W listopadzie ubiegłego roku Komisja Europejska opublikowała projekt rozporządzenia ws. zarządzania danymi (Data Governance Act). Zawarte w nim propozycje zapisów mają na celu zapewnienie wygodnego a zarazem bezpiecznego i spójnego systemu przetwarzania danych. Jednym z najpoważniejszych wyzwań, którego zarazem nie sposób pominąć, jest stworzenie ram prawnych dla administrowania tzw. danymi przemysłowymi.

Czym są dane przemysłowe?

Problem pojawia się już na tym etapie, bowiem pojęcie danych przemysłowych jest na tyle nowe, że nie zostało zdefiniowane w żadnym z dokumentów prawnych. Wcześniej korzystano z terminu „danych generowanych maszynowo”. W komunikacie z 2017 r. zatytułowanym „Budowanie europejskiej gospodarki opartej na danych” czytamy, że tego rodzaju dane zostały „stworzone bez bezpośredniej interwencji człowieka przez procesy, aplikacje lub usługi komputerowe lub przez czujniki przetwarzające informacje otrzymane ze sprzętu, oprogramowanie lub maszyny, wirtualne lub rzeczywiste”. Dlatego dane generowane maszynowo mogą być tworzone we wszystkich sektorach przemysłu, ale wykraczają poza dane tworzone w odniesieniu do procesów przemysłowych.

Ostatnio za dane przemysłowe przyjęło się uważać „nieosobowe dane generowane maszynowo”. Dotyczy to wielu sektorów, także tych niezwiązanych z produkcją, w których generowane są dane bez udziału człowieka. Należy też podkreślić, że te ostatnie nie są tożsame z danymi biznesowymi. Szczególnie w branżach telekomunikacyjnych i usługowych mogą bowiem stanowić połączenie danych biznesowych i operacyjnych, a więc zawierać tajemnice handlowe, know-how, informacje o procesach produkcyjnych, osobach korzystających z nich oraz inne wrażliwe materiały wymagające szczególnej ochrony.

Bezpieczeństwo danych

W przypadku osobowych, czyli tych, które „dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej” zabezpieczenie zapewniają regulacje zawarte w ogólnym rozporządzeniu o ochronie danych (RODO). Tego typu informacje mają wysoki stopień ochrony i mogą być przetwarzane wyłącznie przy uprzednim udzieleniu zgody przez osobę, której dotyczą.

W przeciwieństwie do nich dane nieosobowe, czyli na przykład te wygenerowane w wyniku zautomatyzowanych procesów przemysłowych lub działań mających na celu optymalizację produkcji rolnej, mogą być przekazywane bez ograniczeń, którym podlegają dane osobowe.

Problem w tym, że wraz z rozwojem systemów sztucznej inteligencji granica między danymi osobowymi i nieosobowymi zaciera się. A raczej rozwój wspomnianych systemów stwarza coraz większe możliwości w zakresie identyfikacji osób fizycznych w oparciu o dane nieosobowe.

Sprawę komplikuje ponadto fakt, że liczne zbiory danych składają się zarówno z tych osobowych, jak i nieosobowych. A w odniesieniu do jednych, jak i do drugich mają zastosowanie inne przepisy w zakresie gromadzenia, przetrzymywania i udostępniania.

W przypadku przepływu danych nieosobowych pomiędzy przedsiębiorstwami obowiązują zapisy zawarte w rozporządzeniu w sprawie swobodnego przepływu danych z 2018 r. Przewiduje ono swobodny przepływ danych w ramach rynku wewnętrznego poprzez zakazanie państwom członkowskim wymogów dotyczących lokalizacji danych, co kiedyś stanowiło poważną przeszkodę w udostępnianiu danych ponad granicami. W przypadku przenoszenia danych rozporządzenie nie wprowadza żadnych twardych obowiązków, ale stanowi, że KE powinna zachęcać do opracowywania dobrowolnych kodeksów postępowania i najlepszych praktyk.

Przekształcenie danych, czyli techniki ochrony prywatności

Techniki ochrony prywatności polegają na przekształceniu danych osobowych w nieosobowe. Jedną z nich jest anonimizacja, czyli przetworzenie informacji w taki sposób, że osoba, której dotyczy będzie niemożliwa do zidentyfikowania. Drugie zaś to pseudonimizacja, czyli usunięcie identyfikatorów, przez co danych nie da się już przypisać konkretnej osobie.

Rozwój sztucznej inteligencji stwarza coraz większe możliwości ponownej identyfikacji, w wyniku czego dane nieosobowe staną się ponownie osobowymi. Dlatego Parlament Europejski wezwał Europejską Radę Ochrony Danych do opracowania wytycznych w celu zharmonizowania wdrażania wymogów ochrony danych w praktyce. Zalecił stworzenie jasnej klasyfikacji uzasadnionych oraz nielegalnych przypadków użycia, a także wykaz jednoznacznych kryteriów uzyskania anonimizacji.

Chociaż wszystkie techniki ochrony prywatności zwiększają ochronę danych i prywatności, ich skuteczność bywa niedostateczna. A może się to pogłębiać wraz z rozwojem sztucznej inteligencji i technik analizy danych. Dlatego specjaliści zalecają stosowanie kombinacji tych technik, choć – jak wykazały próby – nawet wówczas deanonimizacja jest możliwa, choć wydatnie utrudniona.

UE jako międzynarodowe centrum danych

Intencją UE jest doprowadzenie do sytuacji, w której stanie się międzynarodowym centrum danych. Wymaga to jednak stworzenia jednolitego rynku danych i zapewnienia ogólnoświatowego standardu ich udostępniania – zarówno B2B, jak i między przedsiębiorstwami a rządami.

W projekcie ustawy o zarządzaniu danymi kluczowym czynnikiem jest użyteczność dla B2B, jak i obniżenie kosztów tych procesów. Jedna z propozycji mających pomóc w realizacji tego założenia jest wprowadzenie kategorii pośredników świadczących usługi na rzecz posiadaczy i użytkowników danych poprzez tworzenie systemów wymiany danych, platform lub baz.

Nie mogliby oni przetwarzać powierzonych danych do własnych celów, natomiast musieliby zapewnić uczciwe, przejrzyste procedury dostępu do nich, jak również oferować niewygórowane stawki za swoje usługi. Ponadto byliby zobligowani do zgłaszania swojej działalności właściwemu organowi krajowemu, który by ją monitorował. Takie rozwiązanie wciąż budzi jednak sporo wątpliwości.

Kolejne kroki legislacyjne powinny być poprzedzone badaniami

Specjaliści podkreślają, że podjęcie kolejnych kroków legislacyjnych powinno zostać poprzedzone przeprowadzeniem empirycznych badań, które pozwolą poznać specyfikę przepływu danych w poszczególnych sektorach – jakiego typu dane są udostępniane w każdym z nich, jakiego rodzaju są pożądane, a które bezużyteczne dla odbiorcy. Jakie problemy rozwiąże interwencja na poziomie UE i wreszcie, czy – w przypadku działań prawnych – rzeczywiście niezbędne jest wprowadzenie kolejnej kategorii danych.

gru/ kic/