Πράξη για την Διακυβέρνηση των Δεδομένων: Κανονισμός (ΕΕ) 2022/868

Πράξη για την Διακυβέρνηση των Δεδομένων: Κανονισμός (ΕΕ) 2022/868

Με τον Κανονισμό (ΕΕ) 2022/868 («Πράξη για την Διακυβέρνηση των Δεδομένων») τίθεται το νομοθετικό πλαίσιο σε Ενωσιακό επίπεδο αφενός για την εμβάθυνση της περαιτέρω χρήσης δεδομένων του δημοσίου τομέα και, αφετέρου, για τη δημιουργία μιας ενιαίας αγοράς παροχής υπηρεσιών διαμεσολάβησης δεδομένων και επεξεργασίας δεδομένων για αλτρουιστικούς σκοπούς. Η Πράξη για την Διακυβέρνηση των Δεδομένων αναμένεται να ενισχύσει την ελεύθερη ροή των δεδομένων προσωπικού και μη χαρακτήρα στην Ευρωπαϊκή Ένωση και να ωθήσει την ανάπτυξη αγορών που στηρίζονται στην επεξεργασία δεδομένων.

Στις 3 Ιουνίου 2022, ο Κανονισμός (ΕΕ) 2022/868 για την Ευρωπαϊκή διακυβέρνηση δεδομένων («Πράξη για την Διακυβέρνηση Δεδομένων» ή «Πράξη») δημοσιεύτηκε στην επίσημη εφημερίδα της Ευρωπαϊκής Ένωσης («ΕΕ») και, κατόπιν, τέθηκε σε ισχύ την εικοστή ημέρα από τη δημοσίευσή του.

1.Σκοπός & Αντικείμενο της Πράξης

Με σκοπό την ανάπτυξη μιας ενιαίας ψηφιακής αγοράς στην ΕΕ και μιας ανθρωποκεντρικής, αξιόπιστης και ασφαλούς κοινωνίας και οικονομίας βασισμένης στα δεδομένα μέσω της κοινής χρήσης ή της πρόσβασης σε δεδομένα μεταξύ των κρατών μελών ή και σε πανευρωπαϊκό επίπεδο, η Πράξη καθορίζει:

i. τις προϋποθέσεις για την περαιτέρω χρήση, εντός της Ένωσης, ορισμένων κατηγοριών δεδομένων  που διατηρούνται από φορείς του δημόσιου τομέα.

ii. ένα πλαίσιο γνωστοποίησης και εποπτείας για την παροχή υπηρεσιών διαμεσολάβησης δεδομένων.

iii. ένα πλαίσιο για την εθελοντική εγγραφή οντοτήτων που συλλέγουν και επεξεργάζονται δεδομένα που διατίθενται για αλτρουιστικούς σκοπούς, και

iv. ένα πλαίσιο για τη σύσταση του Ευρωπαϊκού Συμβουλίου Καινοτομίας Δεδομένων.

Ήδη από το πρώτο της άρθρο, η Πράξη ορίζει ότι οι διατάξεις της δεν θίγουν την εφαρμογή των κανόνων δικαίου του Κανονισμού (ΕΕ) 2016/679 («ΓΚΠΔ») και της Οδηγίας 2002/58/ΕΚ («Οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες»), συμπεριλαμβανομένης της εφαρμογής αυτών σε σύνολα δεδομένων με άρρηκτη σύνδεση προσωπικών και μη δεδομένων. Σε περίπτωση σύγκρουσης, η σχετική ενωσιακή ή εθνική νομοθεσία για την προστασία των προσωπικών δεδομένων υπερισχύει των διατάξεων της Πράξης. Επιπλέον, αναφέρεται ρητά ότι η Πράξη δεν δημιουργεί νέες νομικές βάσεις για την επεξεργασία προσωπικών δεδομένων, ούτε επηρεάζει κανένα από τα δικαιώματα και τις υποχρεώσεις που ορίζονται στον ΓΚΠΔ και στην Οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες.

