Akt w sprawie danych już obowiązuje

Od 12 września 2025 r. przepisy Aktu w sprawie danych stosuje się bezpośrednio we wszystkich państwach członkowskich Unii Europejskiej.  Jest on kolejnym po Akcie w sprawie zarządzania danymi, unijnym rozporządzeniem, które realizuje Europejską strategię w zakresie danych. Akt ten nie wyłączą ani nie zastępuje RODO.

Rozporządzenie (UE) 2023/2854 w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania (Akt w sprawie danych) weszło w życie 11 stycznia 2024 r. i obowiązuje od 12 września 2025 r. Od tego dnia zasadniczo stosuje się je bezpośrednio we wszystkich państwach członkowskich UE. Jednakże dla zapewnienia jego pełnego funkcjonowania w pewnym zakresie jest konieczne przyjęcie odpowiednich przepisów krajowych. W związku z tym do Wykazu prac legislacyjnych i programowych Rady Ministrów został wpisany Projekt ustawy o sprawiedliwym dostępie do danych i ich wykorzystywaniu. Prezes UODO wyraża gotowość opiniowania projektu ustawy w trakcie procesu legislacyjnego.

Akt w sprawie danych koncentruje się na sprawiedliwym dostępie do danych i prawach użytkowników, przy jednoczesnym zapewnieniu ochrony danych osobowych.  Określa on ramy prawne wymiany danych między przedsiębiorstwami, między przedsiębiorstwami a konsumentami oraz między przedsiębiorstwami a administracją publiczną, jak również  ułatwia zmianę dostawców usług chmurowych i wprowadza standardy interoperacyjności. Chodzi tu m.in. o dane, jakie powstają przy korzystaniu przez użytkowników np. z urządzeń internetu rzeczy czy korzystaniu z usług chmurowych.

Prezes UODO podkreśla, że Akt w sprawie danych nie wyłączą ani nie zastępuje RODO. Jest on komplementarny w stosunku do RODO, i jako taki nie reguluje kwestii ochrony danych osobowych. Tym samym RODO ma zastosowanie do wszystkich operacji przetwarzania danych osobowych w ramach określonych Aktem w sprawie danych.

Zgodnie z art. 1 ust. 5 Aktu w sprawie danych, to rozporządzenie pozostaje bez uszczerbku dla prawa Unii i prawa krajowego dotyczących ochrony danych osobowych, prywatności i poufności komunikacji oraz integralności urządzeń końcowych, które mają zastosowanie do danych osobowych przetwarzanych w związku z prawami i obowiązkami ustanowionymi w niniejszym rozporządzeniu, w szczególności dla RODO i rozporządzenia (UE) 2018/1725 oraz dyrektywy 2002/58/WE, w tym dla uprawnień i kompetencji organów nadzorczych oraz praw osób, których dane dotyczą. Ponadto, w przypadku gdy użytkownicy są osobami, których dane dotyczą, prawa ustanowione w rozdziale II Aktu w sprawie danych są uzupełnieniem ich prawa dostępu i prawa do przenoszenia danych na mocy art. 15 i 20 RODO.

W razie kolizji pomiędzy Aktem w sprawie danych a prawem Unii dotyczącym ochrony danych osobowych lub prywatności lub prawem krajowym przyjętym zgodnie z takim prawem Unii pierwszeństwo ma stosowne prawo Unii lub prawo krajowe dotyczące ochrony danych osobowych lub prywatności.

Zgodnie z art. 37 ust. 3 Aktu w sprawie danych, organy nadzorcze odpowiedzialne za monitorowanie stosowania rozporządzenia (UE) 2016/679, w tym Prezes UODO, są odpowiedzialne za monitorowanie jego stosowania w zakresie ochrony danych osobowych, niezależnie od wyznaczonego przez państwo członkowskie właściwego organu odpowiedzialnego za stosowanie i egzekwowanie Aktu w sprawie danych.

Organy ochrony danych w zakresie swojej właściwości biorą udział w procesie wdrażania Aktu w sprawie danych, czego przykładem jest stanowisko, które Europejska Rada Ochrony Danych przyjęła wobec zaleceń Komisji Europejskiej w sprawie niewiążących modelowych postanowień umownych dotyczących dostępu do danych i ich wykorzystywania.

Komisja Europejska opublikowała również odpowiedzi na najczęściej zadawane pytania dotyczące Aktu w sprawie danych, w których w szerszym zakresie wyjaśniono treść tego rozporządzenia.