LexDigital

Data Governance Act (akt ws. zarządzania danymi) - ponowne wykorzystanie danych i nowe usługi pośrednictwa w zakresie udostępniania danych

Celem Data Governance Act jest zwiększenie zaufania do udostępniania danych, wzmocnienie mechanizmów zwiększania dostępności danych i przezwyciężenie przeszkód technicznych w ponownym wykorzystywaniu danych.

Data Governance Act (akt ws. zarządzania danymi) - ponowne wykorzystanie danych i nowe usługi pośrednictwa w zakresie udostępniania danych

Już jakiś czas temu Unia Europejska dostrzegła, że dane i informacje stoją w centrum współczesnej gospodarki zdominowanej przez technologie cyfrowe.  W związku z tym, w lutym 2020 r. Komisja Europejska ogłosiła europejską strategię w sprawie danych (dalej: DGA). Celem DGA są działania na rzecz utworzenia wewnętrznego rynku danych, na którym dane mogłyby być wykorzystywane, zgodnie z obowiązującymi przepisami, bez względu na fizyczne miejsce ich przechowywania w Unii.  Data Governance Act czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/868 z dnia 30 maja 2022 r. w sprawie europejskiego zarządzania danymi oraz zmieniające rozporządzenie UE 2018/1724 (akt w sprawie zarządzania danymi), ma być jednym z kluczowych filarów wspomnianej strategii.

Ponadto, DGA ma służyć realizacji europejskiej strategii w sprawie danych poprzez stworzenie ram prawnych wspólnych europejskich przestrzeni danych w strategicznych dziedzinach. Strategia angażuje zarówno podmioty prywatne, jak i publiczne, w sektorach takich jak zdrowie, środowisko, energia, rolnictwo, mobilność, finanse, produkcja czy administracja publiczna.


Co reguluje DGA?

Data Governance Act reguluje cztery obszary, którymi są:

  1. warunki ponownego wykorzystywania w Unii niektórych kategorii danych będących w posiadaniu podmiotów sektora publicznego,
  2. zgłaszanie oraz nadzór w odniesieniu do świadczenia usług pośrednictwa danych,
  3. dobrowolną rejestrację podmiotów, które gromadzą i przetwarzają dane udostępniane z pobudek altruistycznych,
  4. Europejską Radę ds. Innowacji w zakresie danych.

Czym są dane wg DGA?

Ponowne wykorzystanie danych jest sednem Data Governance Act. To ten mechanizm ma w głównej mierze umożliwić szeroki przepływ i wykorzystanie danych. Powstaje jednak zasadnicze pytanie:

O jakie dane tutaj chodzi? 

Zgodnie z DGA dane należy rozumieć jako:

  1. cyfrowe odwzorowania działań, faktów lub informacji oraz
  2. wszelkie kompilacje takich działań́, faktów lub informacji, w tym w formie zapisu dźwiękowego, wizualnego lub audiowizualnego.

Definicja danych jest zatem bardzo szeroka i w praktyce trudno wskazać, jakie treści nie będą danymi w rozumieniu DGA. O tym, że dane w rozumieniu DGA należy postrzegać szeroko świadczy fakt, że rozporządzenie posługuje się pojęciami danych osobowych, jak również danych nieosobowych.

Klarowna jest przynajmniej sama forma danych. Definicja wskazuje, że chodzi o cyfrową formę danych.

european parliament, strasbourg, patio

Ponowne wykorzystanie danych

Ponowne wykorzystanie, zgodnie z DGA, oznacza wykorzystywanie przez osoby fizyczne lub prawne danych będących w posiadaniu podmiotów sektora publicznego. Dane są wykorzystywane do celów komercyjnych lub niekomercyjnych innych niż ich pierwotne przeznaczenie w ramach zadań publicznych, dla którego to celu dane te zostały wytworzone, z wyjątkiem wymiany danych między podmiotami sektora publicznego służącej wyłącznie wykonywaniu zadań publicznych.

Jak wynika z powyższej definicji kluczowym elementem ponownego wykorzystania danych jest to, że dane, które podlegają temu mechanizmowi pierwotnie znajdują się w posiadaniu podmiotów sektora publicznego.

Jakie podmioty tworzą ten sektor?

Zgodnie z DGA, sektor publiczny tworzą m.in. takie podmioty jak państwo, organy regionalne lub lokalne, a także podmioty prawa publicznego, przez które, w dużym uproszczeniu, należy rozumieć podmioty utworzone w celu niekomercyjnego zaspokajania potrzeb w interesie ogólnym. W praktyce zatem mowa tutaj m.in. o jednostkach samorządu terytorialnego, urzędach, jednostkach ochrony zdrowia.

