Przedstawiciele UODO z wizytą w Helsinkach – wymiana doświadczeń w zakresie wdrażania DGA

W dniach 9–13 marca delegacja Urzędu Ochrony Danych Osobowych wzięła udział w wizycie studyjnej w Helsinkach, zorganizowanej w ramach inicjatywy flagowej PACE Instrumentu Wsparcia Technicznego (TSI), programu Komisji Europejskiej. Celem wizyty jest wymiana doświadczeń między organami administracji odpowiedzialnymi za wdrażanie Aktu w sprawie zarządzania danymi. Dlatego wizyta była szczególnie istotne w kontekście trwających w polskim Parlamencie prac nad ustawą implementującą te przepisy.

W wyjeździe uczestniczyli przedstawiciele Departamentu Innowacyjności i Zarządzania Danymi: Agata Czekaj, Aleksandra Grabowska-Kral, Aleksandra Spyra i Artur Kalinowski, a także Iwona Piórkowska-Kapica z Departamentu Inicjatyw Edukacyjnych. Pierwszego dnia delegacja odwiedziła Traficom, czyli Fińską Agencję Transportu i Komunikacji.

Dzień pierwszy – wymiana informacji o strukturze i działaniu urzędów

Przedstawiciele UODO przedstawili prezentację dotyczącą takich kwestii jak: konstytucyjne podstawy ochrony prywatności (art. 47, art. 49 i art. 51 ustawy zasadniczej), tła historycznego działalności Urzędu i jej podstaw prawnych (ustawy z 1997 r. i z 2018 r.), a także statutu UODO. Przedstawiono też sylwetki Prezesa oraz wiceprezesów UODO, działalność Departamentu Innowacyjności i Zarządzania danymi, (w tym statystyki), a także omówiono proces implementacji DGA w Polsce.

Z kolei pracownicy Traficomu przybliżyli działalność „Data Economy Unit” (Jednostka ds. Ekonomii Danych) która działa od stycznia 2023 r. Powstała ona ze względu na, planowane wówczas, rozpoczęcie obowiązywania DGA. Jednak oprócz tego aktu, DEU pracuje także nad Aktem o usługach cyfrowych (DSA), Aktem w sprawie sztucznej inteligencji (AI Act), Aktem w sprawie danych (DA), oraz Rozporządzeniami ws. przeciwdziałania rozpowszechnianiu w internecie treści o charakterze terrorystycznym i ws. ram swobod-nego przepływu danych nieosobowych w Unii Europejskiej. Do zadań jednostki należą też: wspieranie i kooperacja w przygotowaniu implementacji aktów prawnych UE, informowanie interesariuszy o regula-cjach, udział w pracach EU Board i doradzanie ws. zobowiązań operatorów i prawa użytkowników.

Podczas drugiej sesji tego dnia wizyty przedstawiono natomiast strukturę organizacyjną Traficomu, w tym liczbę pracowników (1160) oraz budżet agencji, a także jego perspektywach i spostrzeżeniach dla UE czy spraw międzynarodowych. Zadaniem Trafikomujest zapewnienie bezpieczeństwa zarówno w ruchu powietrznym, jak i procesie cyfryzacji. Podejmuje on również działania prewencyjne, prowadzi rejestry i statystyki a nawet –  wykonuje prace związane z programami kosmicznymi. Traficom jest instytucją niezależną w swojej działalności.

W części przeznaczonej na pytania polscy delegaci chcieli dowiedzieć się przede wszystkim, w jaki sposób fińskie instytucje osiągnęły tak wysoki wskaźnik zaufania społecznego.

Fińskie doświadczenia mogą być pomocne przy wdrażaniu DGA

Trzecia sesja poświęcona była ustawie implementującej w Finlandii DGA. Państwo to jako pierwsze w UE dokonało wdrożenia DGA, obowiązującego już od 24 września 2023 r. Ustawa implementująca obejmuje swoim zakresem również Akt o danych (DA). Pierwsza fińska organizacja pośrednictwa danych została zarejestrowana już w styczniu 2024 r. Z kolei pierwszą taką organizację spoza UE zarejestrowano zaś w czerwcu 2024 r. – pochodziła ona z Wielkiej Brytanii.

