Zmiany w unijnym prawodawstwie umożliwią podmiotom publicznym dostęp do danych pochodzących z sektora prywatnego. Warto omówić wyjątkowe okoliczności, w których posiadacze danych będą zobowiązani do udostępnienia informacji w relacji B2G.

W prawodawstwie Unii Europejskiej od wielu lat funkcjonują ramy prawne regulujące otwieranie danych publicznych (udostępnianie informacji sektora publicznego). Ich celem jest zapewnienie każdemu zainteresowanemu użytkownikowi (np. obywatelowi, przedsiębiorcy) dostępu do zasobów informacji zgromadzonych lub wytworzonych przez podmioty publiczne. Pozyskane w ten sposób dane można ponownie wykorzystywać do dowolnych celów (komercyjnych lub niekomercyjnych), w szczególności w ramach szeroko rozumianej działalności gospodarczej lub naukowej, np. w produktach, usługach, analizach, badaniach. Obecnie głównym aktem prawnym zapewniającym w UE dostęp do informacji sektora publicznego w celu ponownego wykorzystywania jest dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1024 z dnia 20 czerwca 2019 r. w sprawie otwartych danych i ponownego wykorzystywania informacji sektora publicznego (DzUrz UE L 172 z 26.06.2019; dalej: dyrektywa reuse). Uregulowano w niej ramy prawne przepływu szeroko rozumianych danych publicznych do sektora prywatnego – w szczególności do sektora przedsiębiorstw. W pewnym uproszczeniu przepływ ten można określić jako transfer danych w relacji government to business – G2B.

W nowym rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 (akt w sprawie danych) (DzUrz UE L 2854 z 22.12.2023; dalej: DA, rozporządzenie) ustawodawca przewidział rozwiązania dla przepływu danych w drugą stronę, tj. przepisy dotyczące udostępniania danych przez sektor prywatny sektorowi publicznemu (business to government – B2G). Wskazane regulacje zawarte zostały w rozdziale V DA (artykuły od 14. do 22.). Projektując przedmiotowe przepisy, prawodawca europejski wyjaśnił, że ich wprowadzenie ma zapewnić możliwość korzystania przez organy sektora publicznego oraz instytucje, agencje lub organy Unii z danych, którymi dysponują podmioty prywatne – w przypadku tzw. wyjątkowej potrzeby. Pozyskane w taki sposób informacje mają wspierać podmioty publiczne w skutecznym i efektywnym wykonywaniu ich zadań, które będzie bazowało na dowodach (zob. szerzej wniosek legislacyjny w sprawie DA: itwa.pl/wx).

Podmioty uprawnione do pozyskiwania danych

Podmiotami uprawnionymi do pozyskiwania danych na podstawie przepisów rozdziału V DA są organy sektora publicznego, Komisja Europejska, Europejski Bank Centralny oraz organy Unii. W praktyce spośród wymienionych podmiotów najliczniejszą grupą będą organy sektora publicznego, przez które w rozporządzeniu rozumie się organy krajowe, regionalne lub lokalne państw członkowskich oraz podmioty prawa publicznego państw członkowskich lub związki złożone z co najmniej jednego takiego organu lub z co najmniej jednego takiego podmiotu (art. 2 pkt 28 DA).

W zakresie definicyjnym ustawodawca posługuje się w nowym rozporządzeniu w dużej mierze pojęciami występującymi już na gruncie innych przepisów prawa UE regulujących szeroko rozumiany rynek danych. W szczególności odnosi się to do wspomnianej już wcześniej dyrektywy reuse, a także rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/868 z dnia 30 maja 2022 r. w sprawie europejskiego zarządzania danymi i zmieniającego rozporządzenie (UE) 2018/1724 (akt w sprawie zarządzania danymi) (DzUrz UE L 152 z 3.06.2022 ze zm.; dalej: DGA). Dotyczy to również pojęcia „organ sektora publicznego”, które występuje zarówno w DA, jak i w dyrektywie reuse. Jako że DA jest rozporządzeniem, obowiązuje wprost w krajowych porządkach prawnych państw członkowskich. W przypadku wątpliwości co do tego, które podmioty w Polsce należy zaliczyć do kategorii organów sektora publicznego, o których mowa w DA, można pomocniczo sięgnąć do przepisów ustawy z dnia 11 sierpnia 2021 r. o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego (tekst jedn. DzU z 2023 r., poz. 1524; dalej: uodpw). W przedmiotowej ustawie wdrożono do krajowego porządku prawnego dyrektywę reuse, w tym również pojęcie „organu sektora publicznego”. Pojęcie to zostało implementowane w art. 3 uodpw zawierającym katalog tzw. podmiotów zobowiązanych, którymi są:

