W dynamicznie rozwijającej się gospodarce cyfrowej rola danych nieustannie rośnie — stają się one kluczowym zasobem zarówno dla przedsiębiorstw, jak i instytucji publicznych czy środowiska naukowego. Po omówieniu założeń Data Act przez mec. Aleksandrę Ziętek, dziś skupiamy się na Data Governance Act (DGA) – Rozporządzeniu (UE) 2022/868 w sprawie zarządzania danymi, które od 24 września 2023 r. jest bezpośrednio stosowane w państwach członkowskich UE. DGA wprowadza ramy prawne budujące zaufanie i umożliwiające bezpieczne oraz skuteczne udostępnianie i ponowne wykorzystanie danych. Razem z Data Act tworzy spójny system regulacyjny sprzyjający innowacjom, chroniący interesy jednostek i ułatwiający dostęp do danych. W dalszej części przedstawiamy cele, istotę oraz kluczowe założenia DGA i opisujemy działania związane z jego wdrożeniem w Polsce.

Cele i istota Data Governance Act

Głównym celem DGA jest budowanie zaufania wokół procesu udostępniania danych oraz stworzenie kompleksowych ram prawnych, które umożliwiają ich szerokie i bezpieczne wykorzystanie. DGA nie ogranicza się wyłącznie do danych osobowych – obejmuje wszelkie dane mające znaczenie gospodarcze i społeczne. Rozporządzenie adresuje kluczowe wyzwania związane z ochroną prywatności, tajemnicą handlową czy prawami własności intelektualnej, zapewniając równocześnie mechanizmy umożliwiające ponowne wykorzystanie danych sektora publicznego oraz powstawanie wspólnych europejskich przestrzeni danych.

Kluczowe założenia DGA

Akt w sprawie zarządzania danymi będzie wspierał tworzenie i rozwój wspólnych europejskich przestrzeni danych w dziedzinach strategicznych, z udziałem zarówno podmiotów prywatnych, jak i publicznych, w sektorach takich jak zdrowie, środowisko, energia, rolnictwo, mobilność, finanse, produkcja, administracja publiczna i umiejętności. 

DGA reguluje stworzenie ram prawnych dla zarządzania danymi, które obejmują: 

• Ponowne wykorzystanie danych sektora publicznego – DGA zobowiązuje administrację do opracowania bezpiecznych procedur udostępniania danych chronionych, takich jak dane objęte tajemnicą handlową, prawami autorskimi czy własnością intelektualną. Udostępnianie musi odbywać się z poszanowaniem interesów jednostek i organizacji.
• Bezpieczne udostępnianie danych osobowych – W przypadku danych osobowych niezbędne jest zastosowanie mechanizmów anonimizacji lub pseudonimizacji, które chronią prawa jednostki i zapobiegają nieuprawnionemu dostępowi.
• Rozwój usług pośrednictwa danych – które zapewniają bezpieczne i przejrzyste transakcje między podmiotami udostępniającymi dane a ich użytkownikami. W praktyce pośrednicy
  w zakresie danych będą działać jako neutralne strony trzecie, które łączą osoby fizyczne i przedsiębiorstwa z użytkownikami danych.
• Altruizm danych – to jedno z ciekawszych rozwiązań: dobrowolne i bezpłatne udostępnianie danych w interesie publicznym, np. dla badań nad zdrowiem, ochroną środowiska czy innowacjami. Organizacje altruizmu danych będą rejestrowane i nadzorowane, aby zapewnić przejrzystość i zgodność z przepisami.
• Wspólne przestrzenie danych – DGA wspiera budowę sektorowych ekosystemów danych (np. zdrowotnych, rolniczych, energetycznych), które mają stać się fundamentem innowacji oraz rozwoju nowych usług w kluczowych sektorach europejskiej gospodarki.
• Bezpieczeństwo międzynarodowe – DGA przewiduje mechanizmy zabezpieczające przed nieuprawnionym dostępem państw trzecich do danych przechowywanych w UE, co wpisuje się w szerszą politykę cyfrowej suwerenności.

