Armińska Radcowie Prawni

Mój koszyk

zarządzanie danymi okładka do wpisu kobieta dotyka palcem wirtualnych ikon

Zarządzanie danymi – kluczowe aspekty Data Governance Act

Unia Europejska intensywnie pracuje nad stworzeniem solidnych ram prawnych regulujących gospodarkę cyfrową. Wiąże się to z przyjętą Europejską strategią dla danych (The European strategy for data). Strategia ta koncentruje się na stawianiu ludzi na pierwszym miejscu w rozwoju technologii. Stoi też na straży i promuje europejskie wartości i prawa w cyfrowym świecie. Jednym z kluczowych aktów w tym zakresie jest Data Governance Act, czyli akt w sprawie zarządzania danymi. Jakie są jego główne założenia?

Zarządzanie danymi w Data Governance Act (DGA) – czego dotyczy?

Data Governance Act (DGA), czyli akt, który reguluje zarządzanie danymi (data management) to rozporządzenie unijne, które obowiązuje od 24 września 2023 r. DGA koncentruje się na zarządzaniu danymi i ich udostępnianiu. Podstawowym celem DGA jest ułatwienie wymiany danych w Unii Europejskiej. Robi to poprzez tworzenie zaufanych mechanizmów współdzielenia danych, co umożliwia ponowne wykorzystywanie informacji będących już w posiadaniu sektora publicznego. Chodzi o dane objęte ochroną np. ze względu na tajemnicę przedsiębiorstwa czy prawo własności intelektualnej.

DGA zostało opublikowane w Dzienniku Urzędowym UE pod tytułem:

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/868

z dnia 30 maja 2022 r.

w sprawie europejskiego zarządzania danymi i zmieniające rozporządzenie (UE) 2018/1724 (akt w sprawie zarządzania danymi)

Kogo dotyczy Akt o zarządzaniu danymi?

Akt regulujący zarządzanie danymi w Unii Europejskiej powstał w odpowiedzi na potrzeby współczesnej gospodarki opartej na danych. Ich prawidłowe zarządzanie, ochrona i przepływ stają się kluczowe dla rozwoju technologicznego i społecznego. Dlatego tak ważne jest zrozumienie, kto musi dostosować się do nowych przepisów. DGA wpłynie na różne podmioty, organizacje oraz indywidualnych użytkowników danych.

Postanowienia DGA będą miały zastosowanie do:

  1. organów sektora publicznego tj. wszelkich instytucji publicznych czyli urzędów, jednostek samorządu terytorialnego, jednostek ochrony zdrowia itd. (z wyłączeniem przedsiębiorstw państwowych);
  2. pośredników danych (tj. podmiotów, które pomagają pośredniczyć w przepływie danych);
  3. organizacji zajmujących się altruizmem danych.

Altruizm danych – ma miejsce wtedy, gdy osoby fizyczne lub firmy dobrowolnie i bez żądania ani otrzymania wynagrodzenia udostępniają swoje dane, aby można je było wykorzystać w interesie ogólnym.

kobieta siedzi przy biurku przed komputerem i pisze obrazek do wpisu o zarządzaniu danymi

Jak urzędy będą mogły ponownie wykorzystać dane, które już mają?

W swoich systemach zarządzania danymi urzędy przechowują niezliczone ilości danych chronionych prawami osób trzecich (takich jak tajemnice handlowe, dane osobowe lub własność intelektualna). Tych danych nie można wykorzystywać jako danych dostępnych publicznie. Data Governance Act pozwala na umożliwienie ponownego wykorzystania takich danych. Organy sektora publicznego będą musiały przestrzegać warunków ponownego wykorzystania określonych przez DGA.

W szczególności warunki ponownego wykorzystania powinny być:

  • niedyskryminacyjne,
  • przejrzyste,
  • proporcjonalne,
  • uzasadnione i 
  • podawane do wiadomości publicznej.

W praktyce osoby fizyczne, organizacje lub firmy będą miały możliwość składania wniosków do urzędów o ponowne wykorzystanie chronionych danych. Z kolei urzędy będą musiały zdecydować, czy chcą udzielić lub odmówić dostępu do danych w celu ich ponownego wykorzystania.

