Nowe spojrzenie na zarządzanie danymi – DGA w pigułce cz. 2

W drugiej części nowego cyklu poświęconego rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2022/868 z 30 maja 2022 r. w sprawie europejskiego zarządzania danymi (Akt w sprawie zarządzania danymi), określanego jako DGA, omówimy przepisy dotyczące usług pośrednictwa danych¹.

Usługi pośrednictwa danych są nowym rodzajem działalności gospodarczej, które – jak wyjaśnia motyw 27 DGA – mają pełnić kluczową funkcję w gospodarce danych. Ich celem jest przede wszystkim wspieranie i promowanie dobrowolnego dzielenia się danymi między przedsiębiorstwami, jak również ułatwianie takiego dzielenia się, jeśli wynika to z obowiązków ustanowionych w prawie Unii lub prawie krajowym. Zakłada się, że takie usługi mogą ułatwiać powstawanie nowych ekosystemów opartych na danych, które będą niezależne od podmiotów o znaczącej pozycji rynkowej i umożliwią niedyskryminacyjny dostęp do gospodarki danych przedsiębiorstwom o dowolnej wielkości, w szczególności MŚP i start-upom o ograniczonych środkach finansowych, prawnych lub administracyjnych. Usługi pośrednictwa danych mogą również wspierać osoby, których dane dotyczą, w realizacji przez nie swoich praw przyznanych przez RODO.

1. Usługa pośrednictwa danych

DGA definiuje usługę pośrednictwa danych w art. 2 pkt 11 jako usługę, która ma na celu ustanowienie – za pomocą środków technicznych, prawnych lub innych – stosunków handlowych między – z jednej strony – nieokreśloną liczbą osób, których dane dotyczą, i posiadaczami danych² oraz – z drugiej strony – użytkownikami danych do celów dzielenia się danymi, w tym do celów wykonywania praw osób, których dane dotyczą, w odniesieniu do danych osobowych.

DGA reguluje następujące rodzaje usług pośrednictwa danych (Art. 10):

a)usługi pośrednictwa między posiadaczami danych a potencjalnymi użytkownikami danych. Do takich usług w szczególności należy udostępnianie środków technicznych lub innych umożliwiających ich świadczenie takich usług. Mogą one obejmować:

·dwustronną lub wielostronną wymianę danych;

·tworzenie platform lub baz danych umożliwiających wymianę wspólne wykorzystywanie danych;

·tworzenie innej specjalnej infrastruktury do stworzenia powiązań między posiadaczami danych a użytkownikami danych.

b)usługi pośrednictwa między osobami, których dane dotyczą, zamierzającymi udostępnić swoje dane osobowe, lub osobami fizycznymi zamierzającymi udostępnić dane nieosobowe a potencjalnymi użytkownikami danych, w tym udostępnianie środków technicznych lub innych umożliwiających świadczenie takich usług, w szczególności umożliwiających wykonywanie ustanowionych w rozporządzeniu (UE) 2016/679 praw osób, których dane dotyczą. Dostawcy takich usług pośrednictwa danych w swojej działalności mają dążyć do zwiększenia sprawczości osób, których dane dotyczą, w zakresie kontroli nad przetwarzaniem ich danych osobowych³,  pomagając im w wykonywaniu swoich praw wynikających z RODO⁴, a w szczególności prawa do wyrażenia i wycofania zgody na przetwarzanie danych, prawa dostępu do danych czy też prawa do przenoszenia danych⁵.

W tym kontekście ważne jest, aby model biznesowy takich dostawców zapewniał, że nie stosują oni niewłaściwych zachęt do korzystania ze swoich usług w celu skłonienia osób fizycznych do przekazania im większej ilości danych, niż leży to w interesie tych osób. Gwarancje takie mogą obejmować doradzanie osobom fizycznym w zakresie możliwego wykorzystywania ich danych oraz przeprowadzanie kontroli należytej staranności użytkowników danych przed umożliwieniem im kontaktu z osobami, których dane dotyczą. Ma to na celu unikanie oszukańczych praktyk.⁶ Takie usługi mogą przybrać postać systemów zarządzania danymi osobowymi (ang. PIMS). Jak wskazuje Europejski Inspektor Ochrony Danych, takie systemy są nowymi produktami i usługami, które pomagają osobom fizycznym mieć większą kontrolę nad swoimi danymi, umożliwiając im zarządzanie własną tożsamością cyfrową⁷. usługi świadczone przez spółdzielnie danych, które zgodnie z art. 2 pkt 15 DGA oznaczają usługi pośrednictwa danych oferowane przez strukturę organizacyjną utworzoną przez osoby, których dane dotyczą, przedsiębiorstwa jednoosobowe lub MŚP będące członkami tej struktury. Głównymi celami spółdzielni danych jest wspieranie swoich członków w wykonywaniu ich praw w odniesieniu do niektórych danych, w tym dokonywanie świadomego wyboru przed wyrażeniem przez nich zgody na przetwarzanie danych, wymienianie poglądów na temat celów przetwarzania danych i warunków, które najlepiej będą odzwierciedlać interesy jej członków w odniesieniu do ich danych, oraz negocjowanie w imieniu członków warunków i zasad przetwarzania danych przed udzieleniem pozwolenia na przetwarzanie danych nieosobowych lub przed zgodą na przetwarzanie danych osobowych.

Komisja Europejska wyjaśniła, że uregulowane w DGA usługi pośrednictwa danych są inspirowane następującymi istniejącymi lub powstającymi modelami⁸:

1)„rynki danych, które dopasowują podaż i popyt w jakimkolwiek zorganizowanym ekosystemie, a nawet poza nim;

2)orkiestratorów ekosystemów, np. (wspólnych europejskich) przestrzeni danych, w których uczestnicy akceptują określone zasady (prawne lub techniczne) uczestnictwa w ekosystemie;

3)pule danych utworzone przez przedsiębiorstwa lub osoby fizyczne, w przypadku gdy korzyści pły-nące z wykorzystania puli są przekazywane bezpośrednio podmiotom przekazującym dane do puli;

4)„spółdzielnie” lub „związki” danych posiadające mechanizm zbiorowych obrad lub podejmowania decyzji w sprawie wykorzystania danych, którymi dysponują członkowie spółdzielni lub związku;

5)usługi „portalu danych osobowych lub chmury obliczeniowej”, tj. usługi oferowane osobom fizycznym, które mogą przechowywać dotyczące ich dane osobowe będące obecnie w posiadaniu innych przedsiębiorstw i umożliwiać przetwarzanie takich danych przez osoby trzecie w ramach ich „chmury danych osobowych” („wprowadzanie algorytmu do danych” w celu maksymalizacji prywatności danych) albo poprzez przekazanie takich danych tej osobie trzeciej”.

Art. 2 pkt 11 DGA zawiera otwarty katalog usług, które nie są zaliczane do usług pośrednictwa danych:

a)usługi, w ramach których dane są pozyskiwane od posiadaczy danych i agregowane, wzbogacane lub przekształcane w celu dodania im znaczącej wartości, a następnie użytkownikom danych udzielana jest licencja na wykorzystanie uzyskanych w ten sposób danych bez ustanawiania stosunku handlowego między nimi a posiadaczami danych. Tym samym poza zakresem „usług pośrednictwa danych” znajdą się brokerzy danych, którzy nie ustanawiają stosunku handlowego między posiadaczami danych a ich użytkownikami;

b)usługi skoncentrowane na pośrednictwie treści chronionych prawem autorskim;

c)usługi, z których korzysta wyłącznie jeden posiadacz danych w celu umożliwienia wykorzystywania danych będących w jego posiadaniu, lub usługi, z których korzysta wiele osób prawnych w zamkniętej grupie, w tym w ramach stosunków z dostawcami, klientami lub współpracy nawiązanej na podstawie umowy. Chodzi tu w szczególności o usługi, których głównym celem jest zapewnienie funkcjonalności przedmiotów i urządzeń podłączonych do Internetu rzeczy;

d)usługi dzielenia się danymi oferowane przez podmioty sektora publicznego, które to usługi nie mają na celu ustanowienia stosunków handlowych.

