29 maja 2023
Powszechny dostęp do danych według Data Governance Act
Udostępnij
Jednym z fundamentów Unii Europejskiej jest funkcjonowanie wspólnotowego rynku wewnętrznego, na którym panuje swoboda przepływu towarów, osób, usług i kapitału, realizowana w ramach niezakłóconej konkurencji. W powszechnym odbiorze społecznym wskazane pojęcie kojarzyło się dotychczas ze swobodnym przepływem dóbr o charakterze analogowym – choćby z możliwością zamówienia produktów z zagranicznych sklepów. Komisja Europejska zauważyła jednak, że we współczesnej gospodarce coraz większego znaczenia nabierają dobra cyfrowe. Dane, nowe media, czy nowe technologie napędzają rozwój ekonomiczny i zapewniają konkurencyjność rynku. Regulacje wspólnotowe muszą tym samym nadążać za prężnie rozwijającymi się sektorami gospodarki, w których dokonuje się transformacja związana z wykorzystywaniem technologii cyfrowych.
W kontekście powyższego 19 lutego 2020 r. ogłoszona została Europejska strategia w zakresie danych[1]. Dostrzegając wpływ technologii cyfrowych na gospodarkę i społeczeństwo, Komisja Europejska przyjęła ramy rozwoju ustawodawstwa unijnego dotyczącego danych. Ramy te wyznaczają rygorystyczny reżim gromadzenia, przetwarzania i udostępniania danych, mający na celu zbudowanie zaufania obywateli Unii Europejskiej do innowacyjnych sposobów ich wykorzystania. Fundamentem przyjętej koncepcji było założenie, że inteligentne wykorzystanie danych transformacyjnie wpłynie na wszystkie sektory gospodarki i stworzy nowe możliwości wzrostu gospodarczego. Publiczna dostępność danych w najlepszy sposób uwolni potencjał drzemiący w społeczeństwie oraz gospodarce Unii.
Podstawowym celem Europejskiej strategii w zakresie danych jest więc stworzenie wspólnotowego rynku danych, na którym dane te mogłyby być powszechnie wykorzystywane zgodnie z obowiązującymi przepisami – i to bez względu na to, w którym państwie członkowskim byłyby przechowywane. Powyższe dotyczy zarówno danych będących w posiadaniu organów publicznych, jak i, w pewnych przypadkach, podmiotów prywatnych. Zakładanym skutkiem jest umożliwienie każdemu obywatelowi Unii odniesienia korzyści z innowacyjności i konkurencyjności rynku, a w konsekwencji udział w tzw. dywidendzie cyfrowej.
Od Europejskiej strategii ws. danych do Data Governance Act
Mając na celu realizację Europejskiej strategii ws. danych 25 listopada 2020 r. Komisja Europejska przedstawiła projekt rozporządzenia w sprawie europejskiego zarządzania danymi[2]. Dokument ten po przejściu unijnej ścieżki legislacyjnej, został w dniu 3 czerwca 2022 r. opublikowany w Dzienniku Ustaw Unii Europejskiej jako Rozporządzenie Parlamentu i Rady (UE) 2022/868 z dnia 30 maja 2022 r. w sprawie europejskiego zarządzania danymi i zmieniające rozporządzenie (UE) 2018/1724[3]. Rozporządzenie to jest powszechnie znane pod nazwą Data Governance Act, a w nomenklaturze polskojęzycznej – jako Akt ws. zarządzania danymi.
Z uwagi na istotność regulowanego zagadnienia oraz chęć jak najszybszego wdrożenia nowych przepisów, Komisja Europejska wybrała rozporządzenie jako środek odpowiedni do realizacji celów strategii w zakresie danych. Jako uzasadnienie tej decyzji wskazuje się uniknięcie oczekiwania na implementację dyrektywy w państwach członkowskich oraz jednolite stosowanie regulacji.
Rozporządzenie weszło w życie w dniu 23 czerwca 2022 r., zaś jego przepisy stosowane będą od dnia 24 września 2023 r.
Lepsze możliwości wykorzystywania danych przez sektor prywatny i najważniejsze zasady ponownego wykorzystania informacji
Data Governance Act obejmuje zakresem swojej regulacji m.in. dane będące w posiadaniu podmiotów sektora publicznego, które są chronione m.in. ze względu na:
- poufność informacji handlowych, w tym tajemnicę handlową, zawodową i tajemnicę przedsiębiorstwa;
- poufność informacji statystycznych;
- ochronę praw własności intelektualnej osób trzecich;
- ochronę danych osobowych w zakresie, w jakim dane te wykraczają poza zakres stosowania dyrektywy (UE) 2019/1024.
