Kolejne rozporządzenie UE w sprawie danych. Tym razem ma być łatwiej w dzieleniu się nimi

Jakiś czas temu pisałem o projekcie ustawy w sprawie otwartych danych, która w założeniu ma umożliwić wykorzystanie danych publicznych szerszej „publice”. Dwa dni temu pojawiła się propozycja Komisji (UE) nowego rozporządzenia w sprawie „European data governance”. Dokument stanowi uzupełnienie dyrektyw w sprawie otwartych danych na podstawie, której ma zostać przyjęta powyższa ustawa. W założeniu rozporządzenie ma umożliwić m.in. wykorzystanie danych publicznych czy wymianę danych pomiędzy przedsiębiorcami. Zakłada także ustanowienie tzw. personal data-sharing intermediary czy ułatwienia altruistycznego wykorzystania danych (to bardzo ciekawy wątek). Przyjrzyjmy się projektowi.

Zacznijmy od tego do czego zastosowanie ma mieć rozporządzenie. Art. 3 przewiduje, że możliwość ponownego wykorzystania danych należących do podmiotów publicznych odnosi się do danych objętych ochroną w zakresie tajemnicy handlowej (commercial confidentiality – chyba tak to należy rozumieć), statystyki, praw własności intelektualnej osób trzecich czy przepisami o ochronie danych osobowych.

No alt text provided for this image

Jednocześnie wprowadzono szereg wyłaczeń m.in. w zakresie danych telewizji publicznej (podobnie jak w ustawie), danych przedsiębiorstw państwowych czy tzw. cultural establishments czy chronionych ze względu np. na tajemnicę państwową. Mamy też zastrzeżenie, że rozporządzenie nie zobowiązuje organów publicznych do uchylania obowiązków w zakresie ochrony danych. Jest to więc jedynie możliwość.

Ważne jest to, że wyraźnie wskazano na zakaz dyskryminacji, w tym umownej, w zakresie dostępu do danych, choć jednocześnie możliwe jest takie działanie, jeżeli jest to niezbędne do wypracowania produktu lub usługi dla dobra ogółu. Nie można też zapominać, że rozporządzenie przewiduje, że podmiot publiczny może ograniczyć wykorzystanie danych do tych, które zostały zanonimizowane lub podlegały pseudonimizacji. Dotyczy to także możliwości usunięcia danych stanowiących tajemnicę przedsiębiorstwa.

Jak to ma działać?

No alt text provided for this image

Na początek podmioty, który ma udzielić informacji powinien opublikować zasady wykorzystania (re-use) tych danych. Takie podmioty mogą szukać wsparcia u organów „sektorowych”, które będą odpowiedzialne za wspieranie podmiotów publicznych m.in. w aspektach technicznych.

Istotne jest przy tym to, że podmioty publiczne mogą nałożyć na podmioty korzystające z danych obowiązek przetwarzania danych w ramach środowiska „zbudowanego” w ramach infrastruktury IT podmiotu publicznego lub nawet na miejscu (w siedzibie). Na tych podmiotach ciążyć będzie też obowiązek zapewnienia odpowiedniego poziomu bezpieczeństwa, w tym poprzez monitoring przetwarzania.

Kolejne zastrzeżenie. Unia może wydać akt(y), który będzie przydawał określonym danym nieosobowym status wysoce wrażliwych. Jeżeli będzie to miało miejsce, to Komisja będzie też upoważniona do określenia warunków ewentualnego transferu tych danych poza EOG. W takiej sytuacji przekazywanie danych będzie mogło odbyć się jedynie pod warunkami określonymi dodatkowo w art. 5 ust. 9-11 projektowanego rozporządzenia, a dodatkowo podmiot publiczny będzie miał obowiązek poinformować posiadacza danych, jeżeli wykorzystujący jego dane przekazywać będzie je poza EOG.

Za udostępnienie danych podmioty publiczne będą mogły pobierać opłaty i co bardzo ciekawe powinny one umożliwić ich dokonywanie poprzez „widely available cross-border payment services”. Dane odnośnie opłat mają być publicznie dostępne.

Data sharing jako główny „wątek” rozporządzenia

Projektowane rozporządzenie wprowadza nowe obowiązki w zakresie notyfikacji dla pewnych kategorii usług pośrednictwa. W słowniczku znajdziemy definicję „data sharing”, które należy rozumieć jako:

„provision by a data holder of data to a data user for the purpose of joint or individual use of the shared data, based on voluntary agreements, directly or through an intermediary”.

Ufff, zabójcza definicja. Chodzi generalnie o możliwość wymiany danych pomiędzy różnymi podmiotami, w tym w formule B2B. Projekt ma wprowadzić dodatkowe podmioty zaufane (na wzór podmiotów świadczących usługi zaufania), które będą pośrednikami w takiej wymianie, a które będą podlegać bardzo wysokim wymaganiom i obowiązkom. Będzie to o tyle istotne, że te podmioty będą odpowiedzialne także za zarządzanie zgodami oraz obowiązkami informacyjnymi.

Dlatego też te podmioty będą podlegały procedurze notyfikacyjnej do właściwego organu, a rozporządzenie „daje” też konkretne wymagania względem takich organów (art. 23). Jak czytam te wymagania to wcale nie mam przekonania, że muszą to być organy publiczne jak UODO, bo tutaj mamy rozróżnienie na data protection authorities. Sama notyfikacja nie będzie przesadnie rozbudowana.

No alt text provided for this image

Art. 11 wskazuje nam jakie wymagania stawia przed takimi pośrednikami. Jest ich trochę (12) i mamy tutaj m.in. zakaz wykorzystania danych do celów innych niż „rozdzielenie” pomiędzy zainteresowanymi stronami czy ograniczenie wykorzystania metadanych tylko dla rozwoju usługi. Taki podmiot musi mieć także odpowiednie rozwiązania organizacyjne i techniczne, a także stosowne procedury na wypadek fraudów czy innych zagrożeń dla integralności i bezpieczeństwa danych. Spełnienie wszystkich wymogów będzie podlegało monitorowaniu przez właściwy organ.

Na koniec ważna uwaga. Powyższe wymagania nie będą miały zastosowania do NGOs, które działają w interesie publicznym. 

I na dziś tyle

W przyszłym tygodniu postaram się napisać kolejną analizę. Tym bardziej, że dalej jest jeszcze ciekawiej. Mamy np. European Data Innovation Board czy wspomniany „altruizm”. Jeżeli chodzi o proponowaną datę wejścia w życie, to 12 miesięcy od publikacji (z pewnymi wyjątkami).

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *