Об авторе: Денис Садовников, главный эксперт-юрист ФГУП ГРЧЦ, CIPP/E, GDPR DPP, GDPR DPM.
Совет Европейского Союза (Council of The European Union) 1 октября согласовал свою позицию по проекту Data Governance Act (DGA) – закону об управлении данными.
Представители государств-членов, входящие в состав Совета, согласились поддержать проект, предложенный Еврокомиссией и опубликованный для обсуждения 25 ноября 2020 года.
Официально цель DGA Совет ЕС определяет как «создание надёжных механизмов, позволяющих использовать повторно определённые категории защищённых данных». Сказано также о «росте доверия к услугам передаче данных» и «поощрении альтруизма в отношении данных по всему ЕС», но главная цель – ввести данные, которые защищены законом, в экономический оборот.
В заявлении Совета ЕС подчеркивается, что DGA создаст сильный механизм для обеспечения вторичного использования определённых категорий данных публичного сектора – данных, которые являются предметом чьих-либо прав и защищены законом. Такими данными могут быть, например, данные, защищаемые правом интеллектуальной собственности, составляющие коммерческую тайну, а также персональные данные. Организациям публичного сектора будет разрешено «вторичное использование» (читай: использование для целей, не заявленных при сборе данных – ред.) таких данных при условии полного сохранения конфиденциальности и тайны частной жизни.
В этом отношении DGA дополняет Open Data Directive (Директива об открытых данных), которая не распространяется на такие типы данных.
Чтобы избежать финансово обременительных обязательств для публичного сектора, Совет ЕС предлагает предусмотреть более гибкое применение соответствующих норм и принимать во внимание национальную специфику государств-членов.
Проект создает предпосылки для формирования новой бизнес-модели – посреднических сервисов обмена данными (data intermediation services) – для создания безопасного пространства, которое поможет компаниям и физическим лицам делиться данными и не нарушит прав граждан и компаний.
Для компаний такие сервисы могут принимать форму цифровых платформ, которые будут поддерживать обмен данными между ними или обеспечивать их обязательства по такому обмену, установленные законодательством. Используя такие сервисы, компании смогут делиться данными без угрозы злоупотреблений или потери конкурентных преимуществ, надеется Еврокомиссия, разработавшая DGA.
В отношении персональных данных такие сервисы помогут физическим лицам осуществлять их права в соответствии с GDPR. DGA поможет людям иметь дополнительный контроль над своими данными (было бы лучше предоставить не только контроль над данными, но и доход от их эксплуатации – ред.) и разрешать их предоставление компаниям, которым субъект доверяет. Это может быть сделано, например, средствами новейших инструментов управления персональными данными (personal information management tools), такими, как пространства персональных данных или кошелёк данных, которые представляют собой приложения, связывающие пользователей между собой в группы для совместного регулирования обращения персональных данных.
Провайдеры посреднических сервисов в соответствии с DGA должны регистрироваться в специальном реестре, чтобы клиенты могли проверять, могут ли они положиться на такого провайдера.
Провайдерам сервисов не будет разрешено раскрывать данные для целей, не предусмотренных DGA. Они будут не вправе получать прибыль, продавая данные, они могут лишь получать оплату за транзакции, т.е. обращения за данными.
Совет ЕС предлагает внести некоторые уточнения в эту часть законопроекта DGA, чтобы уточнить требования к компаниям, которые могут быть посредниками в обмене данными.
Проект DGA создаёт защищённый механизм добровольного предоставления данных для общего блага, например, для научно-исследовательских работ. Предприятия, которые заинтересованы в сборе данных для общественно значимых целей, могут сделать запрос на регистрацию в национальном реестре подтверждённых организаций, использующих механизм «дата-альтруизма». Это даст им право действовать в таком качестве по всему ЕС. Данный механизм создаст необходимое доверие, стимулирует граждан и компании предоставлять данные организациям, действующим во имя общего блага.
В данной части Совет ЕС предлагает дополнить первоначальный текст законопроекта требованием соблюдения утверждённых кодексов поведения в качестве одного из условий регистрации предприятий, которые планируют применять механизм дата-альтруизма. Такие кодексы поведения должны разрабатываться совместно с заинтересованными организациями и утверждаться имплементационным актом Еврокомиссии.
Законопроект предполагает создание новой структуры – Европейского совета по инновациям в области данных (European Data Innovation Board), с задачей помогать Еврокомиссии повышать доступность сервисов обмена данными и обеспечивать согласованную практику в обработке запросов на доступ к данным публичного сектора. Совет ЕС предлагает некоторые поправки в части задач и структуры данного органа.
Законопроект содержит гарантии для данных публичного сектора, для сервисов по обмену данными и организаций, обеспечивающих дата-альруизм, против незаконной трансграничной передачи данных и доступа государственных органов к не-персональным данным. Для персональных данных такие меры уже установлены GDPR.
Совет ЕС предлагает предоставить Еврокомиссии полномочия для утверждения модельных контрактных условий (model contractual clauses), при которых возможна передача данных за пределы Евросоюза.
Совет ЕС предлагает также изменить период вступления закона в силу с 12 до 18 месяцев после принятия.
Совет ЕС также обозначил ряд вопросов, которые должны быть прояснены в процессе дальнейшей доработки законопроекта.
- Соотношение DGA и GDPR. Необходимо чётко определить, кто несёт ответственность, кто должен применять принципы и гарантии защиты персональных данных на каждом этапе их использования в соответствиии с DGA.
- Определение ответственности при перемещении персональных данных через границы между государствами-членами ЕС. Должно быть ч`тко определено соотношение полномочий и ответственности надзорных органов.
- Необходимо уточнить понятия «сервис предоставления данных» («data sharing services») и «дата-альтруизм» («data altruism»).
Согласно законодательной процедуре ЕС, именуемой также co-legislation, решение от 1 октября разрешает Совету ЕС начать переговоры с Европарламентом о тексте законопроекта. Финальный текст должен быть утверждён обоими органами, обладающими законодательными полномочиями: как Советом, так и Европарламентом.
Ряд предложений Совета ЕС в отношении проекта DGA поддерживают позицию Европейского совета по защите данных (European Data Protection Board, EDPB) и Европейский надзорный орган по защите данных (European Data Protection Supervisor, EDPS), выраженную в их совместном заключении. EDPB и EDPS обращают внимание на то, что без надёжных гарантий защиты персональных данных существует риск утраты доверия к институтам цифровой экономики. Заявление также подчеркивает необходимость обеспечения соответствия DGA европейскому законодательству о защите персональных данных и призывает законодателей тщательно изучить такие аспекты, как гармонизация DGA и GDPR – в частности, должно быть обеспечено терминологическое (на уровне определений основных понятий) соответствие DGA положениям GDPR.
