Projekt ustawy o zarządzaniu danymi

Szanowni Państwo, Członkowie Związku Pracodawców Polska Miedź

Uprzejmie informuję, że do konsultacji publicznych skierowany został projekt ustawy o zarządzaniu danymi (numer z wykazu UC67).

Przedmiotowy projekt aktu prawnego wraz z Uzasadnieniem Oceną Skutków Regulacji oraz Tabelą zgodności dostępny jest na stronach Rządowego Centrum Legislacji pod adresem:

https://legislacja.rcl.gov.pl/projekt/12389302/katalog/13079809#13079809

Uprzejmie proszę o przekazywanie ewentualnych uwag, opinii i stanowisk do projektu w terminie do 30 września 2024 roku na adres: kuydowicz@pracodawcy.pl w formie tabeli uwag przesłanej w załączeniu, w wersji elektronicznej umożliwiającej edytowanie tekstu.

  1. Rekomendowane rozwiązanie – nowa ustawa (ustawa o zarządzaniu danymi)

Rekomendowanym rozwiązaniem jest uchwalenie nowej ustawy, w której zawarte zostaną przepisy prawa krajowego umożliwiające pełne stosowanie DGA w Polsce. Przepisy te regulować będą obszary pozostawione przez prawodawcę europejskiego do uregulowania przez państwa członkowskie. Nowej ustawie proponuje się nadać tytuł „ustawa o zarządzaniu danymi”.

  1. Pierwszy projekt ustawy o zarządzaniu danymi – UC146 (2022-2023)

Prace legislacyjne nad projektem ustawy służącej stosowaniu DGA rozpoczęły się w 2022 r. (pierwszy projekt). Założenia tego projektu dotyczące otoczenia instytucjonalno-organizacyjnego zostały skonsultowane z członkami Grupy roboczej ds. strategicznych kierunków zarządzania danymi (grupa ZD) skupiającej przedstawicieli organizacji pozarządowych, przedsiębiorców, naukowców oraz administracji. W lipcu 2023 r. projekt ustawy o zarządzaniu danymi – UC146 został skierowany do uzgodnień, opiniowania i konsultacji publicznych. Prace legislacyjne nie zostały zakończone przed końcem kadencji Sejmu. Obecnie konieczne jest wznowienie prac, które będą prowadzone nad nowym projektem ustawy wpisanym do obecnego (nowego) wykazu prac legislacyjnych i programowych Rady Ministrów. Uwagi i opinie zebrane podczas prac nad pierwszym projektem ustawy wzięto pod uwagę przy opracowaniu obecnej wersji projektu.

  1. Zakres projektowanej regulacji

Istota rozwiązań przewidzianych w projekcie polega na zbudowaniu odpowiedniego otoczenia instytucjonalno-organizacyjnego oraz regulacyjnego, które umożliwi pełne stosowanie przepisów DGA w Polsce. Proponowane rozwiązania zostały oparte na założeniu, że regulacja na poziomie krajowym dotyczyć będzie wyłącznie przepisów, które zostały przez prawodawcę unijnego wprost przekazane do uregulowania w prawie krajowym lub takich, w których DGA zostawiło swobodę regulacyjną państwom członkowskim.

  1. Otoczenie instytucjonalno-organizacyjne

W związku z koniecznością zorganizowania przez państwa członkowskie otoczenia instytucjonalno-organizacyjnego na potrzeby stosowania DGA, ustawa o zarządzaniu danymi zawierać będzie regulacje w ramach, których wyznaczone zostaną podmioty odpowiedzialne za realizację przepisów rozporządzenia. Projektowana ustawa wyznacza:

  1. Właściwy podmiot

DGA zawiera przepisy stanowiące podstawę do ponownego wykorzystywania chronionych danych znajdujących się w posiadaniu podmiotów sektora publicznego (zob. pkt 1 OSR). Aby wesprzeć podmioty sektora publicznego w procesie zezwalania na dostęp do celów ponownego wykorzystywania tego rodzaju danych, rozporządzenie nakłada na państwa członkowskie obowiązek wyznaczenia właściwego podmiotu (lub kilku takich podmiotów, również sektorowych), które w zależności od potrzeb będą służyć pomocą i wsparciem dla podmiotów sektora publicznego poprzez:

  • zapewnianie wsparcia technicznego polegającego na udostępnianiu bezpiecznego środowiska przetwarzania na potrzeby zapewniania dostępu do celów ponownego wykorzystywania danych,
  • udzielanie wskazówek i zapewnianie wsparcia technicznego w zakresie ustrukturyzowania danych i ich przechowywania, tak by były one łatwo dostępne,
  • zapewnianie wsparcia technicznego w zakresie pseudonimizacji oraz zapewnianie przetwarzania danych w sposób skutecznie chroniący prywatność, poufność, integralność i dostępność informacji zawartych w danych, na których ponowne wykorzystywanie zezwolono,
  • udzielanie pomocy podmiotom sektora publicznego w zapewnianiu wsparcia ponownym użytkownikom w występowaniu do osób, których dane dotyczą, o zgodę na ponowne wykorzystywanie danych oraz do posiadaczy danych – o pozwolenie,
  • udzielanie pomocy podmiotom sektora publicznego w zakresie oceny adekwatności zobowiązań umownych w sytuacjach transferu danych do państw trzecich.

W przepisach projektowanej ustawy wyznaczony zostanie jeden właściwy podmiot. Funkcję tę pełnić będzie Prezes Głównego Urzędu Statystycznego (dalej jako Prezes GUS lub GUS).

Wybór Prezesa GUS wynika w głównej mierze z dużego doświadczenia tej instytucji w obszarze zbierania, przetwarzania oraz udostępniania danych. Tytułem przykładu, GUS już obecnie udostępnia (odpłatnie i na potrzeby badań naukowych) zbiory danych jednostkowych nieidentyfikowalnych. Dane takie są udostępniane uniwersytetom i innym instytucjom szkolnictwa wyższego oraz instytutom naukowym prowadzącym badania. Złożony przez instytucję wniosek podlega ocenie możliwości jego realizacji przez jednostki autorskie prowadzące badania. Następnie ośrodek badawczy zostaje powiadomiony o koszcie zakupu zamawianych zbiorów. W przypadku akceptacji kosztów przez wnioskodawcę zostaje zawarta umowa pomiędzy GUS a jednostką badawczą, w której określa się warunki udostępnienia, obowiązki naukowców korzystających z danych oraz środki dla zapewnienia poufności danych statystycznych. Finalizacja zamówienia następuje po zawarciu umowy i wpłacie należności na konto bankowe GUS. Przygotowane dla zamawiającego zbiory danych zostają sprawdzone pod kątem ujawnienia danych poufnych. Sprawdzone zbiory przekazywane są zamawiającemu na nośniku elektronicznym (płyta CD) lub za pomocą platformy TransGUS – bezpiecznego kanału teleinformatycznego służącego do przekazywania danych w postaci elektronicznej. Dane ze statystyki społecznej i ze spisów powszechnych udostępniane są na Stanowisku Naukowiec – środowisku informatycznym przeznaczonym do prowadzenia pogłębionych, specjalistycznych analiz dokonywanych przez instytucje naukowo-badawcze lub uczelnie, zlokalizowanym w siedzibie Głównego Urzędu Statystycznego lub urzędu statystycznego (aktualnie w Urzędzie Statystycznym w Łodzi). Możliwość korzystania ze Stanowiska Naukowiec określona jest w umowie zawieranej przez jednostkę naukową z jednostką statystyki publicznej. Wraz z zawartą umową, instytucji naukowo-badawczej lub uczelni korzystającej ze Stanowiska Naukowiec, dostarczane są niezbędne instrukcje techniczne oraz zapewnione zostaje wsparcie merytoryczno-informatyczne (zob. szerzej: https://stat.gov.pl/pytania-i-zamowienia/jak-zamowic-dane/).

