Az adatkormányzásról szóló törvény magyarázata

Az adatokban rejlő gazdasági és társadalmi potenciál óriási: lehetővé teheti az új technológiákon alapuló új termékeket és szolgáltatásokat, hatékonyabbá teheti a termelést, és eszközöket biztosíthat a társadalmi kihívások leküzdéséhez. Az egészségügy területén például az adatok hozzájárulhatnak a jobb egészségügyi ellátás biztosításához, a személyre szabott kezelések javításához és a ritka vagy krónikus betegségek gyógyításához. Emellett erőteljes motorja az innovációnak és az új munkahelyeknek, valamint kritikus erőforrás az induló vállalkozások és a kkv-k számára.

Ez a lehetőség azonban nem valósul meg. Az EU-n belüli adatmegosztás számos akadály miatt továbbra is korlátozott (többek között az adatmegosztásba vetett alacsony bizalom, a közszféra adatainak újrafelhasználásával és a közjó érdekében történő adatgyűjtéssel kapcsolatos kérdések, valamint technikai akadályok).

Ahhoz, hogy valóban kihasználhassuk ezt a hatalmas potenciált, könnyebbé kell tenni az adatok megbízható és biztonságos megosztását.

Az adatkormányzási törvény (DGA) olyan ágazatközi eszköz, amelynek célja a nyilvánosan tárolt, védett adatok újrafelhasználásának szabályozása, az új adatközvetítők szabályozásán keresztül megvalósuló adatmegosztás fokozása, valamint az adatok önzetlen célú megosztásának ösztönzése. Mind a személyes, mind a nem személyes adatok a DGA hatálya alá tartoznak, és személyes adatok esetében az általános adatvédelmi rendelet (GDPR) alkalmazandó. Az általános adatvédelmi rendelet mellett a beépített biztosítékok növelik az adatmegosztásba és -újrafelhasználásba vetett bizalmat, ami előfeltétele annak, hogy több adat álljon rendelkezésre a piacon.

A közszférabeli szervezetek birtokában lévő egyes adatkategóriák újrafelhasználása

Melyek a legfontosabb célok?

A nyílt hozzáférésű adatokról szóló irányelv szabályozza a közszféra birtokában lévő nyilvános/rendelkezésre álló információk újrafelhasználását. A közszféra ugyanakkor hatalmas mennyiségű védett adattal is rendelkezik (pl. személyes adatok és üzleti szempontból bizalmas adatok), amelyek nem használhatók fel nyílt adatként, de amelyeket külön uniós vagy nemzeti jogszabályok alapján újra fel lehet használni. Az ilyen adatokból rengeteg tudás szerezhető ki anélkül, hogy veszélyeztetné azok védett jellegét, és a DGA szabályokat és biztosítékokat ír elő az ilyen adatok újrafelhasználásának megkönnyítésére, amikor az más jogszabályok alapján lehetséges.  

Hogyan működik ez a gyakorlatban?

