Wstęp
Nie od dziś wiadomo, że jednym z najbardziej pożądanych zasobów, które napędzają rozwój nowoczesnej gospodarki są dane. Dynamicznie zmieniające się technologie, w tym coraz szerzej wykorzystywana sztuczna inteligencja, potrzebują do rozwoju ogromnej ilość danych o charakterze osobowym i nieosobowym. Przekłada się to na potrzebę tworzenia nowych regulacji, które na poziomie unijnym, a potem po zaimplementowaniu do prawodawstwa krajowego członków UE, będą służyły uporządkowaniu kwestii m.in. wykorzystania takich danych. Widzimy to przede wszystkim we wspomnianym w ostatnim wpisie blogowym akcie w sprawie danych (Data Act)[1], rozporządzeniu w sprawie sztucznej inteligencji[2], czy też akcie o zarządzaniu danymi (DGA)[3]. Tworzone przepisy mają służyć zapewnieniu bezpieczeństwa danych oraz zagwarantowaniu podstawowych praw do ochrony osób, których dane dotyczą.
Choć temat DGA był już poruszany w sposób ogólny w naszych publikacjach w zeszłym roku, to z uwagi na to, że 21 października 2025 r. Rada Ministrów przyjęła wreszcie projekt ustawy o zarządzaniu danymi, który w najbliższym czasie trafi do Sejmu, przyjrzyjmy się szerzej jednemu z obszarów regulowanych tymi przepisami.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystania
oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 (akt w sprawie danych).
[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji).
[3] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/868 z dnia 30 maja 2022 r. w sprawie europejskiego zarządzania danymi i zmieniające rozporządzenie (UE) 2018/1724 (akt w sprawie zarządzania danymi) (Tekst mający znaczenie dla EOG).
Ustawa o zarządzaniu danymi
Procedowana ustawa o zarządzaniu danymi stanowi implementację do polskiego porządku prawnego przepisów unijnego rozporządzenia Data Governance Act. Do głównych obszarów regulowanych przez ustawę należy:
- ponowne wykorzystanie danych chronionych,
- usługa pośrednictwa danych,
- altruizm danych.
Tworzone przepisy mają z jednej strony zapewnić prawidłowe funkcjonowanie rynku instytucji pośrednictwa danych, z drugiej zaś umożliwić kontrolę nad instytucją altruizmu danych.
Ponowne wykorzystanie danych chronionych
Nowe przepisy mają też pomóc w uregulowaniu kwestii ponownego wykorzystania przez osoby fizyczne lub prawne danych, które znajdują się posiadaniu podmiotów sektora publicznego. Będą mogły być ponownie użyte – do celów komercyjnych lub niekomercyjnych, niezależnie od celu, do jakiego pierwotnie były zbierane[1]. Dostęp do takich zasobów może posłużyć rozwojowi nauki, a także przełożyć się na rozwój gospodarczy. Jednak nie wszystkie dane mogą zostać udostępnione w sposób otwarty, są one bowiem chronione z uwagi na prawa osób trzecich, bądź też mają charakter poufny. Rozporządzenie DGA w art. 3 wskazuje na cztery kategorie danych, które będą rozpatrywane jako dane chronione:
- dotyczące poufności informacji handlowych (w tym tajemnicy handlowej, zawodowej i przedsiębiorstwa),
- dotyczące poufności informacji statystycznych,
- związane z ochroną praw własności intelektualnej lub osób trzecich,
- objęte ochroną danych osobowych.
Udostępnienie nie będzie jednak obejmowało danych dotyczących kwestii obronności i bezpieczeństwa narodowego.
Uzyskanie dostępu do danych chronionych będzie możliwe wyłącznie po złożeniu wniosku. Będzie on składany do instytucji pośredniczącej, tj. pojedynczego punktu informacyjnego, którym w Polsce będzie Minister Cyfryzacji. Już teraz można skorzystać z przygotowanego rządowego portalu, za pośrednictwem którego uzyskamy niezbędne informacje w zakresie złożenia wniosku czy też wykazu chronionych danych[2]. Co ważne, w ramach jednego wniosku można wskazać dane chronione będące w posiadaniu wielu podmiotów sektora publicznego, a pojedynczy punkt informacyjny odpowiednio go przekieruje.
