Rozporządzenie o Zarządzaniu Danymi i Europejska Strategia w Zakresie Danych

            Opublikowana pod koniec grudnia przez Komisję Europejską (KE) propozycja rozporządzenia o Zarządzaniu Danymi (Data Governance Act – DGA) jest pierwszym z planowanych narzędzi w implementacji Europejskiej Strategii w Zakresie Danych (European Data Strategy – EDS). Zgodnie z oficjalnym komunikatem celem nowego rozporządzenia jest wzrost zaufania do pośredników danych, poprzez wzmocnienie mechanizmów ich udostępniania w Unii Europejskiej (UE). Zgodnie z EDS celem KE jest stworzenie jednolitego rynku i wspólnych repozytoriów danych. Mają być to wspólne repozytoria danych: industrialnych, środowiskowych, z sytemów transportu, finansowych, zdrowotnych, energetycznych, rolniczych, edukacyjnych i administracyjnych. Mają one stać się modelem, na bazie którego powstaną alternatywy i konkurencja dla dużych platform zza Atlantyku, lecz i także prawdopodobnie dla platform z Kraju Środka. Zgodnie ze słowami francuskiego komisarza Thierry’ego Breton’a, odowiedzialnego za rynek wewnętrzny i efektywnie będącego numerem dwa w KE, po przewodniczącej Von Der Leyen,  UE jest w stanie wygrać światową bitwę o pozycje lidera w m.in. platformach industrialnych. Jednocześnie przyznał on, że UE poniosła porażkę w walce o platformy konsumenckie, oparte na danych osobowych.

Zakres DGA

Dlatego też celem DGA jest stworzenie mechanizmów do udostępniania danych z sekotra publicznego, w celu ich ponownego użytku, poprzez system zaufanych pośredników i altruizmu danych. Dane te mają być dostępne dla wszystkich, ze szczególnym uwzględnieniem sektora prywatnego, który na ich podstawie ma móc rozwijać swoją działalność, tworząc innowacyjne modele biznesowe oparte na wiedzy zaczerpniętej z tych repozytoriów. Mają to być również dane osobowe, chronione przez Rozporządzenie o Ochronie Danych Osobowych (RODO), lecz z zastrzeżeniem respektowania norm prawnych obowiązujących w tymże. DGA ma być równocześnie uzupełnieniem Dyrektywy 2019/1024 w sprawie otwartych danych i ponownego wykorzystywania informacji sektora publicznego, poprzez pozwolenie na i regulacje przetwarzania danych, które są przedmiotem praw osób trzecich, które to dane są poza przedmiotem regulacji Dyrektywy 2019/1024 (w sprawie otwartych danych i ponownego wykorzystywania informacji sektora publicznego).

Nowe mechanizmy udostępniania danych

W samym projekcie DGA tworzy mechanizm pozwalający na ponowne użycie danych w posiadaniu sektora publicznego, które są obciążone prawami osób trzecich, pod warunkiem respektowania tych praw (m.in. prawa związane z danymi osobowymi, prawa własności intelektualnej, tajemnice handlowe). Mechanizm tworzony przez DGA określa minimalne warunki, które muszą być respektowane przy udostępnianiu i ponownym użytkowaniu takich danych. Projekt zakłada, że podmioty sektora publicznego udostępniające takie dane muszą być wyposażone w odpowiednie środki infrastrukturalne, zapewniające bezpieczeństwo, poufność i prywatność takich danych.

Ponadto projekt zakłada stworzenie systemu notyfikacji i warunków, które będą musiały spełnić podmioty pośredniczące w udostępnianiu danych. Wizją DGA jest to, że będą one pośrednikami łączącymi i umożliwiającymi transfer danych z sektora publicznego, będąc jednocześnie miejscem dostępu do nich. Pośrednicy ci będa musieli zanotyfikować swoją działalność wlaściwej instytucji nadzorczej  i od tego momentu są uprawnieni do jej prowadzenia. Właściwa instytucja nadzorcza wprowadzi pośrednika do rejestru i będzie nadzorować jego działalność, zgodnie ze szczegółowymi przepisami DGA. Pośrednik danych musi działać na zasadzie non-for-profit, musi być neutralnym wobec samych danych, a także nie może sam wykorzystywać danych dla wszelakich innych przyczyn niż samo bycie neutralnym pośrednikiem danych z sektora publicznego, nie mającym żadnego innego interesu w związku z samymi danymi, jak i tylko ich zgodne z prawem udostępnianie.

Nadzór, ochrona konkurencji w ramach przetwarzania danych publicznych i altruizm danych

DGA zabrania również np. umów o charakterze monopolistycznym, w których pośrednicy udostępniali by w dyskrecjonalny sposób i eksluzywnie określone dane, wybranym podmiotom. Te warunki mają na celu zwiększenie zaufania do pośredników udostępniających je, mając na względzie możliwość udostępniania również danych osobowych. Projekt wprowadza również zbiór wymogów dla podmiotów odpowiedzialnych za nadzór nad przetwarzaniem danych, w tym danych osobowych, i przewiduje implementacje systemu notyfikacji i kontroli nad pośrednikami danych, a także procedurę odwoływania się od decyzji tych właśnie, właściwych dla pośredników instytucji nadzorczych.

