Autor : Lidia Raś
2023-10-23 10:00
Uregulowanie zasad dotyczących współdzielenia danych, które znajdują się w posiadaniu sektora publicznego, to szansa zarówno dla obywateli, jak i przedsiębiorców. Jednym z aktów prawnych, który ma to umożliwić, jest Data Governance Act - unijne rozporządzenie w sprawie zarządzania danymi. To w nim znalazły się m.in. zasady dotyczące altruizmu danych. Na czym on polega? Czy pozostanie pod kontrolą? Co mówią na ten temat eksperci?
Według definicji znajdującej się w rozporządzeniu Data Governance Act (DGA) - w sprawie zarządzania danymi - to dobrowolne dzielenie się danymi dla celów leżących w interesie ogólnym, takich jak: opieka zdrowotna, zwalczanie zmian klimatu, poprawa mobilności, ułatwianie opracowywania, tworzenie i rozpowszechnianie statystyk urzędowych, poprawa świadczenia usług publicznych, kształtowanie polityki publicznej lub do badań naukowych leżących w interesie ogólnym. Współdzielenie danych jest możliwe na podstawie wyrażonej przez osoby, których dane dotyczą, zgody na ich przetwarzanie lub na podstawie udzielonego przez posiadaczy danych pozwolenia. Niemożliwe jest żądanie i otrzymanie za to wynagrodzenia, które wykraczałoby poza zwrot kosztów poniesionych przez te osoby lub posiadaczy danych w związku z udostępnieniem tychże.
Zdecydowanie prościej wyjaśnia to Jan Oleszczuk-Zygmuntowski, współprzewodniczący Polskiej Sieci Ekonomii, wykładowca, doktorant Akademii Leona Koźmińskiego na kierunku Zarządzanie i AI w Cyfrowym Społeczeństwie: - Mówimy o współdzieleniu danych będących w posiadaniu sektora publicznego albo o dostępie do nich i wyników ich przetwarzania. Dane to zasób wspólny i tylko tak musimy go traktować. Trzeba więc wyznaczyć warunki dostępu, oceniające kto, o co i dlaczego prosi.
To, że dostęp do dużej liczby danych jest niezbędny w erze sztucznej inteligencji i związanych z nią szans na rozwój technologii jest oczywiste. Z drugiej strony dostęp nieograniczony to ryzyko nadużyć, a obawy zwłaszcza w obszarze ochrony zdrowia są szczególne.
Dane wrażliwe to nie zabawka. Jak odzyskać zaufanie obywateli
Obrót danymi musi się odbywać według ustalonych reguł, a mechanizmy kontroli muszą być wystarczające. Właśnie po to, by uniknąć niejasnych sytuacji, obchodzenia prawa lub wręcz niestosowania go, powstało rozporządzenie Data Governance Act (DGA) w sprawie zarządzania danymi. Weszło w życie 23 czerwca 2022 roku, ale stosowanie jego przepisów obowiązuje od niedawna, od 24 września 2023 roku. Określa zasady ponownego używania danych, którymi dysponuje sektor publiczny do celów innych niż pierwotnie zamierzone oraz m.in. definiuje działalność tzw. altruistycznych dostawców danych. To jeden z ważniejszych elementów rozporządzania. W praktyce w obszarze ochrony zdrowia chodzi przecież o dane zbierane i przetwarzane przez jednostki ochrony zdrowia, które będą mogły być wykorzystane w innym celu niż pierwotny, czyli m.in. do celów badań naukowych lub rozwoju różnych usług.
W altruistycznym podejściu do danych ma pomóc rejestr organizacji uznanych w UE za organizacje o takim właśnie podejściu. Podmioty pragnące gromadzić dane w celach związanych z interesem publicznym będą mogły wystąpić z wnioskiem o umieszczenie ich w krajowym rejestrze zaufanych organizacji. Zarejestrowane organizacje będą uznawane w całej UE.
- Publiczny rejestr ma za zadanie przede wszystkim zwiększyć zaufanie obywateli do organizacji, dla której składają zgodę na udostępnianie swoich danych. Istnienie rejestru może także zwiększyć transparentność podejmowanych przez organizację "data-altruistyczną" działań. Jeśli proces aplikowania o rejestrację nie będzie obarczony zbędną biurokracją, organizacje nie powinny być zniechęcone - wręcz przeciwnie, zarejestrowanie się na takiej liście może zwiększyć ich wiarygodność w oczach obywateli, a tym samym zwiększyć liczbę "honorowych dawców danych" - tłumaczy Ligia Kornowska, liderka Koalicji AI w zdrowiu, dyrektorka zarządzająca Polskiej Federacji Szpitali.