Traficom ma prawo do udzielania ostrzeżeń oraz upomnień podmiotom, które naruszą DGA. Urząd wyznacza im też czas na naprawienie błędu. Jeśli nie zrobią tego w terminie, może nałożyć kary pieniężne od 1 tys. do 100 tys. euro. Ich względnie niska wysokość (np. w porównaniu z tymi przewidzianymi w RODO) wynika z faktu, że większość organizacji pośrednictwa danych to start-upy, nie dysponujące wielkimi budżetami. Traficom, w ramach priorytetyzowania swoich zadań, może jednak odmówić wszczęcia postępowania w niektórych przypadkach.

Wnioski po pierwszym dniu

• ·Traficom, w odróżnieniu od UODO, zajmuje się także sprawami transportu (obok kwestii ochrony danych osobowych).
• ·W Finlandii ustawa wdrażająca DGA obowiązuje od stycznia 2024 r., w Polsce trwają prace legislacyjne w parlamencie.
• ·Zakres kar za nieprzestrzeganie DGA w Finlandii jest znacznie niższy niż w polskim projekcie ustawy implementującej.
• ·Organ fiński ma możliwość prioretyzacjizadań, a nawet odstąpienie od podjęcia postępowania w niektórych przypadkach.
• ·Digitalizacja w Finlandii jest bardziej rozwinięta, niż w Polsce.

Dzień drugi: jak działa fiński system pośrednictwa danych

10 marca 2026 r. w siedzibie Traficom w Helsinkach odbyło się kolejne spotkanie, tym razem poświęcone praktycznym aspektom wdrażania przepisów Data Governance Act oraz funkcjonowania systemu pośrednictwa danych. Kwestie te omówiono w panelu pt. DGA in practice continues and Traficom’s views on Digital Omnibus”. Drugi blok tematyczny, przygotowany przez Data Space Europe Oy, nosił nazwę: „Experiences from the first registered data intermediary”.

Prezentację w tej sprawie przedstawiła Jaana Sinipuro, CEO DataSpace Europe Oy, która posiada wieloletnie doświadczenie w obszarze analityki danych i od trzech lat jest związana z firmą. W wystąpieniu pokazano całą genezę powstania tej spółki – od koncepcji w 2016 r. gdy utworzono projekt Cinia. Następnie w 2018 r. rozwinięto go do postaci pierwszej wersji platformy ValueNet. Jej celem było m.in. stworzenie cyfrowego paszportu dla rolników. System ten został następnie zmodernizowany w 2022 r. do rozwiązania Tritom tj. infrastruktury służącej do pośrednictwa danych. W tym samym roku powstała spółka Data Space Europe Oy, która w styczniu 2024 r. została zarejestrowana jako organizacja pośrednictwa danych.

Data Space Europe Oy – model i zasady działania

Podkreślono, że główną rolą DSE, jako należącej do kategorii tzw. „data flows”, jest ułatwianie przepływu danych pomiędzy przedsiębiorstwami, opartymi na zgodzie oraz odpowiednich uprawnieniach („permission flows”). Aspekt komercyjny działalności pozostaje drugorzędny, bowiem kluczowe znaczenie ma budowanie standardów umożliwiających bezpieczne i zgodne z prawem ponowne wykorzystanie danych oraz tworzenie zaufania między uczestnikami rynku.

Ten model działania określany jest jako „Data Sharing Pool”. Obejmuje on współpracę w modelu B2B, weryfikację zgód i pozwoleń obu stron, zarządzanie udostępnianiem danych oraz reprezentowanie interesów podmiotów należących do ekosystemu. Kluczowe elementy modelu to: interoperacyjność oparta na otwartych standardach, przejrzystość prawna oraz budowanie realnego rynku danych.

Na czym polega międzynarodowa przestrzeń wymiany danych?

W dalszej części umówione zostały podstawowe zasady funkcjonowania międzynarodowych przestrzeni danych, takie jak: „Twoje dane — Twój wybór”, „ufaj, ale sprawdzaj”, zdecentralizowana i neutralna infrastruktura, interoperacyjność poprzez otwarte standardy oraz bezpieczne, oparte na zgodzie przepływy danych.

