W ramach Data Act (DA) art. 22 odgrywa kluczową rolę w zapewnieniu spójności oraz legalności procesu pozyskiwania danych przez organy publiczne w Unii Europejskiej. Jego celem jest uregulowanie współpracy i wymiany informacji między podmiotami sektora publicznego, instytucjami unijnymi oraz organami Unii Europejskiej, w tym w sytuacjach, gdy dane muszą zostać uzyskane z innych jurysdykcji.
Przepis ten wprowadza obowiązek współpracy, wzajemnej pomocy i notyfikacji między właściwymi organami krajowymi, co stanowi gwarancję przestrzegania zasad proporcjonalności, ograniczenia celu przetwarzania danych oraz ochrony interesów posiadaczy danych.
Obowiązek współpracy między podmiotami publicznymi
Zgodnie z art. 22 ust. 1 DA, wszystkie organy sektora publicznego w Unii Europejskiej są zobowiązane do współpracy i udzielania sobie wzajemnej pomocy w zakresie stosowania przepisów Data Act.
Obowiązek ten nie ogranicza się wyłącznie do biernego przekazywania informacji, lecz obejmuje aktywne działania wspierające inne instytucje w procesie pozyskiwania danych. W praktyce oznacza to, że jeśli np. organ podatkowy z jednego państwa członkowskiego występuje o dane do przedsiębiorstwa mającego siedzibę w innym kraju UE, właściwe organy obu państw powinny współpracować w celu sprawnego i legalnego przeprowadzenia całej procedury.
Mechanizm ten realizuje zasadę lojalnej współpracy znaną z prawa unijnego, która zobowiązuje państwa członkowskie do wzajemnego wspierania się w osiąganiu celów Unii.
Ograniczenie celu przetwarzania danych
Istotnym elementem art. 22 DA jest zasada, że dane uzyskane w ramach współpracy mogą być wykorzystane wyłącznie w celu, dla którego zostały udostępnione. Oznacza to zakaz ich wtórnego użycia w innych postępowaniach czy celach administracyjnych, które nie były pierwotnie wskazane we wniosku.
To zabezpieczenie ma kluczowe znaczenie dla ochrony praw posiadaczy danych i ograniczenia ryzyka ich nieuprawnionego wykorzystania.
Obowiązek notyfikacji właściwego organu
Przed złożeniem wniosku o dane do posiadacza mającego siedzibę w innym państwie członkowskim, organ sektora publicznego musi dokonać notyfikacji właściwego organu tego państwa, wyznaczonego zgodnie z art. 37 DA.
Celem tej notyfikacji jest:
- poinformowanie organu o planowanym wniosku,
- umożliwienie mu weryfikacji jego zasadności i legalności,
- zapewnienie, że proces pozyskiwania danych będzie przebiegał zgodnie z wymogami art. 17 DA.
Obowiązek ten dotyczy nie tylko organów państw członkowskich, ale także instytucji unijnych, takich jak Komisja Europejska, Europejski Bank Centralny czy inne organy Unii Europejskiej.
W praktyce oznacza to, że nawet instytucje o wysokiej randze muszą przestrzegać procedury notyfikacji i uzyskać akceptację właściwego organu krajowego przed wystąpieniem o dane.
Działania właściwego organu po otrzymaniu wniosku
Po otrzymaniu powiadomienia i zapoznaniu się z wnioskiem, właściwy organ kraju, w którym posiadacz danych ma siedzibę, analizuje go pod kątem zgodności z wymogami art. 17 DA.
Następnie ma obowiązek niezwłocznie podjąć jedno z dwóch działań:
- Przesłać wniosek posiadaczowi danych – jeśli spełnia on wszystkie kryteria formalne i merytoryczne;
- Odrzucić wniosek – jeśli istnieją „należycie uzasadnione powody” wynikające z rozdziału V DA (np. naruszenie zasady proporcjonalności, niewystarczające uzasadnienie potrzeby danych, zbyt szeroki zakres żądania).
Doradztwo i współpraca między organami
W sytuacji, gdy wniosek zostaje przesłany do posiadacza danych, właściwy organ może doradzić organowi wnioskującemu, jak najlepiej współpracować z instytucjami publicznymi w państwie, gdzie dane są przechowywane.
Taka współpraca ma dwa główne cele:
- zmniejszenie obciążeń administracyjnych dla przedsiębiorstw będących posiadaczami danych,
- zapewnienie zgodności z prawem i ochrony danych przed nadmiernym udostępnieniem.
📄 Przykład:
Załóżmy, że urząd statystyczny z Polski potrzebuje danych dotyczących zużycia energii od spółki mającej siedzibę w Holandii. Zanim urząd wystąpi z wnioskiem, musi powiadomić holenderski organ wyznaczony na podstawie art. 37 DA. Organ ten oceni wniosek zgodnie z art. 17 DA i – jeśli uzna go za uzasadniony – przekaże go spółce. Jednocześnie może zalecić, by polski urząd współpracował z odpowiednim holenderskim ministerstwem, co usprawni komunikację i ograniczy formalności po stronie przedsiębiorcy.
Odrzucenie wniosku – zasady i konsekwencje
Decyzja o odrzuceniu wniosku nie może być arbitralna. Właściwy organ musi przedstawić konkretne i uzasadnione powody, wynikające z analizy przesłanek z art. 17 DA.
W przypadku odrzucenia wniosku lub udzielenia zaleceń, organ, który pierwotnie wystąpił o dane, jest zobowiązany uwzględnić opinię właściwego organu przed podjęciem dalszych kroków – np. przed ponownym złożeniem wniosku.
Mechanizm ten stanowi istotne zabezpieczenie dla posiadaczy danych, zapewniając:
- ochronę przed nadmiernymi żądaniami ze strony administracji,
- równowagę między skutecznością wymiany danych a ochroną interesów prywatnych,
- poszanowanie zasad państwa prawa i autonomii krajowych jurysdykcji.
Znaczenie art. 22 DA dla ochrony danych i efektywnej współpracy administracyjnej
Artykuł 22 DA stanowi istotny element unijnego systemu zarządzania danymi, który ma na celu zrównoważenie interesu publicznego i prywatnego w procesie ich udostępniania. Wprowadza on spójne procedury i mechanizmy współpracy pomiędzy organami krajowymi oraz instytucjami Unii Europejskiej, co ma szczególne znaczenie w sytuacjach, gdy dane są przechowywane poza granicami państwa członkowskiego występującego o ich udostępnienie.
Dzięki art. 22 DA zapewniono, że każda wymiana danych odbywa się:
- w sposób zgodny z zasadą proporcjonalności,
- z poszanowaniem ograniczenia celu przetwarzania danych,
- w ramach mechanizmu kontroli legalności i zasadności wniosku,
- przy zachowaniu równości traktowania wszystkich organów sektora publicznego w UE.
Jak art. 22 DA wspiera ochronę interesów posiadaczy danych
Jednym z kluczowych celów art. 22 DA jest ochrona przedsiębiorstw i innych podmiotów będących posiadaczami danych przed nadmiernymi lub nieuzasadnionymi żądaniami organów publicznych.
Dzięki obowiązkowi notyfikacji i kontroli przez właściwy organ:
- posiadacz danych zyskuje gwarancję, że jego dane nie zostaną udostępnione bez formalnej weryfikacji zgodności z DA,
- organy publiczne muszą uzasadniać swoje wnioski, co ogranicza ryzyko nadużyć,
- istnieje możliwość odmowy przekazania danych w przypadkach, gdy żądanie jest nieproporcjonalne lub niezgodne z przepisami Data Act.
⚠️ W praktyce mechanizm ten zabezpiecza przedsiębiorców, w tym także małe i średnie firmy, które mogą nie dysponować zasobami prawnymi pozwalającymi na samodzielną obronę przed nieuzasadnionymi żądaniami organów.
Relacja art. 22 DA do art. 17 DA
Zgodnie z treścią omawianego przepisu, każdorazowo przed przekazaniem danych właściwy organ państwa członkowskiego bada wniosek w świetle wymogów art. 17 DA.
Art. 17 DA określa m.in. przesłanki, jakie muszą być spełnione, aby organ sektora publicznego mógł zażądać danych w sytuacji „wyjątkowej potrzeby” (extraordinary need). Wśród tych przesłanek znajdują się:
- konieczność uzyskania danych dla realizacji ważnego interesu publicznego,
- brak możliwości uzyskania danych innymi, mniej ingerującymi środkami,
- zapewnienie odpowiednich zabezpieczeń prawnych i technicznych w zakresie ochrony danych.
Tym samym art. 22 DA ma charakter proceduralny, a jego zadaniem jest dopilnowanie, by przepisy art. 17 DA były prawidłowo stosowane w praktyce.
Znaczenie notyfikacji i kontroli dla jednolitego stosowania przepisów
Wprowadzenie obowiązku notyfikacji właściwego organu, o którym mowa w art. 22 DA, służy zapewnieniu jednolitego stosowania Data Act we wszystkich państwach członkowskich UE.
Bez takiego mechanizmu mogłyby powstać różnice w interpretacji i stosowaniu przepisów dotyczących dostępu do danych, co prowadziłoby do braku zaufania między organami i nierównego traktowania posiadaczy danych.
Dzięki wymogowi notyfikacji:
- każdy wniosek o dane podlega uprzedniej kontroli legalności,
- organy krajowe mają możliwość koordynacji działań z organami unijnymi,
- zapewniona jest transparentność procedur oraz ochrona interesów stron.
Wpływ art. 22 DA na praktykę funkcjonowania administracji publicznej
Nowe obowiązki wynikające z art. 22 DA wymuszają zmianę podejścia administracji publicznej w zakresie zarządzania danymi.
Organy publiczne muszą obecnie:
- ściśle dokumentować przesłanki żądania danych,
- utrzymywać stały kontakt z właściwymi organami innych państw członkowskich,
- wdrażać wewnętrzne procedury zapewniające zgodność działań z Data Act,
- szkolić pracowników w zakresie ochrony danych i zasad proporcjonalności.
📚 Dla przykładu – jeśli francuski urząd transportu występuje o dane z niemieckiego systemu zarządzania ruchem, musi najpierw przejść przez procedurę notyfikacji niemieckiego organu wyznaczonego zgodnie z art. 37 DA. Organ ten weryfikuje zasadność wniosku, a dopiero potem przekazuje go dalej do posiadacza danych (np. operatora systemu). Takie rozwiązanie zapewnia, że wymiana informacji odbywa się w sposób kontrolowany i bez ryzyka naruszenia tajemnicy przedsiębiorstwa.
Podstawa prawna
- art. 22 – Data Act (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie sprawiedliwego dostępu do danych i korzystania z nich)
- art. 17 – Data Act (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854)
- art. 37 – Data Act (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854)
Tematy zawarte w poradniku
- współpraca organów publicznych w UE przy pozyskiwaniu danych,
- obowiązek notyfikacji i kontrola wniosków o dane w Data Act,
- ochrona interesów posiadaczy danych przed nadmiernymi żądaniami,
- proporcjonalność i ograniczenie celu przetwarzania danych w praktyce,
- procedury wymiany danych między państwami członkowskimi UE.