Dyrektywa NIS2 [1] to jedno z głośniejszych haseł w ostatnim czasie. To już (raczej) powszechnie znany fakt, iż konieczność implementacji dyrektywy NIS2 w ramach przepisów krajowych, wiąże się ze znaczącym rozszerzeniem kręgu podmiotów, które będą zobowiązane do wdrożenia obowiązków wynikających z nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa [2]. Na ustawę, dzięki której regulacje z dyrektywy NIS2 zostaną wprowadzone do naszego porządku prawnego, jeszcze musimy poczekać. Na stan obecny, na podstawie najświeższego projektu ustawy zmieniającej ustawę o krajowym systemie cyberbezpieczeństwa [3], możemy wyłącznie przewidywać, jak będzie klarował się przyszły stan prawny. Jako, iż na finalny kształt przepisów musimy poczekać, uwagi wymaga […]
Data Governance Act – czyli nowe prawo Unii Europejskiej w sprawie zarządzania danymi
22 września 2023 | Artur Kruziński
Już 24 września 2023 r. swoje zastosowanie rozpocznie Data Governance Act, czyli rozporządzenie w sprawie zarządzania danymi w krajach Unii Europejskiej. Celem regulacji jest dalsze rozwijanie wewnętrznego rynku cyfrowego wolnego od granic oraz opartego na zwiększaniu zaufania do dzielenia się danymi poprzez ustanowienie odpowiednich mechanizmów kontroli.
Cel wprowadzenia regulacji Data Governance Act
Jednym z głównych założeń wprowadzenia regulacji Data Governance Act (dalej jako: „DGA”) jest udostępnienie większej ilości danych, wprowadzenie mechanizmów zwiększających dostępność danych z jednoczesnym zabezpieczeniem technicznym ich ponownego wykorzystania. Jak podkreśla się w rozporządzeniu: „ogólnounijne ramy zarządzania powinny mieć na celu budowanie zaufania osób fizycznych i przedsiębiorstw w zakresie dostępu do danych, ich kontroli, dzielenia się nimi, ich wykorzystywania i ponownego wykorzystywania, w szczególności poprzez ustanowienie odpowiednich mechanizmów umożliwiających osobom, których dane dotyczą, poznanie przysługujących im praw i ich skuteczne wykonywanie (…).” [1]. Zgodnie z rozporządzeniem, wprowadzenie niniejszej regulacji ma służyć realizacji europejskiej strategii w zakresie danych, które mogą obejmować takie obszary jak zdrowie, mobilność, produkcja, usługi finansowe, energia lub rolnictwo, a także wiele innych.
Ponowne wykorzystanie danych będących w posiadaniu podmiotów sektora publicznego
Nie od dziś wiadomo, iż jednym z założeń Unii Europejskiej była koncepcja, że dane zgromadzone przez sektor publiczny powinny przynosić korzyści społeczeństwu przy jednoczesnej ochronie danych osobowych czy też danych poufnych. Tym samym, wychodząc naprzeciw tym oczekiwaniom, DGA ma być instrumentem służącym udostępnianiu większej ilości danych poprzez regulację ich ponownego wykorzystania. Instrument ten zgodnie z DGA oznacza „wykorzystywanie przez osoby fizyczne lub prawne danych będących w posiadaniu podmiotów sektora publicznego, do celów komercyjnych lub niekomercyjnych innych niż ich pierwotne przeznaczenie w ramach zadań publicznych, dla którego to celu dane te zostały wytworzone, z wyjątkiem wymiany danych między podmiotami sektora publicznego służącej wyłącznie wykonywaniu zadań publicznych” [2]. Tym samym, warunkiem ponownego wykorzystania danych jest to, że muszą być one w posiadaniu podmiotów sektora publicznego. Przez sektor publiczny należy natomiast rozumieć państwo, organy regionalne lub lokalne, podmioty prawa publicznego lub stowarzyszenia złożone z co najmniej jednego takiego organu lub podmiotu prawa publicznego. Do powyższej kategorii należą zatem m.in. jednostki samorządu terytorialnego.
Warunki ponownego wykorzystywania
Podmioty sektora publicznego właściwe do udzielania dostępu w celu umożliwienia ponownego wykorzystywania danych są zobowiązane udostępnić warunki, które muszą być spełnione do uzyskania zezwolenia na wykorzystywanie danych, w tym procedurę występowania z wnioskiem o ponowne wykorzystywanie danych. Tym samym, ponowne wykorzystywanie danych będzie odbywało się na wniosek. Natomiast same warunki ponownego wykorzystywania danych muszą być niedyskryminujące, przejrzyste, proporcjonalne i obiektywnie uzasadnione. Zgodnie z powyższym zasadami podmioty sektora publicznego mogą pobierać opłaty za zezwolenie za ponowne wykorzystywanie takich danych.
DGA a RODO
Jak już wyżej wskazywaliśmy, jednym z głównych celów wprowadzenia regulacji jest ułatwienie dostępu do danych, natomiast jak wynika z DGA, w zakresie danych osobowych zastosowanie mają przepisy RODO. Podkreślenia wymaga fakt, że w przypadku kolizji pomiędzy DGA a prawem Unii w dziedzinie ochrony danych osobowych lub prawem krajowym, pierwszeństwo ma odpowiednie prawo Unii lub prawo krajowe w zakresie ochrony danych osobowych. Oznacza to, że w sytuacji, w której przedmiotem ponownego wykorzystania będą dane osobowe, wówczas należy stosować przepisy RODO. Tym samym, podmioty sektora publicznego muszą zagwarantować ochronę danych osobowych na przykład poprzez ich anonimizację.
Podsumowując, DGA swoimi regulacjami obejmuje dane będące w posiadaniu podmiotów sektora publicznego w celu ich ponownego wykorzystywania. Niewątpliwie podmioty sektora publicznego w celu wdrożenia regulacji w życie muszą się odpowiednio przygotować pod względem technicznym, aby dane były przetwarzane nie tylko zgodnie z rozporządzeniem, ale także z należytą ochroną danych osobowych. Należy zapamiętać, iż od 24 września 2023 r. należy stosować DGA, chociaż bez ustawy regulującej szczegółowe zasady może być to utrudnione.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/868 z dnia 30 maja 2022 r. w sprawie europejskiego zarządzania danymi i zmieniające rozporządzenie (UE) 2018/1724 (akt w sprawie zarządzania danymi).
[2] Artykuł 2 pkt 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/868 z dnia 30 maja 2022 r. w sprawie europejskiego zarządzania danymi i zmieniające rozporządzenie (UE) 2018/1724 (akt w sprawie zarządzania danymi).
Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa oraz ma charakter wyłącznie informacyjny. Stanowi wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.