Usługi pośrednictwa danych mogą przyjmować różne formy organizacyjne, m.in. systemów zarządza-nia informacją osobową (PIMS), spółdzielni danych, trustów danych, unii danych, rynków danych czy właśnie „data sharing pools”. Zastosowania tego typu rozwiązań obejmują wiele sektorów gos-podarki, w szczególności zdrowie i zdrowie publiczne, transport i mobilność, platformy internetowe i systemy IT, finanse i ubezpieczenia, rolnictwo i żywność, edukację i badania, a także działania związane ze środowiskiem i klimatem. Jak podkreślono w prezentacji, rozwój usług pośrednictwa danych wymaga wsparcia ze strony sektora publicznego, a model ten, mimo że wciąż się rozwija, ma potencjał, aby w przyszłości funkcjonować jako samowystarczalny i trwały model biznesowy.

Wdrażanie DGA w praktyce – pytania i odpowiedzi

Polska delegacja aktywnie uczestniczyła w dyskusji, zadając szereg pytań o praktyczne aspekty wdrażania DGA, w tym formularza do zgłaszania organizacji pośrednictwa danych. Eksperci z Traficom, Päivi Karkkola oraz Jussi Kataja – szczegółowo omówili fińskie doświadczenia w implementacji tych przepisów oraz odpowiedzieli na pytania naszych przedstawicieli.

1. Jak wyglądały Wasze przygotowania do wdrożenia procedury rejestracji organizacji pośrednictwa danych i jak długo trwały? Jaki był Wasz pierwszy krok?

W pierwszej kolejności skoncentrowano się na analizie wymagań ustawowych oraz ustaleniu, w jaki sposób zorganizować proces rejestracyjny, aby był możliwie prosty oraz efektywny dla urzędu, a jednocześnie spełniał wszystkie wynikające z DGA wymogi dotyczące procesu rejestracyjnego.

2. Które z kryteriów zawartych w art. 12 DGA sprawiły najwięcej trudności interpretacyjnych?

Największe trudności wynikały z nieprecyzyjnych sformułowań użytych w rozporządzeniu. W szczególności problematyczne były kwestie wskazane w obszernym, (ok. 85 stron) dokumencie interpretacyjnym dotyczącym zagadnień, które mogły potencjalnie sprawiać kłopoty. Wątpliwości dotyczyły m.in. przepisów odnoszących się do cyberbezpieczeństwa oraz pojęć takich jak „odpowiednie zasoby techniczne”, których zakres jest trudny do jednoznacznego określenia.

3. Jakich dokumentów wymagacie od organizacji na potwierdzenie spełniania wymagań określonych w art. 12 DGA?

Zakres wymaganej dokumentacji zależy m.in. od tego, czy organizacja zamierza korzystać z oznaczenia przewidzianego w ramach systemu. W przypadku ubiegania się o takie oznaczenie proces weryfikacji jest bardziej złożony i wymaga dokładniejszej analizy dokumentów. W praktyce jednak agencja stara się ograniczać wymagania formalne do niezbędnego minimum – organizacje przekazują głównie informacje umożliwiające ocenę spełnienia wymogów ustawowych, natomiast szczegółowe dokumenty mogą być wymagane na późniejszym etapie w celu potwierdzenia przekazanych informacji.

4. Czy i jakie wyzwania pojawiły się w związku z rejestracją pierwszych organizacji pośrednictwa danych?

W toku pierwszych postępowań pojawiły się m.in. problemy związane z zakresem informacji publikowanych w rejestrze oraz koniecznością uzupełniania braków formalnych przez wnioskodawców. Inne trudności dotyczyły też reprezentacji podmiotów i braku przekazania przez Komisję Europejską danych kontaktowych do zarejestrowanych organizacji (Finlandia musiała sama się o nie zwrócić). Część tych zagadnień została następnie wyjaśniona w materiałach typu Q&A. W odpowiedz podkreślono, że pomocne jest analizowanie praktycznych przykładów funkcjonowania pośrednictwa danych, bo pozwala lepiej zrozumieć sposób przepływu i wykorzystywania danych w rzeczywistych procesach.

5. Jaki był podział kompetencji w departamentach, aby skutecznie wdrożyć DGA?

Istotną rolę w procesie odegrał dział IT, który odpowiada za przygotowanie narzędzi technicznych i systemów obsługujących proces rejestracji. Realizuje on rozwiązanie od początku do końca, w oparciu o wymagania określone przez jednostki merytoryczne, a w trakcie prac wprowadzane są niezbędne konsultacje i korekty.

6. Ile trwa procedura rejestracyjna organizacji pośrednictwa danych?

Procedura rejestracyjna trwa zazwyczaj ok. tygodnia, jej długość zależy od tego, czy w toku postępo-wania pojawią się dodatkowe pytania lub konieczność uzupełnienia informacji przez wnioskodawcę.

7. Jak wygląda nadzór nad zarejestrowanymi organizacjami pośrednictwa danych?

Nadzór ten nie ma charakteru ciągłego. W praktyce opiera się on przede wszystkim na spotkaniach organizowanych w formie zdalnej, podczas których urząd wspiera organizacje w ich działalności oraz wyjaśnia ewentualne wątpliwości. W przypadku określonych obowiązków sprawozdawczych możliwe jest przeprowadzenie kontroli.

8. Jakie wskazówki możecie przekazać Polsce przy wdrażaniu przepisów?

Podkreślono znaczenie prostoty procedur. Rekomendowano przygotowanie formularzy rejestracyj-nych w sposób przejrzysty i zrozumiały dla użytkowników oraz zapewnienie ich szerokiej dostępno-ści. Podkreślono również rolę wsparcia doradczego ze strony urzędu oraz udzielania praktycznych wskazówek zainteresowanym podmiotom.

9. Czy macie jakieś toczące się obecnie procedury rejestracyjne?

Obecnie w toku są dwa postępowania dotyczące rejestracji organizacji pośrednictwa danych. Jedno-cześnie, zainteresowanie rejestracją organizacji altruizmu danych jest niewielkie – do tej pory nie zarejestrowano żadnej takiej organizacji ani nie prowadzi się obecnie postępowań w tym zakresie. Potencjalną zachętą do rejestracji mogłoby być potwierdzanie przez organ publiczny bezpieczeńst-wa przetwarzania danych poprzez system certyfikacji.

Wnioski po drugim dniu:

• ·Departament, który będzie rejestrował i nadzorował organizacje pośrednictwa danych, powinien doszkolić się w zakresie ich form organizacyjnych.
• ·Formularze, z którymi polska delegacja się zapoznała, mogą być przydatne w procesie przygotowania formularzy, po wejściu w życie polskiej ustawy.

W trakcie spotkania zwrócono też uwagę na praktyczne przykłady wykorzystania pośrednictwa danych. Wskazano m.in. rozwiązanie stosowane przez Traficom, w którym po wprowadzeniu numeru rejestracyjnego pojazdu odpowiednia aplikacja umożliwia przekazanie warsztatowi samochodowemu danych technicznych pojazdu. Podkreślono także, że w celu zwiększenia świadomości dotyczącej pośrednictwa danych oraz altruizmu danych organizowane są warsztaty i inne działania informacyjne. Jednocześnie, ze względu na ograniczone zasoby administracyjne prowadzenie szeroko zakrojonych działań promocyjnych w tym obszarze pozostaje wyzwaniem. Wskazano również na potrzebę lepszego komunikowania potencjalnych korzyści biznesowych wynikających z wykorzystywania danych udostępnianych na podstawie przepisów DGA.

Dzień trzeci – spotkanie z Ministerstwem Transportu i Komunikacji

11 marca 2026 r. polska delegacja wzięła udział w spotkaniu z przedstawicielami Ministerstwa Trans-portu i Komunikacji Finlandii, które było poświęcone Strategii łączenia danych i Pakietowi Cyfrowemu.

Na wstępie przedstawione zostały zagadnienia łańcucha wartości danych i suwerenności danych. Analiza przeprowadzona w oparciu o łańcuch pozwala odpowiedzieć na pytania: kto jest właścicielem źródła danych, kto ujednolica standardy i zarządza nimi, a kto infrastrukturą, a także kto kontroluje decyzje i ustalanie cen. Z kolei suwerenność danych obejmuje następujące obszary: otwarty rynek wewnętrzny i uczciwa konkurencja, interoperacyjność i standaryzacja, potencjał i technologie kluczowe, zaufanie, bezpieczeństwo i regulacje – podczas spotkania przedstawiono działania resorty w każdej z tych sfer.

W dalszej części zaprezentowano również Strategia Danych 2020 oraz Strategia Unii Danych 2025. Fińskie Ministerstwo przedstawiło też swoje stanowisko w kwestii Cyfrowego Omnibusa oraz działania, jakie w związku z nim podjęło. Wśród nich znalazły się: aktywny dialog z fińskimi interesariuszami, szerokie poparcie dla podjętych działań oraz ambicji Komisji. W kwestii sztucznej inteligencji, Finlandia popiera zaproponowaną oś czasu i podtrzymuje konieczność ochrony danych.

