Akt w sprawie zarządzania danymi (ang. Data Governance Act, pot. DGA), którego stosowanie w porządku prawnym UE rozpoczęło się w dniu 24 września 2023 r., wprowadza regulacje dotyczące usługi pośrednictwa danych, wprowadzając wymogi związane ze świadczeniem tej usługi, co po krótce przybliżymy niniejszym wpisem.
Usługa pośrednictwa danych polega na ustanowieniu stosunków handlowych w celu dzielenia się danymi (oględnie mówiąc, chodzi tu o dane osobowe i nieosobowe w formie cyfrowej), która zachodzić może w trzech relacjach:
- usługi pośrednictwa, w których pośrednik pośredniczy między posiadaczami danych a potencjalnymi użytkownikami danych (podmiotami, które wykorzystują te dane) – usługi te mogą obejmować dwustronną lub wielostronną wymianę danych lub tworzenie platform lub baz danych umożliwiających wymianę lub wspólne wykorzystywanie danych, jak również tworzenie innej specjalnej infrastruktury do stworzenia powiązań między posiadaczami danych a użytkownikami danych – w tej relacji mamy podmioty chcące zarabiać na udostępnianiu cudzych danych, a zadaniem pośrednika jest umożliwienie dzielenia się tymi danymi; posiadaczem danych mogą być osoby fizyczne lub niefizyczne, z tym że jeśli posiadaczem danych jest osoba fizyczna, to przedmiotem obrotu nie mogą być dane osobowe dotyczące tej osoby;
- usługi pośrednictwa, w których pośrednik pośredniczy między osobami zamierzającymi udostępnić swoje dane osobowe lub dane nieosobowe a potencjalnymi użytkownikami danych – w tej relacji mamy podmioty, które chcą zarabiać na udostępnieniu własnych danych osobowych lub udostępnianiu danych nieosobowych, zadaniem pośrednika jest zaś dostarczenie odpowiednich środków (w tym technicznych) umożliwiających świadczenie takich usług przy zachowaniu możliwości korzystania przez osoby udostępniające własne dane osobowe z uprawnień przysługujących im na mocy RODO (np. prawo wniesienia sprzeciwu wobec przetwarzania danych);
- usługi pośrednictwa świadczone przez spółdzielnie danych – w tym wypadku chodzi o organizacje zbiorowego udostępniania danych, których celem jest wspieranie swoich członków w wykonywaniu ich praw w odniesieniu do niektórych danych oraz negocjowanie w ich imieniu warunków i zasad przetwarzania danych przed udzieleniem pozwolenia na przetwarzanie danych nieosobowych lub przed wyrażeniem zgody na przetwarzanie danych osobowych.
Podstawowym obowiązkiem prawnym nałożonym na dostawcę usług pośrednictwa danych, jest dokonanie na podstawie art. 11 ust. 1 zgłoszenia do organu właściwego do spraw usług pośrednictwa danych. Według projektu polskiej ustawy o zarządzaniu danymi, której celem jest wdrożenie wymogów rozporządzenia nr 2022/868, takim organem ma być Prezes Urzędu Ochrony Danych Osobowych. Co istotne, dostawca usług pośrednictwa danych będzie mógł rozpocząć działalność dopiero po dokonaniu w/w zgłoszenia.
