Akt w sprawie zarządzania danymi zapewnia ramy służące zwiększeniu zaufania do dobrowolnej wymiany danych z korzyścią dla przedsiębiorstw i obywateli.
Potencjał gospodarczy i społeczny danych jest ogromny: może umożliwić powstawanie nowych produktów i usług opartych na nowatorskich technologiach, zwiększyć wydajność produkcji i zapewnić narzędzia do walki z wyzwaniami społecznymi. Na przykład w dziedzinie zdrowia dane mogą przyczynić się do zapewnienia lepszej opieki zdrowotnej, poprawy spersonalizowanych metod leczenia i pomocy w leczeniu chorób rzadkich lub przewlekłych. Jest również potężnym motorem innowacji i tworzenia nowych miejsc pracy oraz kluczowym zasobem dla przedsiębiorstw typu start-up i MŚP.
Potencjał ten nie jest jednak wykorzystywany. Wymiana danych w UE pozostaje ograniczona ze względu na szereg przeszkód (w tym niskie zaufanie do wymiany danych, kwestie związane z ponownym wykorzystywaniem danych sektora publicznego i gromadzeniem danych dla wspólnego dobra, a także przeszkody techniczne).
Aby naprawdę wykorzystać ten ogromny potencjał, powinno być łatwiej udostępniać dane w sposób zaufany i bezpieczny.
Akt w sprawie zarządzania danymi jest instrumentem międzysektorowym, którego celem jest uregulowanie ponownego wykorzystywania publicznych/zabezpieczonych danych poprzez zwiększenie wymiany danych dzięki uregulowaniu kwestii nowych pośredników w zakresie danych oraz poprzez zachęcanie do wymiany danych w celach altruistycznych. Zarówno dane osobowe, jak i nieosobowe są objęte zakresem stosowania aktu o ochronie danych, a w przypadku danych osobowych zastosowanie ma ogólne rozporządzenie o ochronie danych (RODO). Oprócz RODO wbudowane zabezpieczenia zwiększą zaufanie do udostępniania i ponownego wykorzystywania danych, co jest warunkiem wstępnym udostępnienia większej liczby danych na rynku.
Ponowne wykorzystywanie niektórych kategorii danych będących w posiadaniu organów sektora publicznego
Jakie są główne cele?
Dyrektywa w sprawie otwartych danych reguluje ponowne wykorzystywanie publicznie dostępnych informacji będących w posiadaniu sektora publicznego. Sektor publiczny posiada jednak również ogromne ilości chronionych danych (np. danych osobowych i poufnych danych handlowych), których nie można ponownie wykorzystać jako otwartych danych, ale które można by ponownie wykorzystać na mocy konkretnych przepisów unijnych lub krajowych. Z takich danych można wydobyć bogactwo wiedzy bez uszczerbku dla ich chronionego charakteru, a w akcie w sprawie zarządzania danymi przewidziano przepisy i zabezpieczenia ułatwiające takie ponowne wykorzystywanie, gdy tylko jest to możliwe na mocy innych przepisów.
Jak to działa w praktyce?
- Wymogi techniczne dla sektora publicznego: Państwa członkowskie będą musiały dysponować odpowiednimi środkami technicznymi, aby zapewnić pełne poszanowanie prywatności i poufności danych w sytuacjach ponownego wykorzystywania. Może to obejmować szereg narzędzi, od rozwiązań technicznych, takich jak anonimizacja, pseudonimizacja lub dostęp do danych w bezpiecznych środowiskach przetwarzania (np. pokojach danych) nadzorowanych przez sektor publiczny, po środki umowne, takie jak umowy o poufności zawarte między organem sektora publicznego a podmiotem ponownie wykorzystującym dane.
- Pomoc ze strony organu sektora publicznego: Jeżeli organ sektora publicznego nie może udzielić dostępu do niektórych danych w celu ich ponownego wykorzystania, powinien pomóc potencjalnemu ponownemu użytkownikowi w uzyskaniu zgody osoby fizycznej na ponowne wykorzystanie jej danych osobowych lub zgody posiadacza danych, na którego prawa lub interesy ponowne wykorzystanie może mieć wpływ. Ponadto informacje poufne (np. tajemnice przedsiębiorstwa) mogą być ujawniane do ponownego wykorzystania wyłącznie za taką zgodą lub zgodą.
- Aby dane znajdujące się w jeszcze większym stopniu w posiadaniu publicznym były dostępne do ponownego wykorzystywania, akt w sprawie zarządzania danymi ogranicza poleganie na umowach o wyłącznym ponownym wykorzystywaniu danych (w ramach których organ sektora publicznego przyznaje takie wyłączne prawo jednemu przedsiębiorstwu) do konkretnych przypadków leżących w interesie publicznym.
- Rozsądne opłaty: organy sektora publicznego mogą pobierać opłaty za zezwolenie na ponowne wykorzystanie, o ile opłaty te nie przekraczają niezbędnych poniesionych kosztów. Ponadto organy sektora publicznego powinny zachęcać do ponownego wykorzystywania do celów badań naukowych i innych celów niekomercyjnych, a także przez MŚP i przedsiębiorstwa typu start-up, poprzez ograniczanie lub nawet wykluczanie pobierania opłat.
- Organ sektora publicznego będzie miał do 2 miesięcy na podjęcie decyzji w sprawie wniosku o ponowne wykorzystanie.
- Państwa członkowskie mogą wybrać, które właściwe organy będą wspierać organy sektora publicznego udzielające dostępu do ponownego wykorzystywania, na przykład zapewniając tym ostatnim bezpieczne środowisko przetwarzania i doradzając im, w jaki sposób najlepiej uporządkować i przechowywać dane, aby były one łatwo dostępne.
- Aby pomóc potencjalnym podmiotom ponownie wykorzystującym dane w znalezieniu odpowiednich informacji na temat danych będących w posiadaniu organów publicznych, państwa członkowskie będą zobowiązane do utworzenia pojedynczego punktu informacyjnego. Komisja utworzyła europejski rejestr chronionych danych będących w posiadaniu sektora publicznego (ERPD), który umożliwia wyszukiwanie informacji gromadzonych przez krajowe pojedyncze punkty informacyjne w celu dalszego ułatwienia ponownego wykorzystywania danych na rynku wewnętrznym i poza nim.
Usługi pośrednictwa w zakresie danych
Jakie są główne cele?
Wiele przedsiębiorstw obawia się obecnie, że udostępnienie ich danych wiązałoby się z utratą przewagi konkurencyjnej i stanowiłoby ryzyko nadużyć. W akcie tym określono zbiór przepisów dotyczących dostawców usług pośrednictwa w zakresie danych (tzw. pośredników w zakresie danych, takich jak platformy handlu danymi), aby zapewnić, że będą oni działać jako wiarygodni organizatorzy udostępniania lub łączenia danych w ramach wspólnych europejskich przestrzeni danych. Aby zwiększyć zaufanie do udostępniania danych, w ramach tego nowego podejścia proponuje się model oparty na neutralności i przejrzystości pośredników w zakresie danych, przy jednoczesnym zapewnieniu osobom fizycznym i przedsiębiorstwom kontroli nad ich danymi.
Jak to działa w praktyce?
Ramy te oferują model alternatywny dla praktyk przetwarzania danych stosowanych przez platformy Big Tech, które mają dużą siłę rynkową, ponieważ kontrolują duże ilości danych.
W praktyce pośrednicy w zakresie danych będą działać jako neutralne strony trzecie, które łączą osoby fizyczne i przedsiębiorstwa z użytkownikami danych. Chociaż mogą pobierać opłaty za ułatwienie wymiany danych między stronami, nie mogą bezpośrednio wykorzystywać danych, które pośredniczą, do osiągnięcia zysku finansowego (np. sprzedając je innemu przedsiębiorstwu lub wykorzystując je do opracowania własnego produktu na podstawie tych danych). Pośrednicy w zakresie danych będą musieli przestrzegać rygorystycznych wymogów, aby zapewnić tę neutralność i uniknąć konfliktów interesów. W praktyce oznacza to, że musi istnieć strukturalny rozdział między usługą pośrednictwa w zakresie danych a wszelkimi innymi świadczonymi usługami (tj. muszą one być prawnie oddzielone). Ponadto warunki handlowe (w tym ceny) świadczenia usług pośrednictwa nie powinny zależeć od tego, czy potencjalny posiadacz danych lub użytkownik danych korzysta z innych usług. Wszelkie pozyskane dane i metadane mogą być wykorzystywane wyłącznie w celu udoskonalenia usługi pośrednictwa w zakresie danych.
