Autor : Lidia Raś
2023-09-11 09:40
Czy możliwy jest większy a jednocześnie bezpieczny przepływ danych w UE? Jak przekonać obywateli, że dane będą udostępniane zgodnie z przepisami? Kim są altruistyczni dostawcy danych? Przepisy Data Governance Act (DGA) - rozporządzenia, które ma ułatwić realizację tych zadań - zaczną obowiązywać od 24 września br.
Data Governance Act, czyli rozporządzenie w sprawie zarzadzania danymi, określa zasady swobodnego przepływu danych przy jednoczesnym zwiększeniu zaufania obywateli do jednostek pośredniczących w tym procesie. Mówiąc najprościej: rozporządzenie promuje większą aktywność sektora publicznego w wymianie danych - osobowych i nieosobowych - do badań i tworzenia innowacyjnych rozwiązań, ale jednocześnie określa ramy prawne, które pozwolą zadbać o bezpieczeństwo danych.
O zaufanie, zwłaszcza w przypadku danych z obszaru zdrowia, łatwo nie jest. Jednak wymiana ich na wspólnym unijnym rynku jest niezbędna, by móc liczyć się na rynku innowacji. Większy stopień wymiany danych oznacza też większe możliwości sztucznej inteligencji, co jest kwestią kluczową dla rozwoju polityki cyfrowej UE.
Cele z obszaru cyfryzacji określiła unijna strategia w zakresie danych z 19 lutego 2020 r. Innowacje oparte na danych mają przynieść obywatelom korzyści w różnych aspektach życia, także w ochronie zdrowia, która ma szansę być lepszą, choćby dzięki medycynie personalizowanej. „Medycyna personalizowana będzie lepiej reagować na potrzeby pacjentów, umożliwiając lekarzom podejmowanie trafnych decyzji w oparciu o dane. Umożliwi to dostosowanie właściwej strategii terapeutycznej do potrzeb danej osoby we właściwym czasie, określenie predyspozycji do choroby lub zapewnienie szybkiej i ukierunkowanej profilaktyki” - czytamy w uzasadnieniu strategii.
Dokument uwzględnia fakt, że w społeczeństwie, w którym generuje się coraz większe ilości danych, sposób ich gromadzenia i wykorzystywania musi stawiać na pierwszym miejscu interesy jednostki, zgodnie z europejskimi wartościami, prawami podstawowymi i przepisami. Obywatele muszą mieć pewność, że udostępnianie danych osobowych w UE będzie zgodne z unijnymi przepisami, bo tylko wtedy będą akceptować innowacje oparte na danych. Powinni też otrzymać odpowiednie narzędzia, które pozwolą im podejmować decyzje odnośnie danych świadomie i dobrowolnie. Przepisy i skuteczne mechanizmy ich egzekwowania mają zapewnić przepływ danych w granicach UE i między poszczególnymi sektorami, oparty na otwartym, ale asertywnym podejściu do międzynarodowych przepływów danych. Kluczowe jest, by w pełni przestrzegano europejskich przepisów i wartości, w szczególności przepisów dotyczących ochrony danych osobowych, ochrony konsumentów i prawa konkurencji a zasady dostępu do danych i ich wykorzystywania w sposób uczciwy i wiarygodny.
Temu w praktyce ma służyć m.in. Data Governance Act (DGA) - rozporządzenie w sprawie zarządzania danymi, które weszło w życie 23 czerwca 2022 roku. Stosowanie jego przepisów obowiązywać będzie od 24 września 2023 roku.
- Zapewnienie dostępu do danych jest warunkiem dalszego rozwoju technologii sztucznej inteligencji. Bez tego jej potencjał jest marnowany. Z drugiej jednak strony, dostęp nieograniczony to ryzyko nadużyć. W służbie zdrowia problem ten widać w sposób najbardziej jaskrawy - mówi adwokat Dariusz Tarabasz, Czyżewscy kancelaria adwokacka. - Rozwiązaniem jest wprowadzenie regulacji prawnych obrotu danymi. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/868 z dnia 30 maja 2022 r. w sprawie europejskiego zarządzania danymi i zmieniające rozporządzenie (UE) 2018/1724 (zwane w skrócie DGA) ma pogodzić „ogień z wodą”. Z założenia ma zapewnić, że obrót danymi będzie odbywał się według pewnych ustalonych reguł - tak aby nie naruszać podstawowych praw. Jego celem jest ustanowienie mechanizmów kontroli nad tym, jak dane są wykorzystywane i gdzie trafiają - tłumaczy mec. Tarabasz.
