Czy Data Governance Act ma realizować dokładnie te same cele, co RODO?

Czy Data Governance Act ma realizować dokładnie te same cele, co RODO?
Źródło: FiregtechPl
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Jakiś czas temu pisałem o projekcie Data Governance Act, który ma doprecyzować dyrektywę w sprawie otwartych danych i jednocześnie wprowadzić nowe wymagania dla pośredników przekazujących dane osobowe. Projektowi przyjrzała się Europejska Rada Ochrony Danych oraz "nasz" EDPS, którzy w swoim wspólnym stanowisku przedstawili - chyba krytyczne - stanowisko. Jednym z głównych zarzutów jest "(...) significant inconsistencies with the GDPR", ale to nie jedyny "zarzut" pod adresem twórców. Przejdźmy przez najciekawsze spostrzeżenia unijnych organów ochrony danych ‒ pisze Michał Nowakowski z FinregtechPl.

EDPB wskazuje chociażby, że projektowane rozporządzenie niedostatecznie chroni dane osobowe. Ciekawe jest tutaj wskazanie, że trend do tworzenia ram dla data-driven economy (opisanej chociażby w Europejskiej Strategii dla danych), bez odpowiednich gwarancji w zakresie ochrony danych osobowych, naruszać może nawet prawa podstawowe.

Cóż, mamy więc rozjazd, o którym często pisałem, pomiędzy chęcią dorównania przez UE takim gigantom jak Chiny czy Stany Zjednoczone, a niekiedy – moim zdaniem – nadmierną regulacją obszaru data protection. Nie mnie rozstrzygać, ale bliżej mi do podejścia Komisji, ze względu na potencjał jaki dają otwarte dane dla rozwoju nowych rozwiązań, jak uczenie maszynowe czy przetwarzanie języka naturalnego.

Na marginesie ‒ EDPB oraz EDPS wskazują wyraźnie, że:

    „The EDPB and the EDPS furthermore highlight that the European Union model relies on the mainstreaming of its values and fundamental rights within its policy developments, and that the GDPR must be considered as a foundation on which to build a European data governance model”

A z drugiej strony mamy wskazanie, że unijne ramy prawne w zakresie ochrony danych powinny umożliwiać, a nie blokować rozwój data economy.

Trend do tworzenia ram dla data-driven economy, bez odpowiednich gwarancji w zakresie ochrony danych osobowych, naruszać może nawet prawa podstawowe

Tyle tylko, że RODO jest uznawane raczej za „hamulcowego” dla rozwoju ekonomii opartej o dane, szczególnie w takich dziedzinach, jak sztuczna inteligencja czy wykorzystanie Big Data.

Czytaj także: Czy o ochronie danych wiemy już wszystko? Forum Bezpieczeństwa Banków 2021

Idźmy dalej

Unijne organy wskazują, że projekt zawiera wiele niezgodności z RODO, w szczególności w kontekście:

1.    Przedmiotu i zakresu projektu;

2.    Definicji;

3.    Podstaw przetwarzania danych osobowych;

4.    Zaciemnienie rozróżnienia pomiędzy przetwarzaniem danych osobowych i nieosobowych plus niejasne nawiązanie do Rozporządzenia w sprawie swobodnego przepływu danych nieosobowych;

5.    Organizacji i uprawnień podmiotów, które mają być organami wyznaczonymi w ramach rozporządzenia – w szczególności w kontekście organów już istniejących.

Jest tego więc trochę i każdy z punktów ma duże znaczenie. Przykładowo w kontekście definicji mamy wyraźne wskazanie, że w odniesieniu do pojęcia „data holdera”:

    „EDPS and the EDPB believe that rather than stating that a legal person has the right to grant access to or share personal data, it would be more appropriate referring to whether and under which conditions a certain processing of personal data can be performed or not”

Unijne organy podkreślają także bardzo ważną rzecz – i tutaj pełna zgoda – dotyczącą poszczególnych ról w procesie ochrony danych. Zdaniem opiniujących każdy z „aktorów” tego łańcucha powinien mieć jasno określone role (a więc i obowiązki), co ma przyczynić się do większej przejrzystości oraz jasności rozporządzenia. Brawo. Szczególnie wobec wątpliwości, jakie pojawiają się na gruncie RODO w kontekście administratorów.

EDPB oraz EDPS zwrócili także uwagę, że samo projektowane rozporządzenie powinno w sposób wyraźny wskazywać, że każde przetwarzanie danych podlegać powinno ocenie z punktu widzenia art. 6 RODO, a więc zgodności przetwarzania z prawem. Nie ma od tego odstępstw.

Każdy z „aktorów” łańcucha powinien mieć jasno określone role (a więc i obowiązki), co ma przyczynić się do większej przejrzystości oraz jasności rozporządzenia

Przywołany został przykład metadanych, które de facto na mocy propozycji mogłyby rzeczywiście być wyłączone z ochrony. Chodzi tutaj o art. 11 pkt 2 propozycji, gdzie wskazano, że metadane zebrane w ramach świadczenia usługi udostępniania danych mogą być wykorzystane wyłącznie do celów rozwoju tej usługi, a zdaniem EDPB te dane mogą też być danymi osobowymi.

A idąc dalej, EDPB/EDPS są zdania, że żadne z postanowień propozycji nie wskazuje samodzielnej podstawy do ponownego wykorzystania danych osobowych ze względu na brak spełnienia warunków z art. 6 ust. 3 RODO. No cóż, może i racja?

Czytaj także: Ochrona prywatności: dane klientów instytucji finansowych a wymogi legislacyjne i nowe technologie

Organy?

To też ciekawy wątek. Tutaj unijne organy wskazują, że zasadnym byłoby jednak, aby wszystkie uprawnienia i zadania wynikające z propozycji były wprost przypisane do organów ochrony danych, szczególnie że obecnie projekt pozostawia w tym zakresie swobodę wyboru państwom członkowskim.

EDPS oraz EDPB wskazują także na konieczność spełniania przez organy publiczne obowiązków informacyjnych, głównie w kontekście praw użytkowników

Pytanie tylko czy Data Governance Act ma realizować dokładnie te same cele, co RODO?

Nawiązanie do open data

Mamy tutaj jasne wskazanie, że mechanizmy ochrony danych osobowych w ramach ich ponownego wykorzystania w kontekście Open Data Directive już istnieją i znajdują się właśnie w tej dyrektywie i RODO. Tutaj rekomendacja jest taka, aby cały rozdział II dopasować do tych wymagań i zapewnić taki sam poziom ochrony.

Dalej mamy nawiązania do zasad określonych w art. 5 RODO, w tym w kontekście istnienia odpowiedniej podstawy prawnej.

EDPS oraz EDPB wskazują także na konieczność spełniania przez organy publiczne obowiązków informacyjnych, głównie w kontekście praw użytkowników.

To oczywiście nie wszystko, bo nie jesteśmy nawet w połowie, ale dzisiaj nie mam już siły na więcej. Temat jest obszerny i zaczynam dochodzi do wniosku, że potrzebujemy po prostu GDPR 3…

Michał Nowakowski
Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Counsel w Citi Handlowy, założyciel www.finregtech.pl.
Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.
Źródło: aleBank.pl