Projekt ustawy o zarządzaniu danymi przede wszystkim dostosowuje do polskiego prawa regulacji zawartych w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2022/868 z 30.5.2022 r. w sprawie europejskiego zarządzania danymi i zmieniające rozporządzenie (UE) 2018/1724 (akt w sprawie zarządzania danymi) (Dz.Urz. UE L 152 z 2022 ze zm.; dalej: DGA).
Jak wynika z uzasadnienia do projektu ustawy, istota przewidzianych w nim rozwiązań polega na zbudowaniu odpowiedniego otoczenia instytucjonalno-organizacyjnego oraz regulacyjnego, które umożliwi pełne stosowanie przepisów DGA w Polsce. Proponowane rozwiązania oparto na założeniu, że regulacja na poziomie krajowym ma dotyczyć wyłącznie przepisów, które zgodnie z prawem unijnym wprost przekazano do uregulowania w prawie krajowym lub takich, w których DGA zostawiło swobodę regulacyjną państwom członkowskim.
W zakresie przepisów dotyczących ponownego wykorzystywania danych projekt ustawy wprowadza regulacje dotyczące określenia:
- podmiotu sektora publicznego, którym jest przede wszystkim jednostka sektora finansów publicznych i inne podmioty wymienione w art. 3 projektu ustawy;
- pojedynczego punktu informacyjnego, który prowadzi minister informatyzacji, a którego funkcję pełni portal danych, o którym mowa w art. 2 pkt 13 ustawy o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego;
- dostępu do celów ponownego wykorzystywania danych, gdzie uregulowano zasady składania i rozpatrywania wniosku o ponowne wykorzystywanie danych (art. 6–13 projektu ustawy);
- pomocy udzielanej przez właściwy podmiot, którym ma być Prezes GUS. Podmiot sektora publicznego rozpatrując wniosek o ponowne wykorzystywanie będzie mógł zwrócić się do Prezesa GUS z wnioskiem o udzielenie pomocy, w którym wskaże jej zakres. Prezes GUS rozpatrzy wniosek o udzielenie pomocy niezwłocznie, nie później jednak niż w ciągu 21 dni od dnia jego otrzymania.
Ponowne wykorzystywanie oznacza wykorzystywanie przez osoby fizyczne lub prawne danych będących w posiadaniu podmiotów sektora publicznego, do celów komercyjnych lub niekomercyjnych innych niż ich pierwotne przeznaczenie w ramach zadań publicznych, dla którego to celu dane te zostały wytworzone, z wyjątkiem wymiany danych między podmiotami sektora publicznego służącej wyłącznie wykonywaniu zadań publicznych (art. 2 pkt 2 DGA).
W zakresie usługi pośrednictwa danych organem właściwym do spraw takich usług ma być Prezes UODO. Zgodnie z art. 14 ust. 4 lit. b i c oraz ust. 5 DGA, organ właściwy do spraw usług pośrednictwa danych jest uprawniony do żądania zaprzestania naruszeń w rozsądnym terminie lub – w przypadku poważnego naruszenia – niezwłocznie, a także przyjmuje odpowiednie i proporcjonalne środki służące spełnianiu wymogów. W związku z tym organy właściwe do spraw usług pośrednictwa danych mają być w stosownych przypadkach uprawnione m.in. do żądania:
- przesunięcia rozpoczęcia lub zawieszenia świadczenia usługi pośrednictwa danych do czasu wprowadzenia zmian w warunkach, zgodnie z żądaniem organu właściwego do spraw usług pośrednictwa danych lub
- zaprzestania świadczenia usługi pośrednictwa danych w przypadku gdy poważne lub powtarzające się naruszenia nie zostały usunięte pomimo uprzedniego powiadomienia.