• A közszférára vonatkozó műszaki követelmények: A tagállamoknak technikai eszközökkel kell rendelkezniük annak biztosítására, hogy újrafelhasználási helyzetekben teljes mértékben tiszteletben tartsák az adatok magánéletét és titkosságát. Ez magában foglalhat egy sor eszközt, a technikai megoldásoktól, például az anonimizálástól, az álnevesítéstől vagy az adatokhoz való hozzáféréstől a közszféra által felügyelt biztonságos feldolgozási környezetben (pl. adatszobák), a szerződéses eszközökig, például a közszférabeli szervezet és a további felhasználó között kötött titoktartási megállapodásokig.
• A közszférabeli szervezet által nyújtott támogatás: Ha egy közszférabeli szervezet nem tud hozzáférést biztosítani bizonyos adatokhoz további felhasználás céljából, segítenie kell a potenciális felhasználót abban, hogy kérje az egyén hozzájárulását személyes adataik újrafelhasználásához, vagy az adattulajdonos engedélyéhez, akinek jogait vagy érdekeit az újrafelhasználás érintheti. Továbbá a bizalmas információk (pl. üzleti titkok) csak ilyen hozzájárulással vagy engedéllyel hozhatók nyilvánosságra további felhasználás céljából.
• Annak érdekében, hogy még több nyilvánosan hozzáférhető adat álljon rendelkezésre további felhasználás céljából, a DGA a kizárólagos adat-újrahasznosítási megállapodásokra való hagyatkozást (amelyekkel egy közszektorbeli szervezet egy vállalatnak biztosít ilyen kizárólagos jogot) bizonyos közérdekű esetekre korlátozza.
• Ésszerű díjak: a közszférabeli szervezetek díjat számíthatnak fel az újrahasználat engedélyezéséért, amennyiben ezek a díjak nem haladják meg a felmerülő szükséges költségeket. Ezenkívül a közszférabeli szervezeteknek ösztönözniük kell a tudományos kutatás és más, nem kereskedelmi célú, valamint a kkv-k és az induló innovatív vállalkozások általi újrafelhasználást azáltal, hogy csökkentik vagy akár kizárják a díjakat.
• Egy közigazgatási szervnek legfeljebb 2 hónap áll rendelkezésére, hogy döntést hozzon az újrafelhasználási kérelemről.
• A tagállamok megválaszthatják, hogy mely illetékes szervek támogatják az újrahasználathoz való hozzáférést biztosító közszektorbeli szervezeteket, például azáltal, hogy biztonságos feldolgozási környezetet biztosítanak számukra, és tanácsot adnak nekik arról, hogy hogyan lehet a legjobban strukturálni és tárolni az adatokat, hogy azok könnyen hozzáférhetőek legyenek.
• Annak érdekében, hogy a potenciális újrafelhasználók megfelelő információkat találjanak arról, hogy mely hatóságok milyen adatokat tárolnak, a tagállamoknak egyetlen információs pontot kell létrehozniuk. A Bizottság létrehozta a közszféra birtokában lévő védett adatok európai nyilvántartását (ERPD), amely a nemzeti egységes információs pontok által összeállított információk kereshető nyilvántartása az adatok belső piacon és azon túl történő további felhasználásának további megkönnyítése érdekében.

Adatközvetítő szolgáltatások

Melyek a legfontosabb célok?

Jelenleg sok vállalat attól tart, hogy az adataik megosztása versenyelőny elvesztésével járna, és a visszaélés kockázatát hordozná. A DGA szabályokat határoz meg az adatközvetítő szolgáltatók (úgynevezett adatközvetítők, például adatpiacterek) számára annak biztosítása érdekében, hogy az adatmegosztás vagy a közös európai adattereken belüli adatmegosztás megbízható szervezőiként működjenek. Az adatmegosztásba vetett bizalom növelése érdekében ez az új megközelítés az adatközvetítők semlegességén és átláthatóságán alapuló modellt javasol, miközben az egyéneket és a vállalatokat az adataik feletti ellenőrzés alá helyezi.

Hogyan működik ez a gyakorlatban?

A keretrendszer alternatív modellt kínál a Big Tech platformok adatkezelési gyakorlatához képest, amelyek nagy piaci erővel rendelkeznek, mivel nagy mennyiségű adatot irányítanak.

A gyakorlatban az adatközvetítők semleges harmadik félként fognak működni, akik összekapcsolják az egyéneket és a vállalatokat az adatfelhasználókkal. Bár díjat számíthatnak fel a felek közötti adatmegosztás megkönnyítéséért, nem használhatják fel közvetlenül az általuk közvetített adatokat pénzügyi haszonszerzés céljából (pl. úgy, hogy értékesítik azokat egy másik vállalatnak, vagy felhasználják őket saját termékük ezen adatok alapján történő kifejlesztésére). Az adatközvetítőknek szigorú követelményeknek kell megfelelniük e semlegesség biztosítása és az összeférhetetlenség elkerülése érdekében. A gyakorlatban ez azt jelenti, hogy strukturálisan el kell különíteni az adatközvetítő szolgáltatást és az egyéb nyújtott szolgáltatásokat (azaz jogilag el kell különíteni őket). A közvetítői szolgáltatások nyújtására vonatkozó kereskedelmi feltételek (beleértve az árképzést is) nem függhetnek attól, hogy egy potenciális adattulajdonos vagy adatfelhasználó más szolgáltatásokat vesz-e igénybe. A megszerzett adatok és metaadatok csak az adatközvetítő szolgáltatás fejlesztésére használhatók fel.

Mind a kizárólag adatközvetítő szolgáltatásokat nyújtó önálló szervezetek, mind az egyéb szolgáltatások mellett adatközvetítő szolgáltatásokat nyújtó vállalatok egyaránt megbízható közvetítőként működhetnek. Ez utóbbi esetben az adatközvetítő tevékenységet jogilag és gazdaságilag is szigorúan el kell különíteni más adatszolgáltatásoktól.

A DGA értelmében az adatközvetítőknek értesíteniük kell az illetékes hatóságot az ilyen szolgáltatások nyújtására irányuló szándékukról. Az illetékes hatóság biztosítja, hogy a bejelentési eljárás megkülönböztetésmentes és ne torzítsa a versenyt, és megerősíti, hogy az adatközvetítő szolgáltató benyújtotta az összes szükséges információt tartalmazó bejelentést.

Az ilyen visszaigazolás kézhezvételét követően az adatközvetítő jogszerűen megkezdheti az írásbeli és szóbeli kommunikációban az „Unióban elismert adatközvetítő szolgáltató” címke, valamint a közös logó használatát. Ezek a hatóságok nyomon követik továbbá az adatközvetítési követelményeknek való megfelelést, és a Bizottság központi nyilvántartást vezet az elismert adatközvetítőkről.

Adataltruizmus

Melyek a legfontosabb célok?

Az adataltruizmus az egyénekről és a vállalatokról szól, akik hozzájárulásukat vagy engedélyüket adják ahhoz, hogy az általuk – önkéntesen és ellenszolgáltatás nélkül – generált adatokat általános érdekű célokra használják fel. Ezek az adatok óriási potenciállal rendelkeznek a kutatás előmozdítására, valamint jobb termékek és szolgáltatások kifejlesztésére, többek között az egészségügy, a környezetvédelem és a mobilitás területén.

A kutatások azt mutatják, hogy bár elvben hajlandóak részt venni az adataltruizmusban, a gyakorlatban ezt akadályozza az adatmegosztási eszközök hiánya. Mint ilyen, az adatkormányzási törvény célja olyan megbízható eszközök létrehozása, amelyek lehetővé teszik az adatok egyszerű megosztását a társadalom javára. Megteremti a megfelelő feltételeket annak biztosításához, hogy az egyének és a vállalatok az adatok megosztásakor az uniós értékeken és elveken alapuló megbízható szervezetek kezeljék azokat. Ez lehetővé teszi megfelelő méretű adathalmazok létrehozását, amelyek lehetővé teszik az adatelemzést és a gépi tanulást, többek között határokon átnyúlóan is.

Hogyan működik ez a gyakorlatban?

Azok a szervezetek, amelyek adataltruizmus alapján bocsátanak rendelkezésre releváns adatokat, regisztrálhatnak „az Unióban elismert adataltruista szervezetekként”. Ezeknek a szervezeteknek nonprofit jellegűeknek kell lenniük, és meg kell felelniük az átláthatósági követelményeknek, valamint konkrét biztosítékokat kell nyújtaniuk az adataikat megosztó polgárok és vállalatok jogainak és érdekeinek védelme érdekében. Ezenkívül meg kell felelniük a szabálykönyvnek (legkésőbb 18 hónappal annak hatálybalépése után), amely meghatározza az információs követelményeket, a műszaki és biztonsági követelményeket, a kommunikációs ütemterveket és az interoperabilitási szabványokra vonatkozó ajánlásokat. A szabálykönyvet a Bizottság dolgozza ki az adataltruista szervezetekkel és más érdekelt felekkel szoros együttműködésben.

A szervezetek használhatják az erre a célra kialakított közös logót, és dönthetnek úgy, hogy bekerülnek az adataltruista szervezetek nyilvános nyilvántartásába. Tájékoztatás céljából a Bizottság létrehozta az elismert adataltruista szervezetek uniós szintű nyilvántartását.  

Az adataltruizmusra vonatkozó közös európai hozzájárulási formanyomtatvány lehetővé teszi a tagállamok közötti adatgyűjtést egységes formátumban, biztosítva, hogy azok, akik megosztják adataikat, könnyen megadhassák és visszavonhassák hozzájárulásukat. Emellett jogbiztonságot fog nyújtani azoknak a kutatóknak és vállalatoknak is, akik altruizmuson alapuló adatokat kívánnak felhasználni. Ez egy moduláris forma lesz, amely az egyes ágazatok és célok igényeihez igazítható.