2. Κανόνες για την Περαιτέρω Χρήση Δεδομένων του Δημοσίου Τομέα

Κατ’ αρχάς, η Πράξη ρυθμίζει την περαιτέρω χρήση δεδομένων που διατηρούνται από φορείς του δημόσιου τομέα ως εξής:

  • Με την επιφύλαξη περιοριστικά αναφερόμενων εξαιρέσεων υπέρ του γενικού συμφέροντος, η Πράξη απαγορεύει συμφωνίες ή πρακτικές που ουσιαστικά παρέχουν αποκλειστικά δικαιώματα ή περιορίζουν τη διαθεσιμότητα δεδομένων του δημόσιου τομέα για περαιτέρω χρήση (άρθρο 4).
  • Τυχόν όροι για την περαιτέρω χρήση δεδομένων του δημόσιου τομέα δεν επιτρέπεται να εισάγουν διακρίσεις, πρέπει να είναι διαφανείς, αναλογικοί και αντικειμενικά αιτιολογημένοι, δεν περιορίζουν τον ανταγωνισμό, καθίστανται δημόσιοι και υποχρεωτικά περιλαμβάνουν, μεταξύ άλλων (άρθρο 5):

i. διαδικασίες ανωνυμοποίησης προσωπικών δεδομένων και τροποποίησης ή / και συγκέντρωσης εμπορικά εμπιστευτικών πληροφοριών που προστατεύονται από το εμπορικό απόρρητο ή/και το δίκαιο της διανοητικής ιδιοκτησίας,

ii. την διασφάλιση ασφαλούς περιβάλλοντος επεξεργασίας κατά την πρόσβαση / επαναχρησιμοποίηση,

iii. την τήρηση εμπιστευτικότητας από τον περαιτέρω χρήστη,

iv. τη συμμόρφωση με τα δικαιώματα διανοητικής ιδιοκτησίας και το sui generis δικαίωμα σε βάσεις δεδομένων,

v. την πρότερη ειδοποίηση προς τον φορέα του δημόσιου τομέα και τα πρόσωπα που θίγονται σε περιπτώσεις διαβίβασης σε τρίτες χώρες.

  • Περαιτέρω, η Πράξη ορίζει ότι η επαναχρησιμοποίηση ενδέχεται να υπόκειται σε τέλη, υπό τον όρο ότι τα τέλη αυτά δύνανται να καταβάλλονται και ηλεκτρονικά, αντικατοπτρίζουν το κόστος επαναχρησιμοποίησης και είναι διαφανή, αμερόληπτα, αναλογικά και αντικειμενικώς δικαιολογημένα, ενώ δεν περιορίζουν τον ανταγωνισμό.
  • Οι φορείς του δημόσιου τομέα μπορούν επίσης να καθιστούν τα δεδομένα διαθέσιμα με μειωμένο τέλος ή δωρεάν αφενός σε οργανώσεις της κοινωνίας των πολιτών και εκπαιδευτικά ιδρύματα για μη εμπορικούς σκοπούς, όπως σκοπούς επιστημονικής έρευνας, και, αφετέρου, σε μικρομεσαίες και νεοσύστατες επιχειρήσεις σε εναρμόνιση με το δίκαιο της ΕΕ για τις κρατικές ενισχύσεις (άρθρο 6).

Για τη θέσπιση των συστημάτων περαιτέρω χρήσης δεδομένων στους δημόσιους τομείς τους, τα κράτη μέλη υποχρεούνται να ορίζουν αρμόδιες εποπτικές αρχές για την συνδρομή στην εφαρμογή του νόμου (άρθρο 7), να δημιουργήσουν ενιαία σημεία πληροφόρησης για τη λήψη ερωτήσεων ή αιτημάτων για περαιτέρω χρήση των δεδομένων (άρθρο 8) και να θεσπίσουν διαδικασία για την ανταπόκριση σε αιτήματα περαιτέρω χρήσης δεδομένων εντός δύο μηνών από την ημερομηνία παραλαβής τους (άρθρο 9).

Πρέπει, ωστόσο, να σημειωθεί ότι η Πράξη δεν δημιουργεί υποχρέωση στα κράτη μέλη για την περαιτέρω χρήση δεδομένων του δημόσιου τομέα. Επομένως, εναπόκειται σε κάθε κράτος μέλος να αποφασίζει αν τα δεδομένα καθίστανται προσβάσιμαγια περαιτέρω χρήση, μεταξύ άλλων όσον αφορά τους σκοπούς και το πεδίο εφαρμογής της πρόσβασης.

Οι κανόνες της Πράξης για την περαιτέρω χρήση δεδομένων του δημοσίου τομέα συμπληρώνουν τις διατάξεις της Οδηγίας (ΕΕ) 2019/1024 για τα ανοικτά δεδομένα και την περαιτέρω χρήση πληροφοριών του δημόσιου τομέα, θέτοντας το πλαίσιο για την ανάπτυξη μιας αγοράς δεδομένων του δημοσίου τομέα, η οποία αναμένεται να αγγίξει τα 194 δις € σε οικονομική αξία μέχρι το 2030.

3. Νομικό Πλαίσιο για τις Υπηρεσίες Διαμεσολάβησης Δεδομένων

Επιπλέον, η Πράξη προβλέπει ένα νομικό πλαίσιο για την δραστηριοποίηση των φορέων παροχής υπηρεσιών διαμεσολάβησης δεδομένων.

Ως υπηρεσίες διαμεσολάβησης δεδομένων ορίζονται οι υπηρεσίες που αποσκοπούν στη δημιουργία εμπορικών σχέσεων για σκοπούς κοινοχρησίας δεδομένων μεταξύ, αφενός, υποκειμένων και κατόχων δεδομένων και, αφετέρου, των χρηστών δεδομένων, με τεχνικά, νομικά ή άλλα μέσα, όπως υποδομές, πλατφόρμες ή βάσεις δεδομένων (άρθρο 10).

Μετά την υποβολή πρότερης ειδοποίησης στην αρμόδια εποπτική αρχή για τις υπηρεσίες διαμεσολάβησης δεδομένων στο κράτος μέλος της κύριας εγκατάστασής τους, οι πάροχοι υπηρεσιών διαμεσολάβησης δεδομένων αποκτούν το δικαίωμα να παρέχουν τέτοιες υπηρεσίες σε ολόκληρη την ΕΕ (άρθρο 11).

Οι όροι για την παροχή των υπηρεσιών διαμεσολάβησης δεδομένων περιλαμβάνουν, μεταξύ άλλων (άρθρο 12):

  • την απαγόρευση της επεξεργασίας των δεδομένων για σκοπούς άλλους από τη διάθεσή τους στους χρήστες,
  • την παροχή της υπηρεσίας με δίκαιο, διαφανή και αμερόληπτο τρόπο για τα υποκείμενα των δεδομένων, τους κατόχους και τους χρήστες, ιδίως όσον αφορά τις τιμές και τους όρους παροχής,
  • την υποχρέωση διαλειτουργικότητας με άλλες υπηρεσίες διαμεσολάβησης δεδομένων, ιδίως μέσω κοινά χρησιμοποιούμενων ανοικτών προτύπων,
  • τη διατήρηση ενός κατάλληλου επιπέδου ασφάλειας δεδομένων, και
  • • την απαίτηση δραστηριοποίησης προς το βέλτιστο συμφέρον των υποκειμένων των δεδομένων.

Κάθε κράτος μέλος ορίζει μια δημόσια αρχή με αρμοδιότητα να εποπτεύει τη συμμόρφωση των παρόχων υπηρεσιών διαμεσολάβησης δεδομένων με τις διατάξεις της Πράξης (άρθρα 13-14).

4. Κανόνες για τον Αλτρουισμό των Δεδομένων

Περαιτέρω, η Πράξη θεσπίζει κανόνες για την προώθηση του αλτρουισμού των δεδομένων, ο οποίος συνίσταται στην εθελοντική κοινοποίηση είτε προσωπικών δεδομένων με βάση τη συναίνεση των υποκειμένων των δεδομένων είτε δεδομένων μη προσωπικού χαρακτήρα από κατόχους δεδομένων χωρίς αποζημίωση για σκοπούς γενικού συμφέροντος.

Τέτοιοι σκοποί δημοσίου συμφέροντος δύνανται λόγου χάρη να αφορούν τη δημόσια υγεία, την καταπολέμηση της κλιματικής αλλαγής, τη χάραξη δημόσιας πολιτικής ή σκοπούς επιστημονικής έρευνας προς το γενικό συμφέρον.

Σύμφωνα με την Πράξη, κατόπιν γνωστοποίησης στην Ευρωπαϊκή Επιτροπή, τα κράτη μέλη δύνανται κατά την διακριτική τους ευχέρεια να εφαρμόζουν εθνικές πολιτικές καθώς και οργανωτικά και τεχνικά μέτρα για τη διευκόλυνση του αλτρουισμού των δεδομένων (άρθρο 16).

Οι οργανώσεις που πραγματοποιούν δραστηριότητες αλτρουισμού δεδομένων θα πρέπει να είναι μη κερδοσκοπικοί, να είναι εγγεγραμμένοι στο σχετικό εθνικό δημόσιο μητρώο, να εφαρμόζουν λειτουργικό διαχωρισμό έναντι των άλλων δραστηριοτήτων τους και να συνοδεύουν κάθε δημοσίευση των δραστηριοτήτων τους για τον αλτρουισμό των δεδομένων με σχετικό κοινό σε όλη την ΕΕ λογότυπο (άρθρα 17-19).

Οι οργανώσεις αλτρουισμού δεδομένων υπόκεινται επίσης σε αυστηρές απαιτήσεις διαφάνειας σχετικά με τη δραστηριότητα των χρηστών των δεδομένων τους, τον σκοπό και τη διάρκεια της επεξεργασίας και τυχόν τέλη που καταβάλλονται για την κάλυψη του κόστους τους, ενώ υποχρεούνται να δημοσιεύουν και ετήσιες εκθέσεις διαφάνειας αναφορικά με τις δραστηριότητές τους (άρθρο 20 ).

Ως εκ τούτου, οι οργανώσεις αλτρουισμού δεδομένων υποχρεούνται να παρέχουν στα υποκείμενα των δεδομένων και στους κατόχους δεδομένων συγκεκριμένες πληροφορίες σχετικά με την επεξεργασία των δεδομένων τους στο πλαίσιο του αλτρουισμού δεδομένων (άρθρο 21) και να συμμορφώνονται με πρόσθετο εγχειρίδιο κανόνων που θα εκδίδει η Ευρωπαϊκή Επιτροπή με πιο συγκεκριμένους κανόνες σχετικά με ζητήματα όπως η διαφάνεια, η ασφάλεια των δεδομένων, η ευαισθητοποίηση και η διαλειτουργικότητα (άρθρο 22).

Κάθε κράτος μέλος ορίζει μια αρχή με αρμοδιότητα να εποπτεύει τη συμμόρφωση των οργανώσεων αλτρουισμού δεδομένων με τις διατάξεις του νόμου (άρθρα 23-24).

5. Μηχανισμός Εποπτείας

Τέλος, η Πράξη καθορίζει το πλαίσιο για την άσκηση των εξουσιών των εποπτικών αρχών.

Επιπλέον, η Πράξη προβλέπει το δικαίωμα των υποκειμένων και των κατόχων δεδομένων να υποβάλλουν καταγγελίες ενώπιον των εποπτικών αρχών καθώς και το δικαίωμα σε αποτελεσματική δικαστική προσφυγή (άρθρο 30).

Τέλος, με την Πράξη συστήνεται το Ευρωπαϊκό Συμβούλιο Καινοτομίας Δεδομένων με κύριες αρμοδιότητες την παροχή συμβουλών και την συνδρομή προς την Ευρωπαϊκή Επιτροπή σε ζητήματα που σχετίζονται με την Πράξη καθώς και τη διευκόλυνση της συνεργασίας μεταξύ των κρατών μελών και μεταξύ των εποπτικών αρχών (άρθρο 30).

6. Συμπεράσματα

Η Πράξη για την Διακυβέρνηση των Δεδομένων συγκροτεί ένα θεσμικό πλαίσιο για την ρύθμιση της επεξεργασίας δεδομένων, προσωπικών και μη, από κοινού με τον ΓΚΠΔ, τον Κανονισμό (ΕΕ) 2018/1807 για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση και την υπό υιοθέτηση Πράξη για εναρμονισμένους κανόνες σχετικά με τη δίκαιη πρόσβαση σε δεδομένα και τη δίκαιη χρήση τους («Πράξη για τα Δεδομένα»).

Υπό το νέο αυτό θεσμικό πλαίσιο, οι οργανισμοί και οι επιχειρήσεις καλούνται να προσαρμόσουν τις λειτουργίες τους με γνώμονα τη μετάβαση από την προστασία των προσωπικών δεδομένων σε μία συνολικότερη προσέγγιση με βάση τη διακυβέρνηση των δεδομένων.

Η Πράξη για την Διακυβέρνηση των Δεδομένων αναμένεται να ενισχύσει την ελεύθερη ροή των δεδομένων προσωπικού και μη χαρακτήρα στην Ευρωπαϊκή Ένωση και να ωθήσει την ανάπτυξη αγορών που στηρίζονται στην επεξεργασία δεδομένων.

Η Πράξη θα τεθεί σε ισχύ από τις 24 Σεπτεμβρίου 2023.

Η Πράξη περί διακυβέρνησης των δεδομένων είναι διαθέσιμη εδώ.