Zgodnie z motywem 28 DGA świadczenie usług przechowywania w chmurze, usług analitycznych, dostarczanie oprogramowania na potrzeby dzielenia się danymi, przeglądarek internetowych, wtyczek do przeglądarek lub świadczenie usług poczty elektronicznej, nie powinno być uznawane za usługę pośrednictwa danych w rozumieniu tego rozporządzenia. Warunkiem jest jednak, że usługi takie jedynie dostarczają osobom, których dane dotyczą, lub posiadaczom danych, narzędzia techniczne służące do dzielenia się z innymi danymi. Celem dostarczania takich narzędzi nie może być jednak nawiązywanie stosunków handlowych między posiadaczami a użytkownikami ani umożliwienie dostawcy usług pośrednictwa danych uzyskiwania informacji o nawiązywaniu stosunków handlowych do celów dzielenia się danymi.

Określone w DGA obowiązki nałożone na dostawców usługi pośrednictwa danych nie mają zastosowania do uznanych organizacji altruizmu danych ani do innych podmiotów o charakterze niekomercyjnym – choć jedynie w pewnym zakresie. Chodzi tu o działalność polegającą na gromadzeniu danych w interesie ogólnym, udostępnianych przez osoby fizyczne lub prawne w myśl altruizmu danych.

Przy czym przepisy dotyczące usług pośrednictwa danych będzie się stosowało do tych podmiotów i organizacji, jeśli mają one na celu ustanowienie stosunków handlowych między nieokreśloną liczbą osób, których dane dotyczą, i posiadaczy danych z jednej strony oraz użytkownikami danych z drugiej.

2. Obowiązek zgłoszenia przez dostawców usług pośrednictwa danych

Zgodnie z art. 11 ust. 1 DGA każdy dostawca usług pośrednictwa danych, który zamierza świadczyć swoje usługi, ma obowiązek zgłoszenia do organu właściwego do spraw usług pośrednictwa danych.

Art. 19 projektu ustawy o zarządzaniu danymi przewiduje, że w Polsce będzie nim Prezes UODO.

DGA określa, że w takim zgłoszeniu muszą się znaleźć następujące informacje:

·nazwa dostawcy usług pośrednictwa danych;

·status i forma prawna, struktura własności oraz wskazanie odpowiednich jednostek zależnych dostawcy usług pośrednictwa danych, a w przypadku gdy figuruje on w rejestrze handlowym lub innym podobnym rejestrze publicznym – jego numer rejestracyjny;

·adres głównej jednostki organizacyjnej dostawcy usług pośrednictwa danych w Unii, o ile takowy istnieje, oraz, jeżeli ma to zastosowanie, drugorzędnego oddziału w innym państwie członkowskim lub adres przedstawiciela prawnego;

·adres ogólnodostępnej strony internetowej, na której można znaleźć kompletne i aktualne informacje na temat dostawcy usług pośrednictwa danych oraz jego działalności⁹;

·dane kontaktowe osób wyznaczonych do kontaktów przez dostawcę usług pośrednictwa danych;

·opis usługi pośrednictwa danych, którą dostawca zamierza świadczyć, oraz wskazanie kategorii wymienionych w art. 10, do których należą takie usługi pośrednictwa danych;

·planowaną datę rozpoczęcia działalności, jeżeli jest inna od daty zgłoszenia¹⁰;

·jeżeli zaszły jakiekolwiek zmiany informacji przekazanych w zgłoszeniu, dostawcy usług pośrednictwa danych zobowiązani są do powiadomienia o tym organu właściwego w terminie 14 dni od dnia, kiedy zmiana nastąpiła¹¹.

Dostawca usług pośrednictwa danych po dokonaniu zgłoszenia do organu właściwego do spraw usług pośrednictwa danych w jednym z państw członkowskich UE może rozpocząć działalność z zastrzeżeniem warunków określonych w rozdziale III DGA¹². Takie zgłoszenie uprawnia dostawcę usług pośrednictwa danych do świadczenia swoich usług we wszystkich państwach członkowskich UE¹³.