Kolejne obowiązki dostawców usługi pośrednictwa danych reguluje art. 12 DGA. Obejmują one m.in. następujące zasady:
- dostawca usług pośrednictwa danych nie może wykorzystywać danych będących przedmiotem świadczonych przez niego usług pośrednictwa danych do celów innych niż oddanie ich do dyspozycji użytkownikom danych,
- usługi pośrednictwa danych mogą być świadczone poprzez odrębną osobę prawną, co oznacza, że DGA wymaga strukturalnego rozdziału usług pośrednictwa danych od innych świadczonych przez tego dostawcę usług, tak aby uniknąć konfliktu interesów – w założeniu twórców aktu koniecznie jest, aby dostawcy usług pośrednictwa danych działali jedynie jako pośrednicy w transakcjach i nie wykorzystywali wymienianych danych do żadnych innych celów. (vide motyw 33 DGA);
- warunki handlowe, w tym ceny, świadczenia usług pośrednictwa danych posiadaczowi danych lub użytkownikowi danych nie mogą być uzależnione od tego, czy posiadacz danych lub użytkownik danych korzysta z innych usług świadczonych przez tego samego dostawcę usług pośrednictwa danych lub powiązany podmiot, ani od tego w jakim zakresie posiadacz danych lub użytkownik danych korzysta z takich innych usług;
- dane zebrane w odniesieniu do działalności osoby fizycznej lub prawnej w celu świadczenia usługi pośrednictwa danych, w tym dane dotyczące daty, godziny i geolokalizacji, czasu trwania działalności oraz połączeń ustanowionych przez osobę korzystającą z usługi pośrednictwa danych z innymi osobami fizycznymi lub prawnymi, mogą być wykorzystywane wyłącznie do celów rozwoju tej usługi pośrednictwa danych, co może obejmować wykorzystywanie danych do wykrywania oszustw lub na potrzeby cyberbezpieczeństwa; udostępnia się je na żądanie posiadaczom danych;
- usługi pośrednictwa danych mogą obejmować oferowanie posiadaczom danych lub osobom, których dane dotyczą, dodatkowych specjalnych narzędzi i usług ułatwiających wymianę danych, takich jak tymczasowe przechowywanie, kuratorstwo, konwersja, anonimizacja i pseudonimizacja; przy czym z tych narzędzi korzysta się wyłącznie na wyraźny wniosek lub za zgodą posiadacza danych lub osoby, której dane dotyczą, a narzędzia osób trzecich oferowane w tym kontekście nie mogą wykorzystywać danych do innych celów;
- dostawca usług pośrednictwa danych zapewnia, aby procedura dostępu do usługi była sprawiedliwa, przejrzysta i niedyskryminująca zarówno dla osób, których dane dotyczą, jak i posiadaczy danych, a także użytkowników danych, w tym w odniesieniu do cen i warunków świadczenia usługi;
- dostawca usług pośrednictwa danych wprowadza procedury mające na celu zapobieganie praktykom stanowiącym oszustwo lub nadużycie w odniesieniu do podmiotów ubiegających się o dostęp za pośrednictwem jego usług pośrednictwa danych;
- dostawca usług pośrednictwa danych wprowadza odpowiednie środki techniczne, prawne i organizacyjne w celu zapobiegania niezgodnemu z prawem Unii lub z prawem krajowym danego państwa członkowskiego przekazywaniu danych nieosobowych lub dostępowi do tych danych;
- dostawca usług pośrednictwa danych informuje niezwłocznie posiadaczy danych w przypadku gdy nastąpiły niedozwolone przekazanie, dostęp lub wykorzystanie danych nieosobowych, którymi się podzielił;
- dostawca usług pośrednictwa danych podejmuje niezbędne środki w celu zapewnienia odpowiedniego poziomu bezpieczeństwa w zakresie przechowywania, przetwarzania i przesyłania danych nieosobowych; dostawca usług pośrednictwa danych zapewnia również najwyższy poziom bezpieczeństwa przy przechowywaniu i przesyłaniu istotnych dla konkurencji szczególnie chronionych informacji;
- dostawca usług pośrednictwa danych prowadzi rejestr zdarzeń dotyczących działalności w zakresie pośrednictwa danych.
Dodatkowo, na dostawcy usług pośrednictwa danych – poza innymi obowiązkami wynikającymi z DGA tutaj nie wymienionymi – ciążyć będą obowiązki z zakresu ochrony danych osobowych (w szczególności określone w RODO) w zakresie w jakim usługa pośrednictwa będzie dotyczyć takich danych.
DGA przewiduje kary za naruszenie obowiązków w zakresie dokonania zgłoszenia, jak i warunków świadczenia usług pośrednictwa danych zgodnie z art. 12, przy czym ustawodawca unijny nie określa ich wysokości. Z rozporządzenia wiemy tylko, że mają być one „skuteczne, proporcjonalne i odstraszające”. Wysokość kar zostanie ustalona przez polskiego ustawodawcę. Jak wynika z komunikatu na stronie internetowej Ministerstwa Cyfryzacji przygotowywany projekt ustawy zakłada oparcie się na rozwiązaniach podobnych do tych przewidzianych w już obowiązujących przepisach krajowych i unijnych, m.in. w RODO, ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych oraz KPA.
Jak widać, ustawodawca unijny dostrzega znaczenie kształtowania się gospodarki opartej na danych cyfrowych. Nowy rodzaj usługi pośrednictwa w obrocie tymi danymi został obwarowany wieloma wymogami, których spełnienie umożliwi aktywność w tym obszarze. Zachęcamy do kontaktu z naszą kancelarią, która zapewnia wsparcie prawne w szeroko pojętym obszarze compliance.
Data publikacji: 26.09.2024