Przykłady ponownego wykorzystania chronionych danych – Health Data Hub

Zasady dotyczące ponownego wykorzystywania chronionych danych mogą stworzyć możliwości dla wielu podmiotów z różnych branż, które dotychczas miały jedynie ograniczony dostęp do tego rodzaju informacji. Na przykład w obszarze badań medycznych oczekuje się, że nowe badania i próby skorzystają z możliwości dostępu i wykorzystania istniejących danych znajdujących się w posiadaniu organów sektora publicznego. Niedawny przypadek użycia miał miejsce we Francji, gdzie podmiot publiczny o nazwie Health Data Hub uznał ponowne wykorzystywanie danych medycznych za swoją główną misję. Na podstawie danych szkoleniowych udostępnionych producentowi sprzętu medycznego, udało się opracować technologię, która może pomóc w identyfikacji potencjalnych oznak raka skóry we wczesnym stadium.

Data Governance Act a RODO

DGA nie wpływa na stosowanie przepisów RODO ani z nimi nie koliduje. Rozporządzenie samo określa, że powinno pozostawać bez uszczerbku dla postanowień RODO oraz odpowiednich postanowień przepisów prawa krajowego w zakresie ochrony danych osobowych.

Data Governance Act a RODO kobieta pisze na klawiaturze obrazek do wpisu

W przypadku kolizji przepisów pierwszeństwo ma RODO

W szczególności DGA nie można rozumieć jako aktu tworzącego nową podstawę prawną dla przetwarzania danych osobowych w ramach regulowanych działań. Ani też jako zmieniające wymogi informacyjne określone w RODO. W przypadku kolizji między DGA a RODO, pierwszeństwo będzie miało RODO. Jeśli więc w ramach danych przekazywanych w celu ponownego wykorzystania będą znajdowały się także dane osobowe to dane te będą musiały być przetwarzane na zasadach określonych w RODO. Dodatkowo przetwarzanie to powinno opierać się na podstawach prawnych tam wskazanych.

Zarządzanie danymi a bezpieczeństwo danych

Przy udostępnianiu danych na podstawie DGA, podmioty sektora publicznego będą musiały zapewnić skuteczne zabezpieczenia w odniesieniu do danych osobowych. M.in. przed przesłaniem danych osobowych powinny zapewnić ich anonimizację w celu uniemożliwienia identyfikacji osób, których dane dotyczą.

Jeśli nie będzie można zastosować anonimizacji i nie znajdzie zastosowania żadna inna podstawa przetwarzania danych osobowych wynikających z RODO, to podmioty sektora publicznego zostały dodatkowo zobowiązane do dołożenia wszelkich starań, by udzielić pomocy w pozyskaniu podstawy prawnej. Podstawą taką może być zgoda lub pozwolenie potencjalnym ponownym użytkownikom, ustanawiając – jeżeli jest to praktycznie wykonalne – mechanizmy techniczne, które umożliwiają przekazywanie pochodzących od ponownych użytkowników wniosków o wyrażenie zgody lub udzielenie pozwolenia.

DGA – warunki wykorzystywania danych w Unii i nowe ramy

Data Governance Act (DGA) otwiera nowy rozdział w zarządzaniu informacjami w Unii Europejskiej, wprowadzając określone zasady i procedury. Ten akt prawny nie tylko reguluje kwestie ponownego wykorzystania danych sektora publicznego, ale także ustanawia wyraźne ramy dla usług pośrednictwa danych. Zachęca też do altruistycznego dzielenia się danymi.

Natalia Płotka o DataGovernance Act obrazek do wpisu

Dzięki DGA powstaje Europejska Rada ds. Innowacji w zakresie Danych. Ma ona na celu wspieranie nowoczesnych rozwiązań w obszarze danych. Najbliższy czas pokaże, jak te przepisy wpłyną na przyszłość przetwarzania i wykorzystywania danych w Europie.