Dane wrażliwe to nie zabawka. Jak odzyskać zaufanie obywateli
DGA obejmuje swoimi regulacjami m.in. zasady, zgodnie z którymi dane, będące w posiadaniu sektora publicznego, będą mogły być ponownie wykorzystane. Rozporządzenie reguluje też kwestie udostępniania danych osobowych i nieosobowych pomiędzy przedsiębiorcami oraz pomiędzy konsumentami a przedsiębiorcami. Ma stworzyć mechanizm, który umożliwi bezpiecznie powtórnie wykorzystywać pewne kategorie danych sektora publicznego, będących jednocześnie przedmiotem praw innych podmiotów. Dotyczy to na przykład tajemnic handlowych, danych osobowych i danych chronionych przepisami z zakresu własności intelektualnej. Organy sektora publicznego, umożliwiające tego rodzaju ponowne wykorzystywanie, będą musiały być odpowiednio przygotowane pod względem technicznym, aby zapewnić pełne zachowanie prywatności i poufności. Tyle teoria.
- Data Governance Act ma na celu m.in. określenie zasad ponownego używania danych posiadanych przez sektor publiczny do celów innych niż pierwotnie zamierzone oraz działalności tzw. altruistycznych dostawców danych - mówi prawnik Jakub Betka, zajmujący się ochroną danych w sektorze medycznym. - Ma też zachęcić organy publiczne do udostępniania danych, które są wykorzystywane przez taki organ. Na przykład - dane zbierane i przetwarzane przez jednostki ochrony zdrowia będą mogły być wykorzystane w innym celu niż pierwotny, np. do celów badań naukowych lub rozwoju różnych usług. W konsekwencji oferowane nam usługi mają być wyższej jakości, a dane mają wspomóc rozwój rozwiązań opartych na sztucznej inteligencji - wyjaśnia ekspert.
Ważną propozycją DGA jest ułatwienie osobom fizycznym i przedsiębiorstwom dobrowolnego udostępniania danych dla interesu publicznego, np. w ramach projektów z zakresu badań medycznych. W altruistycznym podejściu do danych ma pomóc rejestr organizacji uznanych w UE za organizacje o takim właśnie podejściu. Podmioty pragnące gromadzić dane w celach związanych z interesem publicznym będą mogły wystąpić z wnioskiem o umieszczenie ich w krajowym rejestrze zaufanych organizacji. Zarejestrowane organizacje będą uznawane w całej UE.
Jak tłumaczy mec. Dariusz Tarabasz, w dłuższej perspektywie te wszystkie rozwiązania posłużą budowaniu gospodarki opartej o dane. Wynika to też z uzasadnienia do DGA, że rynek cyfrowy i właśnie gospodarka opierająca się na danych mają budować przewagę Unii Europejskiej i jej konkurencyjność. Zyskać na tym mogą w zasadzie wszyscy mieszkańcy UE. Ważniejsze są jednak bardziej bezpośrednie efekty. - Korzyści, jakie odniesie dzięki temu pacjent, można dostrzec na dwóch płaszczyznach - mówi Dariusz Tarabasz. - Po pierwsze, dzięki uregulowaniu obrotu danymi pacjent zyska poczucie, że dane na temat zdrowia są bezpieczne. Zmniejszy to szanse na to, że zostaną wykorzystane w sposób sprzeczny z prawem. Po drugie, uwolnienie potencjału sztucznej inteligencji (na skutek zapewnienia dostępu do ogromnej ilości danych) pozwoli na szybszy rozwój badań naukowych i lepszą alokację zasobów w służbie zdrowia. Patrząc na to z tej perspektywy, DGA jest krokiem do uregulowania rynku sztucznej inteligencji. Projektowane rozporządzenie dotyczące AI będzie wymagało wykazania w przypadku algorytmów wysokiego ryzyka (a więc większości wykorzystywanych w medycynie) odpowiedniej jakości danych treningowych. Żeby jednak można było tego wymagać, najpierw trzeba stworzyć bezpieczny rynek danych zapewniający do nich dostęp. DGA jest więc kolejnym krokiem do budowania nowego otoczenia regulacyjnego dla technologii, która może zmienić nasze życie - wyjaśnia.
