Wśród danych

Blog dla przedsiębiorców działających w cyfrowym świecie

  • Michał Nosowski

Data Governance Act czyli projekt nowego rozporządzenia UE ws. danych


Nowoczesna gospodarka w dużym stopniu opiera się na przepływie ogromnych ilości danych. Pomaga to rozwijać biznesy, generuje przychody, a niejednokrotnie prowadzi do ogólnego poprawienia warunków życia ludzi – np. w związku z rozwojem wiedzy naukowej.


Dostęp do dużych ilości danych pomagał dotąd rozwijać nowoczesne technologie w takich krajach jak Chiny czy USA. W UE? Też, ale nie na taką skalę. Jako jedną z przyczyn wskazywano dużo bardziej skomplikowane środowisko prawne i ograniczenia związane np. z ochroną danych osobowych.


Dlatego w UE postanowiono uregulować zasady przepływu danych, tak aby były one wykorzystywane w optymalny i bezpieczny sposób. Generalnie założenie jest takie, aby przepływ danych był swobodny, a dostęp do nich – dość szeroki. Stąd też pojawił się projekt rozporządzenia ws. europejskiego zarządzania danymi, tj. Data Governance Act (DGA).


Ma to być akt prawny, który skonkretyzuje to:

  • w jaki sposób udostępniać dane i z nich korzystać,

  • kto powinien zapewniać dostęp do danych (udostępniać je)

  • jak bezpiecznie tworzyć na ich bazie innowacyjne rozwiązania.

Oczywistym jest, że jego działanie wpłynie też na przedsiębiorców – a korzyści mogą być znaczne. Często mówi się o tym, że ograniczony przepływ danych w UE hamuje rozwój niektórych gałęzi gospodarki – np. w zakresie rozwiązań opartych o big data.


Czego dokładnie dotyczy Data Governance Act?


Data Governance Act w założeniu ma dotyczyć:

  • ponownego używania (re-use) danych posiadanych przez sektor publiczny do celów innych niż pierwotnie zamierzone,

  • funkcjonowania pośredników danych i udostępniania danych pomiędzy przedsiębiorcami (tzw. usług udostępniania danych),

  • działalności tzw. altruistycznych dostawców danych,

  • działalności European Data Innovation Board.

Czym w ogóle są te dane, które będzie można wykorzystywać?


Zgodnie z projektem rozporządzenia, danymi są:

  1. wszelkie cyfrowe odwzorowania działań, faktów lub informacji lub

  2. wszelkie kompilacje takich działań, faktów lub informacji, w tym w formie zapisu dźwiękowego, wizualnego lub audiowizualnego.

Jak widać, definicja danych jest bardzo szeroka i odnosi się generalnie do danych zapisanych w formie cyfrowej. Rozporządzenie wskazuje także na definicję „danych nieosobowych”, mówiąc po prostu, że są to wszystkie dane, które nie są danymi osobowymi zgodnie z RODO. Definicji danych osobowych oczywiście tu nie ma – ta bowiem jest w samym RODO.


Z innych ciekawych definicji - w projekcie mamy wskazane to jak rozumieć pojęcie „metadane”, którymi są dane gromadzone na temat wszelkiej działalności osoby fizycznej lub prawnej w celu świadczenia usługi udostępniania danych, w tym dane dotyczące daty, godziny i geolokalizacji, czasu trwania działalności, połączeń z innymi osobami prawnymi lub fizycznymi ustanowionymi przez osobę korzystającą z usługi.


I jeszcze jedno spostrzeżenie – mamy też definicję „dostępu”, która jednoznacznie wskazuje, że dostęp nie musi oznaczać pobrania danych, ich kopiowania i zapisywania. Innymi słowy, dostęp może polegać na udostępnieniu odpowiednich narzędzi przez posiadacza danych na rzecz ich użytkownika. Sam dostęp może się odbywać w ramach infrastruktury posiadacza, na zasadach przez niego określonych.





Ponowne używanie danych z sektora publicznego


UE pragnie zwiększyć ilość danych w obrocie poprzez umożliwienie ponownego użycia danych z sektora publicznego do celów innych niż te, w związku z którymi zostały pierwotnie zebrane.


Innymi słowy - jeżeli organ publiczny zbiera dane na temat ruchu pojazdów w mieście po to aby podejmować decyzje o rozbudowie dróg, to nie ma przeszkód aby przekazał je przedsiębiorcom, którzy np. rozwijają alternatywne środki transportu.


Stąd też duża część Data Governance Act dotyczy właśnie kwestii związanych z działaniem organów publicznych. Rozporządzenie ma zachęcić organy publiczne do udostępniania danych, które są wykorzystywane przez taki organ i uregulować zasady takiego udostępniania.


Przykładowo – dane zbierane i przetwarzane przez jednostki ochrony zdrowia mogłyby być wykorzystane w innym celu niż pierwotny, np. do celów badań naukowych lub rozwoju różnych usług. W konsekwencji oferowane nam usługi mają być wyższej jakości.


W założeniu zasady te mają dotyczyć sytuacji gdy organy sektora publicznego przetwarzają dane, które są objęte tajemnica handlową, chronione prawami własności intelektualnej, zawierają dane osobowe czy też dane statystyczne. Nie dotyczy to jednak już np. danych posiadanych przez przedsiębiorstwa publiczne.


Nie będzie tak, że organy publiczne będą miały każdorazowy obowiązek udostępniania wszystkich danych. DGA ma raczej zapewnić aby ewentualne ich udostępnienie odbywało się z zachowaniem pewnych zasad i wymogów, jeżeli już instytucja zdecyduje się na udostępnienie takich danych.


W praktyce oznacza to, że:

  • dostęp do danych powinien odbywać się na równych zasadach, z uwzględnieniem przejrzystości i niedyskryminacji,

  • mocno ograniczone ma być przyznawanie wyłącznego (np. jednemu przedsiębiorcy) dostępu do danych. Jeżeli taki wyłączny dostęp ma już być udzielony, będzie się to odbywało pod ścisłymi warunkami – m.in. stosowało się będzie reżim zamówień publicznych, a dostęp wyłączny będzie mógł być przyznany maksymalnie na 3 lata,

  • organy sektora publicznego powinny udostępnić publicznie warunki, jakie muszą zostać spełnione w celu zezwolenia na takie ponowne wykorzystywanie (o ile oczywiście decydują się na umożliwienie ponownego wykorzystania danych). Warunki te powinny być niedyskryminujące i równe, a ponadto nie powinny prowadzić do ograniczania konkurencji,

  • warunki dostępu powinny wskazywać na wymogi i zasady dotyczące bezpieczeństwa – np. możliwość uzyskania dostępu wyłącznie w ramach środowiska, które znajduje się pod kontrolą organu sektora publicznego. Co więcej, organ sektora publicznego musi mieć możliwość weryfikacji wszelkich wyników przetwarzania danych przez podmiot, który ponownie wykorzystuje dane i mieć prawo do zakazania wykorzystywania takich wyników, które zawierają informacje zagrażające prawom i interesom osób trzecich.

Co ważne, organy sektora publicznego mogą pobierać opłaty za dostęp do danych w związku z ich ponownym użytkiem. Dodatkowo, państwa UE mają wyznaczyć podmioty, które będą wspierały organy sektora publicznego w udostępnianiu danych do ponownego wykorzystania.


Pośrednicy danych


Komisja Europejska uznała, że sposobem do zachęcenia ludzi do dzielenia się danymi będzie zagwarantowanie tego aby były one bezpieczne. Stąd też „opiekę” nad nimi mają sprawować specjalne firmy, świadczące usługi udostępniania danych.


Taki „pośrednik danych”, ma zarządzać dzieleniem się danymi przez osoby fizyczne, firmy i organy państwowe. Działalność ta będzie podlegała zgłoszeniu do właściwego urzędu – wystarczy jedno zgłoszenie w którymś z krajów UE aby działać na terenie całej Unii.


Tacy pośrednicy mają następujące zadania:

  • pośredniczenie w przekazywaniu danych pomiędzy osobami prawnymi (np. firmami, NGOsami) a potencjalnymi ich użytkownikami, którzy mogą z takich danych zrobić dobry użytek (którymi mogą być np. inne firmy, instytuty badawcze)

  • pośredniczenie w przekazywaniu danych pomiędzy osobami fizycznymi a potencjalnymi użytkownikami takich danych – tutaj elementem pośrednictwa a być tez zapewnianie zgodności całego procesu z RODO i wsparcie osób fizycznych w realizacji ich praw (o ile oczywiście sobie tego zażyczą

  • tworzenie „spółdzielni danych”.

Podstawowym założeniem istnienia pośredników jest zaufanie. Działalność pośredników będzie wiązała się z pewnymi obowiązkami, tj. muszą oni dołożyć wszelkich starań, aby odpowiednio chronić dane i spełniać wymogi wskazane w przepisach. Pośrednicy danych mają być podmiotami neutralnymi od posiadaczy i użytkowników danych.


Dodatkowo, pośrednicy mieliby pomagać w negocjacji warunków i dokonywaniu świadomych wyborów przy decyzji dotyczącej dzielenia się danymi. Byłoby to szczególnie pomocne dla pojedynczych osób, które mogą nie posiadać specjalistycznej wiedzy co do ochrony danych osobowych i nie wiedzą, czy zdecydować się na udostępnienie swoich danych.


Kim są altruistyczni dostawcy danych?