W ramach DGA ustanawia się:

  1. warunki ponownego wykorzystywania w Unii niektórych kategorii danych będących w posiadaniu podmiotów sektora publicznego;
  2. ramy dotyczące zgłaszania i nadzoru w odniesieniu do świadczenia usług pośrednictwa danych;
  3. ramy dotyczące dobrowolnej rejestracji podmiotów, które gromadzą i przetwarzają dane udostępniane z pobudek altruistycznych; oraz
  4. ramy dotyczące ustanowienia Europejskiej Rady ds. Innowacji w zakresie Danych.

Kluczowe zasady zarządzania danymi wg Data Governance Act

Unijne rozporządzenie opiera się na szeregu zasad, które znajdują odzwierciedlenie w jego przepisach. Te punkty nawiązują też do ogólnych zasad, którymi kierują się społeczeństwa Unii. Jakie najważniejsze zasady statuuje nowy akt?

  1. Ponowne wykorzystanie danych. DGA ustanawia ramy prawne dotyczące ponownego wykorzystania danych, które muszą być przestrzegane przez organy sektora publicznego. Państwa członkowskie są zobowiązane do ustanowienia punktów informacyjnych właściwych do przyjmowania zapytań lub wniosków o ponowne wykorzystanie danych.
  2. Zwiększenie zaufania. DGA promuje neutralność i transparentność pośredników danych, którzy nie mogą korzystać z danych dla własnych celów komercyjnych.
  3. Mechanizmy reużywalności danych publicznych. DGA umożliwia lepsze wykorzystanie danych publicznych przez przedsiębiorstwa i jednostki badawcze. W szczególności chodzi o dane, które są objęte poufnością, w tym tajemnicą handlową, zawodową i tajemnicą przedsiębiorstwa, ochroną praw własności intelektualnej lub ochroną danych osobowych.
  4. Altruizm danych. Osoby fizyczne i firmy mogą wyrazić zgodę na wykorzystanie ich danych osobowych i nieosobowych do celów altruistycznych. Uznane organizacje zajmujące się altruizmem danych będą musiały być organizacjami non-profit, niezależnymi prawnie i wykorzystującymi strukturę funkcjonalnie odrębną od pozostałej działalności tego podmiotu.
  5. Europejska przestrzeń danych. DGA ma na celu stworzenie wspólnego europejskiego rynku danych, który ułatwi transgraniczny przepływ i wykorzystanie danych.

Akt o zarządzaniu danymi – od kiedy trzeba stosować go w Polsce?

Przepisy regulujące zarządzanie danymi jako rozporządzenie unijne mają bezpośrednie zastosowanie w państwach członkowskich, w tym także w Polsce, od dnia jego wejścia w życie tj. od 24 września 2023 r. Jednak DGA wprowadza horyzontalne ramy zarządzania danymi i pozostawia państwom członkowskim pewną swobodę w zakresie organizacji tego systemu. W związku z tym, że polskie prawo nie przewiduje obecnie rozwiązań, które odpowiadałyby mechanizmom regulowanym przez DGA, konieczne jest uchwalenie krajowych regulacji, które będą służyły stosowaniu przepisów rozporządzenia.

Co trzeba uregulować polską ustawą wdrażającą Akt o zarządzaniu danymi?

DGA nakłada na państwa członkowskie obowiązek unormowania w prawie krajowym pewnych kwestii instytucjonalnych, takich jak m.in.:

  • powołanie pojedynczego punktu informacyjnego,
  • powołanie organu właściwego do spraw usług pośrednictwa danych,
  • powołanie organu właściwego do spraw rejestracji organizacji altruizmu danych.

W polskim porządku prawnym trzeba uregulować kwestie proceduralne oraz ustanowić przepisy dotyczące kar za naruszenie DGA. Ustanowione kary powinny być skuteczne, proporcjonalne i odstraszające.

Projekt polskiej Ustawy o zarządzaniu danymi – kary pieniężne za nieprzestrzeganie.

