Unijny prawodawca wysoko ustanowił poprzeczkę w zakresie przyczyniania się do rozkwitu nowoczesnych technologii, jakiej powinien sprostać ogłoszony niedawno tzw. Akt ws Europejskiego Zarządzania Danymi. Czy się to uda, przekonamy się nie wcześniej, niż za kilkanaście miesięcy. Tymczasem, warto już teraz zapoznać się z wprowadzanymi przez owe Rozporządzenie (UE) nowościami wspólnego rynku cyfrowego.

W kwietniu br. pisaliśmy na blogu o projekcie Rozporządzenia (UE) zwanego Data Act, który ma stanowić jeden z elementów unijnej strategii danych, będącej z kolei częścią szerszej, europejskiej strategii cyfrowej. Data Act na razie wciąż pozostaje projektem regulacji, natomiast drugi z zestawu Rozporządzeń mających składać się na europejską strategię danych został na początku czerwca opublikowany w Dzienniku Urzędowym Unii Europejskiej. Mowa tu o tzw. Data Governance Act (dalej Rozporządzenie DGA) czyli Rozporządzeniu PE i Rady (UE) 2022/868 z dnia 30 maja 2022 r. w sprawie europejskiego zarządzania danymi i zmieniające rozporządzenie (UE) 2018/1724 (akt w sprawie zarządzania danymi).

Rozporządzenie DGA wejdzie w życie 23 czerwca 2022 r. tj. po 20 dniach od dnia publikacji, natomiast jego stosowanie rozpocznie się 24 września 2023 r. Będzie obwiązywać bezpośrednio każdego Europejczyka – tak jak RODO. 

Celem Rozporządzenia DGA ma być zwiększenie dostępu do danych na rynku, poprzez ustanowienie zharmonizowanych ram dzielenia się danym. Dzielenie się ma służyć tworzeniu innowacyjnych usług i produktów. Na co dzień dostrzegamy jak nowoczesne technologie w ostatnich latach zmieniły społeczeństwo i gospodarkę. Centrum tej transformacji cyfrowej stanowią dane, których innowacyjny potencjał jest nie do przecenienia. Konieczne jest, więc stworzenie gospodarki danych bardziej inkluzywnej, przez niwelowanie zjawiska przepaści cyfrowej, zwiększenie zaangażowania kobiet w gospodarkę cyfrową oraz rozwój wiedzy w obszarze technologii.[i]Dostrzeżono, że potrzebne jest poprawienie warunków dzielenia się danymi na wspólnym rynku poprzez stworzenie zharmonizowanych ram wymiany danych, a działanie w tym zakresie na poziomie unijnym jest konieczne w celu zwiększenia zaufania osób fizycznych i przedsiębiorstw.[ii]

Poniżej przedstawiamy główne zagadnienia uregulowane w Rozporządzeniu DGA .

  1. Ponowne wykorzystywanie niektórych kategorii danych będących w posiadaniu podmiotów sektora publicznego.

Warto zauważyć, że określone kategorie danych sektora publicznego mogą już teraz podlegać udostępnieniu na rzecz użytkowników, na podstawie przepisów Dyrektywy (UE) 2019/1024 w sprawie otwartych danych i ponownego wykorzystywania informacji sektora publicznego i wdrażającej ją ustawy z 11. 08. 2021 r. o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego. Jednak w oparciu o ww. akty prawne nie podlegają udostępnieniu dane sektora publicznego objęte poufnością informacji handlowych i statystycznych, a także dane zawarte w treściach chronionych prawami własności intelektualnej osób trzecich. Do tych właśnie kategorii informacji, jak również do danych osobowych nie objętych Dyrektywą 2019/1024, a będących w posiadaniu podmiotów publicznych, zastosowanie będzie mieć Rozporządzenie DGA.

Ponowne wykorzystywanie danych w rozumieniu Rozporządzenia DGA oznacza:

wykorzystywanie przez osoby fizyczne lub prawne danych będących w posiadaniu podmiotów sektora publicznego do celów komercyjnych lub niekomercyjnych innych niż ich pierwotne przeznaczenie w ramach zadań publicznych, dla którego to celu dane te zostały wytworzone, z wyjątkiem wymiany danych między podmiotami sektora publicznego służącej wyłącznie wykonywaniu zadań publicznych;[iii]

Podmioty sektora publicznego będą m.in. zobowiązane do udostępniania warunków, jakie będą musiały być spełnione, aby zezwolenie na ponowne wykorzystywanie danych mogło być udzielone, wraz z procedurą występowania z wnioskiem. Informacje te będą udostępniane za pośrednictwem tzw. pojedynczego punktu informacyjnego. Podmioty publiczne będą mogły  pobierać opłaty za udzielenie zezwolenia na ponowne wykorzystanie danych objętych tajemnicą handlową lub statystyczną bądź prawami własności intelektualnej osób trzecich.

Co istotne, w Rozporządzeniu DGA uregulowano też problematykę przekazywania poufnych danych nieosobowych do państwa trzeciego. Akt wprowadza zasady, na jakich będzie mogło być udzielone zezwolenia na ponowne wykorzystywanie danych sektora publicznego użytkownikowi, który zamierza przekazać dane do państwa trzeciego. Użytkownik udostępniający dane do państw trzecich będzie podlegał określonym obowiązkom, w tym w pewnych przypadkach będzie musiał zobowiązać się do zapewnienia ochrony danych poprzez zawarcie odpowiedniej umowy z podmiotem sektora publicznego. Zamiar przekazania danych do państwa trzeciego będzie ujawniany w momencie składania wniosku o ponowne wykorzystanie danych.

Komisja Europejska (KE) może przyjmować wzory klauzul umownych dotyczących obowiązków użytkownika zamierzającego przekazać dane do państwa trzeciego. Ponadto, jeśli będzie do uzasadnione liczbą wniosków dotyczących przekazania danych do konkretnych państw trzecich, KE może przyjmować środki systemowo ułatwiające przekazywanie danych do takiego państwa. Temu celowi mogą służyć akty wykonawcze KE, stwierdzające, że rozwiązania prawne tego państwa zapewniają należytą ochronę własności intelektualnej i tajemnic przedsiębiorstwa.

  1. Świadczenie usług pośrednictwa danych.

Rozporządzenie wprowadza nową kategorię usług na rynku cyfrowym, tj. usługi pośrednictwa w dostępie do danych. Będą to usługi quasi regulowane, ponieważ akt określa warunki ich świadczenia, w tym podleganie przedsiębiorców procedurze zgłoszenia i nadzorowi ze strony właściwych organów.

Usługi pośrednictwa w dostępie do danych mogą polegać na[iv]:

  1. pośrednictwie pomiędzy posiadaczami danych, a ich potencjalnymi użytkownikami, w tym udostępnianie środków technicznych, tworzenie platform lub baz danych umożliwiających wymianę lub wspólne wykorzystywanie danych;
  2. pośrednictwie pomiędzy podmiotami danych osobowych, zamierzającymi udostępnić swoje dane osobowe lub osobami fizycznymi zamierzającymi udostępnić dane nieosobowe a potencjalnymi użytkownikami danych, w tym udostępnianie środków technicznych lub innych umożliwiających świadczenie takich usług;
  3. usługi świadczone przez spółdzielnie danych

Usługami spółdzielni danych są usługi pośrednictwa oferowane przez strukturę organizacyjną utworzoną przez osoby, których dane dotyczą, przedsiębiorstwa jednoosobowe lub MŚP będące członkami tej struktury, mającą za główne cele wspieranie swoich członków w wykonywaniu ich praw w odniesieniu do niektórych danych (…).[v]

Dostawca usług zamierzający świadczyć usługi pośrednictwa musi dokonać zgłoszenia do właściwego organu. Zgłoszenie będzie uprawniać do świadczenia usług pośrednictwa w każdym państwie członkowskim UE.

KE ma ustanowić projekt wspólnego logo służącego rozpoznawaniu uznanych w Unii dostawców usług pośrednictwa, które dostawcy będą musieli eksponować w każdej publikacji odnoszącej się do ich działalności w zakresie pośrednictwa. Komisja będzie też prowadzić publicznie dostępny rejestr wszystkich dostawców usług pośrednictwa świadczących usługi Unii.

Art. 12 Rozporządzenia DGA określa warunki świadczenia usług pośrednictwa, wśród których można wymienić przykładowo następujące reguły:

  • pośrednik sam nie będzie mógł wykorzystywać danych będących przedmiotem świadczonych przez niego usług pośrednictwa,
  • oferowane przez pośrednika warunki handlowe, np. cena usługi, nie mogą być uzależnione od tego, czy klient korzysta, czy też nie z innych usług oferowanych przez dostawcę,
  • usługi pośrednictwa danych mogą obejmować oferowanie dodatkowych specjalnych narzędzi i usług ułatwiających wymianę danych, takich jak tymczasowe przechowywanie, kuratorstwo, konwersja, anonimizacja i pseudonimizacja;
  • dostawca usług pośrednictwa danych musi wprowadzać procedury mające na celu zapobieganie oszustwom lub nadużyciom w związku z ubieganiem się o dostęp do danych za pośrednictwem jego usług;
  • dostawca usług będzie prowadził rejestr zdarzeń dotyczących działalności w zakresie pośrednictwa danych.

Państwa członkowskie wyznaczą organy właściwe w sprawach procedury zgłaszania  świadczenia usług pośrednictwa, które będą także monitorować i nadzorować spełnianie przez pośredników wymogów Rozporządzenia DGA. W ramach nadzoru dostawcy mogą podlegać środkom naprawczym, w tym administracyjnym karom pieniężnym bądź żądaniu zaprzestania świadczenia usługi pośrednictwa.

  1. Udostępnianie danych z pobudek altruistycznych.

Altruizm danych został zdefiniowany jako

dobrowolne dzielenie się danymi na podstawie wyrażonej przez osoby, których dane dotyczą, zgody na przetwarzanie dotyczących ich danych osobowych lub na podstawie udzielonego przez posiadaczy danych pozwolenia na wykorzystywanie ich danych nieosobowych, bez żądania ani otrzymania za to wynagrodzenia wykraczającego poza zwrot kosztów poniesionych przez te osoby lub posiadaczy w związku z udostępnieniem ich danych do celów leżących w interesie ogólnym (…), takich jak opieka zdrowotna, zwalczanie zmiany klimatu, poprawa mobilności, ułatwianie opracowywania, tworzenia i rozpowszechniania statystyk urzędowych, poprawa świadczenia usług publicznych, kształtowanie polityki publicznej lub do celów badań naukowych leżących w interesie ogólnym[vi];

Uznane w UE organizacje altruizmu danych będą wpisywane do publicznego, krajowego rejestru organizacji altruizmu danych. Podobnie jak w przypadku dostawców usług pośrednictwa, tak i dla organizacji altruizmu danych Komisja ustali wspólne logo, którym każda organizacja altruizmu będzie musiała się posługiwać w publikacjach w Internecie i poza nim.

Uznane organizacje altruizmu danych także będą podlegały monitoringowi i nadzorowi w zakresie spełniania wymogów Rozporządzenia DGA. Właściwe organy będą mogły w razie potrzeby będą stosować środki zapewniające spełniania wymogów Rozporządzenia. W odróżnieniu od usługodawców w zakresie pośrednictwa w dostępie do danych, w przypadku organizacji altruizmu nie jest przewidziane stosowanie kar pieniężnych. W razie, gdy organizacja altruizmu, pomimo wezwania do zaprzestania naruszeń w dalszym ciągu nie spełnia wymogów Rozporządzenia DGA, straci prawo do posługiwania się oznaczeniem „uznana w Unii organizacja altruizmu danych” oraz zostanie usunięta z właściwego krajowego rejestru.

