zakwestionować poziom rekompensaty żądanej przez posiadacza danych poprzez wniesienie sprawy do właściwego organu państwa członkowskiego, w którym siedzibę ma posiadacz danych.

(76) Organ sektora publicznego lub Komisja, Europejski Bank Centralny lub organ Unii powinny móc dzielić się danymi pozyskanymi na podstawie wniosku z innymi podmiotami lub osobami, jeżeli jest to niezbędne dla prowadzenia działań naukowych lub analitycznych, których nie są w stanie przeprowadzić samodzielnie, pod warunkiem że działania te są zgodne z celem, w którym wystąpiono o dane. Powinny one w odpowiednim czasie informować posiadacza danych o takim dzieleniu się danymi. Takimi danymi można również dzielić się w takich samych okolicznościach z krajowymi urzędami statystycznymi i Eurostatem do celów opracowywania, tworzenia i rozpowszechniania statystyki publicznej. Takie działania naukowe powinny jednak być zgodne z celem, w którym wystąpiono o dane, a posiadacza danych należy powiadomić o dalszym dzieleniu się danymi, których dostarczył. Osoby fizyczne prowadzące badania lub organizacje badawcze, z którymi można dzielić się tymi danymi, powinny prowadzić działalność o charakterze niekomercyjnym albo prowadzić działalność w interesie publicznym uznanym przez państwo. Do celów niniejszego rozporządzenia za organizacje badawcze nie uznaje się organizacji znajdujących się pod znacznym wpływem przedsiębiorstw komercyjnych, które mogą sprawować kontrolę nad daną organizacją z powodu okoliczności strukturalnych, przez co może dochodzić do udzielania preferencyjnego dostępu do wyników badań.

(77) Aby można było poradzić sobie z transgranicznym niebezpieczeństwem publicznym lub inną wyjątkową potrzebą, wnioski o dane mogą być kierowane do posiadaczy danych w państwach członkowskich innych niż państwo występującego z wnioskiem organu sektora publicznego. W takim przypadku organ sektora publicznego powinien poinformować właściwy organ państwa członkowskiego, w którym posiadacz danych ma siedzibę, tak by organ ten mógł sprawdzić wniosek pod kątem kryteriów ustanowionych w niniejszym rozporządzeniu. To samo powinno mieć zastosowanie do wniosków Komisji, Europejskiego Banku Centralnego lub organu Unii. Jeżeli wystąpiono z wnioskiem o dane osobowe, organ sektora publicznego powinien poinformować o tym organ nadzorczy odpowiedzialny za monitorowanie stosowania rozporządzenia (UE) 2016/679 w państwie członkowskim, w którym organ sektora publicznego ma siedzibę. Dany właściwy organ powinien być uprawniony do doradzania organowi sektora publicznego, Komisji, Europejskiemu Bankowi Centralnemu lub organowi Unii, by podjęli oni współpracę z organem sektora publicznego w państwie członkowskim, w którym posiadacz danych ma siedzibę, w celu zapewnienia jak najmniejszego obciążenia administracyjnego dla posiadacza danych. W przypadku gdy właściwy organ zgłosi uzasadniony sprzeciw co do zgodności wniosku z niniejszym rozporządzeniem, powinien on odrzucić wniosek organu sektora publicznego, Komisji, Europejskiego Banku Centralnego, które z kolei powinny uwzględnić ten sprzeciw przed podjęciem dalszego działania, w tym ponownego wystąpienia z wnioskiem.

(78) Podstawowym warunkiem, który pozwoli stworzyć bardziej konkurencyjny rynek, charakteryzujący się mniejszymi barierami wejścia dla nowych dostawców usług przetwarzania danych, oraz zapewnić użytkownikom tych usług większą odporność, jest umożliwienie klientom korzystającym z usług przetwarzania danych, w tym usług w chmurze i usług przetwarzania brzegowego, zmiany dostawcy usługi przetwarzania danych z zachowaniem minimalnego poziomu funkcjonalności usługi i bez przestoju usług lub umożliwienie korzystania z usług kilku dostawców jednocześnie bez nieuzasadnionych przeszkód i kosztów przekazywania danych. Z przepisów dotyczących zmiany dostawcy ustanowionych w niniejszym rozporządzeniu powinni korzystać też klienci korzystający z ofert bezpłatnych, tak by oferty te nie skutkowały dla nich uzależnieniem od jednego dostawcy.

(79) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1807 30  zachęca dostawców usług przetwarzania danych do opracowywania i skutecznego wdrażania samoregulacyjnych kodeksów postępowania, obejmujących m.in. najlepsze praktyki w zakresie ułatwiania zmiany dostawców usług przetwarzania danych i w zakresie przenoszenia danych. Mając na uwadze ograniczone korzystanie z ram samoregulacyjnych opracowanych w związku z tym rozporządzeniem, oraz ogólną niedostępność otwartych standardów i interfejsów, należy przyjąć zestaw minimalnych obowiązków regulacyjnych, które będą spoczywać na dostawcach usług przetwarzania danych, w celu wyeliminowania przeszkód przedkomercyjnych, komercyjnych, technicznych, umownych i organizacyjnych, które nie ograniczają się do zmniejszonej szybkości transferu danych przy odejściu klienta, i które utrudniają skuteczną zmianę dostawcy usług przetwarzania danych.

(80) Usługi przetwarzania danych powinny obejmować usługi umożliwiające wszechobecny sieciowy dostęp na żądanie do konfigurowalnego, skalowalnego i elastycznego wspólnego zbioru rozproszonych zasobów obliczeniowych. Zasoby obliczeniowe obejmują takie zasoby jak sieci, serwery lub inną infrastrukturę wirtualną lub fizyczną, oprogramowanie, w tym narzędzia do tworzenia oprogramowania, pamięć masową, aplikacje i usługi. Zdolność klienta korzystającego z usługi przetwarzania danych do jednostronnego zapewnienia sobie możliwości obliczeniowych, takich jak czas serwera lub pamięć sieciowa, bez ingerencji ludzkiej ze strony dostawcy usług przetwarzania danych, można określić jako wymagającą minimalnego wysiłku pod względem zarządzania i związaną z minimalną interakcją między dostawcą a klientem. Pojęcia "wszechobecne" używa się do opisu sytuacji, w której możliwości obliczeniowe są udostępniane przez sieć, a dostęp do nich jest możliwy za pośrednictwem mechanizmów sprzyjających wykorzystywaniu różnorodnych platform cienkich lub grubych klientów (od przeglądarek internetowych po urządzenia mobilne i stacje robocze). Pojęcie "skalowalne" odnosi się do zasobów obliczeniowych, które są elastycznie przydzielane przez dostawcę usług przetwarzania danych, niezależnie od położenia geograficznego zasobów, jako reakcja na zmiany zapotrzebowania. Pojęcia "elastyczne " używa się do opisu tych zasobów obliczeniowych, które są przydzielane i uwalniane zależnie od zapotrzebowania, aby szybko zwiększać lub zmniejszać dostępne zasoby w zależności od obciążenia. Pojęcia "wspólny zbiór" używa się do opisu zasobów obliczeniowych udostępnianych wielu użytkownikom, którzy dzielą wspólny dostęp do usługi, jednak przetwarzanie odbywa się oddzielnie dla każdego z użytkowników, choć usługa ta jest świadczona z tego samego sprzętu elektronicznego. Pojęcia "rozproszone" używa się do opisu zasobów obliczeniowych zlokalizowanych na rożnych komputerach lub urządzeniach połączonych w sieć, które komunikują się ze sobą i koordynują swoją pracę przez przekazywanie komunikatów. Pojęcia "wysoce rozproszone" używa się do opisu usług przetwarzania danych, które obejmują przetwarzanie danych prowadzone w bliższej odległości do miejsca generowania lub zbierania danych, np. w skomunikowanym urządzeniu do przetwarzania danych. Oczekuje się, że przetwarzanie brzegowe, które stanowi rodzaj takiego wysoce rozproszonego przetwarzania danych, spowoduje rozwój nowych modeli biznesowych i modeli świadczenia usług w chmurze, które od początku powinny być otwarte i interoperacyjne.