Dariusz Tarabasz: Medycy muszą uważać, by nie uzależnić się od AI
- Rozporządzenie ujmuje sporo treści, ale myślę, że dwie kwestie są szczególnie ważne - zwraca uwagę Jakub Betka. - Publiczne podmioty medyczne będą odpowiedzialne za pozyskanie od pacjentów zgody na wykorzystanie danych w celach wtórnych np. badań naukowych. Zgoda powinna być wyrażona świadomie. Pacjent przed jej wyrażaniem powinien dostać pełną informację, jak jego dane będą wykorzystane i w jakim celu. Oczywiście w każdym czasie taką zgodę będzie również mógł odwołać. Będą też musiały zagwarantować, że udostępnione dane zachowają swój chroniony charakter. Podmiot publiczny będzie mógł ustanawiać wymagania polegające na anonimizacji danych osobowych lub zdalnym dostępie w bezpiecznym środowisku.
Ale Jakub Betka zwraca też uwagę na obszary, które wymagają szczególnej uwagi. - Pierwsze inicjatywy dotyczące udostępniania danych przez pacjentów, o ile słuszne, to dotują podmioty medyczne, które pozyskają najwięcej zgód od pacjentów na powtórne wykorzystanie danych. Takie podejście może prowadzić do złych praktyk w zakresie pozyskiwania zgód, a tym samym zachwiania przesłanki „świadomej” zgody wyrażonej przez pacjenta. Drugi problem to fakt, że podmioty publiczne są w tej chwili wspierane finansowo przez NFZ, natomiast komunikując się ze środowiskiem Inspektorów Ochrony Danych, można wskazać, że aktualnie spora część szpitali publicznych nie dysponuje infrastrukturą, która zapewni anonimizację danych oraz bezpieczny zdalny dostęp do danych medycznych - mówi Jakub Betka.
Prawnik przekonuje, że rozporządzenie DGA jest potrzebne, ale realizując jego postanowienia, trzeba zadbać, by nie naruszać przepisów RODO. - DGA wprost wskazuje, że w przypadku kolizji pomiędzy nim a prawem unijnym lub krajowym w dziedzinie ochrony danych osobowych pierwszeństwo będzie miało odpowiednie prawo Unii lub prawo krajowe w dziedzinie ochrony danych osobowych - wyjaśnia.
Na kwestię zapewnienia bezpieczeństwa przy stosowaniu DGA zwraca też uwagę mec. Tarabasz. - DGA jako rozporządzenie UE będzie stosowane bezpośrednio we wszystkich państwach członkowskich. Nie wymaga implementacji do polskiego porządku prawnego. Pozostawia państwom członkowskim pewną swobodę w zakresie organizacji systemu prawnego. W największym stopniu dotyczy to zorganizowania otoczenia instytucjonalno-regulacyjnego. Chodzi o zapewnienie skutecznych mechanizmów egzekwowania nowych przepisów. Bez tego szczytne założenia rozporządzenia mogą zostać jedynie na papierze. Prawo, którego nie można egzekwować znaczy w gruncie rzeczy niezbyt wiele. Z tego powodu, na problem trzeba patrzeć szerzej. DGA to jedynie część większego systemu prawnego. O sprawności całego systemu decydować będą również regulacje, jakie zostaną przyjęte na naszym polskim podwórku. Jakość prawa krajowego oraz jego spójność będzie decydować o tym, czy w praktyce DGA spełni pokładane w nim oczekiwania. Innymi słowy, diabeł tkwi w szczegółach.
W CowZdrowiu do listopada 2023. Wcześniej od 2014 do marca 2023 r. w „Dzienniku Gazecie Prawnej”, gdzie kierowała serwisem gazetaprawna.pl. Ponadto zajmowała się tematyką społeczną, ekologiczną, prawną i kulturalną oraz nagrywała podcasty i wideo. Wcześniej związana m.in. z Polska Press i Mediami Regionalnymi.