3.Uznany w Unii dostawca usług pośrednictwa danych

Zgodnie z art. 11 ust. 9 DGA na wniosek dostawcy usług pośrednictwa danych organ właściwy do spraw usług pośrednictwa danych potwierdza, że dostawca usług pośrednictwa danych przestrzega art. 11 oraz art. 12 DGA. Po otrzymaniu takiego potwierdzenia dostawca usług pośrednictwa danych może w swojej komunikacji pisemnej i ustnej posługiwać się oznakowaniem „uznany w Unii dostawca usług pośrednictwa danych” i używać wspólnego logo, które zostało ustanowione przez Komisję Europejską¹⁴.

4.Warunki świadczenia usług pośrednictwa danych

Warunki, które muszą spełnić dostawcy usług pośrednictwa danych, zostały określone w art. 12 DGA:

·dostawca usług pośrednictwa danych nie może wykorzystywać danych będących przedmiotem świadczonych przez niego usług pośrednictwa danych do celów innych niż oddanie ich do dyspozycji użytkownikom danych, a usługi pośrednictwa danych świadczy poprzez odrębną osobę prawną (lit. a);

·warunki handlowe, w tym ceny, świadczenia usług pośrednictwa danych posiadaczowi lub użytkownikowi danych nie mogą być uzależnione od tego, czy posiadacz lub użytkownik danych korzysta z innych usług świadczonych przez tego samego dostawcę usług pośrednictwa danych, powiązany z nim podmiot, ani od tego w jakim zakresie posiadacz lub użytkownik danych korzysta z takich innych usług (lit. b);

·dane zebrane w odniesieniu do działalności osoby fizycznej lub prawnej w celu świadczenia usługi pośrednictwa danych, w tym dane dotyczące daty, godziny i geolokalizacji, czasu trwania działalności; połączeń ustanowionych przez osobę korzystającą z usługi pośrednictwa danych z in-nymi osobami fizycznymi lub prawnymi, mogą być wykorzystywane tylko do celów rozwoju tej us-ługi pośrednictwa danych. Może to obejmować wykorzystywanie danych do wykrywania oszustw lub na potrzeby cyberbezpieczeństwa; udostępnia się je na żądanie posiadaczom danych (lit. c);

·dostawca usług pośrednictwa danych ułatwia wymianę danych w formacie, w jakim otrzymuje je od osoby, której dane dotyczą, lub od posiadacza danych. Konwertowanie tych danych do określonych formatów jest dopuszczalne wyłącznie w celu zwiększenia interoperacyjności w obrębie sektorów i między sektorami, zapewnienia harmonizacji z międzynarodowymi lub europejskimi standardami danych albo też na wniosek użytkownika danych lub wtedy, gdy jest to wymagane przez prawo Unii. Dostawca usług musi też oferować osobom, których dane dotyczą, lub posiadaczom danych możliwość rezygnacji z tych konwersji, chyba że taka konwersja jest wymagana przez prawo Unii (lit. d);

·usługi pośrednictwa danych mogą obejmować oferowanie posiadaczom danych lub osobom, których dane dotyczą, dodatkowych specjalnych narzędzi i usług ułatwiających wymianę danych. Chodzi tu o takie usługi jak: tymczasowe przechowywanie, kuratorstwo, konwersja, anonimizacja i pseudonimizacja. Z tych narzędzi korzysta się wyłącznie na wyraźny wniosek lub za zgodą posiada         cza danych lub osoby, której dane dotyczą, a narzędzia osób trzecich oferowane w tym kontekście

         nie mogą wykorzystywać danych do innych celów (lit. e);

·dostawca usług pośrednictwa danych zapewnia, aby procedura dostępu do usługi była sprawiedliwa, przejrzysta i niedyskryminująca zarówno dla osób, których dane dotyczą, jak i posiadaczy danych, a także użytkowników danych, w tym w odniesieniu do cen i warunków świadczenia usługi (lit. f);