  1. Środki ochrony prawnej

Rozporządzenie przewiduje możliwość składania przez podmioty prawa indywidualnej lub zbiorowej skargi do organu właściwego do spraw usług pośrednictwa danych, przeciwko dostawcy takich usług lub do organu właściwego do spraw rejestracji organizacji altruizmu danych, przeciwko uznanej organizacji altruizmu danych.

Oprócz skargi, osoby fizyczne lub prawne muszą mieć prawo do skutecznego środka ochrony prawnej przed sądem państwa członkowskiego, przeciwko decyzjom wydawanym przez organy właściwe w sprawach organizacji altruizmu danych i przez organy do spraw dostawców usług pośrednictwa w zakresie dostępu do danych.

Ustanowienie zharmonizowanych ram dzielenia się danymi do celów tworzenia innowacyjnych usług i produktów wpisuje się w wizję Europy konkurującej z resztą świata. Jednym z trzech filarów “Europejskiej strategii cyfrowej” jest tworzenie “technologii, która działa na rzecz ludzi”. Realizacja tego założenia to min.: inwestowanie w umiejętności cyfrowe wszystkich Europejczyków, przyspieszenie wprowadzenia ultraszybkich sieci szerokopasmowych w domach, szkołach i szpitalach w całej UE. To także ochrona ludzi przed cyberzagrożeniami (hakerami, oprogramowaniem ransomware, kradzieżą tożsamości) i zapewnienie rozwoju sztucznej inteligencji w sposób gwarantujący poszanowanie praw człowieka i zdobycie zaufania ludzi. W wizji tej obecne jest też zwiększenie zdolności Europy w zakresie superkomputerów w celu opracowywania innowacyjnych rozwiązań w obszarze medycyny, transportu i środowiska. Śledzimy najnowsze regulacje prawne w tym zakresie. Mamy świadomość, że kreują one zupełnie nową rzeczywistość, dając z jednej strony niezwykłe możliwości, z drugiej – nakładając obowiązki na każdego Europejczyka. To właśnie nowe obowiązki musimy znać już teraz, aby przygotować rozwiązania prawne obecne w cyfrowej Europie. Do obowiązków tych należym.in.  zinwentaryzowanie posiadanych danych, zaklasyfikowanie ich i zapewnienie ich bezpieczeństwa. To działania nie tylko techniczne, ale także wymagające odpowiedniego przygotowania  prawnego. Wspieramy operatorów danych, pomagamy wdrożyć procedury i standardy. Już dziś warto rozpocząć przygotowania do nowych biznesów i wymogów europejskiego zarzadzania danymi. Zapraszamy do współpracy i kontaktu 🙂

Photo by Camylla Battani on Unsplash
[i] Motyw (2) preambuły Rozporządzenia PE i Rady (UE) 2022/868 z dnia 30 maja 2022 r. w sprawie europejskiego zarządzania danymi i zmieniające rozporządzenie (UE) 2018/1724 (akt w sprawie zarządzania danymi), dalej w przypisach jako Rozporządzenie
[ii]      Motyw (3) i (5) preambuły Rozporządzenia.
[iii]     Art. 2 pkt. 2) Rozporządzenia
[iv]    Art. 10 Rozporządzenia
[v]   Art. 2  pkt. 15)  Rozporządzenia
[vi]    Art. 2 pkt. 16)  Rozporządzenia

Wpis ten zamieszczony jest jedynie w celu informacyjnym i nie może być traktowany jako porada prawna. Jeśli chcesz uzyskać pomoc prawną w Twojej sprawie, skontaktuj się z nami.

Udostępnij