(81) Ogólne pojęcie "usługi przetwarzania danych" obejmuje znaczną liczbę usług o bardzo szerokich i różnorodnych celach, funkcjach i konfiguracjach technicznych. W powszechnym rozumieniu dostawców i użytkowników oraz zgodnie z powszechnie stosowanymi normami usługi przetwarzania danych należą do co najmniej jednego z następujących trzech modeli świadczenia usług przetwarzania danych: infrastruktura jako usługa (IaaS), platforma jako usługa (PaaS) i oprogramowanie jako usługa (SaaS). Te modele świadczenia usług stanowią konkretne gotowe pakiety zasobów technologii informacyjno-komunikacyjnych (ICT) oferowane przez dostawcę usług przetwarzania danych. Te trzy podstawowe modele świadczenia usług przetwarzania danych są dodatkowo uzupełnione nowymi opcjami, z których każda jest innym pakietem zasobów ICT, takimi jak StaaS (przechowywanie jako usługa) i DBaaS (baza danych jako usługa). Usługi przetwarzania danych można skategoryzować w bardziej szczegółowy sposób i podzielić na niewyczerpującą listę zestawów usług przetwarzania danych, które mają ten sam główny cel i te same główne funkcje oraz opierają się na tym samym rodzaju modeli przetwarzania danych, niezwiązanych z charakterystyką operacyjną usługi (zwaną dalej "usługą tego samego typu"). Usługi należące do tego samego typu mogą posługiwać się takim samym modelem usługi przetwarzania danych, jednak dwie bazy danych mogą pozornie mieć ten sam główny cel, ale po przyjrzeniu się ich modelowi przetwarzania danych, modelowi dystrybucji i założonym sposobom wykorzystywania można by je przypisać do bardziej szczegółowej podkategorii usług podobnych. Usługi tego samego typu mogą mieć odmienne i konkurencyjne cechy, takie jak wydajność, bezpieczeństwo, odporność i jakość usług.

(82) Stwarzanie trudności w ekstrakcji danych eksportowalnych należących do klienta wyjściowego dostawcy usług przetwarzania danych może być przeszkodą w przywracaniu funkcji usługi w infrastrukturze docelowego dostawcy usług przetwarzania danych. Aby ułatwić klientowi strategię odejścia, zapobiec zbędnym i uciążliwym zadaniom oraz zapewnić, by w wyniku procesu zmiany dostawcy klient nie stracił żadnych swoich danych, wyjściowy dostawca usług przetwarzania danych powinien z wyprzedzeniem poinformować klienta o zakresie danych, które można wyeksportować, gdy klient podejmie decyzję o zmianie dostawcy usługi przetwarzania danych lub o przejściu na lokalną infrastrukturę ICT. Zakres danych eksportowalnych powinien obejmować co najmniej dane wejściowe i wyjściowe, w tym metadane, bezpośrednio lub pośrednio wygenerowane bądź współwygenerowane w wyniku korzystania przez klienta z usługi przetwarzania danych, z wyłączeniem wszelkich aktywów lub danych dostawcy usług przetwarzania danych lub osoby trzeciej. Z danych eksportowalnych należy wyłączyć wszelkie dane dostawcy usługi przetwarzania danych lub osób trzech, które są chronione prawami własności intelektualnej lub stanowią tajemnicę przedsiębiorstwa tego dostawcy lub tych osób trzecich, oraz dane związane z integralnością i bezpieczeństwem usługi, których eksport czyniłby dostawcę usługi przetwarzania danych podatnym na cyberzagrożenia. Wyłączenia te nie powinny utrudniać ani opóźniać procesu zmiany dostawcy.

(83) Aktywa cyfrowe oznaczają elementy w formacie cyfrowym, z których klient ma prawo korzystać, w tym aplikacje i metadane związane z konfiguracją ustawień, bezpieczeństwem oraz zarządzaniem prawami dostępu i prawami kontroli, oraz inne elementy, takie jak stanowiące wyraz technologii wirtualizacji, w tym maszyny wirtualne i kontenery. Aktywa cyfrowe mogą być przenoszone, jeżeli klient ma prawo z nich korzystać, niezależnie od stosunku umownego obejmującego usługę przetwarzania danych, w przypadku której zamierza zmienić dostawcę. Te inne elementy są nieodzowne do skutecznego wykorzystywania danych i aplikacji klienta w środowisku docelowego dostawcy usług przetwarzania danych.

(84) Niniejsze rozporządzenie ma ułatwić zmianę dostawcy usług przetwarzania danych, przy czym taka zmiana obejmuje warunki i działania niezbędne do rozwiązania przez klienta umowy dotyczącej usługi przetwarzania danych, zawarcia co najmniej jednej nowej umowy z innymi dostawcami usług przetwarzania danych, przeniesienia swoich danych eksportowalnych i aktywów cyfrowych oraz w stosownym przypadku skorzystania z równoważności funkcjonalnej.

(85) Zmiana dostawcy to operacja podejmowana z inicjatywy klienta i obejmująca kilka etapów, w tym ekstrakcję danych, przez którą rozumie się pobranie danych z ekosystemu wyjściowego dostawcy usług przetwarzania danych, transformację, w przypadku gdy dane są strukturyzowane w sposób, który nie odpowiada schematowi lokalizacji docelowej, i załadowanie danych do nowej lokalizacji docelowej. W szczególnej sytuacji opisanej w niniejszym rozporządzeniu za zmianę dostawcy należy uznać również wyłączenie danej usługi z umowy i przeniesienie jej do innego dostawcy. Procesem zmiany dostawcy zarządza niekiedy w imieniu klienta podmiot będący osobą trzecią. W związku z tym wszystkie prawa i obowiązki klienta ustanowione niniejszym rozporządzeniem, w tym obowiązek współpracy w dobrej wierze, należy rozumieć w takich okolicznościach jako mające zastosowanie do takiego podmiotu będącego osobą trzecią. Dostawcy usług przetwarzania danych i klienci mają obowiązki na różnych poziomach, w zależności od etapu procesu, o którym mowa. Na przykład wyjściowy dostawca usług przetwarzania danych jest odpowiedzialny za ekstrakcję danych do formatu nadającego się do odczytu maszynowego, ale to klient i docelowy dostawca usług przetwarzania danych ładują dane do nowego środowiska, chyba że została zamówiona konkretna profesjonalna usługa przeniesienia danych. Klient, który zamierza wykonać prawa związane ze zmianą dostawcy przewidziane w niniejszym rozporządzeniu, powinien poinformować wyjściowego dostawcę usług przetwarzania danych o decyzji, aby zmienić dostawcę usług przetwarzania danych, przejść na lokalną infrastrukturę ICT albo usunąć aktywa tego klienta i jego dane eksportowalne.