DGA pozostawia określenie i uregulowanie sposobu, procedur i warunków związanych z udostępnianiem danych w gestii instytucji sektora publicznego udostępniającej dane. Jednocześnie warunkami minimalnymi dla takiej regulacji jest stworzenie zasad, które nie są dyskryminujące, są proporcjonalne i obiektywnie uzasadnione w stosunku do kategorii i natury udostępnianych danych, a także przyczyn dla których dane będą ponownie używane. DGA również pozostawia w gestii danej instytucji udostępniającej wybór co do tego czy i jak dane powinny być pseudonimizowane, lub anonimizowane, co może być przedmiotem kontrowersji i będzie omówione w dalszej części artykułu. DGA sugeruje również, że instytucje udostępniające dane przez pośredników powinny robić to w bezpiecznym środowisku, możliwie geograficznie ulokowanym w miejscu udostępniania danych przez pośrednika.

Dalej DGA tworzy instytucje altruizmu danych, co oznacza dobrowolne udostępnianie danych dla dobra wspólnego, przez osoby fizyczne i osoby prawne. Aby również dalej zwiększyć społeczne zaufanie do tego procesu wszystkie podmioty angażujące się w taki altruizm będą mogły zarejestrować się jako „Organizacje Altruizmu Danych rozpoznawane przez UE”. Obok altruizmu danych, wprowadzony zostanie uniwersalny, europejski wzór zgody na przetwarzanie takich danych, w celu udogodnienia przenoszenia danych. Istotną kwestią jest to, że mechanizmy wprowadzane przez DGA są dobrowolne i określają tylko minimalne warunki jakie muszą być spełnione przez podmioty, które chcą zaangażować sie w pośrednictwo i altruizm danych. Jednocześnie DGA nie nakłada obowiązku na żadne podmioty z sektora publicznego, aby dane udostępniały, lecz tworzy tylko ramy prawne, jeżeli rządy Państw Członkowskich, lub inne odpowiednie władze samorządowe, sądownicze, lub instytucje sektora pozarządowego, lecz z tym sektorem związane, np. kompetencjami delegowanymi, chciałyby swoje dane udostępniać na potrzeby komercyjne.

Jakie problemy ma DGA?

Sam projekt może budzić parę wątpliwości co do swoich szczegółowych, lecz co warte podkreślenia nie co do swoich ogólnych założeń. Pierwszym problemem może być relacja DGA do RODO, a także efektywna możliwość dochodzenia praw podmiotów danych osobowych, w związku z ponownym użyciem ich danych. DGA nie określa w sposób wystarczający swojej relacji do RODO i wydaje się tworzyć wyjątek od RODO, w którym przetwarzanie danych nie jest związane przyczyną dla której się je po pierwsze pozyskało, a potem dla której się je przetwarza. Związanie legalności przetwarzania danych z przyczyną dla której się je pozyskało, a także konieczność pozyskania ich dla konkretnie zdefiniowanej przyczyny jest istotą prawa ochrony danych osobowych, dlatego te wątpliwości muszą zostać wyjaśnione i rozwiane na dalszym etapie prac. DGA powinien również wprowadzić nie budzący wątpliwości obowiązek ponownego użytkowania tylko takich danych, które były wcześnie zanonimizowane, zgodnie z najwyższymi, aktualnie obowiązującymi standardami. Pozostawienie fakultatywnie regulacji tej kwestii przez Państwa Członkowskie jest niewystarczające i może zagrozić efektywności norm ochrony danych osobowych, zawartych w RODO. Drugim problemem może być nakaz działalności non-for-profit prowadzonej przez podmioty zajmujące się pośrednictwem danych. Rozumiem zakaz pobierania wysokich, komercyjnych opłat za użytkowanie danych w ramach DGA, jednak wymóg aby pośrednicy nie mogli działać na normalnych zasadach komercyjnych i aby jedynym przedmiotem ich działalności mogłobyć tylko samo pośrednictwo nie jest zachętą do przyciągnięcia kompetetywnych i innowacyjnych osób, aby potencjalnie wykreować te podmioty. Słuszniejszym wydaje się szczegółowe określenie sposobu pośrednictwa i użytkowania danych przez podmiot, dokładnie określając zakaz komercjalizacji tych danych przez podmioty pośredniczące, a także wprowadzenie jeszcze mocniejszych zakazów praktyk monopolistycznych i ekskluzywnych umów, w zamian za umożliwienie im działalności dla zysku. Ta kwestia powinna również być przedmiotem refleksji w przyszłych pracach legislacyjnych.

