Pojasnjen akt o upravljanju podatkov

Gospodarski in družbeni potencial podatkov je ogromen: omogoča lahko nove proizvode in storitve, ki temeljijo na novih tehnologijah, poveča učinkovitost proizvodnje in zagotovi orodja za boj proti družbenim izzivom. Na področju zdravja lahko na primer podatki prispevajo k boljšemu zdravstvenemu varstvu, izboljšanju personaliziranega zdravljenja in pomoči pri zdravljenju redkih ali kroničnih bolezni. Je tudi močno gonilo inovacij in novih delovnih mest ter ključni vir za zagonska podjetja ter mala in srednja podjetja.

Vendar pa se ta potencial ne uresničuje. Souporaba podatkov v EU je še vedno omejena zaradi številnih ovir (vključno z nizkim zaupanjem v souporabo podatkov, vprašanji, povezanimi s ponovno uporabo podatkov javnega sektorja in zbiranjem podatkov za skupno dobro, ter tehničnimi ovirami).

Da bi resnično izkoristili ta ogromen potencial, bi moralo biti lažja izmenjava podatkov na zaupanja vreden in varen način.

Akt o upravljanju podatkov je medsektorski instrument, katerega cilj je urediti ponovno uporabo javnih/shranjenih, zaščitenih podatkov, in sicer s spodbujanjem souporabe podatkov z ureditvijo novih podatkovnih posrednikov in spodbujanjem souporabe podatkov za altruistične namene. Tako osebni kot neosebni podatki spadajo na področje uporabe DGA, in kadar gre za osebne podatke, se uporablja Splošna uredba o varstvu podatkov (GDPR). Poleg splošne uredbe o varstvu podatkov se bo z vgrajenimi zaščitnimi ukrepi povečalo zaupanje v izmenjavo in ponovno uporabo podatkov, kar je predpogoj za zagotovitev več podatkov na trgu.

Ponovna uporaba nekaterih kategorij podatkov, ki jih hranijo organi javnega sektorja

Kateri so ključni cilji?

Direktiva o odprtih podatkih ureja ponovno uporabo javno dostopnih informacij, ki jih hrani javni sektor. Vendar ima javni sektor tudi velike količine zaščitenih podatkov (npr. osebnih podatkov in poslovno zaupnih podatkov), ki jih ni mogoče ponovno uporabiti kot odprte podatke, vendar bi jih bilo mogoče ponovno uporabiti v skladu s posebno zakonodajo EU ali nacionalno zakonodajo. Iz takih podatkov je mogoče pridobiti veliko znanja, ne da bi pri tem ogrozili njihovo zaščiteno naravo, DGA pa določa pravila in zaščitne ukrepe za olajšanje take ponovne uporabe, kadar je to mogoče v skladu z drugo zakonodajo.  

Kako deluje v praksi?

