Organem odpowiedzialnym za wdrażanie regulacji unijnych dotyczących przepływu informacji, obejmujących relacje między innymi firm i klientów, a także firm i instytucji, ma być szef UKE – poinformował resort cyfryzacji w ujawnionym projekcie ustawy.
W czwartek na stronach Rządowego Centrum Legislacji pojawił się projekt ustawy o sprawiedliwym dostępie do danych i ich użytkowaniu, przygotowany przez Ministerstwo Cyfryzacji. Według oceny skutków regulacji (OSR) przedstawionej przez resort, rozwiązania uwzględnione w projekcie mają umożliwić pełne wdrożenie w Polsce przepisów rozporządzenia unijnego – aktu o danych (Data Act, DA).
Według informacji umieszczonych na stronie Komisji Europejskiej (KE), ten akt prawny porządkuje wymianę informacji między firmami, między firmami a konsumentami, a także między firmami a administracją publiczną. Przewiduje między innymi, że firmy muszą informować konsumentów o typie informacji, jakie będą generowane przez użytkowników podczas korzystania z urządzeń internetu rzeczy lub powiązanej usługi (w tym o ilości, częstotliwości zbierania danych, itp.). Osoby fizyczne uzyskają również możliwość udostępniania tych danych innym podmiotom, np. serwisom naprawczym. Firma może odmówić udostępnienia informacji jedynie w sytuacji, gdy udowodni wysokie prawdopodobieństwo poniesienia znacznych strat finansowych w efekcie ujawnienia tajemnic przedsiębiorstwa.
Rozporządzenie unijne zobowiązuje państwa członkowskie UE do wyznaczenia jednego lub większej liczby kompetentnych organów odpowiedzialnych za implementację i egzekwowanie rozporządzenia. Zgodnie z projektem ustawy, w Polsce tą instytucją ma być Prezes Urzędu Komunikacji Elektronicznej. Do jego obowiązków należeć będzie między innymi nadzorowanie przestrzegania postanowień DA, a także prowadzenie spraw, podejmowanie decyzji oraz nakładanie sankcji finansowych w tym obszarze.
Projektowane regulacje zakładają, że Prezes UKE będzie również pełnił rolę koordynatora danych i w tej roli będzie współpracował między innymi z właściwymi urzędami innych krajów UE oraz Komisją Europejską w kwestiach związanych z DA. Jako koordynator ma również pełnić rolę punktu kontaktowego i wspierać kooperację wszystkich podmiotów objętych rozporządzeniem.
Jak podkreślił resort cyfryzacji, proponowane przepisy umożliwią konsumentom składanie zażaleń do właściwego organu w sprawie działań firm niezgodnych z DA. Z drugiej strony, osoby fizyczne, jako użytkownicy IoT mający dostęp do generowanych przez urządzenia danych, będą podlegać kontroli ze strony Prezesa UKE – w przypadku wszczęcia postępowania w sprawie złamania regulacji DA. W przypadku stwierdzenia naruszenia, może zostać na nich nałożona administracyjna kara pieniężna.
Jak zasygnalizował resort cyfryzacji, bezpośredni wpływ projektowanych regulacji na firmy polega na konieczności poddania się nadzorowi ze strony Prezesa UKE w zakresie właściwego stosowania postanowień DA oraz konieczności zapłaty administracyjnej kary pieniężnej w przypadku stwierdzenia naruszenia tych przepisów. Firmy, podobnie jak konsumenci, będą miały również uprawnienie do wnoszenia skarg w sytuacji, gdy naruszone zostaną ich prawa zagwarantowane na mocy DA.
Jak zaakcentowało MC, akt w sprawie danych zawiera liczne klauzule, które redukują uciążliwość obowiązków wynikających z aktu w odniesieniu do mikro, małych i średnich przedsiębiorstw. Na przykład regulacje dotyczące danych nieosobowych nie dotyczą sektora MŚP.
W projekcie ustawy założono, że administracyjna kara pieniężna za pogwałcenie regulacji DA będzie wynosić do 100 tys. zł, a w przypadku firmy – w kwocie nie większej niż 4 proc. przychodu uzyskanego przez ukarany podmiot w roku obrotowym poprzedzającym rok nałożenia kary.
DA ma także na celu wprowadzenie w krajach UE zasad umożliwiających organom sektora publicznego dostęp oraz użytkowanie danych, którymi zarządza sektor prywatny. Według resortu cyfryzacji, taka aktywność będzie możliwa tylko na podstawie tzw. „wyjątkowej potrzeby”. Zgodnie z art. 15 DA wyjątkowa potrzeba wykorzystania danych występuje, gdy żądane informacje są niezbędne do reakcji na zagrożenie publiczne, a organ sektora publicznego, Komisja, Europejski Bank Centralny lub organ Unii nie są w stanie efektywnie i na czas pozyskać takich informacji w inny sposób.
Zgodnie z rozporządzeniem unijnym wyjątkowa potrzeba, na podstawie której firmy będą musiały udostępnić dane organom publicznym, może również odnosić się do danych nieosobowych. Dotyczy to sytuacji, gdy dany organ wskaże konkretne brakujące informacje potrzebne do realizacji zadania publicznego przewidzianego w prawie – np. do statystyki publicznej, minimalizowania zagrożeń czy likwidacji ich konsekwencji. Wcześniej instytucja musi wyczerpać inne metody pozyskania tych informacji, w tym ich nabycie, które zagwarantowałyby dostęp na czas.
Do pozostałych celów DA, jak przekazał resort cyfryzacji, zalicza się ułatwianie zmiany dostawców usług przetwarzania informacji, a także wprowadzenie zabezpieczeń przed bezprawnym dostępem ze strony administracji rządowej państw trzecich do danych nieosobowych przechowywanych przez dostawców usług na obszarze UE. Z kolei organy sektora publicznego dzięki projektowanym regulacjom będą mogły efektywnie uzyskiwać i korzystać z danych, którymi dysponuje sektor prywatny na podstawie regulacji DA – zaznaczyło MC.
Zdaniem Ministerstwa Cyfryzacji zapewnienie gotowości UKE do realizowania zadań związanych z DA łączy się z koniecznością utworzenia 26 nowych stanowisk, w tym 2 stanowisk dla dyrektorów oraz 24 dla pracowników. Resort oszacował, że koszty związane z nowymi regulacjami, uwzględniające nowe etaty w UKE, w 2026 r. sięgną 9 mln 85 tys. zł. Natomiast wydatki w okresie pierwszych 10 lat obowiązywania ustawy (do 2035 r.) to 108,03 mln. Środki mają pochodzić z budżetu państwa, z części dedykowanej dla urzędu.
Akt w sprawie danych wszedł w życie w 2024 r. i zaczął obowiązywać 12 września 2025 r. na całym obszarze Unii Europejskiej. Jak zaakcentowała Komisja Europejska na swojej stronie internetowej, w związku z udostępnianiem informacji na mocy DA, użytkownicy produktów IoT, w tym konsumenci, rolnicy, linie lotnicze, firmy budowlane lub właściciele budynków, będą mieli możliwość wyboru bardziej korzystnych dostawców usług naprawy i konserwacji lub samodzielnego wykonywania tych zadań. Ma to w konsekwencji skutkować potencjalnie niższymi cenami na rynku, a także docelowo przedłużyć cykl życia urządzeń, przyczyniając się tym samym do realizacji założeń Zielonego Ładu. Wśród celów rozporządzenia KE wymieniło również stymulowanie konkurencyjnego rynku danych, kreowanie nowych szans dla innowacji oraz zwiększenie dostępności informacji dla wszystkich.
Internet rzeczy (IoT) oznacza sieć obiektów materialnych, które są wyposażone w sensory, oprogramowanie i inne technologie w celu łączenia się i wymiany informacji z innymi urządzeniami i systemami za pośrednictwem sieci internet.
Projekt ustawy o sprawiedliwym dostępie do danych i ich wykorzystywaniu został przekazany do konsultacji społecznych z 21-dniowym terminem na zgłaszanie uwag. Ustawa ma wejść w życie po upływie 3 miesięcy od dnia publikacji. (PAP)
mbl/ malk/ gor/
