O co chodzi w ruchu MyData?
Współczesne dyskusje o danych, w tym dyskusje o ich prawnym statusie, są często trudne do zrozumienia bez nakreślenia szerszego kontekstu. Jednym z elementów tego kontekstu są postulaty ruchu określanego zbiorczym mianem MyData.
Opublikowana w lutym 2020 r. Europejska strategia w zakresie danych nawiązuje do ruchu MyData w kontekście wyzwania, jakie w ocenie Komisji Europejskiej stanowi niewystarczające wsparcie technologiczne dla zarządzania danymi osobowymi przez podmioty danych. Komisja z jednej strony dostrzega potencjał tkwiący w danych osobowych, w tym w szczególności potencjał dla samych podmiotów danych. Odpowiednio zarządzane dane osobowe mogą zwiększyć jakości usług otrzymywanych przez podmioty danych (np. w obszarze usług zdrowotnych) oraz zwiększyć kontrolę nad danymi. Z drugiej strony Komisja dostrzega brak odpowiednich narzędzi do zarządzania danymi, przez co ich potencjał nie jest w jej ocenie dostatecznie wykorzystywany.
W tym właśnie miejscu pojawia się ruch MyData. To określenie jest nazwą konkretnej inicjatywy, ale bardzo dobrze oddaje ducha znacznie szerszego ruchu, z którym mamy do czynienia od kilku lat. Chodzi o inicjatywy, które próbują tworzyć rozwiązania technologiczne umożliwiające zupełnie nowe jakościowo zarządzanie danymi osobowymi. Dzięki tym rozwiązaniom podmiot danych mógłby decydować o tym, kto, kiedy i na jakich zasadach korzysta z jego danych. Nierzadko w rozwiązaniach tych upatruje się również szansy na stworzenie możliwości osiągania tzw. pasywnego przychodu z danych.
Inicjatyw w obszarze tak szeroko rozumianego ruchu MyData jest obecnie bardzo dużo i nie sposób w tym krótkim tekście wymienić nawet niewielką ich część. Warto jednak wskazać kilka przykładów, abyśmy mogli uświadomić sobie, z jak szerokim i ciekawym zjawiskiem mamy do czynienia.
Zacznijmy od organizacji, której nazwa posłużyła za określenie całego ruchu. MyData to organizacja pozarządowa zrzeszająca obecnie ponad sto instytucji z całego świata, które pracują nad alternatywną wizją zarządzania danymi osobowymi. W tej wizji chodzi o faktyczną kontrolę podmiotów danych nad dotyczącymi ich danymi osobowymi. Mamy wprawdzie regulacje, które dają nam określoną ochronę w zakresie danych osobowych, ale ich egzekucja bywa nieefektywna. Ruch MyData postuluje stworzenie technologii, która umożliwi płynne przenoszenie danych, błyskawiczną realizację prawa do bycia zapomnianym itp. Dzięki temu dane pozostawałyby faktycznie pod kontrolą jednostek, a nie wielkich internetowych korporacji. Pozwalałoby to również czerpać benefity z danych. Dzięki łatwości ich przenoszenia nie byłyby one uwięzione w korporacyjnych silosach, tylko mogłyby być łatwo przenoszone tam, gdzie są aktualnie potrzebne. Wdrożenie zasad postulowanych przez MyData skutkowałoby np. rozstrzygnięciem, że dane generowane przez samochody należą do podmiotów danych (użytkowników) i są przez nich zarządzane.
Ruch MyData przewiduje stworzenie całej infrastruktury zarządzania danymi. Niezbędne byłoby też stworzenie odpowiednich standardów oraz zaufanych podmiotów przechowujących dane, którymi można byłoby zarządzać (bezpośrednio lub pośrednio przez odpowiednio umocowanych agentów podmiotów danych).
Innym ciekawym przykładem jest Wildland – inicjatywa współtwórców jednego z najbardziej znanych polskich projektów blockchainowych, czyli Golema. Jest to projekt zakładający stworzenie nowego protokołu zarządzania danymi, opartego na koncepcji kontenerów danych oraz ścieżek dostępu. Jest w zamyśle twórców odpowiedzią na nadmiernie scentralizowany i zamknięty model usług cyfrowych, który praktycznie pozbawia użytkowników suwerenności w zakresie zarządzania danymi. Dominujący model przejawia się m.in. w faktycznym braku dostępności alternatywnych modeli usług cyfrowych. Koncepcja Wildland zakłada zaradzenie tym zjawiskom poprzez stworzenie systemu, który da podmiotom danych kontrolę nad infrastrukturą, w której przechowywane i przetwarzane są dane. Każdy kontener może być wypełniony określonym pakietem danych oraz może mieć określone parametry dostępu do danych.
Ciekawym wymiarem ruchu MyData są również pomysły na tworzenie nowych instytucji, które pełniłyby kluczową rolę w nowych modelach zarządzania danymi. Przykładem jest wizja wspólnic danych przedstawiona w jednym z ostatnich raportów Centrum Cyfrowego. Zgodnie z tą wizją dyskusja o modelu zarządzania danymi nie powinna ograniczać się do dwubiegunowego podziału na perspektywę prywatnościową (zakładającą koncentrację na zapewnieniu ochrony prywatności danych) i perspektywę komercyjną (zakładającą koncentrację na stworzeniu modelu do komercjalizacji danych). Przełamuje tę logikę poprzez dodanie perspektywy publicznej. Zwiększenie wykorzystywania danych w celach publicznych leży w interesie zarówno obywateli, jak i gospodarki. Efekt ten autorzy wspomnianego raportu proponują osiągnąć poprzez wprowadzenie do systemu instytucji pośredniczących, które agregowałyby dane osobowe i nieosobowe oraz zarządzały ich upublicznianiem, w zależności od odbiorcy, na zasadach komercyjnych lub niekomercyjnych. Jest to wizja zakładająca kompromis pomiędzy ochroną prywatności, wymiarem ekonomicznym danych oraz interesem publicznym.
Tak jak wskazałem, powyższe przykłady to jedynie niewielka próbka tego, co składa się na ruch określany jako MyData. Przedstawione pomysły są niezwykle ciekawe poznawczo, ale nas jako prawników interesuje też to, czy ruch MyData niesie potencjał do zmiany prawnych paradygmatów. Niewątpliwie tak jest, co pokazują już nawet wskazane wyżej przykłady. Źródłem zmiany może być przede wszystkim technologia. Ewentualne wytworzenie oraz spopularyzowanie nowych protokołów zarządzania danymi może skutkować koniecznością stworzenia nowych ram prawnych dla danych, dokładnie na tej samej zasadzie, na jakiej technologiczna rewolucja w postaci protokołów blockchainowych sprowokowała konieczność stworzenia ram prawnych dla kryptoaktywów. W przypadku danych projekty zakładające tokenizację danych lub tworzenie kontenerów danych mogą z czasem zaowocować tworzeniem ram prawnych dla tych cyfrowych bytów. Na zmiany w systemie prawa bezpośredni wpływ mogą mieć też dyskusje nad modelem zarządzania danymi. Jeżeli docelowe modele pójdą w kierunku postulowanym m.in. przez autorów wspomnianego raportu Centrum Cyfrowego, to niewątpliwie może powstać konieczność tworzenia ram prawnych dla działalności różnego rodzaju data trustów lub wspólnic danych.
Krzysztof Wojdyło, adwokat, praktyka nowych technologii kancelarii Wardyński i Wspólnicy