Dodatkowo, jednym z istotniejszych zadań GUS jako właściwego podmiotu może być zapewnienie podmiotowi sektora publicznego wsparcia technicznego poprzez udostępnienie bezpiecznego środowiska przetwarzania na potrzeby zapewnienia dostępu do danych. W motywie 7 DGA podkreślono, że na poziomie Unii zgromadzono doświadczenie w zakresie takich bezpiecznych środowisk przetwarzania, które są wykorzystywane do badań nad jednostkowymi danymi statystycznymi na podstawie rozporządzenia Komisji (UE) nr 557/2013 z dnia 17 czerwca 2013 r. w sprawie wykonania rozporządzenia (WE) nr 223/2009 Parlamentu Europejskiego i Rady w sprawie europejskiej statystyki w zakresie dostępu do poufnych danych do celów naukowych i uchylające rozporządzenie Komisji (WE) nr 831/2002 (Dz. Urz. UE L 164 z 18.6.2013, str. 16).

Ponadto, Ministerstwo Cyfryzacji, analizując możliwą strukturę otoczenia instytucjonalno-organizacyjnego dla DGA w Polsce, brało również pod uwagę rozwiązania planowane w innych państwach członkowskich Unii Europejskiej. Model, w którym jako właściwy podmiot wyznaczana jest instytucja statystki publicznej jest często stosowany (zob. szerzej pkt 3.I OSR).

  • Pojedynczy punkt informacyjny

Drugim elementem systemu wspierającego realizację postanowień DGA w odniesieniu do ponownego wykorzystywania chronionych danych jest pojedynczy punkt informacyjny, dalej jako „punkt informacyjny”. Państwa członkowskie zobowiązane zostały do utworzenia punktu informacyjnego dla podmiotów chcących skorzystać z danych, który będzie wspierał ich w identyfikacji właściwych zasobów możliwych do ponownego wykorzystywania na podstawie przepisów rozporządzenia. Punkt informacyjny ma prowadzić elektroniczny wykaz dostępnych zasobów chronionych danych, dalej jako „wykaz zasobów chronionych danych”, wraz z odpowiednimi informacjami opisującymi dane. Projektowana ustawa przewiduje, że rolę punktu informacyjnego pełnić będzie, prowadzony przez Ministerstwo Cyfryzacji, portal danych dane.gov.pl, o którym mowa w art. 2 pkt 13 ustawy z dnia 11 sierpnia 2021 r. o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego, dalej jako „ustawa o otwartych danych”. Ministerstwo Cyfryzacji uruchomiło już – w terminie przewidzianym w rozporządzeniu – punkt informacyjny. Publikowany jest również wykaz zasobów chronionych danych (sukcesywnie uzupełniany). Początkowo (wrzesień 2023 r. – kwiecień 2024 r.) punkt informacyjny funkcjonował w oparciu o istniejące (standardowe) rozwiązania portalowe. Ministerstwo Cyfryzacji podjęło prace polegające na budowie nowej funkcjonalności w portalu, która byłaby dedykowana wyłączenie dla punktu informacyjnego, co miało na celu usprawnienie funkcjonowania i użytkowania punktu. Obecnie punkt informacyjny jest prowadzony w specjalnej, wydzielonej części portalu wraz z dodatkowymi funkcjonalnościami. Ministerstwo Cyfryzacji rozpoczęło także cykl szkoleń dla administracji publicznej dotyczących wykazu zasobów chronionych danych. Pierwsze szkolenie (dla urzędów wojewódzkich, urzędów marszałkowskich i urzędów miast wojewódzkich) odbyło się w listopadzie 2023 r.

