Opublikowano Kategorie ochrona prywatności/danych osobowych, zmiany w prawie

Data Governance Act – o krok bliżej do łatwiejszego dzielenia się danymi

30 listopada 2021 r. Rada i Parlament Europejski osiągnęły wstępne porozumienie w sprawie ostatecznej wersji projektu aktu w sprawie zarządzania danymi1 (Data Governance Act, DGA).

Celem projektu jest promowanie dostępności danych i budowa godnego zaufania środowiska, które ułatwi wykorzystanie danych (zarówno osobowych, jak i nieosobowych) do badań i tworzenia nowych innowacyjnych usług i produktów. Ma również stworzyć ramy prawne dla łatwiejszego dzielenia się danymi i mechanizmy ułatwiające ponowne wykorzystanie niektórych danych posiadanych przez sektor publiczny, w tym danych dotyczących zdrowia, rolnictwa czy środowiska.

Tym samym – w założeniu – DGA przyczyni się do rozwoju wspólnych europejskich przestrzeni danych, w szczególności w obszarach takich jak zdrowie, środowisko, energia, rolnictwo, mobilność, finanse, produkcja, administracja publiczna. Te z kolei pomogą zasilić systemy sztucznej inteligencji rozwijane w UE we wskazanych obszarach.

Zakres zastosowania DGA

Akt w sprawie zarządzania danymi znajdzie zastosowanie do następujących sytuacji:

  • udostępniania danych sektora publicznego do ponownego wykorzystywania w sytuacjach, w których dane te są objęte prawami innych osób (w tym gdy stanowią one tajemnicę handlową, poufne informacje statystyczne, dane osobowe lub są objęte prawem własności intelektualnej osób trzecich)2,
  • udostępniania danych między przedsiębiorstwami w zamian za wynagrodzenie w dowolnej postaci,
  • umożliwiania wykorzystywania danych osobowych z pomocą pośrednika w zakresie danych (dostawcy usług udostępniania danych), który ma pośredniczyć między osobami, których dane dotyczą, zamierzającymi udostępnić swoje dane osobowe a potencjalnymi użytkownikami danych,
  • umożliwiania wykorzystywania danych z pobudek altruistycznych (tj. dobrowolnego udostępniania danych przez osoby fizyczne lub przedsiębiorstwa dla wspólnego dobra).

Pośrednictwo w zakresie udostępniania danych

DGA tworzy ramy prawne nowego modelu biznesowego – usług pośrednictwa w zakresie udostępniania danych. W założeniu pośrednicy w zakresie danych, definiowani jako dostawcy usług udostępniania danych, mają zapewnić bezpieczne i godne zaufania środowisko, w którym osoby prawne lub osoby fizyczne (posiadacze danych) będą mogły udostępniać swoje dane.

W przypadku osób prawnych usługi te mogą polegać na tworzeniu platform lub baz danych umożliwiających wymianę lub wspólne wykorzystywanie danych, jak również tworzenie specjalnej infrastruktury do wzajemnych połączeń między posiadaczami danych i użytkownikami danych. Korzystając z takich usług, firmy będą mogły udostępniać swoje dane bez obawy o ich niewłaściwe wykorzystanie, utratę przewagi konkurencyjnej czy zarzuty niezgodności takiego działania z prawem.

W przypadku danych osobowych usługi pośrednictwa będą ułatwiać udostępnianie danych przez osoby, których dane dotyczą, a potencjalnymi użytkownikami danych. W tym celu dostawca udostępni środki techniczne i organizacyjne umożliwiające świadczenie takich usług i łatwe wykonywanie przez te osoby swoich praw przewidzianych w RODO. W założeniu ma to pomóc osobom fizycznym w uzyskaniu pełnej kontroli nad swoimi danymi i umożliwić udostępnianie ich firmie, której ufają. Temu celowi mogą służyć narzędzia do zarządzania danymi osobowymi, takie jak przestrzenie danych osobowych lub portfele danych, które są aplikacjami udostępniającymi dane innym osobom na podstawie zgody podmiotu danych.

Aby zwiększyć zaufanie do pośredników w zakresie danych, ich działalność ma być dokładnie regulowana. Dostawcy takich usług będą podlegać procedurze zgłoszenia do odpowiednich organów krajowych, a następnie wpisowi do rejestru dostawców usług udostępniania danych prowadzonego przez Komisję Europejską. Świadczone przez nich usługi będą musiały spełniać szczegółowe warunki określone w przepisach. Co istotne, pośrednicy w zakresie danych nie będą mogli wykorzystywać udostępnionych danych do innych celów. Będą oni jednak mogli pobierać opłaty za transakcje, które przeprowadzają.

Dostęp międzynarodowy i przekazywanie danych nieosobowych do państw trzecich

DGA tworzy zabezpieczenia dla danych sektora publicznego, usług pośrednictwa danych i organizacji o altruistycznym podejściu do danych, które mają zapobiegać niezgodnemu z prawem przekazywaniu danych nieosobowych lub dostępowi do tych danych przez organy publiczne w państwie trzecim.

Na podstawie nowych przepisów Komisja Europejska będzie mogła przyjmować decyzje stwierdzające odpowiedni stopień ochrony, w których potwierdza się, że określone kraje spoza UE zapewniają odpowiednie zabezpieczenia wykorzystywania danych nieosobowych przekazywanych z UE. Byłyby to decyzje analogiczne do decyzji stwierdzających odpowiedni stopień ochrony danych osobowych przyjmowanych przez Komisję na gruncie RODO (art. 45).

Komisja będzie mogła również przyjąć wzorcowe klauzule umowne w celu wsparcia organów sektora publicznego i użytkowników (re-users) w przypadku przekazywania danych sektora publicznego do państw trzecich.

Europejska Rada ds. Innowacji w zakresie Danych

W DGA przewiduje się również powołanie formalnej grupy ekspertów – Europejskiej Rady ds. Innowacji w zakresie Danych, która ma doradzać i wspierać Komisję w zwiększaniu interoperacyjności usług pośrednictwa danych i wydawaniu wytycznych dotyczących sposobów ułatwienia rozwoju przestrzeni danych. Rada ma ułatwiać opracowywanie najlepszych praktyk przez organy państw członkowskich, w szczególności w zakresie przetwarzania wniosków o ponowne wykorzystywanie danych, które są objęte prawami innych osób (na podstawie rozdziału II), zapewnienia spójnej praktyki odnośnie do ram zgłaszania dostawców usług udostępniania danych (na podstawie rozdziału III) oraz altruistycznego podejścia do danych (rozdział IV).

Co dalej?

Zanim projekt stanie się powszechnie obowiązującym prawem, musi on jeszcze zostać formalnie przyjęty przez Parlament i Radę w trzecim czytaniu. Choć nowe przepisy zaczną obowiązywać 15 miesięcy po wejściu w życie, osiągnięcie politycznego porozumienia w sprawie ostatecznego tekstu aktu już teraz można uznać za kamień milowy w drodze do łatwiejszego współdzielenia się danymi w ramach UE.

Wniosek dotyczący aktu w sprawie zarządzania danymi stanowi pierwszą inicjatywę ustawodawczą przyjętą w ramach europejskiej strategii w zakresie danych. W ramach tej strategii UE zamierza podjąć szereg inicjatyw ustawodawczych, które ułatwią dzielenie się danymi i ich wykorzystywanie do badań, tworzenia nowych innowacyjnych usług i produktów czy trenowania systemów sztucznej inteligencji. Komisja Europejska już teraz pracuje nad projektem kolejnego aktu – aktu w sprawie danych (Data Act), który z kolei ma wspierać przepływ danych między przedsiębiorstwami oraz między przedsiębiorstwami a administracją publiczną.

Iga Małobęcka-Szwast

1 Wniosek rozporządzenie Parlamentu Europejskiego i Rady w sprawie europejskiego zarządzania danymi (akt w sprawie zarządzania danymi), COM(2020) 767 final.

2 DGA ma w tym zakresie uzupełniać dyrektywę 2019/1024 w sprawie otwartych danych – dotyczy bowiem również danych będących w posiadaniu organów sektora publicznego, które objęte są prawami innych osób.