1. jednostki sektora finansów publicznych w rozumieniu przepisów ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (tekst jedn. DzU z 2023 r., poz. 1270 ze zm.);
2. inne niż określone w pkt 1 państwowe jednostki organizacyjne nieposiadające osobowości prawnej;
3. inne niż określone w pkt 1 osoby prawne, utworzone w szczególnym celu zaspokajania potrzeb o charakterze powszechnym, niemających charakteru przemysłowego ani handlowego, jeżeli podmioty, o których mowa w tym przepisie, oraz podmioty, o których mowa w pkt 1 i 2, pojedynczo lub wspólnie, bezpośrednio albo pośrednio przez inny podmiot:
   • ­finansują je w ponad 50%,
   • mają ponad połowę udziałów albo akcji,
   • sprawują nadzór nad organem zarządzającym,
   • mają prawo do powoływania ponad połowy składu organu nadzorczego lub zarządzającego;
4. związki podmiotów, o których mowa w pkt 1–3.

Drugą grupą podmiotów wymienionych w przepisach rozdziału V DA (uprawnionych do pozyskiwania danych) są organy Unii. Zgodnie z art. 2 pkt 27 rozporządzenia przez organy Unii rozumie się organy i jednostki organizacyjne UE ustanowione na mocy aktów przyjętych na podstawie Traktatu o Unii Europejskiej, Traktatu o funkcjonowaniu Unii Europejskiej lub Traktatu ustanawiającego Europejską Wspólnotę Energii Atomowej lub zgodnie z nimi.

W dalszej części artykułu, dla uproszczenia, opisując podmioty uprawnione do pozyskiwania danych na podstawie przepisów rozdziału V DA, a więc opisane powyżej organy sektora publicznego oraz organy Unii, a także Komisję Europejską i Europejski Bank Centralny, będziemy posługiwać się zbiorczym pojęciem „podmioty publiczne”.

Podmioty zobowiązane do udostępniania danych

Podmiotami zobowiązanymi do udostępniania danych na podstawie przepisów rozdziału V DA są posiadacze danych będący osobami prawnymi (inni niż organy sektora publicznego). Posiadacz danych według art. 2 pkt 13 DA to osoba fizyczna lub prawna, która ma prawo lub obowiązek – zgodnie z przepisami DA, mającym zastosowanie prawem Unii lub prawem krajowym przyjętym zgodnie z prawem Unii – wykorzystywać i udostępniać dane, w tym o ile zostało to przewidziane umową, dane z produktu lub dane z usługi powiązanej pobrane lub wygenerowane przez nią podczas świadczenia powiązanej usługi. Podmiotami zobowiązanymi do udostępniania danych będą zatem niektórzy posiadacze danych – ci o statusie osoby prawnej (z wyłączeniem osób fizycznych).

W dalszej części artykułu, w celu uproszczenia, określając podmioty zobowiązane do udostępniania danych, będziemy posługiwać się pojęciem „posiadacz danych”.

Obowiązek udostępniania danych – przesłanki i wniosek

Podstawową przesłanką, która umożliwia podmiotom publicznym pozyskanie informacji od posiadaczy danych, jest ograniczona w czasie i zakresie wyjątkowa potrzeba wykorzystania określonych danych (i metadanych) w celu wykonania ustawowych obowiązków realizowanych w interesie publicznym. Przypadki, w których ta wyjątkowa potrzeba może zaistnieć, wymieniono w art. 15 ust. 1 DA.