Po złożeniu wniosku poprzez punkt informacyjny wskazane w nim podmioty, będące w posiadaniu zasobów, do których dostęp chcielibyśmy uzyskać, określą warunki ponownego wykorzystania danych chronionych. Zgodnie z art. 5 aktu DGA warunki te muszą być niedyskryminujące, przejrzyste, proporcjonalne oraz uzasadnione w sposób obiektywny. Nie mogą prowadzić do ograniczenia zasady konkurencji. Będą one przedstawione w odpowiedzi na wniosek lub w ofercie.
Podmioty sektora publicznego zobowiązane są do zachowania chronionego charakteru danych, które miałyby być udostępnione na wniosek o ich ponowne wykorzystanie. Dlatego też muszą one zapewnić, aby dane chronione:
- w przypadku danych osobowych zostały zanonimizowane,
- w przypadku poufnych informacji handlowych (w tym tajemnic handlowych lub treści chronionych prawami własności intelektualnej) – uległy zmodyfikowaniu, zagregowaniu lub przekształceniu za pomocą innej metody zapobiegającej ujawnieniu,
- udostępnione zostały w sposób zdalny, w bezpiecznym środowisku przetwarzania, które zapewnia lub kontroluje podmiot sektora publicznego,
- w przypadku braku możliwości zapewnienia bezpiecznego zdalnego środowiska dostępu do danych ponownie udostępnionych, odbywa się ono w obrębie obiektów fizycznych, gdzie spełnione mają być rygorystyczne normy bezpieczeństwa[1].
W związku z tym, że ponowne wykorzystanie danych chronionych wymaga podjęcia przez podmioty sektora publicznego wskazanych działań, mogą one pobierać opłaty za takie udostępnienie. Wysokość opłat nie może ograniczać konkurencji, muszą one zostać ustalone z zachowaniem zasady przejrzystości, proporcjonalności i niedyskryminacji. Opłata zostanie podana w ofercie stanowiącej odpowiedź na wniosek.
Wprowadzane regulacje prawne przewidują również ustanowienie właściwego podmiotu DGA. W Polsce taką rolę będzie pełnił Główny Urząd Statystyczny, który wspomoże instytucje publiczne w udzieleniu odpowiedzi na wniosek i bezpiecznym udostępnianiu danych. Pomoc ta będzie dotyczyła kwestii tworzenia bezpiecznego środowiska przetwarzania danych, anonimizacji i pseudonimizacji danych, ocenianiu ryzyka ujawnienia takich danych, czy też doradztwa w zakresie umów i zgodności z przepisami[2].
Przepisy rozporządzania DGA wskazują na dwumiesięczny okres odpowiedzi na wniosek, o ile przepisy krajowe nie wprowadzą terminu krótszego. W przypadku wyjątkowo obszernych i złożonych wniosków, okres dwóch miesięcy może zostać wydłużony o maksymalnie 30 dni. O przedłużeniu takiego terminu musi zostać poinformowany wnioskodawca[3]. Od decyzji w sprawie wniosku o ponowne wykorzystanie danych chronionych wnioskodawca może się odwołać. W Polsce organem właściwym w zakresie środków zaskarżenia ma być Minister Cyfryzacji.
Rozporządzenie o zarządzaniu danymi, a także powstające przepisy prawne implementujące jego zapisy do polskiego porządku prawnego, stanowią ważny krok w uporządkowaniu kwestii wykorzystania danych, nie tylko osobowych. Niemniej jednak pamiętajmy, że przepisy te nie będą działały ponad RODO, które stoi na straży bezpieczeństwa danych osobowych każdego z nas. Wszak ich ochrona to nasze prawo podstawowe.