Mechanizm sankcyjny przewidziany w rozporządzeniu Data Act (DA) stanowi jeden z kluczowych elementów zapewniających skuteczność przepisów dotyczących dostępu do danych i ich udostępniania w Unii Europejskiej. Celem tego systemu nie jest jedynie represja wobec podmiotów naruszających obowiązki, ale przede wszystkim zagwarantowanie równej konkurencji i zaufania do unijnego rynku danych.
System sankcyjny w Data Act – cele i ogólne założenia
Zgodnie z art. 40 ust. 1 DA państwa członkowskie są zobowiązane do wdrożenia krajowych przepisów określających sankcje za naruszenia rozporządzenia. Mechanizm sankcyjny ma charakter zdecentralizowany, co oznacza, że to na poziomie krajowym rozstrzyga się o rodzaju, wysokości i procedurze nakładania kar.
W przepisie podkreślono, że sankcje muszą być:
- skuteczne,
- proporcjonalne, oraz
- odstraszające.
Choć sformułowanie to wydaje się ogólne, jego znaczenie zostało ugruntowane w orzecznictwie Trybunału Sprawiedliwości Unii Europejskiej (TSUE) oraz przeniesione z obszaru ochrony danych osobowych (np. RODO).
👉 Skuteczność oznacza, że kara powinna rzeczywiście prowadzić do realizacji celu, dla którego została wprowadzona – czyli wymusić zgodność z przepisami i zapewnić uczciwą konkurencję w zakresie dostępu do danych.
👉 Proporcjonalność nakazuje, by sankcja nie była nadmierna w stosunku do wagi naruszenia – nie może prowadzić do nieuzasadnionej destrukcji biznesu, jeśli cel można osiągnąć łagodniejszym środkiem.
👉 Efekt odstraszający odnosi się do funkcji prewencji – sankcja ma nie tylko ukarać sprawcę, ale też zniechęcić innych przedsiębiorców do podobnych naruszeń. Ma stanowić jasny komunikat, że nieprzestrzeganie Data Act nie będzie tolerowane.
Zakres możliwych sankcji – elastyczność zamiast automatyzmu
Zgodnie z motywem 109 preambuły Data Act, sankcje nie muszą ograniczać się do kar pieniężnych. Katalog środków, jakie mogą stosować organy krajowe, obejmuje m.in.:
- ostrzeżenia i upomnienia,
- nagany,
- nakazy dostosowania praktyk biznesowych do przepisów DA,
- środki tymczasowe – np. ograniczenie skutków naruszenia do czasu zakończenia postępowania,
- kary pieniężne (administracyjne).
Tak szeroki wachlarz narzędzi pozwala organom dostosować reakcję do charakteru i skali naruszenia. Celem nie jest zawsze ukaranie finansowe – często skuteczniejsze może być wymuszenie natychmiastowej zmiany praktyki biznesowej.
📄 Przykład praktyczny:
Firma TechNova Sp. z o.o., producent inteligentnych systemów nawadniania, odmawia użytkownikom udostępnienia danych o zużyciu wody z czujników IoT, twierdząc, że system nie przewiduje takiej funkcjonalności. Organ nadzorczy może zamiast grzywny nakazać firmie wdrożenie funkcji eksportu danych w określonym formacie i terminie. Choć nie jest to kara finansowa, jej wykonanie może wymagać poważnych zmian technicznych – stanowi więc realnie dotkliwy środek o charakterze naprawczym i prewencyjnym.
Ryzyko braku jednolitości sankcji w UE
Takie elastyczne podejście do sankcji, choć uzasadnione z punktu widzenia efektywności, niesie też zagrożenie: brak jednolitości w egzekwowaniu przepisów DA w różnych państwach członkowskich.
Każde państwo będzie bowiem określało własne progi kar i stosowało własne procedury administracyjne. W konsekwencji to samo naruszenie może być potraktowane zupełnie inaczej w różnych krajach – np. w Niemczech skutkować karą finansową, a w Czechach jedynie upomnieniem.
Podobny problem obserwowano już przy stosowaniu RODO – mimo jego bezpośredniego stosowania, decyzje organów nadzorczych różnią się znacznie między państwami.
📚 Przykład:
W Polsce Prezes UODO nałożył karę na spółkę Bisnode (obecnie Dun & Bradstreet) za niepoinformowanie osób, których dane pozyskano z rejestrów publicznych, o przetwarzaniu tych danych – uznając, że obowiązek informacyjny z art. 14 RODO obejmuje również takie przypadki. W wielu innych krajach UE analogiczne działanie nie spotkało się z sankcją.
Zjawisko to rodzi obawy o spójność regulacyjną i równe warunki konkurencji na rynku wewnętrznym.
Koordynacja i nadzór – rola Europejskiej Rady ds. Innowacji w zakresie Danych (EDIB)
Choć Data Act pozostawia państwom członkowskim dużą swobodę w określaniu sankcji, przewiduje również mechanizmy koordynacji mające ograniczyć rozbieżności.
Zgodnie z art. 40 oraz motywem 109 DA, istotną rolę pełni Europejska Rada ds. Innowacji w zakresie Danych (EDIB). Jej zadaniem jest:
- wspieranie wymiany dobrych praktyk sankcyjnych między organami krajowymi,
- opracowywanie wytycznych dotyczących proporcjonalności i skuteczności kar,
- monitorowanie spójności stosowania DA w państwach członkowskich.
W praktyce oznacza to, że państwa członkowskie – choć samodzielne w zakresie sankcji – powinny uwzględniać rekomendacje Rady. Ma to zapobiegać sytuacji, w której przedsiębiorca działający w kilku krajach UE podlega całkowicie różnym standardom egzekwowania tego samego aktu prawa unijnego.
Podstawowe ryzyka dla przedsiębiorców
Dla przedsiębiorców działających transgranicznie w Unii Europejskiej różnice w krajowych reżimach sankcyjnych oznaczają realne ryzyko regulacyjne.
🔹 Nieprzewidywalność sankcji – brak wspólnych progów kar utrudnia ocenę ryzyka i planowanie zgodności.
🔹 Zróżnicowana praktyka organów – ten sam czyn może być różnie oceniany w zależności od państwa.
🔹 Ryzyko kumulacji sankcji – w przypadku naruszeń dotyczących zarówno danych osobowych, jak i nieosobowych (np. dane z urządzeń IoT) możliwe jest działanie kilku organów równolegle.
Przedsiębiorstwa powinny zatem już teraz wdrożyć procedury zgodności (compliance), uwzględniające nie tylko przepisy Data Act, ale też lokalne standardy egzekwowania prawa.
📌 Wskazówka praktyczna:
Warto monitorować stanowiska krajowych organów oraz publikowane przez Komisję Europejską i EDIB wytyczne dotyczące sankcji. Mogą one istotnie wpłynąć na ocenę ryzyka w danym państwie.