EDPB i EIOD przyjęli wspólną opinię w sprawie wniosku dotyczącego ustawy o zarządzaniu danymi (DGA). DGA ma na celu zwiększenie dostępności danych poprzez zwiększenie zaufania do pośredników danych oraz wzmocnienie mechanizmów wymiany danych w całej UE. W szczególności DGA zamierza promować dostępność danych sektora publicznego do ponownego wykorzystania, dzielenie się danymi między przedsiębiorstwami oraz umożliwienie wykorzystywania danych osobowych z pomocą „pośrednika udostępniającego dane osobowe”. DGA ma również na celu umożliwienie wykorzystywania danych do celów altruistycznych.
EDPB i EIOD uznają słuszny cel DGA, jakim jest poprawa warunków wymiany danych na rynku wewnętrznym. Jednocześnie ochrona danych osobowych jest zasadniczym i integralnym elementem zaufania w gospodarce cyfrowej. W niniejszej wspólnej opinii EIOD i EIOD zwracają się do współustawodawców o zapewnienie pełnej zgodności przyszłego DGA z prawodawstwem UE w zakresie ochrony danych osobowych, co przyczyni się do zwiększenia zaufania do gospodarki cyfrowej i utrzymania poziomu ochrony przewidzianego w prawie UE pod nadzorem organów nadzorczych państw członkowskich UE.
Andrea Jelinek, przewodnicząca EDPB, powiedziała: „Unijne ramy prawne w zakresie ochrony danych nie stoją na przeszkodzie rozwojowi gospodarki opartej na danych. Wręcz przeciwnie, wręcz ją umożliwiają: zaufanie do wszelkiego rodzaju wymiany danych można osiągnąć jedynie poprzez przestrzeganie obowiązujących przepisów o ochronie danych. GDPR jest fundamentem, na którym należy zbudować europejski model zarządzania danymi. Dlatego też podkreślamy konieczność zapewnienia spójności z GDPR w zakresie kompetencji organów nadzorczych, ról różnych zaangażowanych podmiotów, podstawy prawnej przetwarzania danych osobowych, niezbędnych zabezpieczeń oraz wykonywania praw osób, których dane dotyczą.”
Wojciech Wiewiórowski, Inspektor, powiedział: „Rozumiemy rosnące znaczenie danych dla gospodarki i społeczeństwa nakreślone w Europejskiej Strategii Ochrony Danych. Jednak z „dużymi danymi wiąże się duża odpowiedzialność”, dlatego należy wprowadzić odpowiednie zabezpieczenia w zakresie ochrony danych. Nadrzędne ramy dla europejskich przestrzeni danych powinny gwarantować, że dorobek prawny w zakresie ochrony danych nie zostanie naruszony.”
EDPB i EIOD uważają, że prawodawca UE powinien zapewnić, aby w sformułowaniu DGA wyraźnie i jednoznacznie stwierdzono, że akt ten nie wpłynie na poziom ochrony danych osobowych osób fizycznych, ani nie zmieni żadnych praw i obowiązków określonych w przepisach o ochronie danych.
W odniesieniu do ponownego wykorzystywania danych osobowych będących w posiadaniu organów sektora publicznego, EIOD i EIOD zalecają dostosowanie DGA do istniejących zasad ochrony danych osobowych określonych w GDPR oraz do dyrektywy w sprawie otwartych danych. Ponadto należy wyjaśnić, że ponowne wykorzystywanie danych osobowych będących w posiadaniu organów sektora publicznego może być dozwolone wyłącznie wtedy, gdy ma ono podstawę w prawie UE lub prawie państwa członkowskiego. Takie przepisy powinny zawierać wykaz jasnych i zgodnych celów, dla których dalsze przetwarzanie może być prawnie dozwolone lub stanowi konieczny i proporcjonalny środek w demokratycznym społeczeństwie służący zabezpieczeniu celów, o których mowa w art. 23 GDPR.
Jeśli chodzi o dostawców usług udostępniania danych, we wspólnej opinii podkreślono potrzebę zapewnienia osobom fizycznym uprzednich informacji i kontroli, z uwzględnieniem zasad uwzględnienia ochrony danych już w fazie projektowania i domyślnej ochrony danych, przejrzystości i ograniczenia celu. Ponadto należy wyjaśnić warunki, na jakich tacy dostawcy usług mogliby skutecznie pomagać osobom fizycznym w wykonywaniu ich praw jako podmiotów danych.
Jeżeli chodzi o altruizm danych, EIOD i EIOD zalecają, aby w dyrektywie DGA lepiej zdefiniować cele interesu ogólnego takiego „altruizmu danych”. Altruizm danych powinien być zorganizowany w taki sposób, aby umożliwiał osobom fizycznym łatwe wyrażenie, ale również wycofanie zgody.
W świetle potencjalnych zagrożeń dla osób, których dane dotyczą, w przypadku gdy ich dane osobowe mogą być przetwarzane przez dostawców usług w zakresie udostępniania danych lub organizacje zajmujące się altruizmem danych, EIOD i EIOD uważają, że systemy zgłaszania rejestracyjnego tych podmiotów, określone w dyrektywie DGA, nie przewidują wystarczająco rygorystycznej procedury weryfikacji mającej zastosowanie do takich usług. W związku z tym EIOD i EIOD zalecają zbadanie alternatywnych procedur, które przewidują bardziej systematyczne uwzględnianie narzędzi odpowiedzialności, w szczególności przestrzegania kodeksu postępowania lub mechanizmu certyfikacji.
Wspólna opinia zawiera również zalecenia dotyczące wyznaczenia organów nadzorczych jako głównych właściwych organów do kontroli zgodności z przepisami DGA, w porozumieniu z innymi odpowiednimi organami sektorowymi.Projekt