Aby pozyskać dane, podmiot publiczny musi skierować do posiadacza danych pisemny wniosek. Przepisy DA określają szereg wymogów, jakie taki wniosek ma spełniać. Podmiot publiczny powinien m.in. określić, jakie dane oraz metadane są mu potrzebne, wykazać, że spełnione zostały warunki wyjątkowej potrzeby, a także wyjaśnić cel wniosku, planowane wykorzystanie danych (w tym czas tego wykorzystywania) oraz w stosownym przypadku sposób, w jaki przetwarzanie danych osobowych ma odpowiedzieć na wyjątkową potrzebę. Szczegółowy katalog wymogów, jakie musi spełniać wniosek o udostępnienie danych, określony został w art. 17 DA. Dodatkowo w rozporządzeniu zobowiązano Komisję Europejską do opracowania wzoru wniosku.

Co do zasady posiadacz danych, który otrzymał wniosek o udostępnienie danych, zobowiązany jest udostępnić żądane informacje bez zbędnej zwłoki, uwzględniając niezbędne środki techniczne, organizacyjne i prawne. W przypadku gdy żądane informacje zawierają dane osobowe, posiadacz danych powinien je odpowiednio zanonimizować, chyba że zastosowanie się do wniosku wymaga ujawnienia danych osobowych. Wówczas dane takie należy poddać procesowi pseudonimizacji.

Zgodnie z przepisami DA posiadacz danych będzie mógł (w terminach określonych w rozporządzeniu) odmówić zastosowania się do wniosku o udostępnienie danych lub wystąpić o jego zmianę. Podstawą takiego działania mogą być następujące przesłanki:

• posiadacz danych nie ma kontroli nad żądanymi danymi;
• podobny wniosek w tym samym celu złożył wcześniej inny podmiot publiczny, a posiadacza danych nie powiadomiono o usunięciu przekazanych danych (zgodnie z art. 19 ust. 1 lit. c DA);
• wniosek nie spełnia wymogów przewidzianych w rozporządzeniu.

W przepisach rozporządzenia przewidziano możliwość zaskarżenia przez podmiot publiczny odmowy przekazania danych przez posiadacza danych. Możliwe jest również zaskarżenie przez posiadacza danych samego wniosku. W obu przypadkach skargę kieruje się do tzw. właściwego organu wyznaczonego zgodnie z art. 37 DA.

Obowiązki i uprawnienia podmiotów publicznych

Podmioty publiczne, które pozyskały dane na podstawie przepisów rozdziału V DA, są zobowiązane przestrzegać określonych warunków, m.in. zakazu wykorzystywania informacji w sposób niezgodny z celem, w którym o nie wystąpiono. Są również zobligowane do zapewnienia bezpieczeństwa, poufności, integralności oraz odpowiedniej retencji danych. Szczegółowy katalog obowiązków podmiotów publicznych, które otrzymały dane, został zawarty w art. 19 DA.

Danych pozyskanych na podstawie przepisów rozdziału V DA nie można udostępnić do ponownego wykorzystywania na podstawie wspomnianej już wcześniej dyrektywy reuse (wdrożonej w Polsce poprzez uodpw). Podmiot publiczny nie może również udzielić dostępu do takich danych (do celów ponownego wykorzystywania) na podstawie przepisów rozdziału II DGA. Prawodawca europejski wyłączył bowiem dane pozyskane przez podmioty publiczne na podstawie przepisów rozdziału V DA z zakresu regulacji ponownego wykorzystywania zawartych w dyrektywie reuse oraz DGA. Jest to o tyle istotne, że co do zasady regulacje wskazanych aktów obejmują swoim zakresem wszystkie zasoby danych i informacji, którymi dysponują podmioty publiczne. Nie ma przy tym znaczenia, czy zasoby takie zostały wytworzone przez podmiot publiczny, czy pozyskane z innych źródeł – liczy się fakt ich posiadania. Gdyby zatem ustawodawca nie przewidział w DA wskazanego wyłączenia, dane pozyskane w trybie rozdziału V rozporządzenia co do zasady mogłyby zostać np. udostępnione dalej podmiotom trzecim do ponownego wykorzystywania (np. innemu przedsiębiorcy). Zawarte w rozporządzeniu wyłączenie przeciwdziała takim praktykom.

Niezależnie od powyższego podmiot publiczny może (na określonych w rozporządzeniu warunkach) dzielić się pozyskanymi danymi z osobami fizycznymi lub organizacjami na potrzeby prowadzenia badań naukowych lub analiz zgodnych z celem, w którym wystąpiono o dane, lub z krajowymi urzędami statystycznymi i Eurostatem do celów tworzenia statystyki publicznej. Osoby fizyczne lub organizacje otrzymujące dane w takim trybie muszą jednak prowadzić działalność o charakterze niekomercyjnym lub w kontekście misji interesu publicznego uznanej w prawie Unii bądź w prawie krajowym. Do grupy takich podmiotów, z którymi podmiot publiczny może podzielić się pozyskanymi danymi, nie zaliczają się organizacje znajdujące się pod znacznym wpływem przedsiębiorstw komercyjnych, który mógłby skutkować preferencyjnym dostępem do wyników badań.

Rekompensata

Zgodnie z przepisami DA przekazanie danych na podstawie przesłanki związanej z niebezpieczeństwem publicznym (gdy dane są niezbędne do zareagowania na niebezpieczeństwo publiczne – art. 15 ust. 1 lit a DA) ma być nieodpłatne. Zasada ta nie dotyczy mikroprzedsiębiorstw i małych przedsiębiorstw. W przypadku drugiej przesłanki przekazania danych (art. 15 ust. 1 lit. b DA) posiadacz danych w większości sytuacji będzie uprawniony do otrzymania rekompensaty za udostępnienie danych. Rekompensata taka powinna pokryć koszty techniczne i organizacyjne poniesione w celu zastosowania się do wniosku – w stosownym przypadku koszty anonimizacji, pseudonimizacji, agregacji i dostosowania technicznego powiększone o rozsądną marżę. Warto zaznaczyć, że podmiot publiczny może żądać od posiadacza danych przedstawienia informacji o podstawie obliczenia kosztów i rozsądnej marży.

Właściwy organ

W przepisach DA przewidziano konieczność wyznaczenia w każdym z państw członkowskich co najmniej jednego tzw. właściwego organu odpowiedzialnego za stosowanie i egzekwowanie rozporządzenia (zob. art. 37 DA). Unijny prawodawca określił szereg różnego rodzaju zadań, jakie właściwy organ będzie realizować. Wśród nich można wymienić uprawnienia o charakterze miękkim (edukacyjnym), tj. propagowanie wśród użytkowników i podmiotów objętych zakresem DA umiejętności korzystania z danych oraz wiedzy na temat praw i obowiązków wynikających z rozporządzenia, ale także zadania polegające np. na nakładaniu kar pieniężnych.

Część działań właściwego organu będzie związana z regulacjami zawartymi w rozdziale V DA. Chodzi m.in. o rozpatrywanie skarg wnoszonych przez posiadaczy danych oraz podmioty publiczne. Jak było już wspomniane, w rozporządzeniu przewidziano możliwość zaskarżenia przez podmiot publiczny odmowy przekazania informacji przez posiadacza danych czy zaskarżenia przez posiadacza danych samego wniosku o udostępnienie danych. Możliwe jest również złożenie przez posiadacza danych skargi do właściwego organu – jeśli uzna, że naruszone zostały prawa przysługujące mu na podstawie przepisów rozdziału V rozporządzenia (zob. art. 17 ust. 5 DA). Podmiot publiczny będzie mógł również złożyć skargę do właściwego podmiotu w sytuacji, kiedy nie zgodzi się z wysokością rekompensaty żądanej przez posiadacza danych (zob. art. 20 ust. 5 DA). W każdym z tych przypadków właściwym organem będzie organ wyznaczony w państwie członkowskim, w którym siedzibę ma posiadacz danych.

Autor

Mikołaj Garstka

Autor zajmuje się problematyką otwierania, wymiany i wykorzystywania danych. Jest współautorem komentarza do ustawy o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego.