Krótko i na temat, ale — odkąd rola ustawodawcy krajowego sprowadza się właściwie tylko do przepisywania za prawodawcą unijnym — inaczej się nie da: w serwisie internetowym RCL pojawił się projekt kolejnych przepisów regulujących zasady udostępniania danych przez podmioty sektora publicznego (projekt ustawy o zarządzaniu danymi).
A mianowicie, w bardzo dużym skrócie:
- ustawa o zarządzaniu danymi ma na celu tylko i wyłącznie umożliwienie stosowania rozporządzenia 2022/868 w sprawie europejskiego zarządzania danymi;
- gwoli wprowadzenia: rozporządzenie DGA ma na celu umożliwienie ponownego wykorzystywania niektórych danych znajdujących się w posiadaniu podmiotów sektora publicznego, a podlegających ochronie ze względu na np. tajemnicę przedsiębiorstwa (handlową, zawodową), poufność informacji statystycznych, prawa własności intelektualnej osób trzecich oraz ochronę danych osobowych (w zakresie, w jakim dane te wykraczają poza ustawę o otwartych danych i ponownym wykorzystaniu informacji sektora publicznego);
- dla jasności: akt w sprawie zarządzania danymi obowiązuje od przeszło 2 lat, aczkolwiek w Polsce jego stosowanie jest jak dotąd co najmniej kulawe — i tu wkracza polski ustawodawca: zgodnie z projektem podmiotem sektora publicznego zobowiązanym do stosowania regulacji będą jednostki sektora finansów publicznych, inne państwowe jednostki organizacyjne nie posiadające osobowości prawnej oraz „utworzone w szczególnym celu zaspokajania potrzeb o charakterze powszechnym” osoby prawne, które są kontrolowane (kapitałowo, osobowo) przez sektor publiczny;
- zgodnie z projektem pojedynczym punktem informacyjnym, odpowiedzialnym także za przyjmowanie wniosków i zapytań o ponowne wykorzystanie danych, będzie portal dane.gov.pl (tu ciekawostka: ustawa o zarządzaniu danymi nie wyszła poza fazę wstępnego projektu, ale informacje dot. punktu informacyjnego DGA są już dostępne);
- skoro mowa jest o przyjmowaniu wniosków: dostęp do danych będzie udzielany na podstawie złożonego — sformalizowanego, nieanonimowego — wniosku, którego treść będzie obejmowała m.in. imię i nazwisko lub nazwę wnioskodawcy, jego adres i numer PESEL / KRS / REGON, a także wskazanie adresata wniosku oraz celu ponownego wykorzystania informacji;
- udostępnienie danych nie będzie darmowe: w odpowiedzi na wniosek podmiot będzie przedstawiał ofertę na dostęp w celu ponownego wykorzystania informacji, lub też wydawał decyzję odmowną;
art. 9 ustawy o zarządzaniu danymi (projekt)
Podmiot sektora publicznego, zgodnie z art. 5 rozporządzenia 2022/868, po rozpatrzeniu wniosku o ponowne wykorzystywanie:
1) składa wnioskodawcy ofertę dotyczącą udzielenia dostępu do celów ponownego wykorzystywania danych, zwaną dalej „ofertą”;
2) odmawia, w drodze decyzji, udzielenia dostępu do celów ponownego wykorzystywania danych, w przypadku braku możliwości udzielenia takiego dostępu.
- złożona przez podmiot oferta powinna określać warunki ponownego wykorzystania udostępnianych danych oraz wysokość opłaty za wydane zezwolenie; wysokość takiej opłaty powinna wynikać z kosztów m.in. powielenia i dostarczenia danych, anonimizacji i innego przygotowania danych podlegających ochronie, a także weryfikacji praw;
- zaś wnioskodawca będzie miał 14 dni na przyjęcie oferty, w tym uiszczenie opłaty — brak zawiadomienia o przyjęciu oferty będzie rozumiany jako wycofanie złożonego wniosku;
- co ciekawe każdy podmiot sektora publicznego zobowiązany do udostępnienia danych będzie mógł zwrócić się do odpowiedniego organu o udzielenie pomocy w zakresie zapewnienia wsparcia technicznego (udostępnienia bezpiecznego środowiska), udzielenia wskazówek dot. ustrukturyzowania danych, wsparcia technicznego w zakresie pseudonimizacji danych i ochrony prywatności, poufności, integralności, etc., informacji; organem właściwym do udzielania w/w pomocy będzie Prezes Głównego Urzędu Statystycznego, przy czym wsparcie GUS nie musi być bezpłatne (ten koszt można przerzucić na użytkownika danych);
- natomiast organem właściwym do spraw usług pośrednictwa danych — czyli np. platform lub baz danych umożliwiających wymianę lub wspólne wykorzystanie danych — będzie Prezes Urzędu Ochrony Danych Osobowych;
- w gestii PUODO będzie m.in. rejestracja i rozpatrywanie skarg na dostawców usług pośrednictwa danych, a także monitorowanie i nadzór nad sposobem świadczenia usług, włącznie z nakładaniem „odstraszających” (cytuję akt w/s zarządzania danymi, nie projekt ustawy) kar pieniężnych, których wysokość może sięgnąć 500 tys. euro (tę kwotę przynosi już polska ustawa);
- kompetencje PUODO sięgać mają także organizacji tzw. altruizmu danych — czyli możliwości decydowania przez osoby fizyczne o udostępnianiu swych danych osobowych, będących w posiadaniu podmiotów sektora publicznego i ponownego wykorzystywania „w interesie ogólnym”;
- i tak to PUODO będzie zajmował się m.in. rejestracją organizacji altruizmu danych, monitorowaniem i nadzorem nad funkcjonowaniem tych organizacji, usuwaniem z rejestru (jako formy sankcji za niedopatrzenia) — a także nakładaniem administracyjnych kar pieniężnych (w tym przypadku w wysokości do 5 tys. euro).
Zamiast komentarza: biorąc pod uwagę ambicję, z jaką w ostatnim czasie KE i PE zajmują się regulacją coraz to nowszych sfer — a prawodawcy poszczególnych państw UE przepisują te przepisy do ustaw krajowych — coraz częściej przychodzi mi taka myśl: czy aby w tym zalewie przepisów nie umyka nam ogólny sens tego, do czego służą przepisy prawa? Wszakże powinny one służyć tylko i wyłącznie wyłuszczeniu normy prawnej i jej zrozumieniu przez adresatów — mnie się wydaje, że z tą funkcją jest naprawdę coraz gorzej… (już choćby dlatego, że zaraz obok mamy akt w sprawach danych, tj. rozporządzenie 2023/2854 w/s zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania — więc zrozum rozum).