Publiczne podmioty medyczne będą więc odpowiedzialne za uzyskanie od pacjentów świadomej zgody na wykorzystanie ich danych w celach wtórnych, a zanim pacjenci ją wyrażą, powinni dostać pełną informację, komu i w jakim celu dane będą mogły być udzielane. W każdym momencie taką zgodę będzie można odwołać.
Jan Zygmuntowski uspokaja: - Bezpieczeństwo danych w konwencjonalnym sensie jest zabezpieczane przez RODO i przez dość rygorystyczne zapisy w DGA odnośnie rejestru pośredników danych oraz kar.
Ligia Kornowska, na pytanie, czy dane zbierane w placówkach takich jak choćby szpitale, będą wartościowe odpowiada: - Każde dane, które są zgodne z rzeczywistością, są wartościowe, również te zbierane w szpitalach. Odrębną kwestią jest ustrukturyzowanie ich w sposób, który umożliwia ich komputerową analizę. Takie uporządkowane dane możemy zarówno filtrować (aby wykorzystać tylko te dane, które są w danym procesie B+R potrzebne) jak również wykorzystać do nauki np. algorytmów AI. Bez ustrukturyzowania danych będziemy skazani na manualną lub częściowo manualną analizę, co może skutecznie uniemożliwić analizy dużych zbiorów danych (np. Kilka milionów rekordów). Jak wyjaśnia Kornowska, część danych medycznych w polskim systemie jest już ustrukturyzowana i zesłownikowana, jednak cały czas wiele informacji jest zawartych w notatkach lekarskich. - Istotne jest wdrażanie narzędzi do porządkowania takich tekstów pisanych, jednak do tego najpewniej będzie potrzebny algorytm NLP oparty na polskim języku medycznym. Taki algorytm potrzebuje najpierw danych do nauki, dlatego otwarcie dostępu do danych jest pierwszym krokiem, który musimy wykonać - podsumowuje Kornowska.
Powszechny i bezpieczny przepływ danych? Nadchodzi Data Governance Act
Ministerstwo Cyfryzacji zapytane przez CowZdrowiu.pl o kwestie bezpieczeństwa, wyjaśnia:
- Kwestie dotyczące danych zdrowotnych, w tym tych posiadanych przez szpitale, regulowane będą przez specjalne przepisy sektorowe. DGA tworzy ogólne horyzontalne ramy dla zarządzania danymi. W sektorze zdrowia, zgodnie z planem przedstawionym w Europejskiej strategii w zakresie danych, powstaje tzw. wspólna europejska przestrzeń danych zdrowotnych (European Health Data Space, EHDS). Zarządzania cyfrowymi danymi zdrowotnymi czyli określenie sposobu dostępu do nich i udostępniania podlegać będzie szczególnym, odrębnym od ogólnych, zasadom ze względu na wyjątkowy charakter tych danych. W ramach EHDS obecnie projektowane jest rozporządzenie Parlamentu Europejskiego i Rady w sprawie europejskiej przestrzeni danych dotyczących zdrowia. Projekt jest na etapie prac w Grupie Roboczej ds. Zdrowia Publicznego, a ze strony Polski prace te koordynuje Ministerstwo Zdrowia.
W samym rozporządzeniu DGA także zaznaczono, że aby zapobiec niezgodnemu z prawem dostępowi do danych nieosobowych, podmioty sektora publicznego, osoby fizyczne lub prawne, którym przyznano prawo do ponownego wykorzystywania danych, dostawcy usług pośrednictwa danych i uznane organizacje altruizmu danych powinny wprowadzić „wszelkie rozsądne środki” w celu zapobieżenia dostępowi do systemów, w których przechowywane są dane nieosobowe, w tym środki takie jak szyfrowanie danych lub polityka korporacyjna. W tym celu należy zapewnić, by podmioty sektora publicznego, osoby fizyczne lub prawne, którym przyznano prawo do ponownego wykorzystywania danych, dostawcy usług pośrednictwa danych i organizacje altruizmu danych stosowały wszystkie odpowiednie normy techniczne, kodeksy postępowania i systemy certyfikacji na poziomie Unii.
