U okviru nove digitalne strategije Europska unija donijela je 2022. važan Akt o upravljanju podacima (Data Governance Act – DGA) čija je primjena odgođena do 23. rujna 2023. kada stupa na snagu.
Ovaj novi propis temelji se na dvije osnovne ideje, a to su ponovna uporaba podataka u posjedu tijela javne vlasti i dobrovoljno dijeljenje podataka, tzv. podatkovni altruizam.
Aktom o upravljanju podacima osigurava se okvir za jačanje povjerenja u dobrovoljnu razmjenu podataka u korist poduzeća i građana.
Uvod
Aktom o upravljanju podacima dio je šireg regulatornog okvira EU-a usmjerenog prema unapređenju digitalizacije, podatkovnog gospodarstva, umjetne inteligencije koji se često u praksi označavaju pojmom digitalni suverenitet. Podaci predstavljaju ključni element u razvoju digitalne strategije EU-a.
Svrha i ciljevi Akta o upravljanju podacima
Aktom o upravljanju podacima EU nastoji poticati i kreirati sustav za razmjenu podataka kroz:
- stvaranje mehanizma kojim će se omogućiti sigurna ponovna uporaba podataka javnog sektora koji podliježu određenim ograničenjima
- uspostavu pravila za pružatelje posredničkih usluga podataka
- uvođenje koncepta podatkovnog altruizma
- osnivanje Europskog odbora za inovacije u području podataka
Ciljevi Akta su ambiciozni. Primarni je olakšati podatkovnu ekonomiju u Europi i poboljšati jedinstveno digitalno tržište EU-a. Poseban naglasak stavljen je na mala i srednja poduzeća i novoosnovana poduzeća kojima planirana ponovna uporaba podataka i dijeljenje podataka pružaju novi materijal za inovacije u umjetnoj inteligenciji i digitalnim aplikacijama. Osim toga, Akt bi trebao imati veliku važnost za buduća znanstvena istraživanja. Općenito, podaci se smatraju potrebnima za rješavanje klimatskih promjena i olakšavanje zelene tranzicije, poboljšanje energetske infrastrukture, zdravstvene zaštite i financijskih usluga.
Ključni izazovi koje donosi Akt o upravljanju podacima
- Točan opseg nekih zahtjeva koje donosi Akt, što se posebno odnosi na definiciju "posrednika u podacima".
- GDPR ostaje primarni akt za postupanje s osobnim podacima, a Akt o upravljanju podacima obuhvaća neosobne i osobne podatke – neki strahuju od nedosljednosti između GDPR-a i DGA-a.
- Za provedbu Akta o upravljanju podacima nadležna su nacionalna tijela na razini država članica, ali nije jasno kako će ta tijela surađivati s tijelima nadležnima za zaštitu osobnih podataka.
Opća uredba za zaštitu podataka i Akt o upravljanu podacima – konceptualni izazovi
Kao jedan od ključnih izazova u implementaciji Akta o upravljanju podacima predstavlja koncept privole kao pravne osnove, koja se i u primjeni GDPR-a preispituje na znanstvenoj razini. Iako se u Europi pristanak temelji na temeljnom konceptu informacijskog samoodređenja, korištenje privole kao pravne osnove za obradu osobnih podataka već je dugo kritizirano iz empirijske, pravne i tehničke perspektive.
Ilustrativni primjer ovakve situacije koje se na dnevnoj razini pojavljuje u digitalnom svijetu je situacija gdje s jedne strane imamo na primjer, kompleksan pravni dokument koji ima nekoliko desetaka tisuća riječi, a s druge strane stoje nejasni i netransparentni skočni prozori („banneri“).
Drugim riječima, potrošači i korisnici digitalnih aplikacija i usluga zapravo ne razumiju na što pristaju, iako članak 4. GDPR-a izričito navodi da „pristanak znači svaku slobodno danu, konkretnu, informiranu i nedvosmislenu indikaciju želja nositelja podataka kojom izjavom ili jasnom potvrdnom radnjom izražava suglasnost s obradom osobnih podataka”.
Skeptici po ovom pitanju smatraju da je teško očekivati promjenu po ovom pitanju u svrhu plemenitog cilja, kao što je podatkovni altruizam. Slična stajališta su i u pogledu ponovne uporabe podataka javnog sektora za koje su uvjeti za pristanak često različiti. Drugim riječima, teško je odrediti svrhu obrade osobnih podataka u vrijeme početnog prikupljanja podataka u kontekstu koji uključuje daljnju obradu. Čini se da su europski političari i zakonodavci donekle bili svjesni tih pitanja s obzirom na to da se u članku 25. Akta o upravljanju podacima spominje razvoj posebnog europskog obrasca za pristanak na podatkovni altruizam. Međutim, pristanak na podatkovni altruizam može biti izazovan kako bi se u potpunosti ispunili zahtjevi GDPR-a jer prema mišljenju mnogih stručnjaka, postizanje punog potencijala podatkovnog gospodarstva zahtijeva fleksibilnost u aktivnostima obrade.
Akt o upravljanju podacima izaziva i druge nedoumice u vezi sa zaštitom podataka i GDPR-om. Prvo, čini se da je Akt u suprotnosti s nekim od temeljnih načela GDPR-a. Konkretno, članak 5. GDPR-a izričito navodi da se osobni podaci trebaju prikupljati samo za „određene, izričite i legitimne svrhe i ne smiju se dalje obrađivati na način koji nije u skladu s tim svrhama”.
Iako isti članak navodi da se ovo ograničenje svrhe ne odnosi na arhiviranje podataka od javnog interesa, znanstvena istraživanja i statističke aplikacije, cilj ponovne upotrebe podataka javnog sektora i dalje izaziva zabrinutost hoće li se osobni podaci koje prikupljaju tijela javnog sektora koristiti u na način koji je neočekivan ili riskantan za subjekte podataka.
S obzirom na to da se GDPR ne primjenjuje na anonimizirane podatke, odredba Akta o ponovnoj uporabi podataka u skladu s ograničenjem svrhe GDPR-a temelji se na pravilnoj anonimizaciji.
Samim time se otvara drugi problem, a to je da postoje učinkoviti algoritmi za deanonimizaciju i ponovnu identifikaciju ispitanika. Učinkovitost takvih algoritama vjerojatno će se samo povećati s napretkom u strojnom učenju i umjetnoj inteligenciji. Stoga ostaje sporno koliko dobro najsuvremenije metode zaštite privatnosti koje su osmišljene u okviru ovog Akta mogu spriječiti pokušaje deanonimizacije i ponovne identifikacije. Ta se zabrinutost i princip se jednako primjenjuje na neosobne podatke koje posjeduju tijela javnog sektora.
Još jedno otvoreno pitanje odnosi se na nacionalna tijela za zaštitu podataka čije se dužnosti znatno povećavaju sa Aktom o upravljanju podacima. Na primjer, u skladu s uvodnom izjavom 15., prije odobravanja pristupa ponovnoj uporabi podataka, tijela javnog sektora trebala bi provoditi procjene učinka na zaštitu podataka i savjetovati se s tijelima za zaštitu podataka u skladu s člancima 35. i 36. GDPR-a. Takva savjetovanja obuhvaćaju i pitanja o anonimizaciji. Akt o upravljanju podacima u uvodnoj izjavi 26. navodi i da nova nadležna tijela za praćenje usluga međuposredovanja i organizacija za podatkovni altruizam nemaju strogu nadzornu funkciju koja je rezervirana za tijela za zaštitu podataka. S obzirom na pitanja kapaciteta, koordinacije i druge probleme s kojima se već suočavaju nadzorna tijela za zaštitu podataka, i dalje postoji zabrinutost u pogledu implementacije Aktaa o upravljanju podacima. U tom smislu problemi s provedbom GDPR-a predstavljaju alarmantno upozorenje koje se lako može preslikati i na ovaj Akt, a samim time će i provedba digitalne strategije EU-a doći pod znak pitanja.
Što nas čeka u narednom periodu?
- Imenovanje nadležnih tijela od strane država članica u roku od 15 mjeseci nakon stupanja na snagu od 24. rujna 2023.
- Evaluacija i preispitivanje Akta u roku od 39 mjeseci nakon stupanja na snagu do 25. rujna 2025.
- U području sekundarnog zakonodavstva – donošenje Pravilnika za organizacije podatkovnog altruizma očekuje do 23. prosinca 2023.
Izvori podataka:
https://digital-strategy.ec.europa.eu/hr/policies/data-governance-act
https://digital-strategy.ec.europa.eu/hr/policies/data-governance-act-explained
https://iapp.org/media/pdf/resource_center/data-governance-act-101-chart.pdf