• Tehnične zahteve za javni sektor: Države članice bodo morale biti tehnično opremljene, da bodo v primerih ponovne uporabe v celoti spoštovale zasebnost in zaupnost podatkov. To lahko vključuje vrsto orodij, od tehničnih rešitev, kot so anonimizacija, psevdonimizacija ali dostop do podatkov v varnih okoljih za obdelavo (npr. podatkovne sobe), ki jih nadzoruje javni sektor, do pogodbenih sredstev, kot so sporazumi o zaupnosti, sklenjeni med organom javnega sektorja in ponovno uporabo.
• Pomoč organa javnega sektorja: Če organ javnega sektorja ne more odobriti dostopa do nekaterih podatkov za ponovno uporabo, bi moral potencialnemu ponovnemu subjektu pomagati pri pridobivanju posameznikovega soglasja za ponovno uporabo njegovih osebnih podatkov ali dovoljenja imetnika podatkov, na pravice ali interese imetnika podatkov, na katere bi ponovna uporaba lahko vplivala. Poleg tega se lahko zaupne informacije (npr. poslovne skrivnosti) razkrijejo za ponovno uporabo le s takim soglasjem ali dovoljenjem.
• Da bi imeli organi javnega sektorja na voljo še več podatkov za ponovno uporabo, je zanašanje na izključne sporazume o ponovni uporabi podatkov (kadar organ javnega sektorja dodeli tako izključno pravico enemu podjetju) omejen na posebne primere javnega interesa.
• Razumne pristojbine: organi javnega sektorja lahko zaračunavajo pristojbine za omogočanje ponovne uporabe, če te pristojbine ne presegajo nastalih potrebnih stroškov. Poleg tega bi morali organi javnega sektorja spodbujati ponovno uporabo za znanstvene raziskave in druge nekomercialne namene ter MSP in zagonska podjetja z zmanjšanjem ali celo izključitvijo pristojbin.
• Organ javnega sektorja bo imel za odločitev o zahtevi za ponovno uporabo na voljo največ dva meseca.
• Države članice lahko izberejo, kateri pristojni organi bodo podprli organe javnega sektorja, ki omogočajo dostop do ponovne uporabe, na primer tako, da slednjim zagotovijo varno okolje za obdelavo in jim svetujejo, kako najbolje strukturirati in shraniti podatke, da bodo lahko dostopni.
• Da bi morebitnim ponovnim uporabnikom pomagali najti ustrezne informacije o tem, kateri javni organi hranijo podatke, bodo morale države članice vzpostaviti enotno informacijsko točko. Komisija je vzpostavila evropski register zaščitenih podatkov, ki jih hrani javni sektor (ERPD), register informacij, ki ga je mogoče iskati in ki so jih zbrale nacionalne enotne informacijske točke, da bi dodatno olajšala ponovno uporabo podatkov na notranjem trgu in zunaj njega.

Storitve posredovanja podatkov

Kateri so ključni cilji?

Mnoga podjetja se trenutno bojijo, da bi izmenjava njihovih podatkov pomenila izgubo konkurenčne prednosti in predstavljala tveganje zlorabe. DGA opredeljuje sklop pravil za ponudnike storitev posredovanja podatkov (t. i. podatkovne posrednike, kot so podatkovne tržnice) za zagotovitev, da bodo delovali kot zaupanja vredni organizatorji souporabe ali združevanja podatkov v okviru skupnih evropskih podatkovnih prostorov. Da bi povečali zaupanje v souporabo podatkov, ta novi pristop predlaga model, ki temelji na nevtralnosti in preglednosti podatkovnih posrednikov, hkrati pa posameznikom in podjetjem zagotavlja nadzor nad njihovimi podatki.

Kako deluje v praksi?

Okvir ponuja alternativni model za ravnanje s podatki na platformah Big Tech, ki imajo visoko stopnjo tržne moči, ker nadzorujejo velike količine podatkov.

V praksi bodo podatkovni posredniki delovali kot nevtralne tretje osebe, ki povezujejo posameznike in podjetja z uporabniki podatkov. Čeprav lahko zaračunajo za lažjo souporabo podatkov med strankama, ne morejo neposredno uporabiti podatkov, ki jih posredujejo za finančni dobiček (npr. tako, da jih prodajo drugemu podjetju ali jih uporabijo za razvoj lastnega proizvoda na podlagi teh podatkov). Podatkovni posredniki bodo morali izpolnjevati stroge zahteve, da bi zagotovili to nevtralnost in se izognili navzkrižju interesov. V praksi to pomeni, da mora obstajati strukturna ločitev med storitvijo posredovanja podatkov in vsemi drugimi storitvami, ki se zagotavljajo (tj. morajo biti pravno ločene). Poleg tega komercialni pogoji (vključno s cenami) za zagotavljanje posredniških storitev ne bi smeli biti odvisni od tega, ali potencialni imetnik podatkov ali uporabnik podatkov uporablja druge storitve. Vsi pridobljeni podatki in metapodatki se lahko uporabijo samo za izboljšanje storitve posredovanja podatkov.

Samostojne organizacije, ki zagotavljajo samo storitve posredovanja podatkov, in podjetja, ki poleg drugih storitev ponujajo storitve posredovanja podatkov, bi lahko delovala kot zaupanja vredni posredniki. V slednjem primeru mora biti dejavnost posredovanja podatkov strogo pravno in ekonomsko ločena od drugih podatkovnih storitev.

V skladu z DGA bodo morali podatkovni posredniki obvestiti pristojni organ o svoji nameri, da bodo zagotavljali take storitve. Pristojni organ zagotovi, da je postopek priglasitve nediskriminatoren in ne izkrivlja konkurence, ter potrdi, da je ponudnik storitev posredovanja podatkov predložil priglasitev, ki vsebuje vse zahtevane informacije.

Po prejemu take potrditve lahko podatkovni posrednik v pisni in govorni komunikaciji zakonito začne delovati in uporabljati oznako „ponudnik storitev posredovanja podatkov, priznan v Uniji“, ter skupni logotip. Ti organi bodo spremljali tudi skladnost z zahtevami za posredovanje podatkov, Komisija pa vodi centralni register priznanih podatkovnih posrednikov.

Podatkovni altruizem

Kateri so ključni cilji?

Podatkovni altruizem pomeni, da posamezniki in podjetja dajo svoje soglasje ali dovoljenje, da dajo na voljo podatke, ki jih ustvarijo prostovoljno in brez plačila za uporabo za cilje splošnega interesa. Takšni podatki imajo ogromen potencial za spodbujanje raziskav ter razvoj boljših proizvodov in storitev, tudi na področju zdravja, okolja in mobilnosti.

Raziskave kažejo, da čeprav je načeloma pripravljena sodelovati v podatkovnem altruizmu, to v praksi ovira pomanjkanje orodij za izmenjavo podatkov. Cilj akta o upravljanju podatkov je ustvariti zaupanja vredna orodja, ki bodo omogočila enostavno izmenjavo podatkov v korist družbe. Ustvarila bo prave pogoje, ki bodo posameznikom in podjetjem zagotovili, da jih bodo ob izmenjavi njihovih podatkov obravnavale zaupanja vredne organizacije na podlagi vrednot in načel EU. To bo omogočilo oblikovanje naborov podatkov, ki so dovolj veliki, da se omogočita podatkovna analitika in strojno učenje, tudi čezmejno.

Kako deluje v praksi?

Subjekti, ki dajo na voljo ustrezne podatke na podlagi podatkovnega altruizma, se bodo lahko registrirali kot „organizacije za podatkovni altruizem, priznane v Uniji“. Ti subjekti morajo biti nepridobitni in izpolnjevati zahteve glede preglednosti ter zagotavljati posebne zaščitne ukrepe za zaščito pravic in interesov državljanov in podjetij, ki delijo svoje podatke. Poleg tega morajo biti v skladu s pravilnikom (najpozneje 18 mesecev po začetku njegove veljavnosti), ki določa zahteve glede informacij, tehnične in varnostne zahteve, komunikacijske načrte in priporočila o standardih interoperabilnosti. Pravilnik bo pripravila Komisija v tesnem sodelovanju z organizacijami za podatkovni altruizem in drugimi ustreznimi zainteresiranimi stranmi.

Subjekti bodo lahko uporabljali skupni logotip, oblikovan v ta namen, in se lahko odločijo za vključitev v javni register organizacij za podatkovni altruizem. Komisija je v informativne namene vzpostavila register priznanih organizacij za podatkovni altruizem na ravni EU.  