DGA jako element szerszej polityki ekonomicznej UE i co dalej

            Reasumując, głównym celem DGA jest uwolnienie i udostępnienie dużych zasobów danych posiadanych przez instytucje publiczne, które do tej pory, w skali UE, nie posiadały mechanizmu prawnego do udostępniania ich. Projekt ten, jak i sama strategia, zakłada, że poprzez stworzenie określonego prawem publicznym rynku udostępniania i obrotu danymi nowe modele biznesowe mogą zostać stworzone, przyczyniając się do powstania nowych podmiotów gospodarczych i wzrostu gospodarczego, w tym do wzrostu innowacyjności, produktywności i do tworzenia nowych miejsc pracy. Zakłada się również, że dane te będą danymi przydatnymi z punktu widzenia komercyjnego i że faktycznie drzemie w nich duży potencjał gospodarczy.

Słuszność tych założeń ciężko abstrakcyjnie ocenić bez wprowadzenia ich w życie, lecz z teoretycznego punktu widzenia, biorąc pod uwagę, że to cyfrowy sektor gospodarki jest jednym z niewielu, gdzie postęp technologiczny w ostatnich dekadach jest widocznie eksponencjalny, tworzenie mechanizmów prawa publicznego do kreowania nowych rynków w ramach niego wydaje się słusznym kierunkiem. Jest to również kierunek słuszny biorąc pod uwagę potencjał kryjący się w przewadze konkurencyjnej, jaką mogą być dane z sektora publicznego UE, który kumulatywnie jest prawdopodobnie najlepiej zorganizowaną administracją na świecie. W tym sektorze kryje się ogromna ilość potencjalnie użytecznych danych, co wiąże się z potencjalnie cenną wiedzą po odpowiedniej obróbce przez algorytmy i analityków.

W tej konfiguracji KE słusznie, zajmuje swoją tradycyjną rolę regulatora społecznej gospodarki rynkowej UE, tworząc nowe i równe szanse (level playing field) dla rozwoju małych i średnich graczy, którzy nie są w stanie przebić monopolów i efektu sieci (akumulacja takiej ilości danych na danej platformie, prowadząca do przeważająco lepszej jakości usług, czyniąca korzystanie z innych platform nieopłacalnym). Sądze, że takie podejście, co do zasady, to złoty środek pomiędzy ortodoksyjnym neoliberalizmem, który minimalizuje rolę państwa i często pozwala na tzw. porażki rynku (market failure), jak np. w Stanach Zjednoczonych gdzie monopoliści danych, tacy jak Amazon czy Google sieją spustoszenie w sektorze małych i średnich przedsiębiorstw, które w końcu przełożą się na wyższe ceny i gorsze usługi dla ludzi. Z drugiej strony w założeniach DGA to właśnie mali i średni gracze mają decydować jak będą używali tych danych i od ich kreatywności zależy wykorzystanie tego potencjału, więc cięzko mówić o nadregulacji, lub naruszaniu swobody do działalności gospodarczej.

DGA nie będzie w końcu również funkcjonowało w izolacji. Jest jednym z bloków EDS. Od osiągnięcia regulacyjnej synergii między blokami będzie zależało jej powodzenie, dlatego wszelkie szczegółowe wątpliwości, lub nieścisłości muszą być wykluczone na poziomie prac legislacyjnych. Musi być to zrobione przy jednoczesnym zabezpieczeniu się przed nadmiernym wpływem lobbingu wielkich platform zza Atlantyku, dla których EDS i DGA mogą być niekorzystne, a który lobbing może mieć na celu rozmydlenie i EDS i DGA, potencjalnie czyniąc z nich niepotrzebne i tylko administracyjnie obciążające nadregulacje.

 

Jan Czarnocki – doktorant i stypendysta im. Marii Skłodowskiej-Curie w Centrum Prawa Technologii Informacyjnych i Ochrony Własności Intelektualnej Katolickiego Uniwersytetu w Leuven. W swojej pracy bada zagadnienia związane z ochroną prywatności i danych, koncentrując się na ochronie danych biometrycznych i zdrowotnych, w kontekście Internetu Rzeczy i algorytmów Sztucznej Intelignencji. Przed tym pracował jako stażysta w Dyrektoracie Spraw Zagranicznych, w Sekretariacie Europejskiej Partii Ludowej w Parlamencie Europejskim, a także w Centrum Studiów Europejskich im. Wilfrieda Martensa. Uzyskał tytuł magistra prawa na Uniwersytecie Warszawskim i tytuł LL.M prawa porównaczego na Chińskim Uniwersytecie Nauk Politycznych i Prawnych w Pekinie. Oprócz prawa interesuje się geopolityką, ekonomią, filozofią i biznesem w sieci.

Sfinansowano przez Narodowy Instytut Wolności - Centrum Rozwoju Społeczeństwa Obywatelskiego ze środków Programu Rozwoju Organizacji Obywatelskich na lata 2018 – 2030