Wstęp

Data Governance Act[1] uzupełnia dyrektywę 2019/1024 w sprawie otwartych danych i ponownego wykorzystywania informacji sektora publicznego[2]. Dotyczy ono danych, które są w posiadaniu organów sektora publicznego oraz są objęte prawami innych osób, a zatem wykraczają poza zakres wyżej wspomnianej dyrektywy w sprawie otwartych danych. Celem rozporządzenia jest ułatwienie udostępniania danych, w tym poprzez zwiększenie zaufania do pośredników w udostępnianiu danych, którzy mają świadczyć usługi udostępniania w poszczególnych przestrzeniach danych. W rozporządzeniu utworzono mechanizm ponownego wykorzystywania niektórych kategorii chronionych danych sektora publicznego, które zależy od poszanowania praw innych osób (szczególnie ze względu na ochronę danych osobowych, a także ochronę praw własności intelektualnej i tajemnicy handlowej). Pomoże to nowym przedsiębiorstwom w korzystaniu z dużych zbiorów danych (big data), a w szczególności w opracowywaniu nowych produktów i usług, dla których dostęp do big data ma kluczowe znaczenie dla wykorzystania potencjału sztucznej inteligencji.

Rozporządzenie nie narusza obecnie istniejących przepisów Unii dotyczących dostępu do danych i ich ponownego wykorzystywania. W rozporządzeniu przewiduje się utworzenie w państwach członkowskich punktów kontaktowych mających za zadanie wspieranie naukowców i innowacyjnych przedsiębiorstw, w tym start-upów, w identyfikacji odpowiednich danych oraz utworzenie struktur wspierających organy sektora publicznego za pomocą środków technicznych i pomocy prawnej. Rozporządzenie tworzy ramy wspierania nowego modelu biznesowego – usług pośrednictwa w udostępnianiu danych – który zapewni bezpieczne środowisko, w którym przedsiębiorstwa i osoby fizyczne będą mogły dzielić się danymi.

W przypadku przedsiębiorstw usługi te mogą przyjąć formę platform cyfrowych, które będą wspierać dobrowolną wymianę danych między przedsiębiorstwami i ułatwiać wypełnianie obowiązków w zakresie wymiany danych określonych nie tylko w tym rozporządzeniu, lecz także w innych aktach prawnych, czy to na szczeblu europejskim, czy krajowym. Korzystając z tych usług, przedsiębiorstwa będą mogły udostępniać swoje dane bez obawy, że zostaną one niewłaściwie wykorzystane lub że stracą przewagę konkurencyjną.

W przypadku danych osobowych usługi pośrednictwa w udostępnianiu i ich dostawcy będą pomagać osobom fizycznym w korzystaniu z praw przysługujących im na mocy ogólnego rozporządzenia o ochronie danych (RODO)[3]. Dzięki temu obywatele będą mieli pełną kontrolę nad swoimi danymi i będą mogli udostępnić je podmiotowi do którego mają zaufanie.

Dostawcy usług pośrednictwa w zakresie danych będą musieli być wpisani do rejestru oraz będą monitorowani i nadzorowani przez właściwy organ powołany do zapewniania przestrzegania przepisów rozporządzenia, aby ich klienci wiedzieli, że mogą im zaufać.

Rozporządzenie wprowadza ułatwienia w altruistycznym udostępnianiu danych przez osoby fizyczne lub przedsiębiorstwa poprzez możliwość rejestrowania się organizacji o altruistycznym podejściu do danych jako „uznana w UE organizacja o altruistycznym podejściu do danych”, aby zwiększyć zaufanie do ich działalności.

Przedmiot i zakres rozporządzenia, przyjęte definicje

Rozporządzenie w sprawie zarządzania danymi ma na celu uregulowanie takich zagadnień, jak:

  1. warunki ponownego wykorzystywania w Unii niektórych kategorii danych będących w posiadaniu organów sektora publicznego;
  2. ramy dotyczące zgłaszania i nadzoru w odniesieniu do świadczenia usług udostępniania danych;
  3. ramy dotyczące dobrowolnej rejestracji podmiotów, które gromadzą i przetwarzają dane udostępniane z pobudek altruistycznych.