Data Governance Act będzie starał się zachęcić do „dotowania” danych, które miałyby służyć dobru publicznemu. W tym celu utworzone zostaną specjalne procedury, które sprawią, że dane udostępnione przez „altruistę” (czyli osobę, która dobrowolnie udostepnia swoje dane) będą przetwarzane w celach, na które udostępniający się zgodził (np. badania medyczne). Takowym altruistą może być zarówno osoba fizyczna jak i osoba prawna.


Pośrednicy danych mają zachęcać do altruistycznego przekazywania danych poprzez bezpieczeństwo i pewność przetwarzania danych – będą oni je odpowiednio chronili i informowali o całym procesie osoby, które mogą mieć ograniczoną wiedzę w zakresie danych osobowych. Najbardziej zasłużone osoby prawne będą mogły się określać jako „znana w Unii organizacji o altruistycznym podejściu do danych”.


Europejska Rada ds. Innowacji w zakresie Danych


Europejska Radę ds. Innowacji w zakresie Danych to nowy podmiot utworzony na podstawie DGA, którego zadaniem będzie pomoc Komisji Europejskiej poprzez wskazywanie najlepszych praktyk dzielenia się danymi. Innovation Board miałby też koordynować przyjmowanie zasad wykorzystania danych na poziomie poszczególnych krajów UE, a tym samym, zapewnić jednolite stosowanie DGA na terenie Unii.


Co w praktyce oznacza to dla biznesu?


Unia zakłada, że małe i duże biznesy powinny zyskać dzięki Data Governance Act. Pojawią się bowiem nowe możliwości wykorzystania tych danych i również obniży koszty ich pozyskania, integrowania i przetwarzania. UE zaznacza też, że dzięki temu usługi będzie można łatwiej wprowadzić na rynek i wykonywanie ich będzie prostsze. Na pewno wiele przedsiębiorstw będzie mogło skorzystać z procesów w ramach DGA, dzięki którym będą mogli lepiej sprawować usługi i rozwijać nowoczesne procedury i technologie.

Zdaje się, że ten akt będzie miał ogromne znaczenie dla branży medycznej, gdyż umożliwi on szersze i bardziej swobodne dokonywanie badań, bez obaw co do zasadności korzystania z czyichś danych osobowych. Będzie to mogło doprowadzić do usprawnienia procedur leczenia i zrozumienia pewnych procesów dzięki szerokiemu gronu pacjentów, których dane będą wykorzystywane.


A co na to RODO?


W teorii DGA nie ma w żaden sposób naruszać praw i obowiązków, które wynikają z przepisów RODO. Co więcej, DGA w kilku miejscach wskazuje, że przetwarzanie danych powinno odbywać się zgodnie z przepisami o ochronie danych osobowych. Co do zasady, DGA mówi, że przetwarzanie danych osobowych w ramach powtórnego ich udostępniania albo np. wykorzystania "altruistycznego" powinno odbywać się na podstawie zgody – acz mogą być również wyjątki.


Takie przynajmniej są założenia, bo w praktyce przepisy DGA już wzbudziły wątpliwości w zakresie ich zgodności z przepisami RODO. Uwagi dotyczące tej kwestii zgłosiła między innymi Europejska Rada Ochrony Danych i Europejski Inspektor Ochrony Danych. Zakładam więc, że prace nad Data Governance Act będą nadal trwały i możemy się spodziewać tego, że niektóre przepisy ulegną zmianie.


Podsumowanie

Finalna treść Data Governance Act może jeszcze ulec zmianie. Bardzo dużo zależy od ostatecznej wersji aktu prawnego oraz relacji Data Governance Act z regulacjami RODO. Mimo tego, plan utworzenia jednolitego „frameworku” co do obrotu danymi w Unii Europejskiej oceniam pozytywnie. Pojawiają się jednakże głosy, jakoby niektóre postanowienia DGA były zbyt niedookreślone i niejasne, a ochrona danych osobowych w niektórych aspektach zdaje się być niewystarczająca. Czekajmy wiec, aż akt wejdzie w życie i jakie będą jego praktyczne skutki, gdyż może on przynieść sporo dobrego, ale na razie nie sposób ocenić, czy rzeczywiście tak będzie.

#data #rodo #ochronadanych #datagovernanceact

72641531_2826510837372791_62610008722353

Michał Nosowski

Jestem radcą prawnym specjalizującym się w prawie nowych technologii. Stworzyłem tego bloga po to aby dzielić się swoją pasją - czyli badaniem styku świata IT oraz prawa.

 

W ramach kancelarii ByteLaw, której jestem współzałożycielem, pomagam głównie startupom, software house'om, freelancerom i ludziom zajmującym się marketingiem internetowym. Jeśli chcesz dowiedzieć się więcej, zapraszam do odwiedzenia strony Kancelarii.