Idąc dalej, definicja wykorzystania danych wskazuje podmioty, które mogą ponownie wykorzystać dane i cele, w jakich mogą je wykorzystać. W tych dwóch elementach uwidacznia się zasadniczy cel DGA. Zakres podmiotowy, jaki i celowościowy ponownego wykorzystania danych jest bowiem na tyle pojemny, że – przynajmniej w teorii – powinien stworzyć odpowiednie warunki dla przestrzeni danych, na której zależy Unii Europejskiej.   

Co istotne, DGA wprost wskazuje do jakich kategorii danych będących w posiadaniu sektora publicznego znajduje zastosowanie ponowne wykorzystanie danych. Zasadniczo bowiem przepisy dotyczące ponownego wykorzystania danych będą miały zastosowanie do danych, które są chronione ze względu na:

  1. poufność informacji handlowych,
  2. poufność informacji statystycznych,
  3. ochronę praw własności intelektualnej osób trzecich,
  4. ochronę danych osobowych.

Mając powyższe na uwadze, warto zauważyć, że już teraz ponowne wykorzystanie danych jest wdrażane w niektórych państwach. Z resztą sama Komisja Europejska, wyjaśniając założenia Data Governance Act, przytacza chociażby przykład FINDATA, czyli fińskiego urzędu udzielającego dostępu do danych społecznych i zdrowotnych w celu ich dalszego wykorzystania na potrzeby np. badań naukowych. W Polsce ciekawym projektem w tym zakresie jest realizowana przez Górnośląsko-Zagłębiowską Metropolię platforma typu Open Data.

Warunki ponownego wykorzystania danych

Data Governance Act dosyć szczegółowo reguluje warunki ponownego wykorzystania danych. W szczególności warto zwrócić uwagę na następujące kwestie:

  1. Ponowne wykorzystanie danych będzie odbywało się na wniosek. W związku z tym podmioty upoważnione do udzielenia dostępu do danych będą musiały opracować i upublicznić warunki, które muszą zostać spełnione w celu zezwolenia na takie ponowne wykorzystywanie, oraz procedurę występowania z wnioskiem o ponowne wykorzystywanie.
  2. Podmioty sektora publicznego będą mogły pobierać opłaty za zezwolenie na ponowne wykorzystanie danych, przy czym opłaty te będą musiały być niedyskryminujące, przejrzyste, proporcjonalne i obiektywnie uzasadnione oraz nie będą mogły ograniczać konkurencji.

recycle, reuse, utility

Anonimizacja i bezpieczne środowisko przetwarzania

Rolą podmiotów sektora publicznego w ponownym wykorzystaniu danych będzie m.in. zagwarantowanie, aby udostępnione dane zachowały swój chroniony charakter. Co to oznacza w przypadku danych osobowych? Podmiot publiczny chociażby będzie mógł ustanawiać wymagania polegające na anonimizacji danych osobowych.

Dostęp do danych będzie również możliwy w sposób zdalny. Ten sposób dostępu do danych będzie wymagał zapewnienia tzw. bezpiecznego środowiska przetwarzania. Przez bezpieczne środowisko przetwarzania należy z kolei rozumieć takie środowisko fizyczne lub wirtualne wraz z środkami organizacyjnymi, które będzie zapewniało przestrzeganie prawa Unii, w szczególności pod względem praw osób, których dane dotyczą. Warto tutaj zwrócić uwagę, że w DGA spośród całego prawa unijnego to RODO zostało literalnie wskazane jako ten akt, który w szczególności powinien być uwzględnimy w procesie tworzenia bezpiecznego środowiska przetwarzania.

DGA a RODO

Relacja pomiędzy DGA a RODO została dosyć wyraźnie zarysowana w samym DGA. Data Governance Act, jak głosi jeden z jego motywów, będzie pozostawał bez uszczerbku dla RODO, co oznacza, że nie będzie naruszał, ani zmieniał postanowień RODO. W szczególności DGA wskazuje, że nie powinien być rozumiany jako tworzący nową podstawę prawną dla przetwarzania danych osobowych w ramach regulowanych działań lub jako zmieniający wymogi informacyjne określone w RODO.

Ponadto, Data Governance Act wprost wskazuje, że w przypadku kolizji pomiędzy nim a prawem unijnym lub krajowym w dziedzinie ochrony danych osobowych pierwszeństwo będzie miało odpowiednie prawo Unii lub prawo krajowe w dziedzinie ochrony danych osobowych.

Powyższe oznacza, że w sytuacji, w której przedmiotem ponownego wykorzystania będą dane zawierające dane osobowe konieczne będzie postępowanie zgodne z RODO.