  • Organ odwoławczy

DGA nakłada na państwa członkowskie obowiązek zapewnienia środka zaskarżenia w odniesieniu do decyzji dotyczących ponownego wykorzystywania chronionych danych. Taki środek zaskarżenia musi obejmować możliwość kontroli przez bezstronny podmiot posiadający odpowiednią wiedzę fachową – np. krajowy organ ochrony konkurencji, odpowiedni organ regulujący dostęp do dokumentów, organ nadzorczy ustanowiony zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej jako „RODO”, lub krajowy organ sądowy. W związku z tym projektowana ustawa wprowadza jeden organ odwoławczy od decyzji dotyczących ponownego wykorzystywania chronionych danych (przepisy szczególne w stosunku do rozwiązań ogólnej procedury administracyjnej). Organem odwoławczym od decyzji wydawanych przez niemal wszystkie podmioty sektora publicznego (tj. kiedy od decyzji przysługuje odwołanie) będzie Minister Cyfryzacji. W przypadku decyzji, na które nie służy odwołanie (np. decyzji wydanej przez innego ministra) zastosowanie znajdować będą nadal przepisy ogólne (kodeksowe) – strona będzie mogła zwrócić się do tego organu z wnioskiem o ponowne rozpatrzenie sprawy.

Stworzenie jednego, wyspecjalizowanego organu odwoławczego, posiadającego odpowiednią wiedzę ekspercką zapewni właściwy poziom kontroli rozstrzygnięć wydawanych przez podmioty sektora publicznego w dość skomplikowanej materii jaką jest ponowne wykorzystywanie chronionych danych. Podobne rozwiązanie zastosowane zostało również w ustawie o otwartych danych w odniesieniu do decyzji dotyczących ponownego wykorzystywania informacji sektora publicznego.

  • Organ właściwy do spraw usług pośrednictwa danych

DGA nakłada na państwa członkowskie obowiązek wyznaczenia co najmniej jednego organu właściwego do spraw usług pośrednictwa danych. Zadaniem takiego organu będzie przyjmowanie zgłoszeń dostawców usług pośrednictwa danych chcących świadczyć swoje usługi na terenie Unii Europejskiej oraz monitorowanie i nadzorowanie zgodności ich działań z wymogami określonymi w rozporządzeniu. Organy właściwe do spraw usług pośrednictwa danych są zobowiązane do ścisłej współpracy i wymiany informacji z organami ochrony danych, organami ochrony konkurencji, organami odpowiedzialnymi za cyberbezpieczeństwo oraz innymi odpowiednimi organami sektorowymi, a także z Komisją Europejską i swoimi odpowiednikami z innych państw członkowskich. Ponadto przedstawiciele organów właściwych do spraw usług pośrednictwa danych będą zasiadać w Europejskiej Radzie ds. Innowacji w zakresie Danych. Zadaniem Rady jest zapewnienie jednolitego stosowania przepisów rozporządzenia oraz doradzanie Komisji w kwestiach dotyczących interoperacyjności i standaryzacji. Organy właściwe do spraw usług pośrednictwa danych muszą spełniać określone wymogi wskazane w rozporządzeniu.

W przepisach projektowanej ustawy wyznaczony zostanie jeden organ właściwy do spraw usług pośrednictwa danych. Funkcję tę pełnić będzie Prezes Urzędu Ochrony Danych Osobowych (dalej jako Prezes UODO lub UODO).

Wybór Prezesa UODO był umotywowany w szczególności doświadczeniem tego urzędu w obszarze ochrony danych osobowych. Zadania organu właściwego do spraw usług pośrednictwa danych w istotnym zakresie związane są z problematyką danych osobowych lub zbiorów mieszanych zawierających dane osobowe oraz dane nieosobowe. W DGA podkreślono, że rozporządzenie to powinno pozostawać bez uszczerbku dla RODO oraz odpowiednich przepisów prawa krajowego, w tym w przypadku, gdy dane osobowe i nieosobowe w zbiorze danych są ze sobą nierozerwalnie powiązane. Prawodawca europejski zaleca, aby zapewnić możliwość uznawania organów ochrony danych za właściwe organy do celów DGA. W przypadku gdy inne organy działają jako właściwe organy do celów niniejszego rozporządzenia, powinny to robić bez uszczerbku dla nadzorczych uprawnień i kompetencji organów ochrony danych na podstawie RODO (motyw 4). Wówczas wszelkie kwestie wymagające oceny przestrzegania RODO organ właściwy do spraw usług pośrednictwa danych powinien konsultować z organem nadzorczym ustanowionym na podstawie RODO (motyw 44). Tożsame wymagania sformułowane zostały również w odniesieniu do organu właściwego do spraw rejestracji organizacji altruizmu danych. Rozwiązanie polegające na wyznaczeniu Prezesa UODO jako organu właściwego do spraw usług pośrednictwa danych oraz organu właściwego do spraw rejestracji organizacji altruizmu danych usprawni działania podejmowane na gruncie RODO i DGA, bowiem zadania realizowane będą przez jedną instytucję.

Ponadto Ministerstwo Cyfryzacji, analizując możliwą strukturę otoczenia instytucjonalno-organizacyjnego dla DGA w Polsce, brało również pod uwagę rozwiązania planowane w innych państwach członkowskich Unii Europejskiej. Model, w którym jako organ właściwy do spraw usług pośrednictwa danych oraz/lub organ właściwy do spraw rejestracji organizacji altruizmu danych jest wyznaczany organ nadzorczy ustanowiony na podstawie RODO lub organ ten realizuje pewne zadania na gruncie przepisów DGA, jest również stosowany w innych państwach członkowskich, np. we Francji, Słowacji, Węgrzech i Litwie (zob. szerzej pkt 3.II i 3.III OSR).

  • Organ właściwy do spraw rejestracji organizacji altruizmu danych

Podobny system rejestracji oraz monitorowania i nadzorowania rozporządzenie wprowadza w odniesieniu do uznanych organizacji altruizmu danych. Państwa członkowskie zostały zobowiązane do wyznaczenia co najmniej jednego takiego organu. Charakter zadań przypisanych organom właściwym do spraw rejestracji organizacji altruizmu danych oraz organom właściwym do spraw usług pośrednictwa danych jest zasadniczo podobny. Dotyczy to również wymogów jakie organy te muszą spełniać.

DGA przewiduje możliwość, aby funkcję organu właściwego do spraw rejestracji organizacji altruizmu danych wykonywał ten sam podmiot, który pełni rolę organu właściwego do spraw usług pośrednictwa danych. Taki model został również przewidziany w przepisach projektowanej ustawy. Funkcję tę pełnić będzie w związku z tym Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO).

  • Otoczenie regulacyjne

Oprócz konieczności stworzenia odpowiedniego otoczenia instytucjonalno-organizacyjnego, dla celów stosowania DGA, państwa członkowskie zobowiązane są również zapewnić możliwość realizacji w prawie krajowym przepisów proceduralnych przewidzianych w rozporządzeniu oraz ustanowić regulacje dotyczące kar za naruszenie jego przepisów. W projektowanej ustawie zawarte zostaną w związku z tym niezbędne przepisy regulujące procedurę rozpatrywania wniosków o ponowne wykorzystywanie chronionych danych (w tym w szczególności sposób wnoszenia wniosków oraz terminy przewidziane na poszczególne czynności). W projekcie przyjęto model, w którym, podmiot sektora publicznego, chcąc udzielić dostępu do chronionych danych, będzie przedstawiał wnioskodawcy ofertę dotyczącą udzielenia (zgodnie z art. 5 DGA) dostępu do celów ponownego wykorzystywania chronionych danych. Podobne rozwiązanie (tzw. tryb ofertowy) stosowane jest od 2016 r. w odniesieniu do ponownego wykorzystywania informacji sektora publicznego (zob. ustawa o otwartych danych). Oferta będzie zawierać warunki ponownego wykorzystywania (określone zgodnie z art. 5 DGA). W ofercie podmiot sektora publicznego będzie mógł również wskazać wysokość opłaty za zezwolenie na ponowne wykorzystywanie (określoną zgodnie z art. 6 DGA) oraz rachunek bankowy, na który wnioskodawca powinien uiścić opłatę, a także termin jej uiszczenia. Podmiot sektora publicznego udzieli dostępu do celów ponownego wykorzystywania po przyjęciu przez wnioskodawcę oferty oraz uiszczeniu opłaty w terminie wskazanym w ofercie. W przypadku odmowy udzielenia dostępu do chronionych danych (kiedy nie będzie to możliwe zgodnie z art. 5 DGA) podmiot sektora publicznego wyda decyzję administracyjną. Przepisy ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (dalej jako „Kpa”) nie będą co do zasady stosowane w procesie rozpatrywania wniosku o ponowne wykorzystywanie. Kpa znajdzie zastosowanie (w zakresie nieuregulowanym w ustawie) do decyzji o odmowie udzielenia dostępu do chronionych danych.

Procedury nadzoru i monitoringu, które prowadzić będzie organ właściwy do spraw usług pośrednictwa danych oraz organ właściwy do spraw rejestracji organizacji altruizmu danych zostały uregulowane w DGA w sposób znacznie bardziej szczegółowy niż ma to miejsce w przypadku procedury rozpatrywania wniosków o ponowne wykorzystywanie chronionych danych. Tym samym konieczny zakres interwencji krajowego ustawodawcy jest znacznie mniejszy. W projekcie ustawy zawarto przepisy regulujące sposób nakładania środków nadzorczych przewidzianych w DGA, a także terminy rozpatrzenia skarg na dostawców usług pośrednictwa danych oraz uznane organizacje altruizmu danych. W projekcie przesądzono ponadto, że w zakresie nieuregulowanym w ustawie do postępowań administracyjnych przed Prezesem UODO stosowane będą odpowiednio przepisy Kpa.

Z kolei w przypadku regulacji dotyczących kar projektowane przepisy opierają się na rozwiązaniach podobnych do tych przewidzianych w już obowiązujących przepisach krajowych i unijnych, m.in. w RODO; ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych oraz w Kpa. W projekcie ustawy uregulowano wysokość kar pieniężnych jakie będzie mógł (w drodze decyzji) nałożyć organ właściwy do spraw usług pośrednictwa danych oraz organ właściwy do spraw rejestracji organizacji altruizmu danych (Prezes UODO). Przyjęto, że w przypadku dostawców usług pośrednictwa danych Prezes UODO będzie mógł nałożyć administracyjną karę pieniężną w wysokości do 50 000 euro za naruszenie obowiązku dotyczącego zgłoszenia, o którym mowa w art. 11 rozporządzenia 2022/868 oraz w wysokości do 500 000 euro za naruszenie warunków świadczenia usług pośrednictwa danych, o których mowa w art. 12 rozporządzenia 2022/868. Natomiast, z uwagi na odmienną specyfikę usług, które oferować będą uznane organizacje altruizmu danych, Prezes UODO będzie mógł nałożyć na taką organizację (w drodze decyzji) administracyjną karę pieniężną w wysokości do 5 000 euro. Prezes UODO będzie również organem odpowiedzialnym za nakładanie kar za naruszenie obowiązków dotyczących przekazywania danych nieosobowych do państw trzecich zgodnie z art. 5 ust. 14 i art. 31 DGA. W tym przypadku górna granica administracyjnej kary pieniężnej wyniesie 500 000 tys. euro.

Z wyrazami szacunku