Według Michała Kibila, adwokata, współzałożyciela kancelarii DGTL, w zakresie przetwarzania danych zanonimizowanych raczej trudno byłoby zakładać, że szpitale nie mają odpowiedniej do tego celu infrastruktury, bo już teraz muszą zabezpieczać dane w sposób wymagany przez RODO. Dodaje jednak, że model udostępniania danych może przyjąć różne formy. Mogą być one udostępniane bezpośrednio w pomieszczeniach szpitala, ale jedynie do wglądu. Można też zbudować cyfrowe środowisko, w którym udostępni się przestrzeń do pobierania danych z rekomendacją, by były w odpowiedni sposób zanonimizowane. Są też odpowiednie rozwiązania technologiczne, np. można postawić serwery i łączyć się przez VPN. Jak mówi mec. Kibil, handel danymi jest, był i będzie, bo dane napędzają podmioty w sferze transformacji cyfrowej i są zbierane masowo. Problemem był jednak nieuregulowany obrót. Nie mieliśmy aktów prawnych, poza RODO, które by się odnosiły do szczegółowych zasad udostępniania danych innym i kontroli nad nimi przez konkretne osoby. W zakresie podmiotów komercyjnych nie istniało nic, co dawałoby prawo do kontroli w jaki sposób są one wykorzystywane. A teraz jest.
Mecenas Kibil pytany, jakie rady miałby w tej kwestii dla szpitali, wymienia: zastanowić się, jaką infrastrukturą dysponują, czy są w stanie dostosować ją tak, by zadośćuczynić wymaganiom regulatora, czy przetwarzane są dane, które mogą podlegać udostępnianiu, czy można je zanonimizować bez negatywnej konsekwencji dla nich. Ważny byłby też przegląd wymogów czysto regulacyjnych. Tam, gdzie będzie mieć miejsce przetwarzanie danych, konieczne jest wprowadzenie procedur pozyskiwania zgody na ich udostępnianie, by nie stało się to masowym procederem.
Z nieco mniejszym optymizmem podchodzi do tematu mecenas Sebastian Sikorski, prof. Uniwersytetu Kardynała Stefana Wyszyńskiego w Warszawie, ekspert ds. prawa medycznego. - Jeśli jakość tworzonego prawa jest słaba, co niestety obserwuję, to nawet przy dobrej woli stosujących je, rodzi się niebezpieczeństwo problemów. Ochrona danych jest sprawą ważną. Prawo UE w określonym stopniu pozostawia swobodę do precyzowania przepisów na gruncie prawa krajowego. Gdy jednak wiele aktów tworzonych jak na kolanie, jakość to jedno, a stosowanie to druga sprawa. W ochronie zdrowia powinien być wyznaczony organ zabezpieczający przetwarzanie danych osobowych. Obstawiałbym, że powinno to być Ministerstwo Cyfryzacji w odniesieniu do wszystkich danych, a w przypadku ochrony zdrowia Centrum e-Zdrowia. Wg DGA właściwy organ monitoruje nowe przepisy, a państwo wyznacza przynajmniej jeden właściwy organ do monitorowania zgodności. Data Governance Act już jest, natomiast w Polsce nie przygotowaliśmy się jeszcze w sposób wystarczający na dostosowanie do niego odpowiednich przepisów. Nie za bardzo wiemy też kto i jakie dane zbiera obecnie, bo nie mamy dokładnej inwentaryzacji. Dlatego dostrzegam ryzyka, a kluczowe są dla mnie: weryfikacja i monitoring, ponieważ podczas rejestracji podmiotu zajmującego się altruistyczną wymianą danych, nie będziemy pewni jakie będzie mieć cele. Jedno jest pewne: musi mieć on charakter niekomercyjny.
Interdyscyplinarność w medycynie: nowe technologie i nowe kompetencje
Choć na stronie Ministerstwa Cyfryzacji można przeczytać, że wejście w życie ustawy w sprawie zarządzania danymi planowano na III kwartał 2023, niestety nadal pozostaje ona w fazie projektu. Wzbudza też spore kontrowersje ze względu na niedopowiedzenia pomiędzy Ministerstwem Cyfryzacji a Urzędem Ochrony Konkurencji i Konsumentów co do podziału obowiązków.
Data Governance Act przewiduje możliwość, aby funkcję organu właściwego do spraw rejestracji organizacji altruizmu danych wykonywał ten sam podmiot, który pełni rolę organu właściwego do spraw usług pośrednictwa danych. Taki model został również przewidziany w przepisach projektowanej ustawy. Funkcję tę pełnić będzie w związku z tym Prezes Urzędu Ochrony Konkurencji i Konsumentów - czytamy na stronie rządowej. I faktycznie w projekcie ustawy zadania te powierza się prezesowi Urzędu Ochrony Konkurencji i Konsumentów.