·dostawca usług pośrednictwa danych wprowadza procedury mające na celu zapobieganie oszustwom lub nadużyciom w odniesieniu do podmiotów ubiegających się o dostęp za pośrednictwem jego usług (lit. g);

·dostawca usług pośrednictwa danych zapewnia w przypadku niewypłacalności odpowiednią ciągłość świadczenia swoich usług pośrednictwa danych, a w przypadku gdy te usługi zapewniają przechowywanie danych, wprowadza mechanizmy umożliwiające posiadaczom i użytkownikom danych uzyskanie dostępu do swoich danych, ich przekazywanie lub pobieranie. Natomiast w przypadku świadczenia  usług pośrednictwa danych między osobami, których dane dotyczą, a użytkownikami danych, dostawca zapewnia środki umożliwiające osobom, których dane dotyczą, wykonywanie przysługujących im praw (lit. h);

·dostawca usług pośrednictwa danych podejmuje odpowiednie środki w celu zapewnienia interoperacyjności z innymi usługami pośrednictwa danych, m.in. za pomocą standardów otwartych, które są powszechnie stosowane w sektorze działalności danego dostawcy usług pośrednictwa danych (lit. i);

·dostawca usług pośrednictwa danych wprowadza odpowiednie środki techniczne, prawne i orga-nizacyjne w celu zapobiegania niezgodnemu z prawem Unii lub z prawem krajowym danego pań-stwa członkowskiego przekazywaniu danych nieosobowych lub dostępowi do tych danych (lit. j);

·dostawca usług pośrednictwa danych informuje niezwłocznie posiadaczy danych, w przypadku gdy nastąpiły niedozwolone przekazanie, dostęp lub wykorzystanie danych nieosobowych, którymi się podzielił (lit. k);

·dostawca usług pośrednictwa danych podejmuje niezbędne środki w celu zapewnienia odpowiedniego poziomu bezpieczeństwa w zakresie przechowywania, przetwarzania i przesyłania danych nieosobowych. Dostawca usług pośrednictwa danych zapewnia również najwyższy poziom bezpieczeństwa przy przechowywaniu i przesyłaniu istotnych dla konkurencji, szczególnie chronionych informacji (lit. l);

·dostawca usług pośrednictwa danych oferujący usługi osobom, których dane dotyczą, działa w najlepszym interesie tych osób, w przypadku gdy ułatwia wykonywanie przysługujących im praw. W szczególności zapewnia on – zanim osoby, których dane dotyczą, wyrażą zgodę – informacje oraz, w stosownych przypadkach, doradztwo w zwięzły, przejrzysty, zrozumiały i łatwo dostępny sposób co do zamierzonego wykorzystywania danych przez użytkowników danych oraz co do standardowych warunków związanych z takim wykorzystywaniem (lit. m);

·w przypadku gdy dostawca usług pośrednictwa danych zapewnia narzędzia umożliwiające uzyskanie zgody od osób, których dane dotyczą, lub pozwoleń na przetwarzanie danych udostępnionych przez posiadaczy danych, określa on – w stosownych przypadkach – jurysdykcję państwa trzeciego, w których ma się odbywać wykorzystywanie danych. Musi też dostarczyć osobom, których dane dotyczą, narzędzia umożliwiające zarówno wyrażenie, jak i wycofanie zgody, a posiadaczom danych – narzędzia umożliwiające zarówno udzielenie, jak i wycofanie pozwolenia na przetwarzanie danych (lit. n);

·dostawca usług pośrednictwa danych prowadzi rejestr zdarzeń dotyczących działalności w zakresie pośrednictwa danych (lit. o).

·

5.Rejestr uznanych w Unii dostawców usług pośrednictwa danych

Komisja Europejska prowadzi publiczny rejestr uznanych w Unii dostawców usług pośrednictwa danych. Dziś zarejestrowanych jest w nim 27 dostawców pośrednictwa danych z 7 państw członkowskich UE:

Austria: DID Daten-Intermediär-Dienste FlexCo

Belgia: Athumi, Datajoy

Finlandia: Dataspace Europe OY, Inteligentniejsze umowy

Francja: AGDATAHUB, Health DataTrust, Hub One DataTrust, M-ITRUST, NOTO, THEMIS-X, Real Data 4 Real Estate, Space Data Marketplace, VISIONS

Węgry: NIDHAS Adatközvetítő Korlátolt Felelelősségű Társaság

Niderlandy: Datakeeper B.V, Dexes, Fairsfair.io, Luminis Technologies, Stichting Health-RI, Stichting Ontwikkeling Schluss, Poort8, WeCity, Yivi. Szwecja: iGrant.io, Gortanore Data Brokerage AB, Nilsson Internationa l AB

1. Dz. Urz.  UE L 152 z 3.6.2022, s. 1–44. ↩︎
2. Posiadacza danych zdefiniowano w art. 2 pkt 8 DGA jako osobę prawną, w tym podmiot sektora publicznego lub organizację międzynarodową, lub osobę fizyczną niebędącą w odniesieniu do przedmiotowych konkretnych danych osobą, której dane dotyczą, która ma – zgodnie z mającym zastosowanie prawem Unii lub prawem krajowym – prawo do udzielania dostępu do niektórych danych osobowych lub danych nieosobowych lub do dzielenia się nimi; zgodnie zaś z art. 2 pkt 9 DGA użytkownik danych oznacza osobę fizyczną lub osobę prawną, która ma zgodny z prawem dostęp do niektórych danych osobowych lub nieosobowych i prawo, w tym – w przypadku danych osobowych – na podstawie rozporządzenia (UE) 2016/679, do wykorzystywania tych danych w celach komercyjnych lub niekomercyjnych. ↩︎
3.  I. Małobęcka-Szwast [w:] A. Piskorz-Ryń, M. Sakowska-Baryła, Rozporządzenie w sprawie europejskiego zarządzania danymi (DGA), Warszawa 2025, Komentarz do art. 10, s. 273. ↩︎
4. Por. P. Drobek, Pomoc pośredników danych w wykonywaniu przez osoby, których dane dotyczą, swoich praw. Zagadnienia wybrane (dodatek MoP 11/2023), Monitor Prawniczy 2023, nr 11, s. 72-78. ↩︎
5. Motyw 30 DGA ↩︎
6. Tamże ↩︎
7. Europejski Inspektor Ochrony Danych, TechDispatch #3/2020 – Personal Information Management Systems, https://www.edps.europa.eu/sites/default/files/publication/21-01-06_techdispatch-pims_en_0.pdf ↩︎
8. Wdrażanie aktu w sprawie zarządzania danymi – wytyczne, s. 10, opublikowane na stronie internetowej: https://digital-strategy.ec.europa.eu/pl/library/new-practical-guide-data-governance-act ↩︎
9. Na stronie internetowej powinny także zostać opublikowane co najmniej następujące informacje: nazwa dostawcy usług pośrednictwa danych, status prawny, forma prawna, struktura własności oraz odpowiednie jednostki zależne dostawcy usług pośrednictwa danych, a w przypadku gdy dostawca usług pośrednictwa danych jest zarejestrowany w rejestrze handlowym lub innym podobnym rejestrze publicznym – jego numer rejestracyjny, adres głównej jednostki organizacyjnej dostawcy usług pośrednictwa danych w Unii, o ile takowa istnieje, oraz, jeżeli ma to zastosowanie, drugorzędnego oddziału w innym państwie członkowskim lub adres przedstawiciela prawnego, opis usługi pośrednictwa danych, którą dostawca usług pośrednictwa danych zamierza świadczyć; ↩︎
10. Art. 11 ust. 6 DGA. ↩︎
11. Art. 11 ust. 12 DGA. ↩︎
12. Art. 11 ust. 4 DGA. ↩︎
13. Art. 11 ust. 5 DGA. ↩︎
14. Rozporządzenie wykonawcze Komisji (UE) 2023/1622 z 9 sierpnia 2023 r. w sprawie wzoru wspólnych logo służących identyfikacji uznanych w Unii dostawców usług pośrednictwa danych i organizacji altruizmu danych , Dz. Urz. UE L  200 z 10.8.2023, s. 1–4. ↩︎