W powyższym kontekście należy w szczególności zwrócić uwagę na rolę podmiotów sektora publicznego. Podmioty te, jak już była o tym mowa powyżej, będą bowiem musiały zagwarantować, aby chroniony charakter danych został zachowany. W tym celu podmioty sektora publicznego będą m.in. zapewniały anonimizację w przypadku danych osobowych.

Co interesujące, w przypadku gdy nie będzie możliwe zezwolenie na ponowne wykorzystanie danych zgodnie z obowiązkiem anonimizacji, jak również RODO nie będzie dawało podstawy prawnej do przesłania danych, podmiot sektora publicznego będzie zobowiązany dołożyć wszelkich starań zgodnych z prawem, by potencjalnym ponownym użytkownikom udzielić pomocy w uzyskaniu zgody osób, których dane dotyczą.

banner, flag, europe

Usługi pośrednictwa danych

DGA stworzy również ramy dla nowego modelu biznesowego, jakim będą usługi pośrednictwa danych. Zadaniem pośredników będzie stworzenie bezpiecznych mechanizmów dzielenia się danymi np. pomiędzy osobami fizycznymi a potencjalnymi użytkownikami danych.

Warto zauważyć, że celem usług pośrednictwa ma być nie tylko dzielenie się danymi, ale również wykonywanie praw osób których dane dotyczą.

Świadczenie usług pośrednictwa danych będzie obwarowane sporą ilością warunków. W tym aspekcie na szczególną uwagę zasługują następujące warunki:

  1. dostawca usług pośrednictwa danych nie będzie mógł wykorzystywać danych będących przedmiotem świadczonych przez niego usług do celów innych niż oddanie ich do dyspozycji użytkownikom danych;
  2. usługi pośrednictwa danych będą mogły obejmować oferowanie posiadaczom danych lub osobom, których dane dotyczą, dodatkowych specjalnych narzędzi i usług ułatwiających wymianę danych, takich jak: tymczasowe przechowywanie, kuratorstwo, konwersja, anonimizacja i pseudonimizacja.

Na koniec należy zauważyć, że działalność w zakresie usług pośrednictwa danych wymagać będzie wpisu do rejestru dostawców usług udostępniania danych i będzie nadzorowana przez właściwe organy do spraw usług pośrednictwa powołane przez państwa członkowskie.

Podsumowanie

DGA zostało opublikowane w Dzienniku Urzędowym UE w dniu 3 czerwca 2022 r., jednak stosowanie jego przepisów zostało odroczone do 24 września 2023 r. Do tej daty podmioty, których dotyczą regulacje mają czas na dostosowanie działalności do nowych przepisów.

Pełną treść DGA oraz więcej na jego temat możemy przeczytać na stronie Komisji Europejskiej:

https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_pl

Autorem artykułu jest radca prawny:

Polecane

Podsumowanie listopadowego newslettera Europejskiego Inspektora Ochrony Danych (EIOD/EDPS)

Podsumowanie listopadowego newslettera Europejskiego Inspektora Ochrony Danych (EIOD/EDPS)

​W listopadowym biuletynie informacyjnym Europejskiego Inspektora Ochrony Danych (EIOD/EDPS) czytamy m.in. o: pierwszej Konferencji Nadzoru EIOD współorganizowanej z Eurojustem – Agencją Unii Europejskiej ds. Współpracy Wymiarów Sprawiedliwości w Sprawach Karnych oraz EPPO – Prokuratura Europejska; ochronie danych osobowych przed atakami typu phishing i ransomware; kontrolach przeprowadzonych przez EIOD wśród trzech dużych systemów informatycznych UE.

Standard TISAX

Standard TISAX

Firmy z branży automotive wiedzą o standardzie TISAX. Podłożem standardu jest kompleks wymagań branżowych, które mają zapewnić, że dane i informacje będą bezpieczne. Standard TISAX skupia się na zapewnieniu by przetwarzanie i zarządzanie informacjami odbywało się w sposób bezpieczny i odpowiedzialny.

487 milionów numerów telefonów na sprzedaż: wyciek danych z WhatsApp

487 milionów numerów telefonów na sprzedaż: wyciek danych z WhatsApp

Do sieci wyciekły aktualne numery telefonów komórkowych prawie 500 milionów użytkowników WhatsApp. Jak podaje portal Cybernews, 16 listopada pewien człowiek opublikował reklamę na znanym forum społeczności hakerskiej, twierdząc, że sprzedaje bazę danych z 2022 r. zawierającą 487 milionów numerów telefonów użytkowników WhatsApp.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk