Ekosystem danych w UE – relacja z otwartego wykładu eksperckiego
15 maja w siedzibie Urzędu Ochrony Danych Osobowych odbył się inauguracyjny wykład i dyskusja z Cyklu Otwartych Wykładów Eksperckich. Pierwsze spotkanie współorganizowane było przez UODO i Krajową Izbę Radców Prawnych. Tematem były zagadnienia prawa ekosystemu danych w Unii Europejskiej.
Cykl Otwartych Wykładów Eksperckich to inicjatywa poświęcona najważniejszym wyzwaniom związanym z ochroną danych osobowych i prywatności w kontekście rozwoju nowych technologii. Celem serii spotkań jest stworzenie przestrzeni do wymiany wiedzy i doświadczeń dotyczących kluczowych i aktualnych problemów oraz kierunków zmian w obszarze ochrony danych.
W trakcie wystąpienia otwierającego wydarzenie prezes UODO Mirosław Wróblewski zaznaczył, że to pierwsze spotkanie w takiej formule, i wyraził nadzieję, że pomogą one pokazać różne punkty widzenia na tematykę ochrony danych w sferze nowych technologii.
„Dzisiaj już widać, że RODO nie funkcjonuje w izolacji, bo powstała gęsta sieć regulacji dotycząca rynku danych. Dopiero łączne ujęcie wszystkich tych aktów pokaże, czy tworzymy wspólnie jeden ekosystem, czy też wszystkie te przepisy tworzą oddzielne silosy. Dziś zastanawiamy się, jak te wyzwania pogodzić. Z poziomu RODO najważniejsza jest ochrona danych osobowych, ale teraz reżimy prawne skupiają się przecież także choćby na systemach sztucznej inteligencji” – zwrócił uwagę prezes UODO.
Jak zauważył również Mirosław Wróblewski: „Pytaniem, które pojawia się dziś najczęściej, jest oczywiście to, czy regulacje nie ograniczają innowacji. W tym sensie rola ochrony danych osobowych nie schodzi na dalszy plan, ale staje się kluczowa. Czy np. można mówić o wiarygodnej sztucznej inteligencji bez ochrony danych osobowych? Komisja Europejska chciałaby zwiększać dostępność danych, wspierać interoperacyjność, lecz z drugiej strony pojawia się kwestia ochrony praw podstawowych. Zaufanie i ochrona danych osobowych są warunkiem innowacji”.
Z kolei prezes Krajowej Izby Radców Prawnych Włodzimierz Chróścik otwierając spotkanie, wskazał, że ochrona danych osobowych jest dla radców prawnych niezwykle ważna, także przez to, że w ostatnim czasie analizowane są systemy sztucznej inteligencji, które znajdują zastosowanie w pracy tego środowiska prawniczego.
W swoim wykładzie pt. „Tworzenie prawa ekosystemu danych w Unii Europejskiej” zaproszona do jego wygłoszenia dr Karolina Mojzesowicz – zastępczyni kierownika działu odpowiedzialnego za ochronę danych w Komisji Europejskiej (Dyrekcja Generalna KE ds. Sprawiedliwości i Konsumentów) – podkreśliła, że jeszcze kilkanaście lat temu prawo ochrony danych wydawało się określone – chodziło przede wszystkim o zapewnienie praw jednostki, osoby fizycznej; jednak dziś dane stały się m.in. paliwem dla sztucznej inteligencji, źródłem przewagi i również kwestią bezpieczeństwa, i z tego powodu w pewnym momencie w Unii Europejskiej zaczęto tworzyć prawo ekosystemu danych.
Jak wyjaśniła dr Mojzesowicz, RODO przygotowało fundament, ale sama regulacja danych osobowych zawsze była w Unii widziana w szerszym spektrum i coraz istotniejsze stawały się dodatkowe pytania, szczególnie dotyczące tego, kto ma dostęp do danych.
W tym spojrzeniu – jak zaznaczyła – zasadnicze stały się też pytania o to, co trzeba zrobić, aby prawdziwie oddać obywatelom prawo do kontroli nad danymi? Kto buduje modele AI, na jakich danych? Kto kontroluje chmury i kto czerpie zyski z danych obywateli UE? I w końcu postawiono też pytanie, czy Europa ma własną podmiotowość cyfrową. W tym celu w 2020 r. powstał w Unii projekt Europejskiej Strategii Danych.
Karolina Mojzesowicz wyjaśniła, że głównym problemem Europy był brak dostępu do danych, brak interoperacyjności oraz brak kontroli nad danymi, które znajdowały się w posiadaniu przedsiębiorstw spoza Europejskiego Obszaru Gospodarczego. Z kolei Europejska Strategia Danych miała odpowiedzieć na te zagadnienia: łatwiejszy miał się stać przepływ danych, miała zostać przełamana uciążliwa fragmentaryzacja rynku danych, a wszystko to miało się odbywać w zgodzie z ochroną praw osobowych.
Filarem tego działania było znalezienie sposobu na to, jak udostępniać dane przy widocznej zależności od zewnętrznych platform. Zatem chwilę później w UE pojawiło się pojęcie suwerenności danych, a do jej osiągnięcia konieczna była i jest własna infrastruktura danych.
Jak przypomniała dr Mojzesowicz, w rozumieniu Komisji Europejskiej dane są zarówno zasobem gospodarki, jak i dobrem prywatnym, i to rozróżnienie jawiło się jako podstawowe w konstruowaniu w Unii kolejnych aktów prawnych służących zorganizowaniu ekosystemu danych.
Według ekspertki należy jednak pamiętać, że w UE nikt nigdy nie zrezygnował z RODO – to nadal konstytucyjny element gospodarki danych i to na podstawie rozporządzenia ogólnego wszystkie inne akty prawne mają być budowane tak, aby pozwolić na realizację różnych celów i ich wzajemne wzmacnianie.
W tej perspektywie dr Mojzesowicz wskazała, że jeden z pierwszych aktów tego rodzaju, DGA (Data Government Act), był odpowiedzą na problem braku dostępu do danych, które znajdują się w rękach publicznych, ale dotychczas były zamknięte w tzw. silosach.
Ważnym kolejnym aktem był Data Act; dotyczył on bardziej indywidualnych praw obywateli w obliczu danych zawartych w urządzeniach, którymi wszyscy na co dzień się posługują.
Z kolei znakomitym przykładem organizowania wspólnego w UE dostępu do jednego z najważniejszych rynków danych – danych zdrowotnych – okazała się Europejska przestrzeń danych dotyczących zdrowia.
Wśród najważniejszych aktów spajających ekosystem danych dr Mojzesowicz wymieniła także Digital Markets Act (DMA) oraz Digital Services Act (DSA). Ten pierwszy powstał po to, aby zwiększyć interoperacyjność danych i umożliwić ich gromadzenie w ramach rosnącej konkurencji usług skupiających się na danych. Ten drugi zaś został napisany po to, by zapewnić ochronę w związku z coraz większym znaczeniem platform internetowych – chodziło przede wszystkim o transparentność przekazywanych przez te platformy treści.
Celem AI Act było zaś udzielenie odpowiedzi na pytanie, jak dopracowywać systemy sztucznej inteligencji w kontekście RODO; jak stworzyć mocną i jednocześnie odpowiedzialną AI, biorąc pod uwagę obowiązek minimalizacji danych.
Podczas wykładu Karolina Mojzesowicz opisała również sposoby ulepszania unijnego prawa. Pośród nich zwróciła uwagę na dobre praktyki, takie jak call for evidence (procedura zgłaszania uwag od zainteresowanych środowisk społecznych czy zawodowych), impact assessment (ocena wpływu planowanych rozwiązań na różne dziedziny życia) czy implementation dialogues (konsultacje polityczne prowadzone na wysokim szczeblu).
W panelu dyskusyjnym, który odbył się po wykładzie, wzięli udział: jako moderator dr hab. Dominik Lubasz –członek Grupy Roboczej ds. Sztucznej Inteligencji działającej w ramach Społecznego Zespołu Ekspertów przy Prezesie UODO, dr hab. Agnieszka Grzelak – zastępczyni Prezesa UODO, r. pr. Izabela Kowalczuk-Pakuła – kierująca zespołem w kancelarii Bird&Bird, zajmującym się ochroną danych, dr hab. Przemysław Polański – prawnik, informatyk, specjalista w zakresie prawa informatycznego, oraz sama dr Karolina Mojzesowicz.
We wprowadzeniu do debaty Dominik Lubasz zauważył, że obecnie mamy już w Unii 116 aktów prawnych dotyczących szeroko pojętego rynku cyfrowego (większość z nich już obowiązuje), a zatem pojawia się naturalne pytanie, czy mamy do czynienia ze spójnym systemem ochrony danych, czy też z mozaiką regulacji. Kwestia ta wyznaczyła charakter i tematykę całej dyskusji.
Uczestnicy spotkania dosyć zgodnie przyznali, że w tym momencie mamy jeszcze bardziej do czynienia z archipelagiem regulacji, między którymi czasem przebiegają mosty. Jak zaznaczyli jednak, w UE wyraźne stają się tendencje, aby te regulacje za wszelką cenę łączyć w jeden system. Na pewno jednak – jak wskazali dyskutanci – zajmie to sporo czasu.
Karolina Mojzesowicz w tym kontekście podkreśliła, że istniejące niedoskonałości unijnych aktów nie wykluczają istnienia systemu. Według ekspertki pojedyncze instrumenty nie są doskonałe, ale przez to, że struktura zmian jest otwarta, łatwo skorygować niedociągnięcia. Jak wyjaśniła, choćby w pakiecie Digital Omnibus są próby rozwiązania problemów ze spójnością różnych aktów.
Z kolei Agnieszka Grzelak zauważyła, że koherencja między aktami UE istnieje, ale pojawiają się obawy o różnice w postrzeganiu roli organów nadzorczych, które mają sprawować kontrolę nad poszczególnymi regulacjami. Chodzi zarówno o określenie odpowiedzialności tych organów, jak i liczbę zadań, które do nich należą.
Zgadzając się z tym spostrzeżeniem, Izabela Kowalczuk-Pakuła przypomniała przykład technologii deepfake, która jako naruszenie może podlegać kilku regulacjom równocześnie (np. DSA oraz AI Act) – zatem do jakiego organu ma się zwrócić osoba fizyczna? Jak podkreśliła prawniczka, chodzi przecież o to, aby nie było kolizji interpretacyjnych, a z perspektywy organizacyjno-administracyjnej jest to ogromne wyzwanie.
Przemysław Polański doprecyzował zaś, że przez długi już czas tworzenia w UE prawa rynku cyfrowego zmieniła się nie tylko liczba aktów prawnych, ale również ich obszerność. W opinii badacza kiedyś udawało się to bardziej skondensować, a dziś kolizje w interpretacji prawa będą się pojawiać coraz częściej. Według eksperta Unia w regulacjach skupiła się na danych, ale zapomniała o infrastrukturze, co tak naprawdę wzmacnia big-techy, bo dane i tak się wymykają z racji istnienia usług chmurowych. Jak podkreślił, obecnie przedsiębiorcy się boją, gdyż rozległość regulacji w Europie jest zbyt poważna. Dlatego też uciekają z inwestycjami do Stanów Zjednoczonych. Przemysław Polański stwierdził, że nie ma innego wyjścia, jak zbudować własną, konkurencyjną strategię rynku danych.
Agnieszka Grzelak dodała także, że osiem lat funkcjonowania RODO prowadzi do wniosku, że jest to akt, który pozwala działać instytucjonalnie, natomiast problemy praktyczne nie maleją i będą narastać m.in. w związku z szybko zmieniającą się rzeczywistością technologiczną.
Uczestnicy wydarzenia zgodzili się, że dyskusję dotyczącą ekosystemu danych należy kontynuować m.in. w trakcie tego rodzaju cyklicznych spotkań. Wyrazili nadzieję, że ten szeroki temat powróci w najbliższym czasie.
Nagranie transmisji wydarzenia dostępne jest poniżej.
Otwarcie i wykład
Debata