Ogólne

Data Governance Act, czyli zarządzanie danymi


11 sierpnia 2021

Unia Metropolii Polskich im. Pawła Adamowicza zgłosiła uwagi do projektu Parlamentu Europejskiego i Rady w sprawie europejskiego zarządzania danymi (akt w sprawie zarządzania danymi - Data Governance Act). Uwagi przekazano do Kancelarii Prezesa Rady Ministrów w celu wykorzystania przez Polski Rząd w ramach legislacyjnych w ramach europejskiego procesu ustawodawczego.

Projektowane rozporządzenie reguluje zasady ponownego wykorzystywania danych, co do których uzupełnia dyrektywę Parlamentu Europejskiego i Rady (UE) 2019/1024 z dnia 20 czerwca 2019 r. w sprawie otwartych danych i ponownego wykorzystywania informacji sektora publicznego (dyrektywa w sprawie otwartych danych.

Niewątpliwie będzie to akt, który w sposób istotny wpłynie na sposób wykorzystania danych publicznych przez sektor prywatny.

Z punktu widzenia jednostek samorządu terytorialnego ważne jest, aby nowe regulacje poświęcone ponownemu wykorzystaniu informacji publicznej nie prowadziły do dodatkowego skomplikowania systemu prawnego oraz zawierały wyraźne podstawy prawne do udostępniania określonych kategorii danych publicznych.

W szczególności dotyczy to danych zawierających dane osobowe oraz obciążone prawami innych podmiotów (np. prawem autorskim).

Mając powyższe na uwadze w ocenie Unii Metropolii Polskich im. Pawła Adamowicza konieczne jest podjęcie działań dla dokonania zmian w projekcie rozporządzenia, które ułatwi jego stosowanie w praktyce działania jednostek samorządu terytorialnego.

Przedstawiamy skrót najważniejszych uwag.

1) Uwagi dotyczące struktury projektowanego aktu prawnego:

a) Wadliwa konstrukcja Rozdziału 2 rozporządzenia pt. „Ponowne wykorzystywanie niektórych kategorii chronionych danych będących w posiadaniu organów sektora publicznego”. 

Analiza treści ww. rozdziału projektu rozporządzenia połączona z analizą motywów i uzasadnienia projektu wskazuje, że prawodawca europejski nie zdecydował o kwestiach zasadniczych, jakie prawo przyznaje i jakie obowiązki nakłada.

Poważnych działań interpretacyjnych wymaga ustalenie, co chciał uregulować prawodawca europejski i jakie zadania nałożyć na organy sektora publicznego (w tym samorząd terytorialny). Przykładowo, jeśli celem rozdziału 2 było przyznanie prawa do ponownego wykorzystywania danych powinno to wynikać z treści tego rozdziału a nie następować w oparciu działania interpretacyjne dotyczące przepisów końcowych, jak jest się dzieje obecnie.

b) Konieczność poprawienia systematyki aktu w szczególności pod kątem przepisów proceduralnych. Przepisy dotyczące trybu realizacji prawa do ponownego wykorzystywania danych, o których mowa w art. 3 ust. 1 projektu (danych objętych tajemnicami) są tylko częściowo uregulowane przy okazji opisu zadań pojedynczego punktu informacyjnego. Regulacja w tym zakresie jest niepełna. Przepisy o charakterze proceduralnym są umieszczone w różnych częściach projektu, mimo, iż tematycznie są ze sobą powiązane.

c) Rozporządzanie nie uzależnia wydania danych na zasadach określonych w rozdziale 2 od uprzedniego wniesienia opłaty, jeżeli zostanie ona nałożona. Jest to szczególnie istotne, ponieważ wydanie danych będzie wymagało poniesienie przez organ sektora publicznego znacznych nakładów ze względu na konieczność ich przetwarzania w bezpiecznym środowisku. Takie rozwiązanie może zniechęcać samorząd terytorialny do działań zmierzających do otwierania zasobów. Zwrócić należy również uwagę, że polskie doświadczenia związane z egzekucją opłat publicznoprawnych wskazują, że dochodzenie takich opłat może być również utrudnione, a koszty egzekucji (organizacyjne i fiskalne) przewyższają wysokość kwoty egzekwowanej.

d) Brak wymogu niezależności w stosunku do „właściwego podmiotu”. Przedmiotem rozporządzenia są dane, dla udostępnienia których potrzebna jest duża wiedza techniczna i prawna. Wsparciem dla organów sektora publicznego w tym zakresie ma być powołanie „właściwego podmiotu”. Ma on służyć pomocą dla organów sektora publicznego z tym, że odpowiedzialność za przetwarzanie pozostaje nadal przy podmiocie zobowiązanym. Z tego względu, z perspektywy samorządu terytorialnego, ważne jest zapewnienie niezależności tego organu. Jest to niezbędne aby różne podmioty publiczne mogły korzystać z wiedzy fachowej i wsparcia technicznego, przy poszanowaniu prawa władz lokalnych i regionalnych do niezależności wobec administracji rządowej w wykonywaniu swych zadań.

 2) Uwagi dotyczące aspektów technicznych udostępniania danych:

a) W rozporządzeniu przewiduje się, iż jednym z obowiązków jest możliwość dostępu do danych i ich ponownego wykorzystywania w bezpiecznym środowisku przetwarzania zapewnianym i kontrolowanym przez sektor publiczny. „Bezpieczne środowisko przetwarzania” zostało zdefiniowane jak fizyczne lub wirtualne środowisko i środki organizacyjne zapewniające możliwość ponownego wykorzystywania danych w sposób, który pozwala operatorowi bezpiecznego środowiska przetwarzania określić i nadzorować wszystkie działania związane z przetwarzaniem danych, w tym wyświetlanie, przechowywanie, pobieranie, eksport danych i obliczanie danych pochodnych za pomocą algorytmów obliczeniowych.

Wymaga potwierdzenia, czy pojęcie „zapewniane i kontrolowane” należy rozumieć szeroko jako sprawowanie nadzoru, kontroli nad danym środowiskiem za pomocą różnych mechanizmów prawnych i faktycznych czy też jako „posiadanie” takiego środowiska. Dokonanie już na etapie projektu rozporządzenia ustalenia znaczenia tego pojęcia ma istotne znaczenie dla podmiotów publicznych. Wydaje się, iż pojęcie „zapewnianym i kontrolowanym” w znaczeniu szerokim.

 3) Uwagi dot. podmiotów w świadczących usługi udostępniania danych oraz altruistycznych.

a) Należy wprost wprowadzić przepis uprawniający do korzystania przez podmioty publiczne informacji z podmiotów w świadczących usługi udostępniania danych oraz altruistycznych. Nowoczesne zarządzanie państwem i miastami wymaga przetwarzania dużej liczby danych i rząd oraz miasta powinny być również beneficjentami rozporządzenia. Wprowadzenie takiego przepisu jest istotne, gdyż w wielu państwach członkowskich na poziomie konstytucji zasada legalności (autonomii informacyjnej obywatela) pozwala na podejmowanie działań wyłączenie na podstawie przepisów prawa. Ponadto GDPR (rozporządzenia (UE) 2016/679) wyklucza stosowanie art. 6 lit. f w przypadku realizacji zadań publicznych a także stanowisko EROD wskazuje na unikanie art. 6 lit. a (zgody) jako podstawy przetwarzania. Tymczasem tego rodzaju podmioty zasadniczo będą opierały swojej działania na zgodach.

Wprowadzenie więc odpowiedniego przepisu na poziomie rozporządzenia zwiększy pewność prawną w postaci wyraźniej podstawy prawnej podmiotów publicznych na korzystania z danych udostępnianych przez te podmioty. Obecnie ww. element może być odczytany wyłącznie pośrednio w definicji „altruistycznego podejścia do danych”.

b) Odnośnie art. 16, należy wskazać, że treść przepisu w obecnym brzmieniu pozwala uznać, że organizacjami o altruistycznym podejściu do danych mogą też być organizacje wspierające samorządy terytorialne, przez nie finansowane (w całości lub częściowo) albo związki takich podmiotów albo przedsiębiorstw publicznych. Powyższa interpretacja wymaga potwierdzenia. W przeciwnym wypadku regulacja powinna ulec rozszerzeniu o wskazane wyżej podmioty.

c) Należy wprowadzić przepis wprost zezwalający podmiotom publicznym na wspieranie organ organizacji o altruistycznym podejściu do danych np. poprzez udostępnianie swoich stron internetowych, publikacji formularzy o wyrażeniu zgody i innych działań promocyjnych.

4) Uwzględnienie interesów samorządów lokalnych w pracach nowopowstałego organu doradczego „Rady”.

W art. 26 rozporządzenia przewiduje się powołanie Europejskiej Rady ds. Innowacji w zakresie Danych. Należy wskazać, że mając na uwadze fakt, iż ogromna podmiotów publicznych w całej Europie to podmioty samorządu terytorialnego, konieczne jest zagwarantowanie odpowiedniej reprezentacji tego rodzaju podmiotów publicznych w pracach rady.

Obecne brzmienie art. 26 projektu rozporządzenia nie zapewnia takiej reprezentacji. Jednocześnie taką reprezentację będą miały zapewnione podmioty publiczne na szczeblu krajowym. Z uwagi na powyższe w art. 26 należy:

- rozszerzyć skład ekspercki Rady o przedstawiciela wskazanego przez Komitet Regionów, albo

- wprowadzić przepis wskazujący, że w przypadku, gdy Rada zajmuje się sprawami związanym lub mającymi wpływ na działalności podmiotów publicznych na poziomie samorządu terytorialnego, Rada obowiązana jest skonsultować stanowisko z Komitetem Regionów.

 

Unia Metropolii Polskich im. Pawła Adamowicza będzie w dalszym ciągu aktywnie uczestniczyć w pracach nad treścią rozporządzenia m.in. w ramach prac Europejskiego Komitetu Regionów.

 

Sylwester Szczepaniak

Autor