Akt w sprawie zarządzania danymi wyjaśniony

Potencjał gospodarczy i społeczny danych jest ogromny: może ona umożliwić nowe produkty i usługi oparte na nowatorskich technologiach, zwiększyć wydajność produkcji i zapewnić narzędzia do zwalczania wyzwań społecznych. Na przykład w dziedzinie zdrowia dane mogą przyczynić się do zapewnienia lepszej opieki zdrowotnej, poprawy spersonalizowanych metod leczenia i leczenia chorób rzadkich lub przewlekłych. Jest to również potężna siła napędowa innowacji i nowych miejsc pracy oraz kluczowy zasób dla przedsiębiorstw typu start-up i MŚP.

Jednak ten potencjał nie jest realizowany. Wymiana danych w UE pozostaje ograniczona ze względu na szereg przeszkód (w tym niskie zaufanie do udostępniania danych, kwestie związane z ponownym wykorzystywaniem danych sektora publicznego i gromadzenie danych dla wspólnego dobra, a także przeszkody techniczne).

Aby naprawdę wykorzystać ten ogromny potencjał, należy ułatwić dzielenie się danymi w zaufany i bezpieczny sposób.

Akt w sprawie zarządzania danymi (DGA) jest instrumentem międzysektorowym, którego celem jest uregulowanie ponownego wykorzystywania publicznie/zatrzymywanych danych, poprzez zwiększenie wymiany danych poprzez regulację nowych pośredników w zakresie danych oraz zachęcanie do udostępniania danych do celów altruistycznych. Zarówno dane osobowe, jak i nieosobowe wchodzą w zakres DGA, a w przypadku danych osobowych zastosowanie ma ogólne rozporządzenie o ochronie danych (RODO). Oprócz RODO wbudowane zabezpieczenia zwiększą zaufanie do udostępniania i ponownego wykorzystywania danych, co jest warunkiem wstępnym udostępnienia większej ilości danych na rynku.

Ponowne wykorzystywanie niektórych kategorii danych będących w posiadaniu organów sektora publicznego

Jakie są kluczowe cele?

Dyrektywa w sprawie otwartych danych reguluje ponowne wykorzystywanie publicznie dostępnych informacji będących w posiadaniu sektora publicznego. Sektor publiczny przechowuje jednak również ogromne ilości danych chronionych (np. danych osobowych i poufnych danych handlowych), których nie można ponownie wykorzystać jako dane otwarte, ale które mogłyby zostać ponownie wykorzystane na mocy konkretnych przepisów unijnych lub krajowych. Z takich danych można pozyskać bogactwo wiedzy bez uszczerbku dla ich chronionego charakteru, a DGA przewiduje przepisy i zabezpieczenia ułatwiające takie ponowne wykorzystywanie w każdym przypadku, gdy jest to możliwe na mocy innych przepisów.  

Jak to działa w praktyce?

• Wymogi techniczne dla sektora publicznego: Państwa członkowskie będą musiały dysponować technicznym wyposażeniem, aby zapewnić pełne poszanowanie prywatności i poufności danych w sytuacjach ponownego wykorzystywania. Może to obejmować szereg narzędzi, począwszy od rozwiązań technicznych, takich jak anonimizacja, pseudonimizacja lub dostęp do danych w bezpiecznych środowiskach przetwarzania (np. w salach danych) nadzorowanych przez sektor publiczny, po środki umowne, takie jak umowy o poufności zawarte między organem sektora publicznego a ponownym użytkownikiem.
• Pomoc ze strony organu sektora publicznego: Jeżeli organ sektora publicznego nie może udzielić dostępu do niektórych danych w celu ponownego wykorzystania, powinien on pomóc potencjalnemu podmiotowi ponownie wykorzystującemu dane w uzyskaniu zgody osoby fizycznej na ponowne wykorzystanie jej danych osobowych lub zgody posiadacza danych, na którego prawa lub interesy mogą mieć wpływ ponowne wykorzystywanie. Ponadto informacje poufne (np. tajemnice przedsiębiorstwa) mogą być ujawniane w celu ponownego wykorzystania wyłącznie za taką zgodą lub zezwoleniem.
• Aby jeszcze więcej publicznie przechowywanych danych było dostępne do ponownego wykorzystywania, DGA ogranicza zależność od umów dotyczących ponownego wykorzystywania danych wyłącznie (w przypadku gdy organ sektora publicznego przyznaje takie wyłączne prawo jednemu przedsiębiorstwu) do konkretnych przypadków leżących w interesie publicznym.
• Rozsądne opłaty: organy sektora publicznego mogą pobierać opłaty za zezwolenie na ponowne wykorzystanie, o ile opłaty te nie przekraczają niezbędnych poniesionych kosztów. Ponadto organy sektora publicznego powinny zachęcać do ponownego wykorzystywania do badań naukowych i innych celów niekomercyjnych, a także przez MŚP i przedsiębiorstwa typu start-up, zmniejszając lub nawet wykluczając pobieranie opłat.
• Organ sektora publicznego będzie miał do dwóch miesięcy na podjęcie decyzji w sprawie wniosku o ponowne wykorzystanie.
• Państwa członkowskie mogą wybrać, które właściwe organy będą wspierać organy sektora publicznego przyznające dostęp do ponownego wykorzystania, na przykład poprzez zapewnienie tym ostatnim bezpiecznego środowiska przetwarzania oraz doradzanie im w zakresie jak najlepszego ustrukturyzowania i przechowywania danych, tak aby były one łatwo dostępne.
• Aby pomóc potencjalnym ponownym użytkownikom w znalezieniu istotnych informacji na temat tego, jakie dane są przechowywane przez organy publiczne, państwa członkowskie będą zobowiązane do utworzenia jednego punktu informacyjnego. Komisja utworzyła europejski rejestr danych chronionych przechowywanych przez sektor publiczny (ERPD), rejestr informacji z możliwością przeszukiwania opracowany przez krajowe pojedyncze punkty informacyjne w celu dalszego ułatwienia ponownego wykorzystywania danych na rynku wewnętrznym i poza nim.

Usługi pośrednictwa w zakresie danych

Jakie są kluczowe cele?

Wiele firm obawia się obecnie, że dzielenie się swoimi danymi oznaczałoby utratę przewagi konkurencyjnej i stwarzało ryzyko niewłaściwego wykorzystania danych. DGA określa zbiór przepisów dla dostawców usług pośrednictwa w zakresie danych (tzw. pośredników w zakresie danych, takich jak platformy handlowe danych), aby zapewnić, że będą oni pełnić funkcję wiarygodnych organizatorów udostępniania lub łączenia danych w ramach wspólnych europejskich przestrzeni danych. Aby zwiększyć zaufanie do udostępniania danych, w nowym podejściu zaproponowano model oparty na neutralności i przejrzystości pośredników w zakresie danych, przy jednoczesnym poddaniu osób fizycznych i przedsiębiorstw kontroli nad swoimi danymi.

Jak to działa w praktyce?

Ramy te oferują alternatywny model dla praktyk przetwarzania danych stosowanych przez platformy Big Tech, które mają wysoki stopień siły rynkowej, ponieważ kontrolują duże ilości danych.

W praktyce pośrednicy w zakresie danych będą działać jako neutralne strony trzecie, które łączą osoby fizyczne i firmy z użytkownikami danych. Chociaż mogą pobierać opłaty za ułatwienie wymiany danych między stronami, nie mogą one bezpośrednio wykorzystywać danych pośredniczących dla zysku finansowego (np. sprzedając je innemu przedsiębiorstwu lub wykorzystując je do opracowania własnego produktu w oparciu o te dane). Pośrednicy w zakresie danych będą musieli przestrzegać rygorystycznych wymogów, aby zapewnić tę neutralność i uniknąć konfliktów interesów. W praktyce oznacza to, że musi istnieć strukturalny rozdział między usługą pośrednictwa w zakresie danych a wszelkimi innymi świadczonymi usługami (tj. muszą one być prawnie oddzielone). Ponadto warunki handlowe (w tym ceny) dotyczące świadczenia usług pośrednictwa nie powinny zależeć od tego, czy potencjalny posiadacz danych czy użytkownik danych korzystają z innych usług. Wszelkie uzyskane dane i metadane mogą być wykorzystywane wyłącznie w celu usprawnienia usługi pośrednictwa w zakresie danych.

Zarówno samodzielne organizacje świadczące wyłącznie usługi pośrednictwa w zakresie danych, jak i przedsiębiorstwa oferujące usługi pośrednictwa w zakresie danych oprócz innych usług mogłyby funkcjonować jako zaufani pośrednicy. W tym ostatnim przypadku działalność w zakresie pośrednictwa w zakresie danych musi być ściśle oddzielona, zarówno pod względem prawnym, jak i ekonomicznym, od innych usług w zakresie danych.

W ramach DGA pośrednicy w zakresie danych będą musieli powiadomić właściwy organ o zamiarze świadczenia takich usług. Właściwy organ dopilnowuje, aby procedura powiadamiania była niedyskryminacyjna i nie zakłócała konkurencji, oraz potwierdzi, że dostawca usług pośrednictwa w zakresie danych przedłożył zgłoszenie zawierające wszystkie wymagane informacje.

Po otrzymaniu takiego potwierdzenia pośrednik w zakresie danych może zgodnie z prawem rozpocząć działalność i stosować etykietę „dostawca usług pośrednictwa w zakresie danych uznany w Unii” w swojej komunikacji pisemnej i ustnej, a także wspólne logo. Organy te będą również monitorować zgodność z wymogami w zakresie pośrednictwa w zakresie danych, a Komisja prowadzi centralny rejestr uznanych pośredników w zakresie danych.

Altruizm danych

Jakie są kluczowe cele?

Altruizm danych dotyczy osób fizycznych i firm, które wyrażają zgodę lub zgodę na udostępnianie generowanych przez nie danych – dobrowolnie i bez wynagrodzenia – do celów leżących w interesie ogólnym. Takie dane mają ogromny potencjał w zakresie rozwoju badań i opracowywania lepszych produktów i usług, w tym w dziedzinie zdrowia, środowiska i mobilności.

Badania wskazują, że chociaż zasadniczo istnieje chęć angażowania się w altruizm danych, w praktyce jest to utrudnione przez brak narzędzi udostępniania danych. W związku z tym celem ustawy o zarządzaniu danymi jest stworzenie zaufanych narzędzi, które umożliwią udostępnianie danych w łatwy sposób z korzyścią dla społeczeństwa. Stworzy to odpowiednie warunki, aby zapewnić osoby fizyczne i przedsiębiorstwa, że gdy udostępniają swoje dane, będą one obsługiwane przez zaufane organizacje w oparciu o unijne wartości i zasady. Umożliwi to utworzenie puli danych o wystarczającej wielkości, aby umożliwić analizę danych i uczenie maszynowe, w tym w wymiarze transgranicznym.

Jak to działa w praktyce?

Podmioty, które udostępniają odpowiednie dane oparte na altruistycznym podejściu do danych, będą mogły rejestrować się jako „organizacje o altruistycznym podejściu do danych uznane w Unii”. Podmioty te muszą mieć charakter nienastawiony na zysk i spełniać wymogi w zakresie przejrzystości, a także zapewniać szczególne zabezpieczenia w celu ochrony praw i interesów obywateli i przedsiębiorstw udostępniających swoje dane. Ponadto muszą one przestrzegać zbioru przepisów (najpóźniej 18 miesięcy po jego wejściu w życie), który określi wymogi informacyjne, wymogi techniczne i wymogi bezpieczeństwa, plany działania w zakresie komunikacji oraz zalecenia dotyczące norm interoperacyjności. Zbiór przepisów zostanie opracowany przez Komisję w ścisłej współpracy z organizacjami o altruistycznym podejściu do danych i innymi zainteresowanymi stronami.

Podmioty będą mogły korzystać ze wspólnego logo zaprojektowanego w tym celu i mogą zdecydować się na włączenie ich do publicznego rejestru organizacji o altruistycznym podejściu do danych. Komisja utworzyła w celach informacyjnych rejestr uznanych organizacji o altruistycznym podejściu do danych na szczeblu UE.  

Wspólny europejski formularz zgody na altruizm danych umożliwi gromadzenie danych we wszystkich państwach członkowskich w jednolitym formacie, gwarantując tym, że podmioty, które udostępniają swoje dane, mogą łatwo udzielić i wycofać swoją zgodę. Zapewni to również pewność prawa naukowcom i przedsiębiorstwom, które chcą wykorzystywać dane oparte na altruizmie. Będzie to forma modułowa, która może być dostosowana do potrzeb poszczególnych sektorów i celów.

Europejska Rada ds. Innowacji w zakresie Danych

Jakie są kluczowe cele?

Jak przewidziano w programie DGA, Komisja ustanowiła Europejską Radę ds. Innowacji w zakresie Danych (EDIB) w celu ułatwienia wymiany najlepszych praktyk, w szczególności w zakresie pośrednictwa w zakresie danych, altruizmu danych i wykorzystywania danych publicznych, których nie można udostępnić jako otwartych danych, a także w zakresie ustalania priorytetów międzysektorowych norm interoperacyjności.

Jak to działa w praktyce?

W skład EDIB wchodzą przedstawiciele następujących podmiotów:

• Właściwe organy państw członkowskich ds. pośrednictwa w zakresie danych
• Właściwe organy państw członkowskich ds. altruizmu danych
• Europejska Rada Ochrony Danych
• Europejski Inspektor Ochrony Danych
• Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA)
• Komisja Europejska
• wysłannik/przedstawiciel UE ds. MŚP wyznaczony przez sieć wysłanników ds. MŚP
• inni przedstawiciele odpowiednich organów wybranych przez Komisję w drodze zaproszenia do składania wniosków.

Lista członków EDIB dostępna jest tutaj:  Rejestr grup ekspertów Komisji i innych podobnych podmiotów (europa.eu).

Edib będzie miał prawo proponować wytyczne dotyczące wspólnych europejskich przestrzeni danych, na przykład dotyczące odpowiedniej ochrony w przypadku przekazywania danych poza terytorium Unii.

Międzynarodowe przepływy danych

Jakie są kluczowe cele?

W europejskiej strategii w zakresie danych z lutego 2020 r. uznano znaczenie otwartego, ale asertywnego podejścia do międzynarodowych przepływów danych.

Międzynarodowe przekazywanie danych może uwolnić znaczny potencjał społeczno-gospodarczy ogromnej ilości danych generowanych w UE, zwiększając tym samym międzynarodową konkurencyjność Unii na arenie światowej, przyczyniając się jednocześnie do wzrostu gospodarczego, co ma kluczowe znaczenie zwłaszcza w erze odbudowy po pandemii COVID-19.

Chociaż DGA odgrywa kluczową rolę we wzmacnianiu otwartej strategicznej autonomii Unii Europejskiej, przyczynia się również do budowania zaufania i zaufania do międzynarodowych przepływów danych.

Jak to działa w praktyce?

Podczas gdy RODO wprowadziło wszystkie niezbędne zabezpieczenia w kontekście danych osobowych, to dzięki DGA istnieją podobne zabezpieczenia w przypadku wniosków o dostęp składanych przez rządy państw trzecich w kontekście danych nieosobowych.

Zabezpieczenia te dotyczą wszystkich scenariuszy i przepisów ustanowionych przez DGA, a mianowicie w odniesieniu do danych sektora publicznego, usług pośrednictwa w zakresie danych i konstelacji altruistycznych danych. Ponowny użytkownik w państwie trzecim będzie musiał zapewnić taki sam poziom ochrony w odniesieniu do danych danych jak poziom ochrony zapewniony w prawie UE, a także zaakceptować odpowiednią jurysdykcję UE.  

Jeżeli uzna to za konieczne, Komisja może przyjąć dodatkowe decyzje stwierdzające odpowiedni stopień ochrony w odniesieniu do przekazywania publicznie chronionych danych w celu ponownego wykorzystania, jeżeli chodzi o wniosek o udzielenie dostępu w odniesieniu do danych nieosobowych z państwa trzeciego. Te decyzje stwierdzające odpowiedni stopień ochrony będą podobne do decyzji stwierdzających odpowiedni stopień ochrony związanych z przekazywaniem danych osobowych na mocy RODO.

Ponadto DGA upoważnia Komisję do udostępniania wzorcowych klauzul umownych organom sektora publicznego i ponownym użytkownikom w przypadku scenariuszy, w których dane sektora publicznego są zaangażowane w przekazywanie danych z państw trzecich.