Pytane przez nas Ministerstwo Cyfryzacji, wyjaśnia: - Decyzja ta podyktowana była charakterem zadań nakładanych na właściwy organ, nie tylko jeśli chodzi o nadzór nad działaniem organizacji altruizm danych, ale również pośredników danych. Obowiązki i uprawnienia przypisane przez DGA właściwemu organowi dotyczące rejestracji, monitorowania działalności, karania czy rozpatrywania skarg wpisują się w naszej opinii w kompetencje organu nadzoru rynkowego, która posiada doświadczenie w realizacji zadań o charakterze inspekcyjnym czy kontrolnym, nie zaś ministerstwa, które po pierwsze jest ma zadania legislacyjne, przede wszystkim zaś na gruncie projektu ustawy ma pełnić rolę pojedynczego punktu informacyjnego i organu odwoławczego. Musimy jednak podkreślić, że ciągle trwa proces uzgodnień, opiniowania i konsultacji publicznych przygotowanego przez nas projektu ustawy o zarządzaniu danymi. MC nie będzie zatem na obecnym etapie - w trakcie trwania prac nad pierwotnym tekstem projektu - komentować wypowiedzi na temat wyposażenia poszczególnych instytucji w nowe kompetencje wynikające z DGA, ponieważ w toku dalszych prac mogą one ulec zmianie.
Opinii Ministerstwa Cyfryzacji nie podziela UOKiK, tłumacząc CowZdrowiu.pl powody:
- Kluczową kwestią przy wyborze organów właściwych do realizacji usług pośrednictwa danych, czy instytucji właściwych do spraw rejestracji organizacji altruizmu danych, powinny być optymalne zasoby technologiczne i kompetencyjne. Kryterium sprawności operacyjnej i niezbędnej wiedzy technicznej zespołu ekspertów będzie bowiem decydujące dla efektywnej realizacji zadań przewidzianych w obowiązujących przepisach. Z powyższych względów Prezes UOKiK nie jest organem, który spełnia wymogi wskazane w motywach rozporządzenia.
Według Ligii Kornowskiej, UOKiK niewątpliwie ma kompetencje, narzędzia i doświadczenie w ochronie interesów konsumentów. Wie, jak dbać o to, żeby obywatele nie byli wprowadzani w błąd. Z drugiej strony omawiana materia jest dość odległa od tego, czym UOKiK na bieżąco się zajmuje. - Ważne jest, aby instytucja zajmująca się kwestią altruistycznego dawstwa danych rozumiała istotność tej regulacji oraz ogromną wagę otwierania dostępu do danych dla celów B+R, na przykład w medycynie - mówi ekspertka.
Na jeszcze jeden wątek zwraca w tym kontekście Jan Oleszczuk-Zygmuntowski. - Innym zagadnieniem jest kwestia wartości danych: do jakiego stopnia donatorzy wiedzą, czy ich dane nie trafiają do firm typu Big Tech czy farmaceutycznych za ułamek ich prawdziwej wartości. Nawet tam, gdzie DGA wprowadza koncepcje spółdzielni danych, nie rozwija jej poza model wspierania rynkowych, komercyjnych form. Rola UOKIK ma tu znaczenie, ale do tej pory Urząd nie potrafił stanąć w obron danych Polaków tak jak robiły to urzędy antymonopolowe np. we Włoszech czy Niemczech.
Dodaje, że "pytanie właściwe, to kto jest właścicielem tych algorytmów i kto zarobi na produktach tworzonych z naszych danych. Bo koszty ochrony zdrowia rosną, więc jeśli my dajemy dane, to mamy prawo oczekiwać zwrotu wiedzy i produktów do systemu wspólnego".
- Komercjalizacja danych to próba zamiany wspólnego zasobu obywateli - bo dane mają wartość tylko w agregacie - i budowy na nich nowego potężnego biznesu. Od niego będzie uzależniona ochrona zdrowia we wszystkich krajach. Z moich badań wynika, że najlepszym zabezpieczeniem jest nadzór społeczny, tzn. kolektywne (zbiorowe) prawa do danych. Obywatele muszą być decyzyjni co do tego komu i na jakich warunkach dawać dostęp do danych - podsumowuje.
W CowZdrowiu do listopada 2023. Wcześniej od 2014 do marca 2023 r. w „Dzienniku Gazecie Prawnej”, gdzie kierowała serwisem gazetaprawna.pl. Ponadto zajmowała się tematyką społeczną, ekologiczną, prawną i kulturalną oraz nagrywała podcasty i wideo. Wcześniej związana m.in. z Polska Press i Mediami Regionalnymi.
//