Data Governance Act tworzy regulacyjną całość razem z dyrektywą (UE) nr 2019/1024 – tzw. dyrektywą o otwartych danych, która została transponowana do polskiego porządku prawnego w ustawie z dnia 11 sierpnia 2021 r. o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego. Rozporządzenie zawiera bowiem przepisy dotyczące chronionych danych znajdujących się w posiadaniu podmiotów sektora publicznego, podczas gdy dyrektywa reguluje kwestie związane z danymi publicznie dostępnymi (otwartymi).
Warto podkreślić, że z punktu widzenia Data Governance Act nie jest istotny osobowy lub nieosobowy charakter danych. Samo pojęcie danych zostało z kolei ujęte wyjątkowo szeroko, jako cyfrowe odwzorowania działań, faktów lub informacji oraz wszelkie kompilacje takich działań, faktów lub informacji, w tym w formie zapisu dźwiękowego, wizualnego lub audiowizualnego.
Powyższe nie oznacza jednak, że do ponownego wykorzystania będzie można udostępnić wszystkie chronione dotychczas dane sektora publicznego. Rozporządzenie wyraźnie bowiem określa zakres danych sektora publicznego, których udostępnienie przy wykorzystaniu mechanizmów stworzonych przez Data Governance Act nie będzie możliwe. Do tej kategorii prawodawca unijny zaliczył m.in. dane będące w posiadaniu przedsiębiorstw publicznych. Wyłączeniu podlegają również dane, które są chronione ze względów bezpieczeństwa publicznego, obronności lub bezpieczeństwa narodowego. Ponadto, nie będzie możliwe udostępnienie danych, których dostarczanie jest działalnością wykraczającą poza zakres zadań publicznych zainteresowanych podmiotów sektora publicznego. Akt nie zawiera także mechanizmów przymusu udostępnienia danych przez podmioty prywatne. Przeciwnie, jego celem jest zachęcenie do altruistycznej wymiany danych pomiędzy ich posiadaczami, a podmiotami zdolnymi do ich wtórnego wykorzystania.
Obowiązki podmiotów sektora publicznego
Stworzony w oparciu o Data Governance Act system mechanizmów udostępniania przez sektor publiczny danych do ponownego ich wykorzystania funkcjonuje w oparciu o kilka zasad. W szczególności rozporządzenie narzuciło podmiotom publicznym następujące zobowiązania:
- zakaz (z określonymi wyjątkami) uzgodnień dotyczących wyłączności udostępniania danych, tj. np. zawierania umów przyznających wyłączne prawo do ponownego wykorzystania danych (art. 4 DGA);
- zapewnienie niedyskryminujących, przejrzystych, proporcjonalnych i obiektywnie uzasadnionych warunków dostępu do danych (art. 5 ust. 2 DGA);
- zapewnienie zachowania chronionego charakteru danych – np. poprzez zanonimizowanie lub poddawanie modyfikacji, agregowaniu lub przekształcaniu przy pomocy innej niż zanonimizowanie metody, zapobiegające ujawnieniu danych (art. 5 ust. 3 lit. A DGA);
- zapewnienie bezpiecznego środowiska przetwarzania danych (art. 5 ust. 3 lit. b oraz c DGA);
- zapewnienie zachowania poufności i nieujawniania danych, które stwarzają zagrożenie dla praw i interesów osób trzecich, a które pomimo wprowadzonych zabezpieczeń mogłyby się znaleźć w posiadaniu ponownego użytkownika (art. 5 ust. 5 DGA).
Wolą prawodawcy unijnego było przede wszystkim zagwarantowanie, aby udostępnianie danych w oparciu o mechanizmy wprowadzane przez rozporządzenie odbywało się w zgodzie z panującymi na rynku wewnętrznym zasadami konkurencji. Środkiem zagwarantowania takiego stanu rzeczy są m.in. przedstawione wyżej zasady udostępniania danych nałożone na podmioty sektora publicznego, lecz także wyrażone już w motywach rozporządzenia ogólne zobowiązanie do stosowania przez te podmioty takich reguł udostępniania danych, aby prawo konkurencji nie było naruszane.
Regulacje dotyczące usług pośrednictwa danych pomiędzy podmiotami prywatnymi – system zaufanych pośredników
W kontekście Data Governance Act kluczowym elementem projektowanego przez Unię Europejską wewnętrznego, wspólnotowego rynku danych, jest funkcjonowanie tzw. dostawców usług pośrednictwa danych. Wspomniana kategoria obejmuje usługi które mają na celu ustanowienie (za pomocą środków technicznych, prawnych lub innych) stosunków handlowych między nieokreśloną liczbą (1) osób, których dane dotyczą, (2) posiadaczy danych oraz (3) użytkowników danych. Celem uregulowania tych stosunków handlowych jest z kolei dzielenie się danymi – w tym, w odniesieniu do danych osobowych – umożliwienie wykonywania praw osób, których dane dotyczą.
Data Governance Act wyłącza jednak z zakresu pojęcia usług pośrednictwa danych usługi:
- w ramach których dane są pozyskiwane od posiadaczy danych i agregowane, wzbogacane lub przekształcane w celu dodania im znaczącej wartości, a następnie użytkownikom danych udzielana jest licencja na wykorzystanie uzyskanych w ten sposób danych bez ustanawiania stosunku handlowego między nimi a posiadaczami danych;
- skoncentrowane na pośrednictwie treści chronionych prawem autorskim;
- z których korzysta wyłącznie jeden posiadacz danych w celu umożliwienia wykorzystywania danych będących w jego posiadaniu, lub z których korzysta wiele osób prawnych w zamkniętej grupie w tym w ramach stosunków z dostawcami lub klientami lub współpracy nawiązanej na podstawie umowy;
- dzielenia się danymi oferowanych przez podmioty sektora publicznego, które to usługi nie mają na celu ustanowienia stosunków handlowych.
Zgodnie z brzmieniem Data Governance Act, świadczenie niektórych rodzajów usług pośrednictwa danych podlega zwiększonemu rygorowi prawnemu, związanemu z obowiązkiem uprzedniego zgłoszenia planowanej działalności. Zgłoszenie dokonywane jest do organu właściwego do spraw usług pośrednictwa danych, do wyznaczenia którego kraje członkowskie są zobowiązane na gruncie omawianego rozporządzenia. Co istotne, zgłoszenie dokonane przez dostawcę usług pośrednictwa danych dokonane w jednym z krajów członkowskich uprawnia takiego dostawcę do świadczenia usług pośrednictwa danych we wszystkich państwach członkowskich.
Do usług pośrednictwa danych, których świadczenie podlega procedurze zgłaszania, art. 10 Data Governance Act zalicza:
- usługi pośrednictwa między posiadaczami danych a potencjalnymi użytkownikami danych, w tym udostępnianie środków technicznych lub innych umożliwiających świadczenie takich usług;
- usługi pośrednictwa między osobami, których dane dotyczą, zamierzającymi udostępnić swoje dane osobowe lub osobami fizycznymi zamierzającymi udostępnić dane nieosobowe a potencjalnymi użytkownikami danych;
- usługi świadczone przez spółdzielnie danych.
Zasady obowiązujące pośredników danych
Data Governance Act wprowadza szereg zasad, którymi objęte jest funkcjonowanie dostawców usług pośrednictwa danych. Do zbioru tych zasad należy m.in.:
- wykorzystywanie danych wyłącznie w celu oddania ich do dyspozycji użytkownikom danych (art. 12 lit. a DGA);
- dążenie do ułatwiania wymiany danych poprzez konwertowanie ich do określonych formatów, w celu zwiększenia interoperacyjności (art. 12 lit. d oraz lit. i DGA);
- zagwarantowanie sprawiedliwego, przejrzystego i niedyskryminującego dostępu do usługi (art. 12 lit. f DGA);
- obowiązek wprowadzenia procedur mających na celu zapobieganie praktykom stanowiącym oszustwo lub nadużycie (art. 12 lit. g DGA);
- zagwarantowanie ciągłości świadczenia swoich usług pośrednictwa danych w przypadku niewypłacalności dostawcy usługi oraz zapewnienie posiadaczom i użytkownikom danych dostępu do danych w przypadku niewypłacalności dostawcy usługi (art. 12 lit. h DGA);
- obowiązek wprowadzenia odpowiednich środków technicznych, prawnych i organizacyjnych w celu zapobiegania niezgodnemu z prawem Unii lub z prawem krajowym danego państwa członkowskiego przekazywaniu danych nieosobowych lub dostępowi do tych danych (art. 12 lit. j DGA);
- obowiązek podejmowania niezbędnych środków w celu zapewnienia odpowiedniego poziomu bezpieczeństwa w zakresie przechowywania, przetwarzania i przesyłania danych nieosobowych (art. 12 lit. l DGA);
- obowiązek działania w najlepszym interesie tych osób, których dane dotyczą.
Altruistyczne podejście do danych
Data Governance Act reguluje także możliwość udostępniania danych przez podmioty prywatne poprzez wprowadzenie instytucji tzw. altruizmu danych (ang. data altruism). Altruizm danych opiera się na założeniu, że dane są wartościowym zasobem współczesnej gospodarki cyfrowej i jako takie, powinny podlegać szerokiej wymianie. Zwolennicy tej idei uważają, iż doprowadzi to do osiągnięcia postępu i umożliwi przeciwdziałanie problemom społecznym poprzez badania naukowe i prace rozwojowe. Podmioty o altruistycznym podejściu do danych decydują się na dobrowolne ich udostępnianie w celu wsparcia działań o charakterze społecznym lub naukowym, niezależnie od uzyskania jakichkolwiek korzyści.
Obecnie altruizm danych uwidacznia się w różnorodnych formach działania podejmowanych na własną rękę przez posiadaczy danych, jak przekazanie ich do ośrodków naukowych, czy publikowanie ich w Internecie. Odbywa się to jednak w wąskim zakresie. Badania wskazują, że chociaż istnieje poparcie dla altruizmu danych, w praktyce zaangażowanie się w realizację idei jest utrudnione, z uwagi na brak odpowiednich narzędzi. Remedium na te problemy, stanowi właśnie Data Governance Act.
Powyższe znajduje swoje potwierdzenie w treści uzasadnienia do rozporządzenia. Nowe przepisy mają doprowadzić do zwiększenie zaufania pomiędzy posiadaczami danych, a jednostkami zdolnymi do ich wtórnego wykorzystania, co będzie zachętą do bezinteresownego udostępniania danych w celach badawczych lub rozwojowych. Umożliwi to uzyskanie dostępu nie tylko do informacji posiadanych przez sektor publiczny, lecz także do danych udostępnianych z pobudek altruistycznych przez podmioty komercyjne i osoby fizyczne.
Aby osiągnąć powyższe cele, ustawodawca unijny wprowadził do rozporządzenia szereg mechanizmów dedykowanych podmiotom stosującym altruistyczne podejście do danych. Samo pojęcie altruizmu danych zostało zdefiniowane jako zgoda posiadacza danych na ich przetwarzanie bez żądania wynagrodzenia, przekraczającego zwrot kosztów udostępnienia danych do celów realizowanych w interesie ogólnym, takich jak badania naukowe lub poprawa jakości usług publicznych.
Rozporządzenie wprowadza również obowiązek rejestracji organizacji altruizmu danych przez właściwe, wyznaczone do tego organy państwowe. Aby znaleźć się w takim rejestrze podmiot musi m. in.:
- być osobą prawną ustanowioną zgodnie z prawem krajowym do realizacji celów leżących w interesie ogólnym,
- prowadzić działalność o charakterze niekomercyjnym i być prawnie niezależnym od jakiegokolwiek podmiotu nastawionego na zysk;
- prowadzić działalność w zakresie altruizmu danych, wykorzystując przy tym strukturę funkcjonalnie odrębną od pozostałej działalności tego podmiotu;
- przestrzegać zbioru zasad, określonego w rozporządzeniu.
W rozporządzeniu wskazano szereg dodatkowych wymagań dla zarejestrowanych organizacji altruizmu danych. Podmioty te są zobowiązane do:
- zachowania przejrzystości działania poprzez prowadzenie dokumentacji na temat osób, którym dane zostały udostępnione, czasu i celu przetwarzania, czy opłat pobranych za udostępnienie,
- sporządzania i przekazywania właściwym organom sprawozdania, zawierającego sposoby realizacji celów interesu ogólnego, źródła uzyskiwania dochodów, czy też wyniki udostępniania danych w danym roku obrotowym,
- ochrony praw i interesów osób, których dane dotyczą, poprzez przeciwdziałanie wykorzystaniu danych do celów innych niż realizacja interesu ogólnego, a także wypełnianie względem nich obowiązków informacyjnych np. o przetwarzaniu danych poza granicami Unii.
Data Governance Act reguluje także obowiązki organów dokonujących rejestracji organizacji altruizmu danych. Jako przykład może posłużyć nałożony na ww. organy obowiązek monitorowania i nadzorowania przestrzegania przepisów przez takie podmioty.
Kto skorzysta na nowych rozwiązaniach?
Jak podkreślano powyżej, dane stanowią podstawę cyfrowej ekonomii i są niezbędne do tworzenia innowacji, a co za tym idzie rozwijania gospodarki. Oznacza to, że zwiększenie intensywności wymiany danych będzie miało znaczący wpływ na kształt rynku, w tym na funkcjonowanie przedsiębiorstw, a także doprowadzi do powstania nowych możliwości biznesowych.
Przede wszystkim, Data Governance Act ma charakter antydyskryminacyjny i będzie skutkował zwiększeniem równości w dostępie do danych poprzez wzrost ich podaży na rynku. Taki cel unijnego ustawodawcy uwidocznia się m. in. poprzez wprowadzenie instytucji organizacji altruizmu danych, czy też pośredników danych. Podaż będzie stymulowana również poprzez zakaz zawierania przez podmioty publiczne umów ograniczających dostęp do danych.
Zwiększenie dostępności danych na rynku osłabi pozycję właścicieli ogromnych baz danych i wymusi na nich zapewnienie konkurencyjnych warunków udostępniania. Wpłynie to na sytuację jednostek, które do tej pory nie miały wcale lub miały utrudniony dostęp do danych. Zwiększona zostanie ochrona małych i średnich przedsiębiorstw oraz osób fizycznych, które wcześniej zmagały się z nieuczciwymi warunkami umownymi w zakresie udostępniania danych lub całkowitym brakiem możliwości ich pozyskania.
Poza wpływem na funkcjonowanie istniejących przedsiębiorstw, Data Governance Act stworzy również nowe obszary prowadzenia działalności gospodarczej. Przede wszystkim, należy spodziewać się rozwoju usług związanych z pośrednictwem danych. Wzrośnie liczba przedsiębiorstw, które zbierają, przetwarzają i przechowują dane oraz są w stanie zapewnić im bezpieczeństwo oraz udostępniać je zgodnie z postanowieniami omawianego aktu prawnego. Data Governance Act stwarza również dodatkowe pole działania dla organizacji pozarządowych, którym może być łatwiej spełnić wymogi rejestracji na liście organizacji altruizmu danych.
Data Governance Act wpłynie także na obecnie istniejące branże. W motywach do rozporządzenia wskazano, iż powszechny dostęp do danych spowoduje personalizację medycyny. Dane gromadzone przez publiczne placówki służby zdrowia będą mogły zostać wykorzystane przez przedsiębiorstwa prowadzące badania nad lekami i metodami leczenia. Podobnie, jako beneficjenta wprowadzanych przepisów podaje się branżę transportową. Rozporządzenie wpłynąć ma na poprawę mobilności, co osiągnąć można przykładowo poprzez udostępnienie danych obejmujących natężenie ruchu przedsiębiorcom oferującym alternatywne środki transportu, czy też twórcom aplikacji nawigujących. Data Governance Act oddziaływał będzie także na jakość usług publicznych, poprzez oparcie procesów decyzyjnych na danych lub kształtowanie polityki społecznej.
Rozporządzenie może doprowadzić również do zmniejszenia kosztów prowadzenia biznesu, poprzez umożliwienie korzystania z danych bezpłatnie lub w zamian za niewielką opłatę. Ułatwi to rozpoczęcie, a następnie prowadzenie działalności gospodarczych, w których wykorzystuje się dane do budowy usługi lub produktu. Wpłynie to przede wszystkim na przedsiębiorstwa z branży technologicznej, w szczególności dostarczające rozwiązania oparte na uczeniu maszynowym, których rozwój jest najbardziej uzależniony od dostępu do dużej ilości danych.
Podsumowanie
Data Governance Act ma na celu stworzenie bezpiecznego środowiska wymiany danych, chronionego przed nadużyciami i dostępnego dla wszelkich zainteresowanych podmiotów. Nie można jednak zapominać, iż sukces analizowanego aktu prawnego zależy w dużej mierze od posiadaczy danych. To oni mogą zdecydować się na korzystanie z możliwości, które daje Data Governance Act. Wydaje się jednak, iż idea altruizmu danych staje się coraz powszechniejsza, a rozporządzenie znajdzie wiele możliwości praktycznego zastosowania.
Oktawia Sepioł
Jakub Jurowicz
Jakub Bojarczuk
Autorzy współtworzą fundację Law4Tech , zajmującą się problematyką kwestii na styku prawa oraz nowych technologii. Fundacja skupia prawników zajmujących się różnymi dziedzinami, takimi jak cyberbezpieczeństwo, prawo własności intelektualnej, prawo europejskie czy prawo nowych technologii. Fundacja łączy praktyczną oraz naukową perspektywę, z prospołecznym nastawieniem i jako taka tworzy przestrzeń przyjazną rozwijaniu innowacyjnych pomysłów. Misją Fundacji jest propagowanie wiedzy o prawie nowych technologii, pomaganie podmiotom, które je wykorzystują oraz branie udziału w dyskursie publicznym w tym zakresie.