Akt w sprawie zarządzania danymi

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/868 z dnia 30 maja 2022 r. w sprawie europejskiego zarządzania danymi, czyli w skrócie Akt w sprawie zarządzania danymi (Data Governance Act, DGA), weszło w życie 23 czerwca 2022 r., a same przepisy mają być stosowane od 24 września 2023 r. Rozporządzenie to stanowi element budowy europejskiego środowiska dostępności danych do badań naukowych oraz tworzenia innowacyjnych usług i produktów. Akt w sprawie zarządzania danymi jest częścią ogłoszonej w 2020 r. Europejskiej strategii danych, obok Aktu w sprawie danych (Data Act).

Europejska strategia danych

19 lutego 2020 roku KE opublikowała Europejską strategię danych (European Data Strategy), która zakłada, że dane stanowić będą siłę napędową europejskich gospodarek. W dokumencie zawarto m.in. postulaty budowy jednolitego rynku danych oraz wspólnych, europejskich przestrzeni danych w kluczowych sektorach, a także uregulowanie swobodnego przepływu i wymiany danych.

Strategia opiera się na 4 filarach:

  • swobodny przepływ danych w ramach UE i poza UE, także pomiędzy sektorami,
  • pełne poszanowanie dla europejskich praw, zasad i wartości, w szczególności ochrona danych osobowych, ochrona konsumentów, prawo konkurencji,
  • uczciwe zasady dostępu do danych i godne zaufania mechanizmy zarządzania danymi.

Więcej na temat Europejskiej strategii danych można przeczytać TUTAJ.

Akt stanowi pierwszy z już przyjętych środków zapowiedzianych w europejskiej strategii w zakresie danych z 2020 r. i jest to instrument zwiększający zarówno ich dostępność do wykorzystywania, jak i zaufanie do pośredników w zakresie danych, a także wzmacniający mechanizmy ich udostępniania w całej UE.

DGA stanowi uzupełnienie dyrektywy o otwartych danych z 2019 r., która obejmuje swoim zakresem publicznie dostępne, otwarte dane. Natomiast DGA obejmuje dane chronione, np.  personalne lub o charakterze tajemnicy przedsiębiorstwa, których nie można określić mianem danych publicznie dostępnych lub otwartych. Zdaniem unijnych legislatorów można z nich wynieść istotne informacje, jednocześnie nie naruszając ich poufnego charakteru – DGA ma w tym sensie pełnić rolę zbioru zasad i mechanizmów bezpieczeństwa dla zagwarantowania poprawnego i zgodnego z charakterem informacji i prawem wykorzystywania wspomnianych danych.

UE zamierza wzmocnić rozwój godnych zaufania systemów wymiany danych poprzez cztery zestawy środków:

  • mechanizmy ułatwiające ponowne wykorzystanie niektórych danych sektora publicznego, które nie mogą być udostępnione jako dane otwarte,
  • środki zapewniające, że pośrednicy danych będą funkcjonować jako godni zaufania organizatorzy wymiany lub łączenia danych w ramach wspólnych europejskich przestrzeni danych,
  • środki ułatwiające obywatelom i przedsiębiorstwom udostępnianie swoich danych z korzyścią dla społeczeństwa,
  • środki ułatwiające dzielenie się danymi, w szczególności umożliwiające wykorzystanie danych w różnych sektorach i krajach oraz pozwalające na znalezienie właściwych danych do realizacji określonego celu.

Zakres Aktu w sprawie zarządzania danymi

Zakres aktu obejmuje zarówno dane osobowe, jak i nieosobowe. Regulacja ustanawia warunki ponownego wykorzystywania w Unii niektórych kategorii danych będących w posiadaniu organów sektora publicznego, a także ramy dotyczące zgłaszania i nadzoru w odniesieniu do świadczenia usług ich udostępniania oraz dobrowolnej rejestracji podmiotów gromadzących i przetwarzających dane udostępniane z pobudek altruistycznych.

Przede wszystkim chodzi o sytuacje udostępniania danych sektora publicznego do ponownego wykorzystywania w sytuacjach, w których dane te są objęte prawami innych osób lub między przedsiębiorstwami w zamian za wynagrodzenie w dowolnej postaci, a także umożliwianie wykorzystywania danych osobowych z pomocą „pośrednika w udostępnianiu danych osobowych”, który ma pomagać osobom fizycznym w wykonywaniu ich praw wynikających z RODO lub wykorzystywania danych z pobudek altruistycznych.

DGA nakłada na Państwa Członkowskie obowiązek przygotowania się pod względem technicznym do zapewnienia poszanowania prywatności i poufności danych w przypadku ich dalszego wykorzystywania. Przygotowanie techniczne może obejmować wykorzystanie różnych metod, od rozwiązań stricte technicznych jak anonimizacja, pseudonimizacja lub dostęp z zabezpieczonych i nadzorowanych przez sektor publiczny lokalizacji po środki prawne takie jak umowy o poufności pomiędzy organem lub organami sektora publicznego a podmiotem ponownie wykorzystującym dane.  

Rodzaje danych objętych regulacją

Jednym z założeń DGA jest promowanie działań innowacyjnych, opartych na dostępności oraz wymianie danych pomiędzy sektorami i państwami UE w celu wykorzystania pełni ich potencjału do rozwoju społeczeństwa i biznesu. Do typów danych, które mogą być przekazane oraz przykładów ich wykorzystania należą:

TYPY DANYCHPRZYKŁAD ZASTOSOWANIA
dane zdrowotneDoskonalenie zindywidualizowanych metod leczenia, zapewnienie lepszej opieki zdrowotnej oraz pomoc w leczeniu rzadkich lub przewlekłych chorób
dane dotyczące mobilnościOszczędność czasu użytkowników komunikacji miejskiej oraz kosztów kierowców samochodów poprzez wdrożenie systemów nawigacji oraz pokazywania lokalizacji środków transportu publicznego „na żywo”
dane związane z rolnictwemRozwijanie rolnictwa precyzyjnego, nowe produkty żywnościowe oraz wprowadzanie nowych usług na terenach wiejskich
dane związane ze środowiskiem naturalnymWalka ze zmianami klimatycznymi, klęskami żywiołowymi oraz redukcja emisji dwutlenku węgla
dane administracji publicznejPrzygotowywanie lepszych i bardziej wiarygodnych oficjalnych statystyk oraz przyczynianie się do procesu decyzyjnego opartego na danych

Odpowiednie zarządzanie danymi i dzielenie się nimi umożliwi opracowanie innowacyjnych produktów i usług, a także sprawi, że wiele sektorów będzie bardziej wydajnych. Mając do dyspozycji więcej informacji, sektor publiczny może opracować lepsze strategie, zasady i akty prawne, co z kolei powinno przyczynić się do bardziej przejrzystego i efektywnego zarządzania usługami publicznymi.

Mechanizm ponownego wykorzystywania niektórych kategorii chronionych danych

DGA wprowadza zestaw zharmonizowanych podstawowych warunków, na jakich ponowne wykorzystywanie niektórych kategorii chronionych danych sektora publicznego może być dozwolone, czyli mechanizm ponownego wykorzystywania niektórych kategorii chronionych danych. Chodzi o dane, w przypadku których zachodzi konieczność poszanowania praw innych osób, w tym w szczególności ze względu na tajemnicę handlową, poufność informacji statystycznych, ochronę praw własności intelektualnej osób trzecich lub ochronę danych osobowych.

Organy sektora publicznego zezwalające na ten rodzaj ponownego wykorzystywania musiałyby dysponować możliwościami technicznymi zapewniającymi pełne zachowanie ochrony danych, prywatności i poufności. Może to obejmować konieczność wdrożenia rozwiązań z zakresu anonimizacji, pseudonimizacji lub udostępniania danych w specjalnym bezpiecznym środowisku jak np. biuro danych (data room). Jeżeli państwo nie będzie w stanie spełnić tych warunków i umożliwić użytkownikowi ponowne wykorzystanie wspomnianych danych chronionych, to powinno go wesprzeć w uzyskaniu zgody osoby lub podmiotu, którego dane chronione dotyczą. Co więcej, taka zgoda może być konieczna także gdy mechanizm ponownego wykorzystywania będzie zarządzany przez państwo – dotyczy to danych określonych jako poufne, np. tajemnica handlowa.

Państwa członkowskie będą musiały także ustanowić pojedynczy punkt kontaktowy wspierający naukowców i innowacyjne przedsiębiorstwa w identyfikacji odpowiednich danych. Dodatkowo kraje są zobowiązane do wprowadzenia struktur wspierających organy sektora publicznego za pomocą środków technicznych i pomocy prawnej. Komisja Europejska utworzy punkt kontaktowy poziomu europejskiego, umożliwiający skorzystanie z jego sieciowych zasobów pochodzących ze wszystkich Państw Członkowskich.

Organy publiczne będą miały do dwóch miesięcy na podjęcie decyzji w sprawie ponownego wykorzystania. Mogą one także wymagać opłat za umożliwienie samego procesu skorzystania z danych, nie więcej niż poniesione przez nie niezbędne koszty. W przypadku ponownego wykorzystania do badań naukowych, w celach niekomercyjnych lub przez MŚP i przedsiębiorstwa typu start-up, państwa członkowskie powinny dążyć do obniżenia lub wycofania opłat.

Usługi udostępniania danych

DGA wprowadza zestaw zasad dla udostępniających dane (tzw. pośredników danych) i wyszczególnia usługi udostępniania danych, w tym umożliwianie korzystania ze środków technicznych lub jakichkolwiek innych, takich jak:

  • usługi pośrednictwa między posiadaczami danych będącymi osobami prawnymi a potencjalnymi użytkownikami danych,
  • usługi pośrednictwa między osobami, których dane dotyczą, zamierzającymi udostępnić swoje dane osobowe a potencjalnymi użytkownikami danych,
  • usługi świadczone przez spółdzielnie danych.

Rozporządzenie określa także, które usługi udostępniania danych muszą zostać zgłoszone do właściwego organu, powoływanego obowiązkowo przez każde państwo członkowskie na mocy art. 12. Organ ten ma monitorować i nadzorować przestrzeganie przepisów dotyczących wymogów usług udostępniania danych, a jego dane mają zostać przekazane do KE. Z kolei dostawca usług udostępniania danych będzie podlegał konkretnym, sprecyzowanym w DGA ograniczeniom i obowiązkom w zakresie i sposobie prowadzenia swojej działalności. Przede wszystkim dostawca usług może wykorzystać dane tylko poprzez oddanie ich do dyspozycji użytkownikom danych, a samym ich udostępnianiem zajmuje się odrębny podmiot prawny. Ponadto metadane zgromadzone w wyniku świadczenia usług udostępniania danych można wykorzystać jedynie w celu rozwoju tychże usług.

Wymienione powyżej zasady nie dotyczą podmiotów o charakterze niekomercyjnym, których działalność polega wyłącznie na gromadzeniu danych do celów leżących w interesie ogólnym, udostępnianych przez osoby fizyczne lub prawne na podstawie altruistycznego podejścia do danych.

Każde państwo członkowskie ma obowiązek wyznaczenia na swoim terytorium co najmniej jednego organu właściwego do wykonywania zadań związanych z ramami dotyczącymi zgłaszania usług udostępniania danych i przekazania KE do dnia 24 września 2023 r. danych identyfikacyjnych tychże organów lub organu. W sytuacji zmian w tej kwestii także należy zgłosić te informacje Komisji i spoczywa to na państwach członkowskich.

Altruistyczne podejście do danych

Altruistyczne podejście do danych oznacza dobrowolne i nieodpłatne udostępnianie danych przez osoby fizyczne lub przedsiębiorstwa dla wspólnego dobra. Głównym celem przyświecającym temu podejściu jest zwiększenie dostępu do danych, mogących mieć wpływ na postęp naukowy oraz rozwijanie lepszych produktów i usług, w tym w szczególności w obszarach ochrony zdrowia i środowiska, a także mobilności. Celem jest stworzenie tak dużych zbiorów danych, że będą umożliwiały ich wykorzystanie w procesie analizy danych oraz do uczenia maszynowego, także w skali międzynarodowej.

Skuteczność altruistycznego podejścia do danych jest zależna od wdrożenia narzędzi do wymiany informacji. W związku z tym, kolejnym celem DGA jest stworzenie rozwiązań i warunków ułatwiających przekazywanie danych i dzielenie się nimi. Chodzi przede wszystkim o zagwarantowanie, że samym procesem wymiany będzie się zajmować zaufany pośrednik, opierający swoje zasady działania na unijnych zasadach i wartościach.

Podmioty, chcące zaangażować się w proces altruistycznego udostępniania danych, mogą się publicznie zarejestrować jako uznane organizacje altruizmu danych. Muszą to być organizacje działające not-for-profit, a także muszą spełniać wymogi dotyczące transparentności oraz z zakresu ochrony praw i interesów obywateli oraz przedsiębiorstw. Komisja opracuje we współpracy z tymi organizacjami kodeks zasad i wymogów w zakresie obowiązków informacyjnych, wymagań technicznych, bezpieczeństwa oraz komunikacji i interoperacyjności.

Mechanizmy altruistycznego podejścia do danych posłużą do osiągnięcia wyższego poziomu zaufania do tych usług bez niepotrzebnego ograniczania działalności oraz przyczynią się do rozwoju rynku wewnętrznego w odniesieniu do wymiany danych w ujednoliconej formie z jednoczesnym zagwarantowaniem swobody w przystąpieniu do programu, jak i wycofaniu zgody w każdym możliwym momencie. Inicjatywa ta pozostawi również znaczną elastyczność pod względem stosowania na poziomie sektorowym, w tym w odniesieniu do przyszłego rozwoju europejskich przestrzeni danych.

Europejska Rada ds. Innowacji w zakresie Danych

Europejska Rada ds. Innowacji w zakresie Danych (ERID) to grupa ekspertów ustanawiana przez Komisję Europejską. W jej skład wchodzić mają przedstawiciele:

  • właściwych organów wszystkich państw członkowskich w zakresie udostępniania danych lub altruistycznego podejścia do danych,
  • Europejskiej Rady Ochrony Danych,
  • Europejskiego Inspektora Ochrony Danych,
  • ENISA,
  • Komisji Europejskiej,
  • przedstawiciel europejskiego sektora MŚP oraz
  • inni przedstawiciele (SME) właściwych organów lub podmiotów.

Do głównych zadań tego organu należeć będą obowiązki doradcze oraz wspieranie Komisji w rozwijaniu spójnej praktyki organów sektora publicznego w zakresie wymiany dobrych praktyk w zakresie wymiany i udostępniania danych, altruistycznego podejścia do danych, wykorzystania niektórych chronionych danych sektora publicznego oraz standardów międzysektorowej interoperacyjności w zakresie zarządzania danymi.

Dalsze kroki

Akt ws. zarządzania danymi wszedł w życie 23 czerwca 2022 r., a stosowanie jego przepisów ma się rozpocząć 24 września 2023 r. Do tego dnia podmioty, które świadczą usługi pośrednictwa danych na mocy przepisów DGA, mają także czas na spełnienie obowiązków określonych w Akcie.

Podsumowanie i najważniejsze wnioski

  • Mechanizm altruistycznego podejścia do danych pozwoli osobom fizycznym oraz przedsiębiorstwom  na łatwiejsze i bezpieczniejsze udostępnianie danych dla celów wspólnego dobra, w szczególności w obszarze badań naukowych, w tym wdrożeniowych. W konsekwencji może się to przełożyć na powstawanie bardziej dopasowanych produktów i usług.
  • Koncepcja mechanizmów altruistycznego podejścia do danych pozwoli na dopasowanie ich do wdrażania i stosowania na poziomie sektorowym z uwzględnieniem wymagań oraz specyfiki każdego z nich, w tym w odniesieniu do przyszłego rozwoju europejskich przestrzeni danych.
  • Europejski rejestr uznanych organizacji altruizmu danych pozwoli na łatwe zweryfikowanie statusu podmiotów oraz stanowić będzie gwarancję spełniania przez nich wymogów przewidzianych europejskimi przepisami w zakresie danych, w tym warunków technicznych, prawnych oraz w zakresie bezpieczeństwa.
  • DGA wprowadza mechanizm ponownego wykorzystywania niektórych kategorii chronionych danych, czyli takich, w przypadku których zachodzi konieczność poszanowania praw innych osób, w tym w szczególności ze względu na tajemnicę handlową, poufność informacji statystycznych, ochronę praw własności intelektualnej osób trzecich lub ochronę danych osobowych. Określa przy tym zasady postępowania oraz wymagane do spełnienia warunki techniczne dla organów publicznych, aby mogły tego typu dane udostępniać.
  • Regulacja wprowadza przepisy dotyczące usług udostępniania danych oraz podmiotów zajmujących się nimi, czyli pośredników danych. DGA precyzuje czym te usługi mogą być oraz wprowadza procedurę postępowania pośredników danych i mechanizmy kontrolne nad ich działalnością np. nadzór organu właściwego do wykonywania zadań związanych z ramami dotyczącymi zgłaszania usług udostępniania danych, który to państwa członkowskie mają obowiązek powołać lub wskazać.