Czy do skutecznej realizacji rozporządzenia DGA będzie potrzebny nowy, jeden organ krajowy?

Czy do skutecznej realizacji rozporządzenia DGA będzie potrzebny nowy, jeden organ krajowy?
Fot. stock.adobe.com / dmutrojarmolinua
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
W 2022 roku weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) w sprawie europejskiego zarządzania danymi tzw. Data Governance Act (DGA). DGA będzie stosowane bezpośrednio we wszystkich państwach członkowskich UE od 24 września 2023 roku, dlatego wskazane byłoby, aby przepisy krajowe usprawniające realizację Rozporządzenia PE były uchwalone jak najszybciej.

DGA przewiduje możliwość ponownego wykorzystania niektórych kategorii chronionych danych, posiadanych przez podmioty sektora publicznego (np. urzędy wydające decyzje w sprawach indywidualnych przedsiębiorców, gromadzące dane objęte tajemnicą przedsiębiorstwa), czytamy na stronach firmy doradczej KPMG.

Data Governance Act obejmuje trzy podstawowe kwestie, tj.:

(I) ponowne wykorzystywanie posiadanych przez podmioty sektora publicznego (np. urzędy) niektórych kategorii danych chronionych, wyłączonych z zakresu zastosowania dyrektywy Parlamentu Europejskiego i Rady (UE) nr 2019/1024 w sprawie otwartych danych (np. dane objęte tajemnicą przedsiębiorstwa);

(II) usługi pośrednictwa danych (np. platform umożliwiających dzielenie się danymi);

(III) kwestię altruizmu danych (tj. dobrowolnego i nieodpłatnego udostępniania danych innym podmiotom).

Co powinna uregulować ustawa krajowa?

DGA nie zawiera jednak kompleksowych postanowień co do wszystkich kwestii objętych zakresem ww. rozporządzenia. Jak napisano na stronach KPMG – krajowa ustawa ma uregulować następujące obszary:

1. Właściwy podmiot (urząd) ds. DGA

DGA przewiduje możliwość ponownego wykorzystania niektórych kategorii chronionych danych, posiadanych przez podmioty sektora publicznego (np. urzędy wydające decyzje w sprawach indywidualnych przedsiębiorców, gromadzące dane objęte tajemnicą przedsiębiorstwa).

W celu usprawnienia procesu zezwalania na dostęp w celu ponownego wykorzystania tych danych państwa członkowskie powinny wyznaczyć właściwy podmiot, który będzie miał za zadanie udzielanie wsparcia (w tym technicznego) dla podmiotów sektora publicznego w zakresie procesu udostępniania tych danych (np. co do ich pseudonimizacji). W myśl projektowanych przepisów, w Polsce odpowiednim podmiotem będzie Prezes Głównego Urzędu Statystycznego (GUS).

2. Pojedynczy punkt informacyjny

Celem utworzenia pojedynczego punktu informacyjnego jest wsparcie podmiotów zamierzających skorzystać z danych sektora publicznego (np. przedsiębiorców) w identyfikacji zasobów możliwych do wykorzystania na podstawie DGA. Zasoby te mają być ujęte w elektronicznym wykazie wraz z informacjami opisującymi dane (w tym przynajmniej format i rozmiar danych jak również warunki ich ponownego wykorzystania).

Zadaniem pojedynczego punktu informacyjnego będzie również przyjmowanie wniosków o ponowne wykorzystanie danych. W myśl nowych regulacji, w Polsce pojedynczym punktem informacyjnym będzie portal dane.gov.pl prowadzony przez Ministerstwo Cyfryzacji (funkcjonujący już teraz, na podstawie ustawy z dnia 11 sierpnia 2021 roku o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego).

3. Organ właściwy ds. usług pośrednictwa danych

Zadaniem organu właściwego do spraw usług pośrednictwa danych ma być rejestrowanie dostawców usług pośrednictwa danych, którzy chcą świadczyć usługi na terytorium UE oraz monitorowanie i nadzorowanie zgodności ich działań z wymogami DGA.

Przedstawiciele ww. organu będą zasiadać w Europejskiej Radzie ds. Innowacji w zakresie Danych (wraz z przedstawicielami innych państw członkowskich). Zgodnie z projektowanymi przepisami, organem właściwym ds. usług pośrednictwa danych ma być Urząd Ochrony Konkurencji i Konsumentów (UOKiK).

4. Organ właściwy ds. rejestracji organizacji altruizmu danych

Podstawowym zadaniem organu właściwego ds. rejestracji organizacji altruizmu danych będzie – jak sama nazwa wskazuje – rejestracja tych organizacji. Uprawnienia powyższego organu mają pozostawać bez uszczerbku dla uprawnień organów ochrony danych (w przypadku Polski – UODO).

W Polsce organem właściwych ds. rejestracji organizacji altruizmu danych ma być również UOKiK, który będzie zatem pełnił dwie funkcje (również organu właściwego ds. usług pośrednictwa danych).

DGA będzie stosowane bezpośrednio we wszystkich państwach członkowskich UE od 24 września 2023, wobec czego ustawa krajowa, powinna wejść w życie w tym terminie. Projekt ustawy wprowadzającej DGA jest aktualnie na etapie prac w Ministerstwie Cyfryzacji

źródło: https://kpmg.com/pl/pl/home/insights/2023/07/legal-alert-projekt-krajowej-ustawy-o-zarzadzaniu-danymi.html

UODO czy nowa instytucja państwowa?

Zdaniem Michała Nowakowskiego, radcy prawnego w Kancelarii Rymarz Zdort Maruta, rozłożenie kompetencji związanych z realizacją przepisów DGA na różne organy i instytucje w Polsce może doprowadzić do chaosu i trudności w pozyskiwaniu informacji, a dla samych podmiotów sektora publicznego stanowić prawdziwe wyzwanie organizacyjne.

Zapewne lepszym rozwiązaniem byłoby, aby kompetencje w tym zakresie, które miałyby we wstępnych założeniach być umiejscowione w UOKiK, UODO, NASK, w Ministerstwie Cyfryzacji oraz w GUS przekazać do jednego (być może nowego) organu, który zajmowałby się szeroko rozumianą obsługą tych danych, ich przetwarzaniem, administrowaniem nimi.

Dzięki temu przedsiębiorca kontaktowałby się z jednym organem, a nie z szeregiem instytucji, gdyby chciał z tych danych, o których jest mowa w DGA skorzystać zgodnie z przepisami prawa.

Byłoby to też znaczne ułatwienie z perspektywy podmiotów publicznych, które mają określone obowiązki związane z DGA, oraz które mogą korzystać ze wsparcia właściwych podmiotów wyznaczanych na podstawie projektu ustawy.

Intuicyjnie UODO byłoby najlepszym organem, który mógłby sprostać wymaganiom rozporządzenia DGA (choć przepisy DGA wprowadzają tutaj pewne ograniczenia), ale zdaniem Michała Nowakowskiego, biorąc pod uwagę dotychczasową praktykę działania UODO – urząd ten jak dotąd dążył raczej do wprowadzania istotnych ograniczeń w udostępnianiu danych, a intencją Parlamentu Europejskiego było możliwie szerokie udostępnianie przedsiębiorcom, także osobom fizycznym danych i ułatwianie ich wykorzystywania. Nie oznacza to jednocześnie, że w tym przypadku – wobec dość klarownych przepisów DGA – sytuacja nie uległaby zmianie.

W jego opinii przy tym rozwiązaniu ponowne uzyskiwanie danych w ramach ich ponownego wykorzystania mogłoby być utrudnione, a chodzi tutaj przede wszystkim o stymulowanie innowacji oraz wspieranie mądrego i bezpiecznego wykorzystania danych.

Pojawienie się nowego organu byłoby właściwe także z tego powodu, że wkrótce trzeba będzie wyznaczyć organ krajowy odpowiedzialny za wykorzystywanie systemów sztucznej inteligencji – wydaje się, że w najbliższym czasie takie rozwiązanie w systemie prawnym UE zostanie przyjęte, a po stronie państw członkowskich pojawi się trudne zadanie wyznaczenia właściwego organu oraz zapewnienia odpowiednich instrumentów, kompetencji i budżetu na potrzeby realizacji „ustawowych” celów.

W opinii Michała Nowakowskiego ten nowy organ mógłby skupiać kompetencje dotyczące AI i mieć równocześnie uprawnienia do przekazywania danych przedsiębiorcom od podmiotów publicznych, co umożliwi firmom powtórne wykorzystywanie danych oraz wspieranie we wszystkich procesach związanych z DGA oraz otwartymi danymi.

Na pytanie, dlaczego nie ma jeszcze przepisów uzupełniających DGA, mimo że te przepisy powinny być stosowane bezpośrednio we wszystkich państwach członkowskich UE od 24 września 2023 roku – odpowiedział:

„To jest kolejny problem, nie rozumiem, dlaczego dopiero teraz zabrano się za tę ustawę, choć ona już powinna być dawno temu przygotowana, przynajmniej w zakresie założeń.

Dziwię się także dlatego, że w DGA jest jeszcze jeden istotny wątek dotyczący usług pośrednictwa danych, mający znaczenie dla niektórych podmiotów komercyjnych. Chodzi tu m.in. o spółdzielnie danych. Są w tym rozporządzeniu przewidziane obowiązki notyfikowania swojej działalności w tym zakresie. Już pod koniec września ’23 powinniśmy mieć przepisy umożliwiające prowadzenie działalności polegającej na pośrednictwie danych.”

Dodał, że nie ma pewności czy tę ustawę da się uchwalić jeszcze w tej kadencji Sejmu.

Reasumując, od końca września 2023 roku będziemy musieli rozporządzenia DGA stosować, ale bez konkretnej ustawy krajowej będzie to bardzo trudne.

Źródło: BANK.pl, KPMG