Skupni evropski obrazec za privolitev za podatkovni altruizem bo omogočil zbiranje podatkov v vseh državah članicah v enotni obliki, s čimer se bo zagotovilo, da lahko osebe, ki svoje podatke izmenjujejo, brez težav dajo in prekličejo privolitev. Prav tako bo zagotovila pravno varnost raziskovalcem in podjetjem, ki želijo uporabljati podatke, ki temeljijo na altruizmu. To bo modularna oblika, ki jo je mogoče prilagoditi potrebam posameznih sektorjev in namenov.

Evropski odbor za podatkovne inovacije

Kateri so ključni cilji?

Kot je določeno v DGA, je Komisija ustanovila Evropski odbor za podatkovne inovacije (EDIB), da bi olajšala izmenjavo najboljših praks, zlasti glede posredovanja podatkov, podatkovnega altruizma in uporabe javnih podatkov, ki jih ni mogoče dati na voljo kot odprti podatki, ter prednostnega razvrščanja medsektorskih standardov interoperabilnosti.

Kako deluje v praksi?

V EDIB so predstavniki naslednjih subjektov:

• Organi držav članic, pristojni za posredovanje podatkov
• Organi držav članic, pristojni za podatkovni altruizem
• Evropski odbor za varstvo podatkov
• Evropski nadzornik za varstvo podatkov
• agencija Evropske unije za kibernetsko varnost (ENISA)
• Evropska komisija
• odposlanec/predstavnik EU za MSP, ki ga imenuje mreža odposlancev MSP
• drugi predstavniki ustreznih organov, ki jih Komisija izbere na podlagi razpisa za strokovnjake.

Seznam članov EDIB je na voljo tukaj:  Register strokovnih skupin Komisije in drugih podobnih subjektov (europa.eu).

Edib bo lahko predlagal smernice za skupne evropske podatkovne prostore, na primer o ustreznem varstvu za prenose podatkov zunaj Unije.

Mednarodni pretok podatkov

Kateri so ključni cilji?

Evropska strategija za podatke iz februarja 2020 priznava pomen odprtega, a odločnega pristopa k mednarodnim pretokom podatkov.

Mednarodni prenosi podatkov lahko sprostijo znaten socialno-ekonomski potencial velike količine podatkov, ustvarjenih v EU, s čimer se poveča mednarodna konkurenčnost Unije na svetovnem prizorišču, hkrati pa prispeva h gospodarski rasti, ki je ključnega pomena zlasti v obdobju okrevanja po pandemiji COVID-19.

Čeprav ima DGA ključno vlogo pri krepitvi odprte strateške avtonomije Evropske unije, prispeva tudi k ustvarjanju zaupanja v mednarodne tokove podatkov.

Kako deluje v praksi?

Medtem ko je splošna uredba o varstvu podatkov uvedla vse potrebne zaščitne ukrepe v zvezi z osebnimi podatki, obstajajo podobni zaščitni ukrepi za zahteve vlad tretjih držav za dostop v okviru neosebnih podatkov.

Ti zaščitni ukrepi se nanašajo na vse scenarije in določbe iz DGA, in sicer za podatke javnega sektorja, storitve posredovanja podatkov in konstelacije podatkovnega altruizma. Izvajalec ponovne uporabe v tretji državi bo moral zagotoviti enako raven varstva v zvezi z zadevnimi podatki kot raven varstva, ki jo zagotavlja pravo EU, ter sprejeti zadevno jurisdikcijo EU.  

Če Komisija meni, da je to potrebno, lahko sprejme dodatne sklepe o ustreznosti za prenos javno zaščitenih podatkov za ponovno uporabo, kadar gre za zahtevo za dostop v zvezi z neosebnimi podatki iz tretje države. Ti sklepi o ustreznosti bodo podobni sklepom o ustreznosti v zvezi s prenosom osebnih podatkov v skladu s Splošno uredbo o varstvu podatkov.

Poleg tega DGA pooblašča Komisijo, da organom javnega sektorja in ponovnim uporabnikom da na voljo vzorčne pogodbene klavzule za scenarije, v katerih so podatki javnega sektorja vključeni v prenose podatkov s tretjimi državami.