Wnioski po trzecim dniu:

• ·Potrzebna jest lepsza koordynacja wymiany informacji między UODO a Ministerstwem Cyfryzacji.
• ·Należy pracować u podstaw, w celu uzyskania zaufania społeczeństwa.
• ·Trzeba edukować społeczeństwo w jego prawach.

Dzień czwarty – spotkanie z Rzecznikiem ds. ochrony danych

12 marca delegacja zaczęła od wizyty w Fińskim urzędzie Rzecznika ds. ochrony danych (Office of the Data Protection Ombudsman). Na czele tego urzędu stoi Anu Talus, która jest jednocześnie przewod-niczącą EROD. W DPO obecnie pracuje 60 pracowników, jednak dzięki uzyskaniu środków budżeto-wych, organizacja planuje zatrudnienie około 20 kolejnych osób. Interesujący jest model zarządzania w urzędzie – nie ma w nim podziału na departamenty, ale na zespoły specjalistów i ich liderów. Pracę zorganizowano sektorowo, co pozwala ekspertom na głęboką specjalizację w konkretnych dziedzinach, co jest niezbędne przy rozbudowanym fińskim prawie sektorowym. Podobnie jak w przypadku UODO, liczba skarg do instytucji od obywateli rośnie od 2018 r. Uwzględniając różnice w populacji obu kra-jów, jest ich stosunkowo więcej niż w Polsce. Wynika to z uproszczonej procedury administracyjnej, która umożliwia złożenie skargi w formie e-mailowej lub przez formularz na stronie internetowej.

Delegacja miała też możliwość przedyskutowania kompetencji urzędu, w związku z DGA. Akt ten wprowadza szeroką kategorię „danych” dzieląc je na osobowe i nieosobowe. Urząd Rzecznika ds. ochrony danych zajmuje się jedynie danymi osobowymi. Instytucja ta nie nadzoruje więc żadnych przepisów DGA – jego obowiązki wynikają natomiast z RODO. Na chwilę obecną urząd nie prowadzi także żadnego postępowania ani nie otrzymał skarg związanych z DGA. Kluczowa jest jednak współ-praca organu z Traficomem, w ramach której dochodzi do wymiany informacji, regularnych spotkań i konsultacji.

Cyfrowy Omnibus – co się zmieni w DGA?

Po wizycie u Rzecznika ds. ochrony danych, delegacja miała spotkanie w Traficomie. Została przedstawiona prezentacja na temat zmian w DGA wprowadzonych przez Cyfrowy Omnibus, z punktu widzenia Traficom. Urząd ten popiera dobrowolną rejestrację organizacji pośrednictwa danych. Jak zauważają przedstawiciele Traficom, przeniesienie odpowiedzialności za utrzymanie rejestru na Komisję, nie zmieni obłożenia pracą urzędu.

Traficom stoi na stanowisku, że poluzowanie wymagań związanych z organizacją pośrednictwa danych jest akceptowalne, ale powinny zostać w dalszym ciągu egzaminowane, żeby upewnić się, że wiarygodność i neutralność są zachowane. Co do Europejskiej Rady ds. Innowacji w zakresie Danych, przejście w kierunku pełnienia bardziej strategicznej roli jest pożądane, jednakże należy zadbać o to, żeby mechanizmy współpracy między właściwymi organami pozostawały wystarczające.

Wnioski po czwartym dniu:

• ·Potrzebna jest współpraca między organami państwowymi w Polsce zajmującymi się ochroną danych.
• ·W Finlandii ochrona danych jest bardziej rozproszona niż w Polsce.
• ·Mogłoby być więcej skarg do UODO, gdyby procedura administracyjna była uproszczona, na model fiński.

Wizyta studyjna w Helsinkach zakończyła się 13 marca. Podczas ostatniego spotkania w siedzibie Traficomu, delegacja dokonała pełnego podsumowania zebranej wiedzy. Kluczowym elementem było zweryfikowanie poprawności pozyskanych danych, aby zapewnić pełną zgodność materiału ze stanem faktycznym. Obie delegacje skupiły się na wstępnym opracowaniu planu działania dotyczącego wdrożenia DGA w Polsce w oparciu o zdobyte w Traficom doświadczenia a także na określeniu obszarów dalszej współpracy między instytucją przyjmującą a UODO.