Głównym celem rozporządzenia jest uzupełnienie przepisów już istniejących w zakresie przetwarzania danych osobowych oraz dostępu i przetwarzania innych kategorii danych prawnie chronionych, takich jak dane objęte tajemnicą handlową, ochrona własności intelektualnej, a także dane nieklasyfikowane jako dane osobowe, wytwarzane w sektorze publicznym, których przetwarzanie regulowane jest w dyrektywie w sprawie otwartych danych i ponownego wykorzystywania informacji sektora publicznego.

Wprowadzana regulacja nie narusza przepisów szczegółowych zawartych w innych aktach prawnych Unii dotyczących dostępu do niektórych kategorii danych lub ich ponownego wykorzystywania ani wymogów związanych z przetwarzaniem zarówno danych osobowych, jak i danych nieosobowych. Rozporządzenie ma na celu usunięcie barier dla dobrze funkcjonującej gospodarki opartej na danych oraz utworzenie ogólnounijnych ram zarządzania w zakresie dostępu do danych i ich wykorzystywania. Przewidziane w rozporządzeniu działania, takie jak zgłaszanie dostawców usług udostępniania danych oraz rejestracja organizacji o altruistycznym podejściu do danych, mają na celu ułatwienie dostępu do danych oraz zapewnienie przejrzystości w zakresie podmiotów, jakim są udostępniane, oraz celów, w jakich są wykorzystywane.

W rozporządzeniu zdefiniowano m.in. następujące pojęcia:

  • dane – oznaczają wszelkie cyfrowe odwzorowania działań, faktów lub informacji oraz wszelkie kompilacje takich działań, faktów lub informacji, w tym w formie zapisu dźwiękowego, wizualnego lub audiowizualnego;
  • ponowne wykorzystywanie – oznacza wykorzystywanie przez osoby fizyczne lub prawne danych będących w posiadaniu organów sektora publicznego, do celów komercyjnych lub niekomercyjnych innych niż ich pierwotne przeznaczenie w ramach zadań publicznych, dla którego to celu dane te zostały wyprodukowane, z wyjątkiem wymiany danych między organami sektora publicznego służącej wyłącznie wykonywaniu ich zadań publicznych;
  • metadane – oznaczają dane gromadzone na temat wszelkiej działalności osoby fizycznej lub prawnej w celu świadczenia usługi udostępniania danych, w tym dane dotyczące daty, godziny i geolokalizacji, czasu trwania działalności, połączeń z innymi osobami prawnymi lub fizycznymi ustanowionymi przez osobę korzystającą z usługi;
  • posiadacz danych – oznacza osobę prawną lub osobę, której dane dotyczą, która zgodnie z mającym zastosowanie prawem unijnym lub krajowym ma prawo do udzielania dostępu do niektórych danych osobowych lub nieosobowych będących pod jej kontrolą lub do udostępnienia tych danych;
  • użytkownik danych – oznacza osobę fizyczną lub prawną, która ma zgodny z prawem dostęp do niektórych danych osobowych lub nieosobowych i jest upoważniona do wykorzystywania tych danych w celach komercyjnych lub niekomercyjnych;
  • udostępnianie danych – oznacza udostępnianie danych przez posiadacza danych podmiotowi wykorzystującemu dane, w celu wspólnego lub indywidualnego wykorzystania udostępnianych danych, na podstawie dobrowolnych porozumień, bezpośrednio lub przez pośrednika;
  • dostęp – oznacza przetwarzanie danych, które zostały dostarczone przez posiadacza danych, przez użytkownika danych zgodnie ze szczegółowymi wymogami technicznymi, prawnymi lub organizacyjnymi, co niekoniecznie musi się wiązać z przesyłaniem lub pobieraniem takich danych;
  • altruistyczne podejście do danych – oznacza zgodę udzielaną przez osoby, których dane dotyczą, na przetwarzanie dotyczących ich danych osobowych lub zezwolenia innych posiadaczy danych na wykorzystywanie ich danych nieosobowych bez żądania wynagrodzenia, do celów realizowanych w interesie ogólnym, takich jak cele badań naukowych lub poprawa jakości usług publicznych.

Zasady dotyczące ponownego wykorzystania niektórych kategorii danych chronionych

Rozporządzenie w odniesieniu do danych, które są w posiadaniu organów sektora publicznego i są chronione ze względu na tajemnicę handlową, poufność informacji statystycznych, ochronę praw własności intelektualnej oraz ochronę danych osobowych, wprowadza następujące ograniczenia:

Zakaz stosowania uzgodnień dotyczących wyłączności – oznacza to zakaz zawierania umów, w ramach których przyznaje się prawa wyłączne lub których celem bądź skutkiem jest przyznanie takich praw wyłącznych lub ograniczenie dostępności danych do ponownego wykorzystywania przez podmioty niebędące stronami takich umów lub innych praktyk.

Na zasadzie odstępstwa od powyższego prawo wyłączne do ponownego wykorzystywania danych, o którym mowa wyżej, może zostać przyznane w zakresie niezbędnym do świadczenia usługi lub dostarczania produktu w interesie ogólnym jedynie po spełnieniu określonych warunków dotyczących zamówień publicznych i udzielania koncesji zgodnie z zasadami przejrzystości, równego traktowania i niedyskryminacji ze względu na przynależność państwową.

Obowiązek spełnienia określonych warunków ponownego wykorzystywania – oznacza to, że organy publiczne udostępniające dane do ponownego wykorzystania mogą uzależnić ich udostępnienie od konieczności spełnienia określonych warunków, np. ich wstępnego przetworzenia mającego na celu ich anonimizację bądź pseudonimizację lub wykonania innych operacji mających na celu usunięcie poufnych informacji handlowych bądź tajemnic przedsiębiorstwa. Warunki te mogą dotyczyć zapewnienia bezpiecznego środowiska przetwarzania, w którym udostępnione dane mogą być przetwarzane. Środowisko to musi zapewniać integralność i poufność przetwarzania.

Określenie warunków udostępnienia danych jest zadaniem organu udostępniającego dane. Ponadto organ sektora publicznego udostępniający dane musi mieć możliwość weryfikacji wszelkich wyników przetwarzania danych przez podmiot ponownie wykorzystujący dane i mieć zapewnione prawo do zakazania wykorzystywania wyników, które zawierają informacje zagrażające prawom i interesom osób trzecich. W przypadku gdy wymagane dane są uznawane za poufne zgodnie z prawem unijnym lub krajowym dotyczącym tajemnicy handlowej, organy sektora publicznego zapewniają, aby informacje poufne nie były ujawnione w wyniku ponownego wykorzystywania.

Warunki dotyczące przekazywania danych do państw trzecich – w przypadku udostępniania danych do państw trzecich Komisja może przyjąć akty wykonawcze, stwierdzając, że stosowane przez państwa trzecie rozwiązania prawne, nadzorcze i wykonawcze:

  1. zapewniają ochronę własności intelektualnej i tajemnic przedsiębiorstwa w sposób zasadniczo równoważny z ochroną zapewnianą na mocy prawa Unii;
  2. są skutecznie stosowane i egzekwowane;
  3. zapewniają skuteczne środki zaskarżenia.

Jeżeli podmiot ponownie wykorzystujący dane zamierza przekazać dane nieosobowe do państwa trzeciego, organ sektora publicznego informuje posiadacza danych o przekazaniu danych do danego państwa trzeciego.

W przypadku zamiaru przekazywania danych do państwa trzeciego, w odniesieniu do którego Komisja nie przyjęła aktów wykonawczych, o których mowa wyżej, przekazanie danych jest możliwe, jeżeli podmiot wykorzystujący dane zobowiąże się do:

  1. poszanowania praw własności intelektualnej, zapewnienia wymaganej ochrony informacji poufnych oraz informacji objętych tajemnicą handlową oraz
  2. uznania jurysdykcji sądów państwa członkowskiego organu sektora publicznego w odniesieniu do wszelkich sporów związanych z wypełnieniem obowiązków określonych w punkcie a).

Możliwość pobierania opłaty za ponowne wykorzystanie danych

Rozporządzenie wprowadza możliwość pobierania opłat za zezwolenie na ponowne wykorzystanie danych. Opłaty takie muszą być niedyskryminujące, proporcjonalne i obiektywnie uzasadnione. Organy sektora publicznego zobowiązane będą do publikowania głównych kategorii kosztów oraz metodyki obliczania opłat.

Obowiązek rejestracji usług udostępniania danych

Rozporządzenie wprowadza instytucję dostawcy usług udostępniania danych, którego zadaniem będzie:

  1. świadczenie usług pośrednictwa między posiadaczami danych będącymi osobami prawnymi a potencjalnymi użytkownikami danych, w tym udostępnianie środków technicznych lub innych środków umożliwiających świadczenie takich usług;
  2. świadczenie usług pośrednictwa między osobami, których dane dotyczą, zamierzającymi udostępnić swoje dane osobowe a potencjalnymi użytkownikami danych, w tym udostępnianie technicznych lub innych środków umożliwiających świadczenie takich usług, w ramach wykonywania praw przewidzianych w RODO;
  3. wspieranie osób, których dane dotyczą, jednoosobowych działalności gospodarczych lub mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw w dokonywaniu świadomych wyborów przed wyrażeniem zgody na przetwarzanie danych oraz w określaniu celów i warunków przetwarzania danych, które najlepiej będą odzwierciedlały interesy osób, których dane dotyczą.

Dostawcy usług udostępniania danych obowiązani będą zgłaszać swoją działalność do właściwego organu odpowiedzialnego za rejestrację i monitorowanie przestrzegania przepisów niniejszego rozporządzenia. Organy te zobowiązane będą do przekazywania informacji o każdym zgłoszeniu do odpowiednich organów pozostałych państw członkowskich oraz do Komisji Europejskiej, która prowadzić będzie rejestr usług udostępniania danych.

Obowiązek rejestracji organizacji o altruistycznym podejściu do danych

W celu zwiększenia dostępności do danych rozporządzenie wprowadza obowiązek rejestracji podmiotów, które wyrażają zgodę na wykorzystanie ich danych nieosobowych bez żądania wynagrodzenia do celów realizowanych w interesie ogólnym, takich jak prowadzenie badań naukowych lub poprawa jakości usług publicznych.

Podmioty takie, nazywane organizacjami o altruistycznym podejściu do danych, muszą:

  1. być podmiotem prawnym utworzonym z zamiarem realizacji celów interesu ogólnego;
  2. prowadzić działalność o charakterze niekomercyjnym i być niezależne od jakiegokolwiek podmiotu nastawionego na zysk;
  3. wykonywać czynności związane z altruistycznym podejściem do danych poprzez prawnie niezależną strukturę, odrębną od innych czynności, które podejmują.

Rejestrację, o której mowa wyżej, prowadzić będą właściwe organy wyznaczone w państwach członkowskich, odpowiedzialne za rejestrację organizacji o altruistycznym podejściu do danych.

  • Warunki świadczenia usług udostępniania danych oraz wymagania dotyczące działania podmiotów o altruistycznym podejściu do danych

Rozporządzenie w rozdziale 11 określa szczegółowe warunki, jakie powinien spełniać dostawca usług udostępniania danych. Do warunków tych należą m.in.:

  1. zapewnienie, aby procedura dostępu do usługi była sprawiedliwa, przejrzysta i niedyskryminująca zarówno dla posiadaczy danych, jak i użytkowników danych;
  2. ułatwianie wymiany danych w formacie, w jakim otrzymuje je od posiadacza danych, i konwertowanie do określonych formatów wyłącznie w celu zwiększenia interoperacyjności w ramach sektorów lub na wniosek użytkownika danych bądź w przypadku, gdy jest to wymagane przez prawo Unii, lub w celu zapewnienia harmonizacji z międzynarodowymi lub europejskimi normami;
  3. wprowadzanie procedur zapobiegających praktykom stanowiącym oszustwo lub nadużycie w odniesieniu do dostępu do danych ze strony podmiotów ubiegających się o dostęp za pośrednictwem usług tego dostawcy;
  4. zapewnienie odpowiedniej ciągłości świadczenia swoich usług;
  5. wprowadzenie odpowiednich środków technicznych, prawnych i organizacyjnych zapobiegających niezgodnemu z prawem Unii przekazywaniu danych nieosobowych lub dostępu do nich;
  6. wprowadzenie środków zapewniających wysoki poziom bezpieczeństwa w zakresie przekazywania i przechowywania danych;
  7. zapewnienie zgodności z unijnymi i krajowymi przepisami dotyczącymi konkurencji;
  8. w przypadku świadczenia usług osobom, których dane dotyczą, działanie w najlepszym interesie tych osób, ułatwianie im wykonywania ich praw;
  9. w przypadku gdy dostawca danych zapewnia uzyskanie zgód od osób, których dane dotyczą, lub zezwoleń na przetwarzanie danych udostępnianych przez osoby prawne – określenie jurysdykcji, w których ma nastąpić wykorzystanie danych.

W odniesieniu do podmiotów o altruistycznym podejściu do danych rozporządzenie określa szczegółowe warunki dotyczące:

  1. przejrzystości działania – obowiązek prowadzenia dokumentacji zawierającej: wykaz osób fizycznych lub prawnych, które otrzymały dane, daty i czas trwania przetwarzania, cele przetwarzania, jakie zadeklarowano, oraz informacje o ewentualnych opłatach wniesionych za przetwarzanie;
  2. informacji, jakie powinno zawierać sprawozdanie składane do organu krajowego odpowiedzialnego za rejestrację organizacji o altruistycznym podejściu do danych;
  3. szczegółowych wymogów dotyczących ochrony praw i interesów osób, których dane dotyczą, oraz podmiotów prawnych w odniesieniu do ich danych.
  4. Wymagania dotyczące organów odpowiedzialnych za rejestrację dostawców usług udostępniania danych oraz organizacji o altruistycznym podejściu do danych

Rozporządzenie stawia określone wymogi odnoszące się do organów odpowiedzialnych w państwach członkowskich za przyjmowanie zgłoszeń od podmiotów świadczących usługi udostępniania danych i ich monitorowanie oraz do organów odpowiedzialnych za rejestrację organizacji o altruistycznym podejściu do danych i monitorowanie ich działalności. Wymagania te są następujące:

  1. Organy odpowiedzialne za rejestrację i monitorowanie dostawców usług udostępniania danych oraz organy odpowiedzialne za rejestrację organizacji o altruistycznym podejściu do danych muszą być prawnie odrębne i funkcjonalnie niezależne od jakiegokolwiek dostawcy usług udostępniania danych lub podmiotu wpisanego do rejestru uznanych organizacji o altruistycznym podejściu do danych.
  2. Właściwe organy zobowiązane będą wykonywać swoje zadania w sposób bezstronny, przejrzysty, spójny, wiarygodny i terminowy.
  3. Członkowie kadry kierowniczej wyższego szczebla i personelu odpowiedzialnego za wykonywanie odpowiednich zadań właściwego organu nie mogą być projektantami, producentami, dostawcami, instalatorami, nabywcami, właścicielami, użytkownikami ani osobami odpowiedzialnymi za utrzymanie usług, które oceniają, nie mogą też być upoważnionymi przedstawicielami żadnej z tych osób ani ich reprezentować.
  4. Członkowie kadry kierowniczej wyższego szczebla i personelu tych organów nie angażują się w żadną działalność, która mogłaby zagrozić niezależności ich osądów lub uczciwości w odniesieniu do powierzonych im działań związanych z oceną.
  5. Właściwe organy mają mieć do dyspozycji odpowiednie zasoby finansowe i ludzkie, w tym wiedzę techniczną i środki finansowe niezbędne do realizacji powierzonych im zadań.
  6. Właściwe organy państwa członkowskiego zobowiązane będą dostarczać Komisji i właściwym organom innych państw członkowskich, na uzasadniony wniosek, informacje niezbędne do wykonywania ich zadań na mocy niniejszego rozporządzenia. W przypadku gdy właściwy organ krajowy uzna informacje, o które złożono wniosek, za poufne zgodnie z przepisami unijnymi i krajowymi dotyczącymi tajemnicy handlowej i zawodowej, Komisja i wszelkie inne zainteresowane właściwe organy zapewniają poufność takich informacji.

Wyznaczone na mocy niniejszego rozporządzenia odpowiednie organy powinny wymieniać się informacjami i współpracować z organami ochrony danych, krajowymi organami ochrony konkurencji, organami odpowiedzialnymi za cyberbezpieczeństwo oraz innymi sektorowymi organami w zakresie niezbędnym do wykonywania ich zadań w odniesieniu do dostawców usług udostępniania danych.

Podsumowanie

Data Governance Act ma na celu poprawę warunków ich udostępniania i wykorzystywania. Wprowadzone w rozporządzeniu zasady i ramy prawne pozwolą na opracowanie i dostosowanie regulacji odnoszących się do wymiany i udostępniania danych w poszczególnych sektorach. W tym celu rozporządzenie przyznaje Komisji uprawnienia do przyjmowania aktów wykonawczych, zgodnie z art. 290 Traktatu o funkcjonowaniu Unii Europejskiej, w celu określenia warunków specjalnych, mających zastosowanie do przekazywania do państw trzecich niektórych kategorii danych nieosobowych uznawanych za szczególnie chronione w określonych aktach Unii, przyjętych w drodze procedury ustawodawczej. Pomocą w powyższym zakresie ma służyć utworzona na mocy art. 26 rozporządzenia Europejska Rada ds. Innowacji w zakresie danych. W jej skład wchodzić będą przedstawiciele właściwych organów wszystkich państw członkowskich, Europejskiej Rady Ochrony Danych, Komisji, odpowiednich przestrzeni danych oraz inni przedstawiciele właściwych organów w poszczególnych sektorach.

Dzięki wprowadzeniu obowiązku zgłaszania dostawców usług udostępniania danych oraz obowiązku rejestracji organizacji o altruistycznym podejściu do danych do właściwych organów krajowych i przekazywania tych zgłoszeń do Komisji Komisja będzie prowadzić i udostępniać centralny unijny rejestr dostawców usług udostępniania danych, a także centralny unijny rejestr organizacji o altruistycznym podejściu do danych, co ułatwi zainteresowanym podmiotom dostęp do tych danych.

Wiedza w powyższym zakresie umożliwi opracowanie skoordynowanego podejścia do wykorzystywania danych we wszystkich sektorach i państwach członkowskich, pomoże zainteresowanym stronom w gospodarce opartej na danych w pełni wykorzystać skalę jednolitego rynku. Przyczyni się do rozwoju systemów sztucznej inteligencji, dla których dane są głównym źródłem wiedzy, jak również pozwoli społeczeństwu na podejmowanie optymalnych decyzji oraz czerpanie jak największych korzyści z innowacji i konkurencji.

3 czerwca 2022 r. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/868 z dnia 30 maja 2022 r. w sprawie europejskiego zarządzania danymi i zmieniające rozporządzenie (UE) 2018/1724 (akt w sprawie zarządzania danymi) (Dz. U. UE. L. z 2022 r. Nr 152, str. 1) zostało opublikowane w Dzienniku Urzędowym UE. Przepisy rozporządzenia wejdą w życie 23 czerwca 2022 r. Jego tekst jest  dostępny w polskiej wersji językowej w bazie EUR-Lex.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/868 z dnia 30 maja 2022 r. w sprawie europejskiego zarządzania danymi i zmieniające rozporządzenie (UE) 2018/1724 (akt w sprawie zarządzania danymi) (Dz. U. UE. L. z 2022 r. Nr 152, str. 1, dalej też : Data Governace Act lub DGA)

[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1024 z dnia 20 czerwca 2019 r. w sprawie otwartych danych i ponownego wykorzystywania informacji sektora publicznego (Dz.U. L 172 z 26.06.2019, s. 56).

[3] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).