Artykuł pochodzi z wydania: Lipiec-sierpień 2022
Nowe rozporządzenie Unii Europejskiej ma zwiększyć zaufanie do dzielenia się danymi pomiędzy obywatelami i przedsiębiorcami, a zarazem umożliwić wykorzystywanie niektórych chronionych danych sektora publicznego.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/868 z dnia 30 maja 2022 r. w sprawie europejskiego zarządzania danymi i zmieniające rozporządzenie (UE) 2018/1724 (akt w sprawie zarządzania danymi; DzUrz UE L 152 z 3.06.2022; dalej: DGA) weszło w życie 23 czerwca 2022 r., jednak jego stosowanie rozpocznie się dopiero 24 września 2023 r. W tym okresie zarówno Polska, jak i pozostałe państwa członkowskie UE powinny przygotować się, również legislacyjnie, do bezpośredniego stosowania przepisów DGA. Rozporządzenie UE – zgodnie z art. 288 TFUE – ma zasięg ogólny, wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich. Niemniej DGA (podobnie jak to miało miejsce chociażby w przypadku rodo) w kilku obszarach będzie wymagało uchwalenia przepisów krajowych, które umożliwią jego stosowanie.
Kontekst i cele DGA
DGA jest pierwszym z kilku instrumentów zapowiedzianych przez Komisję Europejską (dalej: KE) w „Europejskiej strategii w zakresie danych” (dalej: strategia) z 19 lutego 2020 r. Jej celem jest stworzenie wspólnego unijnego rynku danych, na którym możliwa będzie nieskrępowana wymiana i wykorzystywanie informacji różnego typu przez wszystkich uczestników obrotu – obywateli, przedsiębiorców i sektor publiczny. Aby urzeczywistnić ten cel, prawodawca europejski podejmuje inicjatywy z jednej strony zwiększające wolumen dostępnych danych publicznych do ponownego wykorzystywania w innowacyjnych produktach, usługach czy aplikacjach, czemu służyły dotychczas tzw. dyrektywy re-use (a w Polsce aktualnie ustawa z dnia 11 sierpnia 2021 r. o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego; DzU z 2021 r., poz. 1641; dalej: upw), z drugiej zaś stara się wzmocnić zaufanie do dzielenia się danymi.
DGA wpisuje się jednocześnie w oba cele. W strategii podkreślono, że dostępność danych jest niezbędna do szkolenia sztucznej inteligencji. Dzięki temu produkty i usługi mogą przejść szybką transformację: od rozpoznawania wzorców i dostarczania informacji do bardziej zaawansowanych technik prognozowania – sprzyjając tym samym podejmowaniu lepszych decyzji.
Zdaniem KE należy przede wszystkim zwiększyć zaufanie do dzielenia się danymi. W tym celu mają powstać odpowiednie mechanizmy kontroli sprawowanej przez osoby, których dane dotyczą, i posiadaczy danych nieosobowych. Nowe ramy zarządzania powinny budować zaufanie osób fizycznych i przedsiębiorstw w zakresie dostępu do danych, ich kontroli, dzielenia się nimi, ich wykorzystywania i ponownego wykorzystywania. Odpowiednie mechanizmy należy opracować w taki sposób, by pomóc podmiotom poznać przysługujące im prawa i sposoby ich skutecznego wykonywania.
Rozwiązania zaproponowane w DGA mają adresować również potrzeby zaawansowanego przetwarzania wielkich zbiorów danych (Big data) oraz sprzyjać rozwojowi gospodarki opartej na danych. Wreszcie, co dobitnie uświadomiła pandemia, istotne jest dobrowolne udostępnianie informacji do celów interesu ogólnego (publicznego). W związku z tym, że wysoki potencjał do dalszego wykorzystywania mają dane szczególnie chronione, np. z obszaru zdrowia, ważne jest zagwarantowanie, że będą przetwarzane w bezpiecznym środowisku. Według KE obywatele obdarzą zaufaniem i akceptacją innowacje wykorzystujące potencjał danych tylko wtedy, gdy będą mieli pewność, że udostępnianie danych osobowych w UE będzie zawsze przebiegało zgodnie z rygorystycznymi unijnymi przepisami o ich ochronie. Zgodnie z preambułą DGA szczególnie ważne jest zachowanie wzajemnej zależności z przepisami dotyczącymi danych osobowych. Dzięki rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, Dz Urz UE L 119 z 4.05.2016, ze zm., dalej: rodo) i dyrektywie Parlamentu Europejskiego i Rady 2002/58/WE z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej; Dz Urz UE L 201 z 31.07.2002) UE ustanowiła solidne i godne zaufania ramy prawne w zakresie ochrony danych osobowych, na których bazują rozwiązania przyjęte w DGA.
DGA a przestrzenie danych
We wspomnianej strategii KE zaproponowała ustanowienie wspólnych europejskich przestrzeni danych w różnych sektorach, np. zdrowia, mobilności, produkcji, usług finansowych, energii czy rolnictwa. Możliwe jest też połączenie tych obszarów (np. zakres energii i klimatu) – również tematycznie (Europejski Zielony Ład lub europejskie przestrzenie danych dla administracji publicznej). Dzięki wspólnym europejskim przestrzeniom dane powinny być możliwe do znalezienia, dostępne, interoperacyjne i powinny nadawać się do ponownego wykorzystania („zasady FAIR”) – przy jednoczesnym zapewnieniu wysokiego poziomu cyberbezpieczeństwa. Warto wspomnieć, że w UE aktualnie jest procedowana regulacja dotycząca przestrzeni danych zdrowotnych (projekt Regulation on the European Health Data Space).
Rolą DGA jest zharmonizowanie podstawowych zasad wymiany danych i zarządzania nimi we wspólnych przestrzeniach. Jednocześnie w prawie sektorowym UE możliwe będzie uzupełnienie regulacji o niezbędne elementy – wymagane ze względu na specyfikę danego obszaru. Można zatem w uproszczeniu przyjąć, że DGA będzie swoistą konstrukcją regulacyjną do przetwarzania i wymiany danych w każdej z przestrzeni, a szczegóły będą doprecyzowane przepisami sektorowymi.
Zakres DGA
Zakres stosowania DGA obejmuje trzy obszary i opiera się na konkretnych mechanizmach. O ile pierwszy mechanizm bazuje na znanym z dyrektyw re use rozwiązaniu ponownego wykorzystywania, o tyle pozostałe uregulowano po raz pierwszy – właśnie w DGA. Z tego powodu dokument wnosi istotną nowość w obszarze przepisów dzielenia się danymi.
Kluczowe zatem jest odpowiedzenie sobie na pytanie, jak DGA definiuje dane oraz czym w istocie jest dzielenie się nimi. Prawodawca unijny przyjął szeroką definicję danych – zgodnie z DGA to cyfrowe odwzorowania działań, faktów lub informacji oraz wszelkie kompilacje takich działań, faktów lub informacji, w tym w formie zapisu dźwiękowego, wizualnego lub audiowizualnego. W takim ujęciu w zakresie tego pojęcia będą mieścić się zarówno dane osobowe w rozumieniu rodo, jak i dane nieosobowe, czyli wszelkie inne dane niż dane osobowe. Z kolei dzielenie się danymi oznacza ich dostarczanie (przez osobę, której dane dotyczą lub przez posiadacza danych) użytkownikowi danych, aby je wspólnie lub indywidualnie wykorzystywać na podstawie dobrowolnych umów, prawa UE lub prawa krajowego, bezpośrednio bądź z udziałem pośrednika, w ramach licencji otwartych albo handlowych, bezpłatnie lub za opłatą.
[…]
Dominik Sybilski
Autor jest doktorem nauk prawnych oraz naczelnikiem wydziału w Departamencie Zarządzania Danymi Kancelarii Prezesa Rady Ministrów..
