Ministerstwo Cyfryzacji nie wykorzystało czasu, jaki miało na przygotowanie Polski do stosowania DGA – mówi Grzegorz Sibiga, prof. INP PAN, partner w kancelarii Traple Konarski Podrecki i Wspólnicy.

Od niedzieli zaczął być stosowany akt w sprawie zarządzania danymi (Data Governance Act, DGA). To rozporządzenie, a więc jest stosowane bezpośrednio, jednak wiele kwestii pozostawiono do uregulowania na poziomie krajowym. Tymczasem polska ustawa o zarządzaniu danymi nie wyszła poza fazę projektu. Co to w praktyce oznacza?
ikona lupy />
dr hab. Grzegorz Sibiga, prof. INP PAN, partner w kancelarii Traple Konarski Podrecki i Wspólnicy / Materiały prasowe / fot. Materiały Prasowe

Oznacza to, że DGA formalnie zaczęto stosować, ale bez krajowych przepisów uzupełniających, które przede wszystkim miały zapewnić otoczenie instytucjonalne i procedury.

Należy zwrócić uwagę, że DGA dotyczy trzech różnych obszarów, dla których wspólnym celem jest zwiększenie poziomu wymiany danych w UE. Chodzi o ponowne wykorzystywanie niektórych kategorii chronionych danych w podmiotach publicznych, działanie usług pośrednictwa danych oraz gromadzenie i udostępnianie danych z pobudek altruistycznych.

W każdym z tych obszarów przewiduje się działanie specjalnych organów krajowych ustanowionych w prawie danego państwa członkowskiego. W pośrednictwie i udostępnianiu altruistycznym to organy, które odpowiednio przyjmują zgłoszenie lub rejestrują organizacje tym się zajmujące, a następnie monitorują te organizacje. W ponownym wykorzystywaniu to dwa rodzaje organów wspierających podmioty sektora publicznego, tzw. podmiot właściwy i punkt informacyjny.

A w jakiej części DGA nie da się stosować z powodu braku polskiej regulacji?

Na pewno nie będą mogli rozpocząć działać pośrednicy danych oraz organizacje altruizmu danych w kształcie ustalonym w DGA. Nie zostały bowiem ustawowo wskazane organy, które odpowiednio przyjmują ich zgłoszenia i rejestrują je.

Inaczej jest w przypadku ponownego wykorzystywania danych chronionych, ponieważ stosowanie tych przepisów DGA nie jest uzależnione od funkcjonowania nowych organów, bowiem podmiot właściwy oraz punkt informacyjny mają głownie kompetencje wspierające. Te przepisy DGA, obejmujące zresztą wszystkie jednostki sektora finansów publicznych, są stosowane od niedzieli, ale w sposób ułomny, bez wsparcia wyspecjalizowanych organów i ze szczątkową procedurą określoną w DGA. Moim zdaniem będą one jednak o tyle skuteczne, że tworzą indywidualną sprawę administracyjną podlegającą kontroli sądów administracyjnych na podstawie prawa o postępowaniu przed sądami administracyjnymi.

Kim są dostawcy usług pośrednictwa danych i jaką mają pełnić funkcję?

Chodzi przede wszystkim o podmioty świadczące szczególne, specjalistyczne rodzaje usług umożliwiających – za pomocą środków technicznych – wymianę danych między posiadaczami danych a potencjalnymi użytkownikami danych. Dzieje się to np. poprzez tworzenie platform lub baz danych zapewniających taką wymianę, jak również stworzenie specjalnej infrastruktury do stworzenia powiązań między posiadaczami danych a użytkownikami.

Ministerstwo Cyfryzacji proponuje, by to Urząd Ochrony Konkurencji i Konsumentów rejestrował dostawców usług pośrednictwa danych i je kontrolował. UOKiK zaś nie chce. Na czym polega problem i kto, w pana opinii, byłby najwłaściwszym regulatorem?

W pierwszej kolejności warto zauważyć, że Ministerstwo Cyfryzacji nie wykorzystało czasu, jaki miało na przygotowanie Polski do stosowania DGA, tj. od daty publikacji tego aktu, 3 czerwca 2022 r. Dotyczy to opracowania i uzgodnienia projektu ustawy uzupełniającej oraz działań informacyjnych i promujących nowy akt. Po ponad roku, w połowie lipca br., przedstawiło projekt ustawy, który – jak się okazało – nie był uzgodniony z głównym organem, któremu ma być powierzone wykonanie, czyli prezesem UOKiK. Można było się spodziewać negatywnej reakcji UOKiK, skoro na dwa miesiące przed początkiem stosowania dowiaduje się o nowych zadaniach wymagających specjalizacji i zapewne powodujących koszty, które w dodatku mogą kolidować z jego dotychczasowymi zadaniami.

Moim zdaniem najlepszym rozwiązaniem byłoby powołanie nowego organu zajmującego się tworzeniem rynku danych i nowymi technologiami, w tym AI , choć zdaję sobie sprawę, że tworzenie nowych instytucji w naszym państwie nie jest popularne. Pamiętajmy, że przed nami uchwalenie drugiego aktu w Europejskiej strategii w zakresie danych i to jeszcze trudniejszego w stosowaniu, czyli aktu w sprawie danych. Uważam, że nowy organ powinien wykonywać kompetencje przewidziane w sprawach indywidualnych, ale także przejąć od MC wszelkie zadania z tym związane, w tym współpracy unijnej i kreowania strategii. To ministerstwo okazało się tak złym gospodarzem, że nawet nie opublikowało wyjaśnień, jakie są konsekwencje nieuchwalenia ustawy uzupełniającej DGA.

Co nam daje DGA, czego nie dawały przepisy o udostępnianiu informacji publicznej i otwieraniu danych?

Prawodawca unijny w DGA podejmuje próbę pogodzenia ognia z wodą, czyli przewiduje jak najdalej idącą możliwość wykorzystania danych zgromadzonych przez podmioty sektora publicznego oraz ciągłe zachowanie poufności tych samych danych. Tymczasem przepisy ustaw: o dostępie do informacji publicznej oraz o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego całkowicie zabraniały ujawniania i eksploatacji danych chronionych. Nowe przepisy są na tyle awangardowe, że trudno powiedzieć, czy sprawdzą się w praktyce. Co ważne, w ich stosowaniu jednostkom sektora publicznego miał pomóc tzw. podmiot właściwy, a ten – jak wiadomo – nie powstał z powodu braku ustawy krajowej. ©℗

Rozmawiał Sławomir Wikariak