Jak wynika z art. 2 pkt 11 DGA, usługa pośrednictwa danych oznacza usługę mającą na celu ustanowienie – za pomocą środków technicznych, prawnych lub innych – stosunków handlowych pomiędzy nieokreśloną liczbą osób, których dane dotyczą, i posiadaczy danych oraz użytkownikami danych do celów dzielenia się danymi, w tym do celów wykonywania praw osób, których dane dotyczą, w odniesieniu do danych osobowych, z wyłączeniem co najmniej usług:
- w ramach których dane są pozyskiwane od posiadaczy danych i agregowane, wzbogacane lub przekształcane w celu dodania im znaczącej wartości, a następnie użytkownikom danych udzielana jest licencja na wykorzystanie uzyskanych w ten sposób danych bez ustanawiania stosunku handlowego między nimi a posiadaczami danych;
- skoncentrowanych na pośrednictwie treści chronionych prawem autorskim;
- z których korzysta wyłącznie jeden posiadacz danych w celu umożliwienia wykorzystywania danych będących w jego posiadaniu, lub usługi, z których korzysta wiele osób prawnych w zamkniętej grupie, w tym w ramach stosunków z dostawcami lub klientami lub współpracy nawiązanej na podstawie umowy, w szczególności usług, których głównym celem jest zapewnienie funkcjonalności przedmiotów i urządzeń podłączonych do internetu rzeczy;
- dzielenia się danymi oferowanych przez podmioty sektora publicznego, które to usługi nie mają na celu ustanowienia stosunków handlowych.
W przypadku gdy niemający jednostki organizacyjnej w UE dostawca usług pośrednictwa danych nie wyznaczy przedstawiciela prawnego lub przedstawiciel prawny nie dostarczy na żądanie właściwego organu niezbędnych informacji w pełni wykazujących przestrzeganie DGA, organ ten ma być uprawniony do przesunięcia rozpoczęcia lub zawieszenia świadczenia usługi pośrednictwa danych do czasu wyznaczenia przedstawiciela prawnego lub dostarczenia niezbędnych informacji.
Jak wynika z projektu ustawy, środki wynikające z tych przepisów GDA Prezes UODO nałoży w drodze decyzji.
Zgodnie z art. 23 ust. 1 DGA, każde państwo członkowskie wyznacza co najmniej jeden właściwy organ odpowiedzialny za prowadzenie jego publicznego krajowego rejestru uznanych organizacji altruizmu danych. Projekt ustawy wprowadza zasadę, że organem właściwym do spraw rejestracji organizacji altruizmu danych będzie również Prezes UODO.
Altruizm danych oznacza dobrowolne dzielenie się danymi na podstawie wyrażonej przez osoby, których dane dotyczą, zgody na przetwarzanie dotyczących ich danych osobowych lub na podstawie udzielonego przez posiadaczy danych pozwolenia na wykorzystywanie ich danych nieosobowych. Odbywa się to bez żądania ani otrzymania za to wynagrodzenia wykraczającego poza zwrot kosztów poniesionych przez te osoby lub posiadaczy w związku z udostępnieniem ich danych do celów leżących w interesie ogólnym określonych – w stosownych przypadkach – w prawie krajowym, takich jak opieka zdrowotna, zwalczanie zmiany klimatu, poprawa mobilności, ułatwianie opracowywania, tworzenia i rozpowszechniania statystyk urzędowych, poprawa świadczenia usług publicznych, kształtowanie polityki publicznej lub do celów badań naukowych leżących w interesie ogólnym (art. 2 pkt 16 DGA).
Z art. 22 projektu ustawy wynika, że w zakresie przekazywania danych nieosobowych do państw trzecich, Prezes UODO wszczyna postępowanie administracyjne w sprawie naruszenia obowiązków dotyczących przekazywania danych nieosobowych do państw trzecich z urzędu, albo na wniosek podmiotu sektora publicznego, który udzielił dostępu do celów ponownego wykorzystywania danych. Po przeprowadzeniu takiego postępowania Prezes UODO w drodze decyzji:
- stwierdzi naruszenie obowiązków dotyczących przekazywania danych nieosobowych do państw trzecich i nakłada administracyjną karę pieniężną, albo
- umorzy postępowanie.
Z art. 23 projektu ustawy wynika zaś, że Prezes UODO będzie mógł nałożyć na dostawcę usług pośrednictwa danych, w drodze decyzji, administracyjną karę pieniężną, jeżeli dostawca ten:
- naruszył obowiązek dotyczący zgłoszenia, o którym mowa w art. 11 DGA (każdy dostawca usług pośrednictwa danych, który zamierza świadczyć takie usługi dokonuje zgłoszenia do właściwego organu) – wysokość administracyjnej kary pieniężnej wyniesie do 50 000 euro;
- naruszył warunki świadczenia usług pośrednictwa danych – wysokość administracyjnej kary pieniężnej wyniesie do 500 000 euro.
Ponadto:
- Prezes UODO będzie mógł nałożyć na uznaną organizację altruizmu danych, w drodze decyzji, administracyjną karę pieniężną w wysokości do 5000 euro, jeżeli organizacja ta naruszyła warunki rejestracji;
- za naruszenie obowiązków dotyczących przekazywania danych nieosobowych do państw trzecich, ma grozić administracyjna kara pieniężna w wysokości do 500 000 euro.
Podmiot podlegający karze ma też mieć obowiązek dostarczyć Prezesowi UODO, na każde jego żądanie, w ciągu 30 dni od dnia otrzymania żądania, danych lub dokumentów niezbędnych do ustalenia wysokości administracyjnych kar pieniężnych. Kary te będą podlegały egzekucji administracyjnej.
Ustawa ma wejść w życie po upływie 3 miesięcy od dnia ogłoszenia.
Podsumowując, jak zauważają twórcy projektu ustawy, przepisy DGA stosuje się bezpośrednio, ale poziom regulacji w polskim prawie krajowym nie jest pełny. Powoduje to konieczność przyjęcia dodatkowych przepisów krajowych służących stosowaniu DGA. Jak wynika z DGA, prawodawca unijny pozostawił państwom członkowskim pewną swobodę w zakresie ukształtowania otoczenia instytucjonalno-organizacyjnego oraz regulacyjnego dla potrzeb stosowania przepisów DGA.
W zakresie:
- instytucjonalno-organizacyjnym – każde państwo członkowskie ma obowiązek powołać lub wyznaczyć podmioty odpowiedzialne za realizację przepisów DGA, tzn. wyznaczyć organy pełniące funkcję właściwego podmiotu, pojedynczego punktu informacyjnego oraz organu odwoławczego (w odniesieniu do ponownego wykorzystywania chronionych danych), a także organu właściwego do spraw usług pośrednictwa danych oraz organu właściwego do spraw rejestracji organizacji altruizmu danych;
- regulacyjnym – DGA nakłada na państwa członkowskie obowiązek unormowania w prawie krajowym niektórych kwestii proceduralnych, a także wymaga ustanowienia przepisów dotyczących kar za naruszenie obowiązków przewidzianych w rozporządzeniu.
Jak podkreślono w uzasadnieniu do projektu ustawy, ponieważ polskie prawo nie przewiduje obecnie rozwiązań, które odpowiadałyby wszystkim mechanizmom regulowanym przez DGA, konieczne jest uchwalenie krajowych regulacji, które będą służyć stosowaniu przepisów unijnych. Najlepszym rozwiązaniem jest więc uchwalenie nowej ustawy zawierającej przepisy prawa krajowego umożliwiające pełne stosowanie DGA w Polsce. Przepisy te mają regulować obszary pozostawione przez prawodawcę unijnego do uregulowania przez państwa członkowskie. Nowej ustawie proponuje się nadać tytuł „ustawa o zarządzaniu danymi”. Obecnie projekt ustawy skierowano do uzgodnień.