Zarówno samodzielne organizacje świadczące wyłącznie usługi pośrednictwa w zakresie danych, jak i przedsiębiorstwa oferujące usługi pośrednictwa w zakresie danych oprócz innych usług mogłyby funkcjonować jako zaufani pośrednicy. W tym ostatnim przypadku działalność w zakresie pośrednictwa w zakresie danych musi być ściśle oddzielona, zarówno pod względem prawnym, jak i ekonomicznym, od innych usług w zakresie danych.
Na mocy aktu w sprawie zarządzania danymi pośrednicy w zakresie danych będą zobowiązani do powiadomienia właściwego organu o zamiarze świadczenia takich usług. Właściwy organ dopilnuje, aby procedura powiadamiania była niedyskryminacyjna i nie zakłócała konkurencji, oraz potwierdzi, że dostawca usług pośrednictwa w zakresie danych przedłożył zgłoszenie zawierające wszystkie wymagane informacje.
Po otrzymaniu takiego potwierdzenia pośrednik w zakresie danych może zgodnie z prawem rozpocząć działalność i stosować etykietę „uznany w Unii dostawca usług pośrednictwa w zakresie danych” w komunikacji pisemnej i ustnej, a także wspólne logo. Organy te będą również monitorować zgodność z wymogami dotyczącymi pośrednictwa w zakresie danych, a Komisja prowadzi centralny rejestr uznanych pośredników w zakresie danych.
Altruizm danych
Jakie są główne cele?
Altruizm danych polega na tym, że osoby fizyczne i przedsiębiorstwa wyrażają zgodę lub zgodę na udostępnianie generowanych przez siebie danych – dobrowolnie i bez wynagrodzenia – w celu wykorzystania ich do celów leżących w interesie ogólnym. Takie dane mają ogromny potencjał w zakresie rozwoju badań i opracowywania lepszych produktów i usług, w tym w dziedzinie zdrowia, środowiska i mobilności.
Badania wskazują, że choć zasadniczo istnieje gotowość do angażowania się w altruistyczne podejście do danych, w praktyce utrudnia to brak narzędzi wymiany danych. W związku z tym celem aktu w sprawie zarządzania danymi jest stworzenie wiarygodnych narzędzi, które umożliwią udostępnianie danych w łatwy sposób z korzyścią dla społeczeństwa. Stworzy to odpowiednie warunki, aby zapewnić osobom fizycznym i przedsiębiorstwom, że gdy będą udostępniać swoje dane, będą one przetwarzane przez zaufane organizacje w oparciu o wartości i zasady UE. Umożliwi to tworzenie puli danych o wystarczającej wielkości, aby umożliwić analizę danych i uczenie maszynowe, w tym w wymiarze transgranicznym.
Jak to działa w praktyce?
Podmioty, które udostępniają odpowiednie dane w oparciu o altruistyczne podejście do danych, będą mogły zarejestrować się jako „uznane w Unii organizacje altruistycznego podejścia do danych”. Podmioty te muszą mieć charakter niekomercyjny i spełniać wymogi przejrzystości, a także oferować szczególne zabezpieczenia w celu ochrony praw i interesów obywateli i przedsiębiorstw, którzy udostępniają swoje dane. Ponadto muszą one przestrzegać zbioru przepisów (najpóźniej 18 miesięcy po jego wejściu w życie), w którym określone zostaną wymogi informacyjne, wymogi techniczne i wymogi w zakresie bezpieczeństwa, plany działania w zakresie komunikacji oraz zalecenia dotyczące norm interoperacyjności. Zbiór przepisów zostanie opracowany przez Komisję w ścisłej współpracy z organizacjami o altruistycznym podejściu do danych i innymi odpowiednimi zainteresowanymi stronami.
Podmioty będą mogły korzystać ze wspólnego logo zaprojektowanego w tym celu i mogą zdecydować o włączeniu ich do publicznego rejestru organizacji o altruistycznym podejściu do danych. Do celów informacyjnych Komisja utworzyła unijny rejestr uznanych organizacji o altruistycznym podejściu do danych.
Wspólny europejski formularz zgody na potrzeby altruistycznego podejścia do danych umożliwi gromadzenie danych we wszystkich państwach członkowskich w jednolitym formacie, co zagwarantuje, że osoby udostępniające swoje dane będą mogły łatwo wyrazić i wycofać swoją zgodę. Zapewni to również pewność prawa naukowcom i przedsiębiorstwom, którzy chcą korzystać z danych opartych na altruizmie. Będzie to forma modułowa, którą można dostosować do potrzeb konkretnych sektorów i celów.
Europejska Rada ds. Innowacji w zakresie Danych
Jakie są główne cele?
Jak przewidziano w akcie w sprawie zarządzania danymi, Komisja ustanowiła Europejską Radę ds. Innowacji w zakresie Danych (EDIB), aby ułatwić wymianę najlepszych praktyk, w szczególności w zakresie pośrednictwa w zakresie danych, altruistycznego podejścia do danych i wykorzystywania danych publicznych, które nie mogą być udostępniane jako otwarte dane, a także w zakresie ustalania priorytetów międzysektorowych norm interoperacyjności.
Jak to działa w praktyce?
W skład EDIB wchodzą przedstawiciele następujących podmiotów:
- Właściwe organy państw członkowskich ds. pośrednictwa w zakresie danych
- Właściwe organy państw członkowskich ds. altruistycznego podejścia do danych
- Europejskiej Rady Ochrony Danych
- Europejskiego Inspektora Ochrony Danych
- Agencji Unii Europejskiej ds Cyberbezpieczeństwa (ENISA)
- Komisji Europejskiej
- pełnomocnika/przedstawiciela UE ds. MŚP wyznaczonego przez sieć pełnomocników ds. MŚP
- innych przedstawicieli właściwych organów wybranych przez Komisję w drodze zaproszenia do zgłaszania uwag przez ekspertów.
Lista członków EDIB jest dostępna tutaj: Rejestr grup ekspertów Komisji i innych podobnych podmiotów (europa.eu).
EDIB będzie uprawniony do proponowania wytycznych dotyczących wspólnych europejskich przestrzeni danych, na przykład w sprawie odpowiedniej ochrony przekazywania danych poza Unię.
Międzynarodowe przepływy danych
Jakie są główne cele?
W europejskiej strategii w zakresie danych z lutego 2020 r. uznano znaczenie otwartego, ale asertywnego podejścia do międzynarodowych przepływów danych.
Międzynarodowe przekazywanie danych może uwolnić znaczny potencjał społeczno-gospodarczy ogromnej ilości danych generowanych w UE, zwiększając tym samym międzynarodową konkurencyjność Unii na arenie światowej, a jednocześnie przyczyniając się do wzrostu gospodarczego, co ma kluczowe znaczenie zwłaszcza w erze odbudowy po pandemii COVID-19.
Chociaż akt ten odgrywa kluczową rolę we wzmacnianiu otwartej strategicznej autonomii Unii Europejskiej, przyczynia się również do budowania zaufania do międzynarodowych przepływów danych.
Jak to działa w praktyce?
Chociaż RODO wprowadziło wszystkie niezbędne zabezpieczenia w kontekście danych osobowych, to dzięki aktowi w sprawie zarządzania danymi istnieją podobne zabezpieczenia w odniesieniu do wniosków o dostęp składanych przez rządy państw trzecich w kontekście danych nieosobowych.
Zabezpieczenia te dotyczą wszystkich scenariuszy i przepisów określonych w akcie w sprawie zarządzania danymi, a mianowicie w odniesieniu do danych sektora publicznego, usług pośrednictwa w zakresie danych i konstelacji altruistycznego podejścia do danych. Podmiot ponownie wykorzystujący dane w państwie trzecim będzie musiał zapewnić taki sam poziom ochrony w odniesieniu do przedmiotowych danych jak poziom ochrony zapewniony w prawie UE, a także zaakceptować odpowiednią jurysdykcję UE.
Jeżeli Komisja uzna to za konieczne, może przyjąć dodatkowe decyzje stwierdzające odpowiedni stopień ochrony w odniesieniu do przekazywania danych objętych ochroną publiczną w celu ponownego wykorzystywania, jeżeli chodzi o wniosek o dostęp w odniesieniu do danych nieosobowych z państwa trzeciego. Te decyzje stwierdzające odpowiedni stopień ochrony będą podobne do decyzji stwierdzających odpowiedni stopień ochrony związanych z przekazywaniem danych osobowych na podstawie RODO.
Ponadto w akcie w sprawie zarządzania danymi uprawniono Komisję do udostępniania wzorcowych klauzul umownych organom sektora publicznego i podmiotom ponownie wykorzystującym dane w scenariuszach, w których dane sektora publicznego są wykorzystywane do przekazywania danych z państwami trzecimi.
Podobne tematy
W szerszej perspektywie