Implementacja DGA w Polsce

Wdrożenie DGA w Polsce odbywa się poprzez projekt ustawy oznaczony jako UC67, który dostosowuje krajowe przepisy do wymagań rozporządzenia unijnego. Choć DGA obowiązuje bezpośrednio od 24 września 2023 roku, dla pełnej skuteczności wymaga wsparcia przez regulacje krajowe. Projekt ustawy przewiduje m.in.:

• Jednolity punkt kontaktowy dla podmiotów chcących korzystać z chronionych danych publicznych. 
• Organy nadzoru, które będą monitorować dostawców usług pośrednictwa danych oraz organizacje altruizmu danych, zapewniając zgodność z przepisami. Każde państwo musi wskazać krajowy organ odpowiedzialny za nadzór nad stosowaniem przepisów rozporządzenia. 
• Sankcje za naruszenia: Rozporządzenie wymaga, aby państwa określiły odpowiedzialność i sankcje za jego naruszenie (wysokość kar, procedury egzekwowania itp.). 
• Określenie procedur współpracy: Państwa mogą uregulować sposób współdziałania między krajowymi organami nadzoru a podmiotami objętymi rozporządzeniem. 

Rozporządzenie wprowadza również zasady dotyczące transgranicznego przekazywania danych oraz środki zapobiegające nieuprawnionemu dostępowi do danych przez państwa trzecie. Państwa członkowskie, w tym Polska, są zobowiązane do określenia sankcji za naruszenie przepisów. 

Projekt ustawy wdrażającej DGA obecnie znajduje się w Rządowym Centrum Legislacji (RCL), gdzie podlega szczegółowej analizie pod względem zgodności z krajowym i unijnym prawem oraz kompletności zaproponowanych rozwiązań. Dokument jest aktualnie procedowany w Komisji Prawniczej, gdzie eksperci weryfikują zapisy projektu oraz identyfikują obszary wymagające doprecyzowania przed skierowaniem ustawy do dalszych prac legislacyjnych.

Znaczenie praktyczne

• Nauka – DGA otwiera nowe możliwości dostępu do danych zdrowotnych i środowiskowych, wspierając badania naukowe, analizę trendów oraz prognozowanie zagrożeń.
• Biznes – przedsiębiorstwa zyskują szerszy dostęp do danych przemysłowych i transportowych, co pozwala na rozwój nowych technologii, optymalizację procesów oraz wzmacnianie konkurencyjności.
• Administracja – dzięki nowym mechanizmom udostępniania danych możliwe jest świadczenie lepszych, bardziej przejrzystych usług publicznych oraz efektywne zarządzanie zasobami państwa.
• Obywatele – zyskują dostęp do innowacyjnych usług cyfrowych, większą przejrzystość
  w działaniu administracji oraz lepszą ochronę swoich danych osobowych.

Dla przedsiębiorców i instytucji badawczych oznacza to szerszy i bardziej przejrzysty dostęp do danych publicznych, które dotąd często były rozproszone lub niedostępne. Z kolei administracja publiczna będzie musiała przygotować się na wdrożenie nowych procedur, w tym stworzenie jednolitego punktu kontaktowego dla zainteresowanych podmiotów.

Słowem podsumowania

Data Governance Act to kolejny krok w budowaniu europejskiej gospodarki opartej na danych. O ile Data Act koncentruje się na sprawiedliwym dostępie i wymianie danych pomiędzy podmiotami prywatnymi i publicznymi, o tyle DGA tworzy fundamenty zaufania i reguły gry w zakresie udostępniania i zarządzania nimi. Choć przed nami jeszcze etap pełnego wdrożenia w prawie polskim, już teraz widać, że regulacja ta może otworzyć drzwi do zupełnie nowych modeli biznesowych i projektów badawczych — w których dane nie będą problemem, ale wartością wspólną.