Európai Adatinnovációs Testület

Melyek a legfontosabb célok?

A DGA-nak megfelelően a Bizottság létrehozta az Európai Adatinnovációs Testületet (EDIB), hogy megkönnyítse a bevált gyakorlatok megosztását, különösen az adatközvetítéssel, az adataltruizmussal és a nyílt adatként nem hozzáférhető nyilvános adatok felhasználásával, valamint az ágazatközi interoperabilitási szabványok rangsorolásával kapcsolatban.

Hogyan működik ez a gyakorlatban?

Az EDIB a következő szervezetek képviselőiből áll:

• Az adatközvetítésért felelős tagállami illetékes hatóságok
• Az adataltruizmus tekintetében illetékes tagállami hatóságok
• az Európai Adatvédelmi Testület
• az európai adatvédelmi biztos
• az Európai Uniós Kiberbiztonsági Ügynökség (ENISA)
• az Európai Bizottság
• a kkv-követek hálózata által kinevezett uniós kkv-megbízott/képviselő
• a Bizottság által szakértői felhívás útján kiválasztott érintett szervek egyéb képviselői.

Az EDIB-tagok listája itt érhető el:  A Bizottság szakértői csoportjainak és más hasonló szervezeteknek anyilvántartása (europa.eu).

Az Edib hatáskörrel rendelkezik arra, hogy iránymutatásokat javasoljon a közös európai adatterekre vonatkozóan, például az Unión kívüli adattovábbítás megfelelő védelmére vonatkozóan.

Nemzetközi adatáramlás

Melyek a legfontosabb célok?

A 2020. februári európai adatstratégia elismerte annak fontosságát, hogy nyitott, de határozott megközelítést alkalmazzanak a nemzetközi adatáramlások tekintetében.

A nemzetközi adattovábbítás felszabadíthatja az EU-n belül előállított hatalmas mennyiségű adat jelentős társadalmi-gazdasági potenciálját, ezáltal növelve az Unió nemzetközi versenyképességét a globális színtéren, miközben hozzájárul a gazdasági növekedéshez, ami különösen a Covid utáni helyreállítás korában kulcsfontosságú.

Bár a DGA kulcsszerepet játszik az Európai Unió nyitott stratégiai autonómiájának megerősítésében, hozzájárul a nemzetközi adatáramlásokba vetett bizalom és bizalom megteremtéséhez is.

Hogyan működik ez a gyakorlatban?

Míg az általános adatvédelmi rendelet a személyes adatokkal összefüggésben minden szükséges biztosítékot bevezetett, a DGA-nak köszönhetően hasonló biztosítékok léteznek a harmadik országok kormányai által a nem személyes adatokkal összefüggésben benyújtott hozzáférési kérelmekre vonatkozóan.

Ezek a biztosítékok a DGA által meghatározott valamennyi forgatókönyvre és rendelkezésre vonatkoznak, nevezetesen a közszféra adataira, az adatközvetítő szolgáltatásokra és az adataltruista konstellációkra. A harmadik országbeli további felhasználónak a szóban forgó adatok tekintetében ugyanolyan szintű védelmet kell biztosítania, mint az uniós jog által biztosított védelmi szint, valamint el kell fogadnia a vonatkozó uniós joghatóságot.  

Amennyiben szükségesnek ítéli, a Bizottság további megfelelőségi határozatokat fogadhat el a védett nyilvános adatok további felhasználás céljából történő továbbítására vonatkozóan, amikor harmadik országból származó nem személyes adatokra vonatkozó hozzáférési kérelemről van szó. Ezek a megfelelőségi határozatok hasonlóak lesznek a személyes adatok általános adatvédelmi rendelet szerinti továbbításával kapcsolatos megfelelőségi határozatokhoz.

Emellett a DGA felhatalmazza a Bizottságot arra, hogy szerződésmintákat bocsásson rendelkezésre a közszférabeli szervezetek és a további felhasználók számára olyan forgatókönyvek esetében, amelyekben a közszféra adatai harmadik országokkal történő adattovábbításban vesznek részt.