Istnieje już projekt krajowej Ustawy o zarządzaniu danymi. Zakłada on możliwość nakładania na dostawców usług pośrednictwa danych, w formie decyzji, kar pieniężnych w wysokości do 10% obrotu osiągniętego w poprzednim roku obrotowym. DGA nie określa wysokości kar pozostawiając ten obszar do uregulowania przez państwa członkowskie bezpośrednio w ustawach krajowych.

Polska ustawa powinna wejść w życie w dniu rozpoczęcia stosowania DGA (24 września 2023 r.), jednak zgodnie z informacjami udostępnionymi na stronie Rządowego Centrum Legislacji na dzień 8 maja 2024 r. projekt Ustawy o zarządzaniu danymi, nie wyszedł jeszcze poza etap opiniowania:

zarządzanie danymi ustawa proces legislacyjny obrazek

Data Governance Act – zwiększenie przepływu danych i zmniejszenie nierówności

Data Governance Act ma na celu stworzenie bezpiecznych ram prawnych dla wymiany danych wśród państw członkowskich UE. Stosowanie aktu pozwoli na zwiększenie przepływu danych oraz zmniejszenie nierówności w ich dostępie w związku z wprowadzonymi mechanizmami ułatwiającymi pozyskiwanie danych z sektora publicznego. Z pewnością będzie to miało istotny wpływ na kształt rynku, rozwój przedsiębiorstw i pojawienie się nowych perspektyw biznesowych.

Należy uznać, że wprowadzona regulacja będzie miała pozytywny wpływ na rozwój usług z korzyścią dla całej UE. Ułatwiony dostęp do danych może na przykład przyspieszyć prace badawcze w obszarze medycznym i prowadzić do rozwoju nowych leków i technologii.

Podsumowanie

Jeżeli chodzi o perspektywę krajową, to przepisy DGA powinny być stosowane w Polsce od końca września 2023 roku, jednak na dzień dzisiejszy brakuje ustawy krajowej, która ustanawiałaby instytucjonalne i proceduralne warunki stosowania DGA, w tym właściwy organ krajowy do spraw DGA.

Od września 2023 r. na stronie rządowej  https://dane.gov.pl/pl utworzono punkt informacyjny DGA, za pośrednictwem którego mogą być składane wnioski o dostęp do chronionych danych. Na stronie tej utworzono także bazę podmiotów, które mogą udostępnić dane. Adresatem składanych za pośrednictwem tej strony wniosków będzie Ministerstwo Cyfryzacji.

Zarządzasz danymi? Pomożemy Ci robić to zgodnie z przepisami

Zarządzanie danymi w organizacji lub firmie może eć jak wyzwanie. Ale zrozumienie tego procesu krok po kroku znacząco ułatwia to zadanie. Kluczowym elementem jest właściwe określenie zasad zarządzania informacjami w firmie i ich ochrony. Jeśli samodzielne sporządzenie dokumentów np. polityki bezpieczeństwa informacji lub umowy o powierzenie danych osobowych do przetwarzania sprawia Ci trudność, skonsultuj się z prawnikiem.

Nasza kancelaria armińska radcowie prawni od lat pomaga w firmom układać, wdrażać i optymalizować procesy, także te związane z ochroną i przetwarzaniem informacji. Chcesz, abyśmy pomogły Ci z procesami i dokumentacją związaną z danymi osobowymi? Potrzebujesz wsparcia w audycie i dostosowanie się do Data Governance Act? Skontaktuj się z nami.

Zespół kancelarii armińska radcowie prawni
Radczynie prawne z kancelarii armińska radcowie prawni zapraszają do współpracy

IDĘ DO SKLEPU

Niniejszy artykuł ma wyłącznie funkcję informacyjną i publicystyczną i nie stanowi porady prawnej. Jest efektem pracy i wiedzy jego autora. Jeśli potrzebujesz porady prawnej lub oceny prawnej Twojej konkretnej sytuacji, skontaktuj się z radcą prawnym i poproś o indywidualną opinię.

Podoba Ci się ten artykuł? Udostępnij:

Facebook
Twitter
LinkedIn
WhatsApp