(86) Równoważność funkcjonalna oznacza przywrócenie - na podstawie danych eksportowalnych i aktywów cyfrowych klienta - minimalnego poziomu funkcjonalności danej usługi tego samego typu w środowisku nowej usługi przetwarzania danych po zmianie dostawcy, przy czym usługa docelowa przetwarzania danych daje porównywalny rezultat w reakcji na te same dane wejściowe w przypadku wspólnych cech dostarczanych klientowi na podstawie umowy. Od dostawców usług przetwarzania danych można wyłącznie oczekiwać ułatwienia równoważności funkcjonalnej dla jednakowych funkcji oferowanych niezależnie od siebie przez usługę wyjściową i usługę docelową przetwarzania danych. Niniejsze rozporządzenie nie nakłada obowiązku ułatwienia równoważności funkcjonalnej na dostawców usług przetwarzania danych innych niż dostawcy oferujący usługi w modelu IaaS.

(87) Usługi przetwarzania danych są wykorzystywane w różnych sektorach i różnią się złożonością i rodzajem. Jest to kwestia istotna z punktu widzenia procesu przenoszenia danych i ram czasowych. Jednak na przedłużenie okresu przejściowego z powodu technicznej niemożliwości finalizacji procesu zmiany dostawcy w danych ramach czasowych powinno móc się powołać wyłącznie w należycie uzasadnionych przypadkach. Ciężar dowodu w tej kwestii powinien w pełni spoczywać na danym dostawcy usługi przetwarzania danych. Pozostaje to bez uszczerbku dla wyłącznego prawa klienta do jednokrotnego przedłużenia okresu przejściowego o okres, który klient uznaje za bardziej odpowiadający jego własnym celom. Na prawo do przedłużenia okresu przejściowego klient może się powołać przed okresem przejściowym lub w trakcie okresu przejściowego, z uwzględnieniem faktu, że w okresie przejściowym nadal ma zastosowanie umowa.

(88) Opłaty z tytułu zmiany dostawcy usług przetwarzania danych to opłaty nakładane na klientów przez dostawców usług przetwarzania danych za proces zmiany dostawcy. Zwykle opłaty te mają na celu przeniesienie kosztów, które dostawca wyjściowy usług przetwarzania danych może ponieść w związku z procesem zmiany, na klienta, który chce zmienić dostawcę. Powszechnymi przykładami opłat z tytułu zmiany dostawcy są koszty związane z przemieszczeniem danych od jednego dostawcy usług przetwarzania danych do drugiego lub do lokalnej infrastruktury ICT (zwane dalej "opłatami z tytułu wychodzącego ruchu danych") lub koszty konkretnych działań wspierających podczas procesu zmiany dostawcy. Nadmiernie wysokie opłaty z tytułu wychodzącego ruchu danych i inne nieuzasadnione opłaty niezwiązane z rzeczywistymi kosztami zmiany dostawcy utrudniają klientom zmianę dostawcy, ograniczają swobodny przepływ danych, mogą ograniczać konkurencję i dają efekt uzależnienia klientów od jednego dostawcy, gdyż zmniejszają motywację do wyboru innego lub dodatkowego dostawcy usług. W związku z tym opłaty z tytułu zmiany dostawcy powinny zostać zniesione po trzech latach od dnia wejścia w życie niniejszego rozporządzenia. Dostawcy usług przetwarzania danych powinni mieć możliwość nakładania do tego dnia obniżonych opłat za zmianę dostawcy.

(89) Wyjściowy dostawca usług przetwarzania danych powinien mieć możliwość zlecania niektórych zadań na zasadzie outsourcingu i wypłacania rekompensaty podmiotom będącym osobą trzecią w celu wypełnienia obowiązków przewidzianych w niniejszym rozporządzeniu. Klient nie powinien ponosić kosztów wynikających ze zlecenia usług na zasadzie outsourcingu przez dostawcę usług przetwarzania danych podczas procesu zmiany dostawcy, a koszty takie należy uznać za nieuzasadnione, chyba że koszty te dotyczą prac podjętych przez dostawcę usług przetwarzania danych na wniosek klienta w zakresie dodatkowego wsparcia w procesie zmiany dostawcy, a prace te wykraczają poza obowiązki dostawcy w ramach zmiany dostawcy wyraźnie przewidziane w niniejszym rozporządzeniu. Niniejsze rozporządzenie nie uniemożliwia klientowi wypłacania rekompensaty podmiotom będącym osobą trzecią za wsparcie w procesie migracji ani nie uniemożliwia stronom uzgadniania umów na czas określony w sprawie usług przetwarzania danych, w tym proporcjonalnych kar za wcześniejsze rozwiązanie tej umowy, zgodnie z prawem Unii lub prawem krajowym. Aby sprzyjać konkurencji, stopniowe wycofywanie opłat związanych ze zmianą dostawcy usług przetwarzania danych powinno obejmować w szczególności opłaty z tytułu wychodzącego ruchu danych nakładane na klienta przez dostawcę usług przetwarzania danych. Standardowe opłaty za usługę w zamian za świadczenie usług przetwarzania danych same w sobie nie są opłatami za zmianę dostawcy. Standardowe opłaty za usługę nie podlegają wycofaniu i nadal mają zastosowanie, do czasu aż przestanie obowiązywać umowa świadczenia danych usług. Niniejsze rozporządzenie umożliwia klientowi występowanie z wnioskiem o świadczenie dodatkowych usług wykraczających poza obowiązki spoczywające na dostawcy w ramach zmiany dostawcy na podstawie niniejszego rozporządzenia. Te dodatkowe usługi mogą być wykonywane przez dostawcę i może on pobierać za nie opłaty, jeżeli usługi są wykonywane na wniosek klienta, a klient uprzednio zgodził się z ich wyceną.

(90) Potrzebne jest ambitne i zachęcające do innowacji podejście regulacyjne do interoperacyjności, aby przezwyciężyć uzależnienie od jednego dostawcy, które osłabia konkurencję i opracowywanie nowych usług. Interoperacyjność między usługami przetwarzania danych obejmuje liczne interfejsy oraz warstwy infrastruktury i oprogramowania i rzadko ogranicza się do testu, czy jest osiągalna, czy nie. Wręcz przeciwnie, tworzenie takiej interoperacyjności podlega analizie kosztów i korzyści, która jest niezbędna do ustalenia, czy warto dążyć do racjonalnie przewidywalnych wyników. Ważnym punktem odniesienia w kontekście realizacji celów niniejszego rozporządzenia jest międzynarodowa norma ISO/IEC 19941:2017, która obejmuje aspekty techniczne wyjaśniające złożoność takiego procesu.

(91) W przypadku gdy dostawcy usług przetwarzania danych są z kolei klientami korzystającymi z usług przetwarzania danych świadczonych przez dostawcę będącego osobą trzecią, sami odniosą korzyść ze skuteczniejszej możliwości zmiany dostawcy, a jednocześnie będą nadal podlegać obowiązkom określonym w niniejszym rozporządzeniu w odniesieniu do własnej oferty usług.

(92) Dostawcy usług przetwarzania danych powinni być zobowiązani do oferowania w ramach swoich kompetencji, proporcjonalnie do swoich obowiązków, wszelkiej pomocy i wszelkiego wsparcia, które są potrzebne, aby proces zmiany dostawcy na innego dostawcę usług przetwarzania danych był udany, skuteczny i bezpieczny. Niniejsze rozporządzenie nie zobowiązuje dostawców usług przetwarzania danych do opracowania nowych kategorii usług przetwarzania danych, w tym w ramach infrastruktury ICT innych dostawców usług przetwarzania danych lub na podstawie takiej infrastruktury, w celu zagwarantowania równoważności funkcjonalnej w środowisku innym niż własne systemy. Wyjściowy dostawca usług przetwarzania danych nie ma dostępu do środowiska docelowego dostawcy usług przetwarzania danych ani wglądu w to środowisko. Nie należy rozumieć, że równoważność funkcjonalna zobowiązuje wyjściowego dostawcę usług przetwarzania danych do odtworzenia danej usługi w ramach infrastruktury docelowego dostawcy usług przetwarzania danych. Wyjściowy dostawca usług przetwarzania danych powinien natomiast podjąć w granicach swoich uprawnień wszelkie rozsądne działania, aby ułatwić osiągnięcie równoważności funkcjonalnej, zapewniając zdolności, odpowiednie informacje, dokumentację, wsparcie techniczne oraz w stosownym przypadku niezbędne narzędzia.

(93) Dostawcy usług przetwarzania danych powinni także być zobowiązani do usunięcia istniejących przeszkód i do nie- nakładania nowych, w tym wobec klientów chcących przejść na lokalną infrastrukturę ICT. Przeszkody mogą mieć charakter przedkomercyjny, komercyjny, techniczny, umowny lub organizacyjny. Dostawcy usług przetwarzania danych powinni także być zobowiązani do usunięcia przeszkód w oddzieleniu konkretnej usługi od innych przewidzianych w umowie usług przetwarzania danych i do udostępnienia odpowiedniej usługi w celu zmiany dostawcy, o ile nie istnieją duże i możliwe do wykazania przeszkody techniczne uniemożliwiające takie oddzielenie.

(94) Podczas całego procesu zmiany dostawcy należy zachować wysoki poziom bezpieczeństwa. Oznacza to, że wyjściowy dostawca usług przetwarzania danych powinien objąć poziomem bezpieczeństwa, do którego jest zobowiązany w ramach usługi, wszystkie uzgodnienia techniczne, za które odpowiada podczas procesu zmiany dostawcy, takie jak połączenia sieciowe czy urządzenia fizyczne. Nie należy spodziewać się wpływu na obowiązujące prawa dotyczące rozwiązywania umów, w tym prawa wprowadzone rozporządzeniem (UE) 2016/679 i dyrektywą Parlamentu Europejskiego i Rady (UE) 2019/770 31 . Nie należy rozumieć, że niniejsze rozporządzenie stoi na przeszkodzie temu, by dostawca usług przetwarzania danych zapewniał swoim klientom nowe i udoskonalone usługi, cechy czy funkcje, ani temu, by konkurował na tej podstawie z innymi dostawcami usług przetwarzania danych.

(95) Informacje, które dostawca usług przetwarzania danych ma przedstawić klientowi, mogą być wsparciem w strategii odejścia klienta. Informacje te powinny obejmować procedury inicjowania zmiany dostawcy usługi przetwarzania danych, formaty danych nadające się do odczytu maszynowego, do których mogą być wyeksportowane dane użytkownika, narzędzia przeznaczone do eksportowania danych, w tym otwarte interfejsy oraz informacje o zgodności z normami zharmonizowanymi lub wspólnymi specyfikacjami opartymi na otwartych specyfikacjach w zakresie interoperacyjności; informacje o znanych ograniczeniach technicznych, które mogą wpłynąć na proces zmiany dostawcy, a także szacowany czas niezbędny do zakończenia procesu zmiany dostawcy.

(96) Aby ułatwić interoperacyjność i zmianę dostawcy usług przetwarzania danych, użytkownicy i dostawcy usług przetwarzania danych powinni rozważyć korzystanie z narzędzi wdrażania lub zapewniania zgodności, w szczególności narzędzi publikowanych przez Komisję w postaci unijnego zbioru przepisów dotyczących chmury obliczeniowej i wytycznych dotyczących zamówień publicznych na usługi przetwarzania danych. Wzrostowi wiarygodności usług przetwarzania danych, tworzeniu bardziej wyważonych stosunków między użytkownikami a dostawcami usług przetwarzania danych oraz większej pewności prawa w kwestii warunków mających zastosowanie do zmiany dostawcy usług przetwarzania danych sprzyjają w szczególności standardowe postanowienia umowne. W związku z tym użytkownicy i dostawcy usług przetwarzania danych powinni rozważyć posługiwanie się standardowymi postanowieniami umownymi - lub innymi samoregulacyjnymi narzędziami zapewniania zgodności, o ile w pełni spełniają one wymagania niniejszego rozporządzenia - opracowanymi przez stosowne organy lub grupy ekspertów ustanowione na mocy prawa Unii.

(97) Aby ułatwić zmianę dostawcy usług przetwarzania danych, wszystkie zaangażowane strony, w tym dostawcy wyjściowi i docelowi usług przetwarzania danych, powinny współpracować w dobrej wierze, tak aby umożliwić pomyślny proces zmiany dostawcy oraz bezpieczne i terminowe przekazanie niezbędnych danych w powszechnie używanym formacie nadającym się do odczytu maszynowego i za pomocą otwartego interfejsu, a przy tym nie dopuścić do zakłóceń w świadczeniu usługi i utrzymać jej ciągłość.

(98) Usługi przetwarzania danych, w przypadku których większość głównych cech została opracowana na zamówienie, tak aby dostosować je do konkretnych żądań indywidualnego klienta, lub w przypadku których wszystkie komponenty zostały opracowane na potrzeby indywidualnego klienta, powinny być zwolnione z niektórych obowiązków mających zastosowanie do zmiany dostawcy usług przetwarzania danych. Nie powinno to dotyczyć usług, które dostawca usług przetwarzania danych oferuje komercyjnie na szeroką skalę poprzez katalog usług. Jednym z obowiązków dostawcy usług przetwarzania danych jest należyte poinformowanie przyszłych klientów mających korzystać z takich usług przed zawarciem umowy o obowiązkach określonych w niniejszym rozporządzeniu, które nie mają zastosowania do danych usług. Nic nie stoi na przeszkodzie, aby dostawca usług ostatecznie wprowadził takie usługi na dużą skalę, w którym to przypadku musiałby wywiązywać się ze wszystkich obowiązków związanych ze zmianą dostawcy określonych w niniejszym rozporządzeniu.

(99) Zgodnie z minimalnym wymaganiem, którym jest umożliwienie zmiany dostawcy usług przetwarzania danych, niniejsze rozporządzenie ma na celu także zwiększenie interoperacyjności na potrzeby równoczesnego korzystania z wielu usług przetwarzania danych o komplementarnych funkcjach. Dotyczy to sytuacji, w których klienci nie rozwiązują umów, aby zmienić dostawcę przetwarzania danych, ale w których w sposób interoperacyjny korzysta się równocześnie z wielu usług różnych dostawców, aby móc posługiwać się komplementarnymi funkcjami tych usług w ramach konfiguracji systemu klienta. Uznaje się jednak, że wychodzący ruch danych od jednego dostawcy usług przetwarzania danych do innego, aby ułatwić równoczesne korzystanie z usług, może być zdarzeniem ciągłym, w przeciwieństwie do jednorazowego ruchu wychodzącego wymaganego w ramach procesu zmiany dostawcy. Dostawcy usług przetwarzania danych powinni zatem mieć nadal możliwość nakładania opłat, nieprzekraczających poniesionych kosztów, z tytułu wychodzącego ruchu danych do celów równoczesnego korzystania z usług, po upływie trzech lat od dnia wejścia w życie niniejszego rozporządzenia ale nieprzekraczające poniesionych kosztów. Jest to istotne m.in. dla skutecznej realizacji strategii wielochmurowych, które umożliwiają klientom wdrażanie przyszłościowych strategii ICT i zmniejszają zależność od pojedynczych dostawców usług przetwarzania danych. Ułatwienie podejścia wielochmurowego w przypadku klientów usług przetwarzania danych może również przyczynić się do zwiększenia ich operacyjnej odporności cyfrowej, co zostało uznane w odniesieniu do instytucji świadczących usługi finansowe w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2022/2554 32 .

(100) Otwarte specyfikacje i normy w zakresie interoperacyjności opracowane zgodnie z załącznikiem II do rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1025/2012 33  w obszarze interoperacyjności i przenoszenia mają umożliwiać tworzenie środowiska chmury obliczeniowej bazującego na usługach świadczonych przez wielu dostawców, co stanowi kluczowe wymaganie w kontekście otwartych innowacji w europejskiej gospodarce opartej na danych. Ponieważ rozpowszechnienie na rynku norm zidentyfikowanych w ramach zakończonej w 2016 r. inicjatywy dotyczącej koordynacji normalizacji w chmurze (CSC) było ograniczone, konieczne jest, by Komisja również polegała na stronach działających na rynku w zakresie opracowywania stosownych otwartych specyfikacji w zakresie interoperacyjności, aby nadążyć za szybkim tempem rozwoju technologicznego w tej branży. Takie otwarte specyfikacje w zakresie interoperacyjności Komisja może następnie przyjąć w formie wspólnych specyfikacji. Ponadto w przypadku gdy nie wykazano, aby procesy rynkowe mogły skutkować ustanowieniem wspólnych specyfikacji lub norm ułatwiających zapewnienie skutecznej interoperacyjności usług w chmurze na poziomie PaaS i SaaS, Komisja - na podstawie niniejszego rozporządzenia i zgodnie z rozporządzeniem (UE) nr 1025/2012 - powinna móc wystąpić do europejskich organizacji normalizacyjnych z wnioskiem o opracowanie takich norm dla określonych typów usług, jeżeli takie normy jeszcze nie istnieją. Ponadto Komisja będzie zachęcać strony działające na rynku do opracowania stosownych otwartych specyfikacji w zakresie interoperacyjności. Po konsultacjach z zainteresowanymi stronami Komisja powinna móc - w drodze aktów wykonawczych - nakazać stosowanie zharmonizowanych norm interoperacyjności lub wspólnych specyfikacji w zakresie interoperacyjności dla określonych typów usług poprzez odniesienie do nich w centralnym repozytorium norm Unii dotyczących interoperacyjności usług przetwarzania danych. Dostawcy usług przetwarzania danych powinni zapewnić przestrzeganie tych zharmonizowanych norm i wspólnych specyfikacji opartych na otwartych specyfikacjach w zakresie interoperacyjności, to zaś nie powinno negatywnie wpływać na bezpieczeństwo lub integralność danych. Odniesienie do zharmonizowanych norm interoperacyjności usług przetwarzania danych oraz wspólnych specyfikacji opartych na otwartych specyfikacjach w zakresie interoperacyjności zostanie poczynione wyłącznie wtedy, gdy będą one zgodne z kryteriami określonymi w niniejszym rozporządzeniu, które mają takie samo znaczenie jak wymagania określone w załączniku II do rozporządzenia (UE) nr 1025/2012 i jak aspekty interoperacyjności określone w międzynarodowej normie ISO/IEC 19941:2017. Ponadto w ramach normalizacji należy uwzględnić potrzeby MŚP.

(101) Państwa trzecie mogą przyjmować przepisy ustawowe i wykonawcze oraz inne akty prawne, których celem jest bezpośrednie przekazywanie danych nieosobowych znajdujących się poza ich granicami, w tym w Unii, lub zapewnianie administracji rządowej dostępu do takich danych. Wyroki sądów lub trybunałów czy decyzje innych organów sądowych lub administracyjnych, w tym organów ścigania, w państwach trzecich nakazujące przekazać dane nieoso- bowe lub zapewnić dostęp do nich powinny być wykonalne, jeżeli mają za podstawę umowę międzynarodową, taką jak traktat o pomocy prawnej, obowiązującą między państwem trzecim występującym z wnioskiem a Unią lub państwem członkowskim. W innych przypadkach mogą zdarzyć się sytuacje, w których wniosek o przekazanie danych nieosobowych lub zapewnienie dostępu do nich wynikający z prawa państwa trzeciego pozostaje w konflikcie z obowiązkiem ochrony takich danych wynikającym z prawa Unii lub prawa krajowego danego państwa członkowskiego, w szczególności jeśli chodzi o ochronę praw podstawowych jednostki, takich jak prawo do bezpieczeństwa i prawo do skutecznego środka prawnego, lub podstawowych interesów państwa członkowskiego związanych z bezpieczeństwem narodowym lub obroną, oraz ochronę szczególnie chronionych danych handlowych, w tym ochronę tajemnic przedsiębiorstwa, i ochronę praw własności intelektualnej, w tym z zobowiązaniami umownymi tego państwa dotyczącymi poufności zgodnie z takim prawem. W przypadku braku umów międzynarodowych regulujących takie kwestie przekazanie lub dostęp do danych nieosobowych powinny być dozwolone wyłącznie wtedy, gdy sprawdzono, że system prawny państwa trzeciego wymaga określenia powodów i proporcjonalności decyzji, że orzeczenie sądu lub decyzja mają szczególny charakter, oraz że uzasadniony sprzeciw adresata podlega kontroli właściwego sądu lub trybunału państwa trzeciego, który jest upoważniony do należytego uwzględnienia stosownych interesów prawnych dostawcy takich danych. Wszędzie tam, gdzie jest to możliwe na mocy warunków wniosku o dostęp do danych złożonego przez organ państwa trzeciego, dostawca usług przetwarzania danych powinien móc przedstawić informacje klientowi, którego dane są przedmiotem wniosku, przed udzieleniem dostępu do tych danych, w celu sprawdzenia, czy istnieje potencjalna kolizja takiego dostępu z prawem Unii lub prawem krajowym, takim jak prawo dotyczące ochrony szczególnie chronionych danych handlowych, w tym ochrony tajemnic przedsiębiorstwa i praw własności intelektualnej oraz zobowiązań umownych dotyczących poufności.

(102) Aby zwiększyć wiarygodność danych, należy w miarę możliwości wdrożyć w odniesieniu do obywateli Unii, organów sektora publicznego i przedsiębiorstw zabezpieczenia zapewniające kontrolę nad ich danymi. Ponadto należy przestrzegać prawa, wartości i norm Unii w zakresie m.in. bezpieczeństwa, ochrony danych i prywatności oraz ochrony konsumentów. Aby zapobiec niezgodnemu z prawem dostępowi administracji rządowej państwa trzeciego do danych nieosobowych, dostawcy usług przetwarzania danych podlegających niniejszemu rozporządzeniu, takich jak usługi w chmurze i usługi przetwarzania brzegowego, powinni zastosować wszelkie rozsądne środki w celu uniemożliwienia dostępu do systemów, w których przechowywane są dane nieosobowe, w tym w stosownym przypadku poprzez szyfrowanie danych, częste poddawanie się audytom, zweryfikowane przestrzeganie odpowiednich systemów certyfikacji gwarancji bezpieczeństwa oraz zmianę polityki korporacyjnej.

(103) Normalizacja i interoperacyjność semantyczna powinny odgrywać kluczową rolę w dostarczaniu rozwiązań technicznych zapewniających interoperacyjność w ramach wspólnych europejskich przestrzeni danych i pomiędzy nimi, które to przestrzenie są interoperacyjnymi ramami wspólnych norm i praktyk, specyficznymi dla danego celu lub sektora bądź międzysektorowymi, i w których ma miejsce dzielenie się danymi lub ich wspólne przetwarzanie na potrzeby m.in. opracowywania nowych produktów i usług, badań naukowych lub inicjatyw społeczeństwa obywatelskiego. Niniejsze rozporządzenie ustanawia pewne zasadnicze wymagania w dziedzinie interoperacyjności. Wymagań tych powinni przestrzegać - o ile dotyczy to elementów pozostających pod ich kontrolą - uczestnicy przestrzeni danych oferujący innym uczestnikom dane lub usługi oparte na danych i będący podmiotami ułatwiającymi dzielenie się danymi lub zaangażowanymi w dzielenie się danymi we wspólnych europejskich przestrzeniach danych, w tym posiadacze danych. Przestrzeganie tych zasad można zapewnić dzięki dostosowaniu się do zasadniczych wymagań ustanowionych w niniejszym rozporządzeniu lub można go domniemywać dzięki przestrzeganiu zharmonizowanych norm lub wspólnych specyfikacji poprzez domniemanie zgodności. W celu ułatwienia przestrzegania wymagań interoperacyjności należy przewidzieć domniemanie zgodności rozwiązań interoperacyjnych spełniających normy zharmonizowane lub ich części zgodnie z rozporządzeniem (UE) nr 1025/2012, które stanowi domyślne ramy opracowywania norm przewidujących takie domniemanie. Komisja powinna ocenić bariery dla inte- roperacyjności i określić priorytetowe potrzeby normalizacji, na podstawie których może wystąpić z wnioskiem do co najmniej jednej europejskiej organizacji normalizacyjnej, zgodnie z rozporządzeniem (UE) nr 1025/2012, o opracowanie norm zharmonizowanych spełniających zasadnicze wymagania określone w niniejszym rozporządzeniu. Jeżeli takie wnioski nie poskutkują normami zharmonizowanymi lub takie normy zharmonizowane będą niewystarczające, aby zapewnić przestrzeganie zasadniczych wymagań określonych w niniejszym rozporządzeniu, Komisja powinna móc przyjąć wspólne specyfikacje w tych dziedzinach - pod warunkiem że zrobi to z należytym poszanowaniem roli i funkcji organizacji normalizacyjnych. Przyjęcie wspólnych specyfikacji powinno być wyjątkowym rozwiązaniem awaryjnym ułatwiającym przestrzeganie zasadniczych wymagań ustanowionych w niniejszym rozporządzeniu, w przypadku gdy proces normalizacji jest zablokowany lub istnieją opóźnienia w ustanawianiu odpowiednich norm zharmonizowanych. Jeżeli takie opóźnienie wynika ze złożoności technicznej danej normy, Komisja powinna wziąć tę kwestię pod uwagę, zanim rozpocznie analizę dotyczącą ustanowienia wspólnych specyfikacji. Wspólne specyfikacje powinny zostać opracowane w sposób otwarty i inkluzywny, a w stosownym przypadku uwzględniać opinie przyjęte przez Europejską Radę ds. Innowacji w zakresie Danych ustanowioną na mocy rozporządzenia (UE) 2022/868. Ponadto można przyjmować wspólne specyfikacje dla poszczególnych sektorów zgodnie z prawem Unii lub prawem krajowym na podstawie szczególnych potrzeb tych sektorów. Ponadto Komisja powinna mieć możliwość zlecić opracowanie zharmonizowanych norm interoperacyjności usług przetwarzania danych.

(104) Aby promować interoperacyjność narzędzi do automatycznego wykonywania umów o dzielenie się danymi, należy ustanowić zasadnicze wymagania dotyczące inteligentnych umów, które specjaliści tworzą dla innych lub włączają do aplikacji wspierających realizację umów o dzielenie się danymi. Aby ułatwić zapewnienie zgodności takich inteligentnych umów z tymi zasadniczymi wymaganiami, należy przewidzieć domniemanie zgodności inteligentnych umów spełniających normy zharmonizowane lub ich części zgodnie z rozporządzeniem (UE) nr 1025/2012. Pojęcie "inteligentnej umowy" przewidziane w niniejszym rozporządzeniu jest technologicznie neutralne. Inteligentne umowy mogą być połączone z rejestrem elektronicznym. Zasadnicze wymagania powinny mieć zastosowanie wyłącznie do sprzedawców inteligentnych umów, jednak nie w przypadku gdy opracowują oni inteligentne umowy wewnątrz przedsiębiorstwa wyłącznie na użytek wewnętrzny. Zasadnicze wymaganie polegające na zapewnieniu, by wykonywanie inteligentnych umów mogło być zawieszane i by inteligentne umowy mogły być rozwiązywane, zakłada wzajemną zgodę stron umowy o dzielenie się danymi. Stosowanie inteligentnych umów do automatycznego wykonywania umów o dzielenie się danymi pozostaje bez wpływu lub powinno pozostawać bez wpływu na stosowanie do umów o dzielenie się danymi stosownych przepisów prawa cywilnego, prawa zobowiązań i prawa ochrony konsumentów.

(105) Aby wykazać przestrzeganie zasadniczych wymagań niniejszego rozporządzenia, sprzedawca inteligentnej umowy lub w razie jego braku osoba, której działalność handlowa, gospodarcza lub zawodowa obejmuje zapewnianie innym inteligentnych umów w kontekście wykonywania umowy o udostępnianiu danych lub jej części, w kontekście niniejszego rozporządzenia powinna dokonać oceny zgodności i wydać deklarację zgodności UE. Taka ocena zgodności powinna podlegać ogólnym zasadom określonym w rozporządzeniu Parlamentu Europejskiego i Rady (WE) nr 765/2008 34  oraz w decyzji Parlamentu Europejskiego i Rady (WE) nr 768/2008 35 .

(106) Poza spoczywającym na zawodowych twórcach inteligentnych umów obowiązkiem przestrzegania zasadniczych wymagań ważne jest także, aby zachęcać tych uczestników przestrzeni danych, którzy oferują dane lub usługi oparte na danych innym uczestnikom w europejskich przestrzeniach danych lub pomiędzy nimi, do wspierania interopera- cyjności narzędzi służących dzieleniu się danymi, w tym inteligentnych umów.

(107) Państwa członkowskie powinny wyznaczyć co najmniej jeden właściwy organ w celu zapewnienia skutecznego stosowania i egzekwowania niniejszego rozporządzenia. Jeżeli państwo członkowskie wyznacza więcej niż jeden właściwy organ, powinno również wyznaczyć spośród nich koordynatora danych. Właściwe organy powinny ze sobą współpracować. Podczas wykonywania swoich uprawnień do prowadzenia postępowań zgodnie z mającymi zastosowanie procedurami krajowymi właściwe organy powinny móc wyszukiwać i pozyskiwać informacje, w szczególności związane z działalnością podmiotu podlegającą ich kompetencjom oraz, w tym w kontekście wspólnych postępowań, z należytym poszanowaniem faktu, że środki nadzoru i egzekwowania dotyczące podmiotu podlegającego kompetencjom innego państwa członkowskiego powinny być przyjmowane przez właściwy organ tego państwa członkowskiego, w stosownym przypadku, zgodnie z procedurami dotyczącymi współpracy transgranicznej. Właściwe organy powinny terminowo pomagać sobie nawzajem, w szczególności gdy właściwy organ w państwie członkowskim posiada informacje istotne dla postępowania prowadzonego przez właściwe organy w innych państwach członkowskich lub gdy jest w stanie zgromadzić takie informacje, do których nie mają dostępu właściwe organy w państwie członkowskim, w którym podmiot ma siedzibę. Dane właściwych organów i koordynatorów danych powinny się znaleźć w rejestrze publicznym prowadzonym przez Komisję. Koordynator danych może być dodatkowym pośrednikiem ułatwiającym współpracę w sytuacjach transgranicznych, przykładowo gdy właściwy organ z danego państwa członkowskiego nie wie, do jakiego organu w państwie członkowskim koordynatora danych się zwrócić, np. gdy sprawa wiąże się z więcej niż jednym właściwym organem lub sektorem. Koordynator danych powinien działać m.in. jako pojedynczy punkt kontaktowy we wszystkich kwestiach związanych ze stosowaniem niniejszego rozporządzenia. Jeżeli nie wyznaczono koordynatora danych, zadania przypisane koordynatorowi danych na podstawie niniejszego rozporządzenia powinien wziąć na siebie właściwy organ. Organy odpowiedzialne za nadzór nad przestrzeganiem prawa ochrony danych oraz właściwe organy wyznaczone na podstawie prawa Unii lub prawa krajowego powinny być odpowiedzialne za stosowanie niniejszego rozporządzenia w obszarach swoich kompetencji. Aby zapobiec konfliktom interesów, właściwe organy odpowiedzialne za stosowanie i egzekwowanie niniejszego rozporządzenia w obszarze udostępniania danych na wniosek wynikający z wyjątkowej potrzeby nie powinny korzystać z prawa występowania z takim wnioskiem.

(108) Aby osoby fizyczne i prawne mogły egzekwować swoje prawa wynikające z niniejszego rozporządzenia, powinny być uprawnione do dochodzenia roszczeń w związku z naruszeniem ich praw wynikających z niniejszego rozporządzenia poprzez składanie skarg. Koordynator danych powinien na wniosek udzielać osobom fizycznym i prawnym wszelkich informacji niezbędnych do złożenia skargi do odpowiedniego właściwego organu. Organy te powinny być zobowiązane do współpracy, by skarga została właściwie i w odpowiednim czasie rozpatrzona i rozstrzygnięta. Aby wykorzystać mechanizm sieci współpracy w zakresie ochrony konsumenta i umożliwić występowanie z powództwem przedstawicielskim, niniejsze rozporządzenie zmienia załączniki do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2017/2394 36  oraz do dyrektywy Parlamentu Europejskiego i Rady (UE) 2020/1828 37 .

(109) Właściwe organy powinny zapewnić, aby naruszenia obowiązków ustanowionych w niniejszym rozporządzeniu podlegały karom. Karami takimi mogą być m.in. kary pieniężne, ostrzeżenia, nagany lub nakazy uzgodnienia praktyk biznesowych z obowiązkami nałożonymi niniejszym rozporządzeniem. Kary ustanowione przez państwa członkowskie powinny być skuteczne, proporcjonalne i odstraszające i powinny uwzględniać zalecenia Europejskiej Rady ds. Innowacji w zakresie Danych, a tym samym przyczyniać się do jak największej spójności w ustanawianiu i stosowaniu kar. W stosownym przypadku właściwe organy powinny posługiwać się środkami tymczasowymi, aby ograniczyć skutki domniemanego naruszenia, w czasie gdy trwa postępowanie w sprawie tego naruszenia. Powinny przy tym brać pod uwagę m.in. charakter, wagę, skalę i czas trwania naruszenia, mając na względzie określony interes publiczny, zakres i rodzaj prowadzonej działalności oraz możliwości ekonomiczne podmiotu naruszającego. Powinny one także uwzględniać, czy sprawca naruszenia systematycznie lub w sposób powtarzający się nie wypełnia swoich obowiązków wynikających z niniejszego rozporządzenia. Aby zapewnić poszanowanie zasady ne bis in idem, a w szczególności zapobiec sytuacji, w której to samo naruszenie niniejszego rozporządzenia skutkuje karą więcej niż jeden raz, każde państwo członkowskie, które zamierza wykonać swoje kompetencje wobec podmiotu naruszającego, który nie został ustanowiony i który nie wyznaczył przedstawiciela prawnego w Unii, powinno bez zbędnej zwłoki poinformować wszystkich koordynatorów danych oraz Komisję.

(110) Europejska Rada ds. Innowacji w zakresie Danych powinna doradzać i pomagać Komisji w koordynowaniu krajowych praktyk i polityk w sprawach objętych niniejszym rozporządzeniem oraz w realizacji jego celów związanych z normalizacją techniczną służącą zwiększeniu interoperacyjności. Powinna także odgrywać kluczową rolę w ułatwianiu kompleksowych dyskusji między właściwymi organami na temat stosowania i egzekwowania niniejszego rozporządzenia. Ta wymiana informacji ma służyć zwiększeniu skutecznego dostępu do wymiaru sprawiedliwości oraz egzekwowaniu przepisów i współpracy sądowej w całej Unii. Właściwe organy powinny korzystać m.in. z funkcji Europejskiej Rady ds. Innowacji w zakresie Danych jako platformy do oceny, koordynacji i przyjmowania zaleceń w sprawie ustalania kar za naruszanie niniejszego rozporządzenia. Powinna ona umożliwić właściwym organom, z pomocą Komisji, skoordynowanie optymalnego podejścia do określania i nakładania takich kar. Podejście to zapobiega rozdrobnieniu, a zarazem daje państwom członkowskim elastyczność i powinno skutkować skutecznymi zaleceniami wspierającymi spójne stosowanie niniejszego rozporządzenia. Europejska Rada ds. Innowacji w zakresie Danych powinna także pełnić rolę doradczą w procesach normalizacji i w przyjmowaniu wspólnych specyfikacji w formie aktów wykonawczych, w przyjmowaniu aktów delegowanych ustanawiających mechanizm monitorowania opłat z tytułu zmiany dostawcy nakładanych przez dostawców usług przetwarzania danych oraz doprecyzowujących zasadnicze wymagania na potrzeby interoperacyjności danych, w przyjmowaniu mechanizmów i usług dzielenia się danymi oraz wspólnych europejskich przestrzeni danych. Powinna także doradzać i pomagać Komisji w przyjmowaniu wytycznych ustanawiających specyfikacje w zakresie interoperacyjności na potrzeby funkcjonowania wspólnych europejskich przestrzeni danych.

(111) Aby pomóc przedsiębiorstwom w opracowywaniu i negocjowaniu umów, Komisja powinna opracować i zalecić niewiążące modelowe postanowienia umowne na potrzeby kontraktów w sprawie dzielenia się danymi między przedsiębiorcami, w razie potrzeby z uwzględnieniem warunków panujących w poszczególnych sektorach i obowiązujących praktyk w zakresie mechanizmów dobrowolnego dzielenia się danymi. Te modelowe postanowienia umowne powinny być przede wszystkim praktycznym narzędziem pomagającym zwłaszcza MŚP w zawieraniu umów. Jeżeli te modelowe postanowienia umowne będą stosowane powszechnie i w całości, powinny mieć również korzystny wpływ na kształt umów w sprawie dostępu do danych i ich wykorzystywania, a tym samym prowadzić w szerszym ujęciu do bardziej sprawiedliwych stosunków umownych przy dostępie do danych i dzieleniu się danymi.

(112) Aby wyeliminować ryzyko, że posiadacze danych w bazach danych pozyskanych lub wygenerowanych za pomocą elementów fizycznych, takich jak czujniki, produktu skomunikowanego i usługi powiązanej lub innych maszynowo wygenerowanych danych będą powoływać się na prawo sui generis określone w art. 7 dyrektywy 96/9/WE, a tym samym będą w szczególności ograniczać skuteczne wykonywanie przysługującego użytkownikom prawa dostępu do danych i ich wykorzystywania oraz prawo dzielenia się danymi z osobami trzecimi na podstawie niniejszego rozporządzenia, należy doprecyzować, że prawo sui generis nie ma zastosowania do takich baz danych. Nie wpływa to na możliwe stosowanie prawa sui generis określonego w art. 7 dyrektywy 96/9/WE względem baz danych zawierających dane niewchodzące w zakres niniejszego rozporządzenia, o ile spełnione są wymagania ochrony zgodnie z ust. 1 tego artykułu.

(113) W celu uwzględnienia aspektów technicznych usług przetwarzania danych, należy przekazać Komisji uprawnienia do przyjmowania aktów zgodnie z art. 290 TFUE w odniesieniu do uzupełnienia niniejszego rozporządzenia w celu wprowadzenia mechanizmu monitorowania opłat z tytułu zmiany dostawcy nakładanych na rynku przez dostawców usług przetwarzania danych i doprecyzowania zasadniczych wymagań w zakresie interoperacyjności wobec uczestników przestrzeni danych, którzy oferują innym uczestnikom dane lub usługi oparte na danych. Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowane konsultacje, w tym na poziomie ekspertów, oraz aby konsultacje te prowadzone były zgodnie z zasadami określonymi w Porozumieniu międzyinsty- tucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa 38 . W szczególności, aby zapewnić Parlamentowi Europejskiemu i Radzie udział na równych zasadach w przygotowaniu aktów delegowanych, instytucje te otrzymują wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji mogą systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowywaniem aktów delegowanych.

(114) W celu zapewnienia jednolitych warunków wykonywania niniejszego rozporządzenia, należy powierzyć Komisji uprawnienia wykonawcze w odniesieniu przyjęcia wspólnych specyfikacji służących zapewnieniu interoperacyjności danych, mechanizmów wymiany danych i usług, a także wspólnych europejskich przestrzeni danych, wspólnych specyfikacji interoperacyjności usług przetwarzania danych, oraz w odniesieniu do przyjęcia wspólnych specyfikacji dotyczących inteligentnych umów. Należy powierzyć Komisji uprawnienia wykonawcze w odniesieniu do publikowania odniesień do zharmonizowanych norm oraz wspólnych specyfikacji interoperacyjności usług przetwarzania danych w centralnym repozytorium norm Unii dotyczących interoperacyjności przetwarzania danych. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 39 .

(115) Niniejsze rozporządzenie powinno pozostawać bez uszczerbku dla przepisów dotyczących specyficznych potrzeb poszczególnych sektorów lub obszarów służących interesowi publicznemu. Przepisy takie mogą obejmować dodatkowe wymagania dotyczące technicznych aspektów dostępu do danych, takich jak interfejsy dostępu do danych, lub sposobu zapewniania dostępu do danych, np. bezpośrednio z produktu lub poprzez usługi pośrednictwa danych. Przepisy takie mogą również obejmować ograniczenia praw posiadaczy danych do dostępu do danych użytkowników lub do ich wykorzystywania lub inne aspekty wykraczające poza dostęp do danych i ich wykorzystywanie, takie jak aspekty zarządzania lub wymagania bezpieczeństwa, w tym cyberbezpieczeństwa. Niniejsze rozporządzenie powinno również pozostawać bez uszczerbku dla bardziej szczególnych przepisów z zakresu rozwoju wspólnych europejskich przestrzeni danych lub dla prawa Unii i prawa krajowego przewidujących dostęp do danych na potrzeby badań naukowych i zezwalających na ich wykorzystywanie, z zastrzeżeniem wyjątków przewidzianych w niniejszym rozporządzeniu.

(116) Niniejsze rozporządzenie nie powinno wpływać na stosowanie reguł konkurencji, w szczególności art. 101 i 102 TFUE. Środków przewidzianych w niniejszym rozporządzeniu nie należy stosować do ograniczania konkurencji w sposób sprzeczny z TFUE.

(117) Aby umożliwić podmiotom wchodzącym w zakres stosowania niniejszego rozporządzenia dostosowanie się do nowych przepisów przewidzianych w nim i na dokonanie niezbędnych uzgodnień technicznych, przepisy te powinny zacząć obowiązywać od dnia 12 września 2025 r.

(118) Zgodnie z art. 42 ust. 1 i 2 rozporządzenia (UE) 2018/1725 skonsultowano się z Europejskim Inspektorem Ochrony Danych i Europejską Radą Ochrony Danych, którzy wydali opinie w dniu 4 maja 2022 r.

(119) Ponieważ cele niniejszego rozporządzenia, a mianowicie zapewnienie sprawiedliwego podziału wartości z danych między podmiotami gospodarki opartej na danych oraz wspieranie sprawiedliwego dostępu do danych i ich wykorzystywania w celu przyczynienia się do ustanowienia prawdziwego rynku wewnętrznego danych, nie mogą zostać osiągnięte w sposób wystarczający przez państwa członkowskie, natomiast ze względu na ich skalę i skutki, oraz transgraniczne wykorzystywanie danych, możliwe jest ich lepsze osiągnięcie na poziomie Unii, może ona podjąć działania zgodnie z zasadą pomocniczości określoną w art. 5 Traktatu o Unii Europejskiej. Zgodnie z zasadą proporcjonalności, określoną w tym artykule, niniejsze rozporządzenie nie wykracza poza to, co jest konieczne do osiągnięcia tych celów,

PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE: