Projektowane Rozporządzenie (UE) w sprawie Data Governance oczami Europejskiej Rady Ochrony Danych oraz EDPS. Mamy rozjazd stanowisk Komisji i organów

Jakiś czas temu pisałem o projekcie Data Governance Act (więcej tutaj), który ma doprecyzować dyrektywę w sprawie otwartych danych (o projektowanej ustawie na jej bazie pisałem tutaj) i jednocześnie wprowadzić nowe wymagania dla pośredników przekazujących dane osobowe. Projektowi przyjrzała się Europejska Rada Ochrony Danych oraz „nasz” EDPS, którzy w swoim wspólnym stanowisku przedstawili – chyba krytyczne – stanowisko. Jednym z głównych zarzutów jest „(…) significant inconsistencies with the GDPR”, ale to nie jedyny „zarzut” pod adresem twórców. Przejdźmy przez najciekawsze spostrzeżenia unijnych organów ochrony danych.

EDPB wskazuje chociażby, że projektowane rozporządzenie niedostatecznie chroni dane osobowe. Ciekawe jest tutaj wskazanie, że trend do tworzenia ram dla data-driven economy (opisanej chociażby w Europejskiej Strategii dla danych) bez odpowiednich gwarancji w zakresie ochrony danych osobowych naruszać może nawet prawa podstawowe. Cóż, mamy więc rozjazd, o którym często pisałem, pomiędzy chęcią dorównania przez UE takim gigantom jak Chiny czy Stany Zjednoczone, a niekiedy – moim zdaniem – nadmierną regulacją obszaru data protection. Nie mi rozstrzygać, ale bliżej mi do podejścia Komisji ze względu na potencjał jaki dają otwarte dane dla rozwoju nowych rozwiązań jak uczenie maszynowe czy przetwarzanie języka naturalnego.

Na marginesie EDPB oraz EDPS wskazują wyraźnie, że:

„The EDPB and the EDPS furthermore highlight that the European Union model relies on the mainstreaming of its values and fundamental rights within its policy developments, and that the GDPR must be considered as a foundation on which to build a European data governance model”

A z drugiej strony mamy wskazanie, że unijne ramy prawne w zakresie ochrony danych powinny umożliwiać, a nie blokować rozwój data economy. Tyle tylko, że RODO jest uznawane raczej za „hamulcowego” dla rozwoju ekonomii opartej o danych, szczególnie w takich dziedzinach jak sztuczna inteligencja czy wykorzystanie Big Data.

Idźmy dalej

No alt text provided for this image

Unijne organy wskazują, że project zawiera wiele niezgodności z RODO, w szczególności w kontekście:

1.    Przedmiotu i zakresu projektu;

2.    Definicji;

3.    Podstaw przetwarzania danych osobowych;

4.    Zaciemnienie rozróżnienia pomiędzy przetwarzaniem danych osobowych i nieosobowych plus niejasne nawiązanie do Rozporządzenia w sprawie swobodnego przepływu danych nieosobowych);

5.    Organizacji i uprawnień podmiotów, które mają być organami wyznaczonymi w ramach rozporządzenia – w szczególności w kontekście organów już istniejących.

Jest tego więc trochę i każdy z punktów ma duże znaczenie. Przykładowo w kontekście definicji mamy wyraźne wskazanie, że w odniesieniu do pojęcia „data holdera”:

„EDPS and the EDPB believe that rather than stating that a legal person has the right to grant access to or share personal data, it would be more appropriate referring to whether and under which conditions a certain processing of personal data can be performed or not”

Unijne organy podkreślają także bardzo ważną rzecz – i tutaj pełna zgoda – dotyczącą poszczególnych ról w procesie ochrony danych. Zdaniem opiniujących każdy z „aktorów” tego łańcucha powinien mieć jasno określone role (a więc i obowiązki), co ma przyczynić się do większej przejrzystości oraz jasności rozporządzenia. Brawo. Szczególnie wobec wątpliwości jakie pojawiają się na gruncie RODO w kontekście administratorów.

EDPB oraz EDPS zwrócili także uwagę, że samo projektowane rozporządzenie powinno w sposób wyraźny wskazywać, że każde przetwarzanie danych podlegać powinno ocenie z punktu widzenia art. 6 RODO, a więc zgodności przetwarzania z prawem. Nie ma od tego odstępstw. Przywołany został tutaj przykład metadanych, które de facto na mocy propozycji mogłyby rzeczywiście być wyłączone z ochrony. Chodzi tutaj o art. 11 pkt 2 propozycji, gdzie wskazano, że metadane zebrane w ramach świadczenia usługi udostępniania danych mogą

być wykorzystane wyłącznie do celów rozwoju tej usługi, a zdaniem EDPB te dane mogą też być danymi osobowymi.

No alt text provided for this image

A idąc dalej, EDPB/EDPS są zdania, że żadne z postanowień propozycji nie wskazuje samodzielnej podstawy do ponownego wykorzystania danych osobowych ze względu na brak spełnienia warunków z art. 6 ust. 3 RODO. No cóż, może i racja?

Organy?

To też ciekawy wątek. Tutaj unijne organy wskazują, że zasadnym byłoby jednak, aby wszystkie uprawnienia i zadania wynikające z propozycji były wprost przypisane do organów ochrony danych, szczególnie że obecnie projekt pozostawia w tym zakresie swobodę wyboru państwom członkowskim. Pytanie tylko czy Data Governance Act ma realizować dokładnie te same cele co RODO?

Nawiązanie do open data

 Mamy tutaj jasne wskazanie, że mechanizmy ochrony danych osobowych w ramach ich ponownego wykorzystania w kontekście Open Data Directive już istnieją i znajdują się właśnie w tej dyrektywie i RODO. Tutaj rekomendacja jest taka, aby cały rozdział II dopasować do tych wymagań i zapewnić taki sam poziom ochrony.

Dalej mamy nawiązania do zasad określonych w art. 5 RODO, w tym w kontekście istnienia odpowiedniej podstawy prawnej.

EDPS oraz EDPB wskazują także na konieczność spełniania przez organy publiczne obowiązków informacyjnych, głównie w kontekście praw użytkowników.

To oczywiście nie wszystko, bo nie jesteśmy nawet w połowie, ale dzisiaj nie mam już siły na więcej. Temat jest obszerny i zaczynam dochodzi do wniosku, że potrzebujemy po prostu GDPR 3.

 Artykuł stanowi moją prywatną opinię i nie może być utożsamiany ze stanowiskiem jakiejkolwiek instytucji z którą jestem lub byłem związany.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *