Aktualności

Data Act a RODO- co faktycznie zmieni nowe rozporządzenie UE?

W erze cyfrowej, gdzie dane stanowią podstawowy zasób dla gospodarek narodowych i międzynarodowych, Unia Europejska kontynuuje rozwijanie swojego ramowego podejścia do regulacji danych osobowych i gospodarki cyfrowej. Rozporządzenie o Ochronie Danych Osobowych (RODO), które weszło w życie w maju 2018 roku, znacząco przekształciło krajobraz ochrony danych w Europie, wprowadzając surowe wymogi i sankcje dla organizacji przetwarzających dane osobowe. Teraz, na horyzoncie pojawia się nowa regulacja – Data Act, mająca na celu regulację wykorzystywania danych generowanych przez urządzenia połączone z Internetem rzeczy (IoT) oraz usługi cyfrowe, co stawia przed nami pytanie: jak nowe przepisy wpłyną na obowiązujące prawo i praktykę biznesową?

Dat Act to kolejna regulacja w obszarze ochrony danych. Jakie zmiany przyniesie Data Act w kontekście już istniejącego RODO, jakie są różnice w zakresie zastosowania obu regulacji, oraz jakie implikacje mogą wynikać dla przedsiębiorców i użytkowników usług cyfrowych. Czy Data Act rozszerzy ochronę danych, czy też wprowadzi nowe wyzwania dla firm działających w cyfrowym ekosystemie? Zapraszamy do lektury, która rzuca światło na te i inne kwestie.

 

DATA ACT RODO
OD KIEDY OBOWIĄZUJE?
Wszedł w życie 11 stycznia 2024 roku, jednak liczne obowiązki wynikające z tego aktu zaczną mieć zastosowanie dopiero od 12 września 2025 roku Weszło w życie w maju 2018 roku
KOGO OBOWIĄZUJE? KTO JEST ADRESATEM OBOWIĄZKÓW?
Data Act obowiązuje różne podmioty w UE, w tym:
Producentów urządzeń i usług cyfrowych
Użytkowników i konsumentów
Dostawców usług w chmurze
Sektory publiczne i organizacje badawcze		 Jego zasady dotyczą:
Przedsiębiorstw i organizacji
Podmiotów spoza UE- firm spoza Unii Europejskiej, jeśli oferują towary lub usługi mieszkańcom UE lub monitorują ich zachowanie
Sektora publicznego
JAKICH DANYCH DOTYCZY ROZPORZĄDZENIE?
Data Act skupia się przede wszystkim na danych nieosobowych generowanych przez urządzenia. Rozporządzenie ma na celu ułatwienie udostępniania tych danych, przy jednoczesnym zapewnieniu bezpieczeństwa
i ochrony. Dotyczy to zarówno danych przemysłowych, jak i innych typów danych generowanych przez urządzenia połączone z Internetem. Data Act zawiera przepisy mające na celu zapewnienie bezpieczeństwa danych w trakcie ich przechowywania
i przesyłania. Ma to na celu ochronę przed nieautoryzowanym dostępem, utratą danych czy ich uszkodzeniem. Rozporządzenie wzmacnia prawa użytkowników do kontrolowania danych generowanych przez urządzenia, które posiadają lub używają. Użytkownicy mają mieć łatwiejszy dostęp do swoich danych i większą kontrolę nad tym, jak są one wykorzystywane i komu mogą być udostępniane. Rozporządzenie zawiera zapisy zapewniające, że przetwarzanie danych osobowych w kontekście udostępniania i wykorzystywania danych generowanych przez urządzenia będzie zgodne z obowiązującymi przepisami o ochronie danych osobowych.		 Ma na celu ochronę danych osobowych wszystkich osób przebywających na terenie UE. RODO definiuje dane osobowe jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Są to dane zawierające m.in.:
Dane identyfikacyjne
Dane kontaktowe
Dane lokalizacyjne
Dane dotyczące zdrowia
Dane biometryczne
Dane dotyczące życia zawodowego.
OSOBY I PODMIOTY CHRONIONE NA PODSTAWIE ROZPORZĄDZENIA
Chociaż nie jest to rozporządzenie stricte ukierunkowane na ochronę danych osobowych (to zakres RODO), ma ono istotne znaczenie dla różnych użytkowników i podmiotów gospodarczych:
Osoby fizyczne i prawne korzystające z urządzeń i usług, które generują dane, są chronione pod względem dostępu do tych danych. Data Act ma zapewnić użytkownikom lepszy dostęp do danych generowanych przez produkty, które posiadają lub
z których korzystają, oraz większą kontrolę nad tymi danymi.Małe i średnie przedsiębiorstwa (MŚP) oraz start-upy mogą korzystać z ułatwionego dostępu do danych, co ma na celu zwiększenie konkurencyjności
i innowacyjności na rynku. Data Act przewiduje mechanizmy ułatwiające im dostęp do danych generowanych przez produkty
i usługi, które są niezbędne dla tworzenia nowych technologii
i usług.
Data Act umożliwia dostawcom usług łatwiejszy dostęp do niezbędnych danych technicznych, co jest kluczowe dla świadczenia usług naprawczych i konserwacyjnych.
Firmy produkujące urządzenia oraz dostarczające usługi mogą również korzystać z danych
w ramach określonych zasad, co obejmuje na przykład monitorowanie stanu urządzeń w celu zapewnienia ich poprawnego funkcjonowania lub aktualizacji.		 Skupia się na ochronie danych osobowych osób fizycznych w Unii Europejskiej
i dotyczy każdego, kto przetwarza te dane. Osoby chronione to osoby fizyczne, czyli ochronie podlega każda osoba fizyczna, której dane osobowe są przetwarzane przez organizację zlokalizowaną w UE lub poza nią, ale oferującą towary lub usługi osobom w UE, jest chroniona przez RODO. Obejmuje to obywateli UE oraz osoby przebywające na terenie UE, niezależnie od ich obywatelstwa.
GŁÓWNY CEL ROZPORZĄDZENIA
Główny cel rozporządzenia Data Act dotyczy regulacji wykorzystania danych generowanych przez produkty i usługi związane z IoT (Internet rzeczy), jak również przez inne urządzenia cyfrowe i ich użytkowników. Rozporządzenie ma na celu:

Ułatwienie dostępu do danych i ich wykorzystania. Data Act ma na celu zapewnienie sprawiedliwego dostępu do danych generowanych przez połączone urządzenia i usługi, zarówno dla użytkowników tych urządzeń, jak i dla podmiotów trzecich, takich jak dostawcy usług naprawczych czy przedsiębiorstwa innowacyjne.

Stymulowanie innowacji i konkurencji. Poprzez ułatwienie dostępu do danych, Data Act ma na celu wspieranie innowacji
i konkurencyjności w sektorze gospodarki danych. Dostęp do bogatych zasobów danych ma umożliwić rozwój nowych technologii, aplikacji i usług, co
z kolei może przyczynić się do wzrostu gospodarczego
i tworzenia miejsc pracy.

Zapewnienie bezpieczeństwa i ochrony danych. Rozporządzenie zobowiązuje podmioty wykorzystujące dane do zapewnienia ich bezpieczeństwa, ochrony prywatności oraz do stosowania odpowiednich środków zarządzania ryzykiem, aby zapobiegać nadużyciom
i zapewnić ochronę danych osobowych.

Uregulowanie relacji między producentami a użytkownikami. Data Act ma także na celu wyjaśnienie praw i obowiązków związanych z danymi generowanymi przez urządzenia, co ma przyczynić się do lepszej ochrony praw konsumentów
i przedsiębiorstw.

 Głównym celem RODO jest zapewnienie ochrony danych osobowych wszystkich osób przebywających na terenie UE oraz regulacja przetwarzania tych danych przez przedsiębiorstwa, instytucje i inne podmioty. Kluczowe cele RODO obejmują:

Wzmocnienie praw jednostek. RODO zwiększa kontrolę jednostek nad ich danymi osobowymi poprzez umocnienie ich praw, takich jak m.in. prawo do dostępu do danych, prawo do sprostowania, prawo do bycia zapomnianym, prawo do ograniczenia przetwarzania, prawo do sprzeciwu oraz prawo do niepodlegania decyzjom opartym wyłącznie na automatycznym przetwarzaniu, w tym profilowaniu.

Zapewnienie przejrzystości w przetwarzaniu danych. Organizacje muszą przetwarzać dane w sposób jawny i zrozumiały dla osób, których dane dotyczą. Muszą jasno informować o celach przetwarzania danych, o odbiorcach danych, oraz o prawach, które przysługują osobom, których dane są przetwarzane.

RODO wymaga od organizacji wdrażania odpowiednich technicznych i organizacyjnych środków mających na celu ochronę danych osobowych już na etapie projektowania systemów oraz domyślnego zapewnienia maksymalnej ochrony danych bez konieczności interwencji użytkownika.

Zwiększenie odpowiedzialności organizacji przetwarzających dane. Organizacje są odpowiedzialne za przestrzeganie zasad RODO i muszą być w stanie wykazać zgodność z jego przepisami, co obejmuje prowadzenie rejestrów działalności przetwarzania, przeprowadzanie ocen wpływu na ochronę danych przy ryzykownym przetwarzaniu oraz zgłaszanie naruszeń danych do organów nadzorczych i osobom, których dane dotyczą.
NAJWAŻNIEJSZE OBOWIĄZKI WPROWADZONE ROZPORZĄDZENIEM
Producentów i dostawców produktów lub usług wykorzystujących dane generowane przez urządzenia IoT (Internet rzeczy) zobowiązuje się do zapewnienia dostępu do tych danych zarówno dla użytkowników końcowych, jak i podmiotów trzecich (np. dostawców usług naprawczych). Ma to na celu umożliwienie wykorzystania tych danych w celach konserwacji, naprawy, czy też do innych celów, jak innowacje i rozwój nowych usług.

Data Act wymaga, aby umowy dotyczące dostępu do danych były sprawiedliwe, rozsądne i niewyłączne. Ponadto, zobowiązuje dostawców do informowania użytkowników o rodzaju danych generowanych przez produkty, o tym, jakie dane są zbierane, jak są wykorzystywane i jak można uzyskać do nich dostęp.

Rozporządzenie nakłada obowiązek stosowania odpowiednich środków bezpieczeństwa w celu ochrony przetwarzanych danych. Ma to na celu zapobieganie nieautoryzowanemu dostępowi, modyfikacji czy utracie danych.

Data Act zawiera zasady dotyczące przekazywania danych generowanych przez produkty połączone poza Unię Europejską, co ma na celu zapewnienie, że takie przekazywanie odbywa się zgodnie z odpowiednimi standardami ochrony danych.

Rozporządzenie zachęca do tworzenia i stosowania standardów, które umożliwią interoperacyjność między różnymi systemami i urządzeniami, co jest kluczowe dla wspierania innowacji i zapewnienia sprawnego funkcjonowania usług cyfrowych.

Podobnie jak w przypadku RODO, Data Act może wymagać zgłaszania pewnych rodzajów naruszeń bezpieczeństwa danych do odpowiednich organów regulacyjnych, zapewniając tym samym odpowiedni poziom transparentności i reakcji na incydenty związane z danymi.

 Organizacje muszą nie tylko przestrzegać RODO, ale także być w stanie wykazać, że przestrzegają tych zasad (accountability). Oznacza to wdrożenie odpowiednich polityk i procedur przetwarzania danych.

Organizacje muszą uzyskać wyraźną i świadomą zgodę od osób, których dane dotyczą, na przetwarzanie ich danych osobowych w określonych celach. Zgoda musi być łatwa do wycofania, tak samo jak była łatwa do udzielenia.

Organizacje są zobowiązane do wdrażania środków technicznych i organizacyjnych mających na celu ochronę danych osobowych już na etapie projektowania systemów oraz produktów (Privacy by Design). Ponadto, domyślne ustawienia systemów i usług powinny zapewniać maksymalną prywatność bez potrzeby interwencji użytkownika (Privacy by Default).

W przypadkach, gdy rodzaj przetwarzania może wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, organizacje są zobowiązane do przeprowadzenia oceny skutków przetwarzania danych dla ochrony danych (DPIA).

Organizacje muszą zgłaszać naruszenia danych osobowych do odpowiedniego organu nadzorczego, zazwyczaj w ciągu 72 godzin od ich wykrycia, chyba że naruszenie to nie stwarza ryzyka dla praw i wolności osób fizycznych. Naruszenia, które mogą spowodować wysokie ryzyko, muszą być również zgłaszane osobom, których dane dotyczą.

W określonych sytuacjach, takich jak przetwarzanie w dużych ilościach danych osobowych, przetwarzanie szczególnych kategorii danych osobowych, czy przetwarzanie, które obejmuje regularne i systematyczne monitorowanie osób na dużą skalę, organizacje muszą mianować Inspektora Ochrony Danych.
ORGAN NADZORCZY
W aspekcie instytucjonalno-organizacyjnym każde państwo członkowskie zobowiązane jest wyznaczyć podmioty odpowiedzialne za stosowanie i egzekwowanie Data Act. Każde państwo członkowskie Unii Europejskiej ma obowiązek utworzenia niezależnego organu nadzorczego, odpowiedzialnego za monitorowanie stosowania RODO, promowanie świadomości o przepisach oraz doradzanie instytucjom publicznym i prywatnym w sprawach związanych z ochroną danych.
SANKCJE ZA NARUSZENIE
W przypadku nieprzestrzegania obowiązków wynikających z Data Act grozić będą kary pieniężne, których wysokość ma zostać ustanowiona przez Państwa członkowskie. Niezależnie, w razie naruszenia ochrony danych osobowych (np. nieuprawnione ujawnienie danych użytkownika urządzenia skomunikowanego), zastosowanie będą miały odpowiednie przepisy Ogólnego Rozporządzenia o Ochronie Danych nr 2016/679 (RODO), przewidujące możliwość nałożenia kary w wysokości sięgającej 20 mln EUR lub 4% obrotu osiągniętego przez przedsiębiorstwo w poprzednim roku obrotowym. RODO ustanawia dwie kategorie kar finansowych w zależności od rodzaju naruszenia:Do 10 milionów EUR lub, w przypadku przedsiębiorstwa, do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego – ta niższa kategoria dotyczy naruszeń takich jak nieprzestrzeganie zasad dotyczących zgody na przetwarzanie danych, naruszenie obowiązków administratora danych i procesora, oraz naruszenie związane z transferem danych poza UE.

Do 20 milionów EUR lub, w przypadku przedsiębiorstwa, do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego – wyższa kategoria kary jest stosowana w przypadku naruszenia kluczowych zasad RODO, w tym naruszenia podstawowych praw i wolności osób, nieprzestrzegania zasad dotyczących przetwarzania danych osobowych, niezastosowania się do decyzji organu nadzorczego oraz naruszenia przepisów dotyczących transferu danych poza EOG.

Organ nadzorczy ma prawo wydawać nakazy wobec organizacji, aby dostosowały swoje praktyki przetwarzania danych do wymogów RODO, co może obejmować wymóg zaprzestania przetwarzania danych. Dla mniej poważnych naruszeń, organ nadzorczy może wydać ostrzeżenia do organizacji, informując o nieprawidłowościach
i wzywając do ich naprawienia.
W poważniejszych przypadkach organ nadzorczy może zakazać organizacji przetwarzania danych osobowych, co może mieć duży wpływ na operacje firmy.

 
Podsumowanie

Choć RODO i Data Act mają różne obszary koncentracji, ich współistnienie jest kluczowe dla tworzenia bezpiecznego i sprawiedliwego środowiska cyfrowego w UE. RODO zapewnia solidną ochronę danych osobowych i prywatności, podczas gdy Data Act rozszerza te ramy o aspekty związane z dostępem do danych i ich wykorzystaniem. Data Act komplementuje RODO poprzez umożliwienie użytkownikom kontrolowania danych generowanych przez ich urządzenia, nie naruszając przy tym fundamentalnych zasad ochrony danych osobowych ustanowionych przez RODO. Na przykład, udostępnianie danych w ramach Data Act musi być zgodne z przepisami RODO, jeśli dane te zawierają informacje osobowe. To wymaga od organizacji zachowania transparentności i zapewnienia odpowiednich środków ochrony danych, nawet podczas projektowania produktów i usług zgodnie z wymogami Data Act.

Obie regulacje uwzględniają potrzebę promowania innowacji i wspierania gospodarki cyfrowej, dając organizacjom narzędzia do lepszego wykorzystania danych w sposób odpowiedzialny i zgodny z prawem. Przez to, RODO i Data Act razem tworzą kompleksowy system regulacji, który balansuje między ochroną prywatności a potrzebą otwartego i sprawiedliwego dostępu do danych, kluczowego dla współczesnej ekonomii cyfrowej.

 

Autorki:

Katarzyna Hiller, radca prawny

Zuzanna Włoczko, asystent prawny 

Autor

Katarzyna Hiller

Radca prawny, Compliance Officer, LL.M. in International Commercial Law

Katarzyna Hiller

Powiązane wpisy

Zmiany w zakazie wprowadzania do obrotu akcji założycielskich
20 maja 2024

Zmiany w zakazie wprowadzania do obrotu akcji założycielskich

Zmiany w zakazie wprowadzania do obrotu akcji założycielskich
Rejestracja ASI FENG
15 maja 2024

Rejestracja ASI FENG

Rejestracja ASI FENG
Czym jest umowa konsumenckiej pożyczki lombardowej?
13 maja 2024

Czym jest umowa konsumenckiej pożyczki lombardowej?

Czym jest umowa konsumenckiej pożyczki lombardowej?
Plan na polskie S.I.N.N.’y – poznaliśmy założenia Ministerstwa do przyszłej ustawy
7 maja 2024

Plan na polskie S.I.N.N.’y – poznaliśmy założenia Ministerstwa do przyszłej ustawy

Plan na polskie S.I.N.N.’y – poznaliśmy założenia Ministerstwa do przyszłej ustawy
Wszystkie