Bezpieczeństwo i ochrona danych w rolnictwie (cz.I)

Czy gromadzenie, udostępnianie, przechowywanie i wykorzystywanie zebranych danych rolniczych może mieć miejsce tylko wtedy, gdy twórca danych wyrazi na to wyraźną, wyraźną i świadomą zgodę w drodze umowy ?

Czy dane rolnicze muszą być gromadzone i wykorzystywane do określonego celu uzgodnionego w umowie?

W dobie gdy sektor cyfryzacyjny i rolniczy notują jedne z największych wzrostów wydajności w dziejach – mamy pewność, że to cyfryzacja będzie stymulować procesy w rolnictwie. Rosnąca ilość przetwarzanych danych w połączeniu z ich ulepszoną analizą oraz technologią gromadzenia danych może drastycznie zwiększyć produktywność i rentowność gospodarstw.

Mając świadomość, iż tworzy się w ramach Gaia-X szereg Hubów1 narodowych, a duże firmy sektora podpisały porozumienie dotyczące współpracy przy rozwoju technologii wykorzystujących komunikację 5G i trwają prace nad rozwijaniem innowacyjnych aplikacji, które wykorzystują sieć 5G, aby umożliwić wydajniejszą pracę rolnikom – konieczne jest, aby mówić o wartości danych rolniczych, a także metodach ich zabezpieczenia.

Geneza kodeksów - postępowanie z danymi rolniczymi

Rosnące znaczenie potencjalnych korzyści i wartości danych dla rolnictwa i produkcji żywności stoi za rosnącym zainteresowaniem ochroną danych rolniczych i stało się jedną z głównych przyczyn pojawienia się kodeksów postępowań w rolnictwie

Potencjalna wartość danych rolniczych (i szerzej technologii cyfrowych w rolnictwie) została zdefiniwoana przez Australian Farm Institute w projekcie badawczym Accelerating Precision Agriculture to Decision Agriculture P2D („P2D”), przy czym wskazano, że modelowanie ekonomiczne wskazuje, iż rolnictwo cyfrowe, zdefiniowane jako „zarówno gromadzenie i analiza danych w celu usprawnienia podejmowania decyzji zarówno w gospodarstwie, jak i poza nim, prowadząc do lepszych wyników biznesowych”, może zwiększyć wartość brutto australijskiej produkcji rolnej o 25%2.

Z kolei podczas przesłuchania w Senacie USA w listopadzie 2017 r. w sprawie rolnictwa opartego na danych, kilku kongresmanów zasugerowało, że przepisy regulujące dane rolnicze mogą być konieczne - będą one bowiem wpływać na: gromadzenie i analizę danych umożliwiającą rolnikom obniżenie kosztów, wydajniejsze stosowanie środków produkcji, takich jak nawozy i pestycydy; poprawienie decyzji produkcyjnych dzięki ulepszonemu prowadzeniu dokumentacji, dokładniejsze prognozy wydajności oraz wzmocnienie zarządzania gruntami, zrównoważenie praktyk rolniczych, np. poprzez usuwanie nieefektywności w sadzeniu, zbiorach, zużyciu wody i alokacji innych zasobów.

Badając korzyści i koszty lepszego udostępniania danych publicznych i prywatnych, australijska Komisja ds. Produktywności skomentowała złożoność ram prawnych i regulacyjnych dotyczących dostępu do danych i ich wykorzystywania w Australii: „Ustawodawstwo ograniczające dostęp do danych powstało sto lat temu i wiele z nich nie nadaje się już do obecnych celów. Podstawową przeszkodą prawną w bardziej efektywnym wykorzystaniu danych nie jest zazwyczaj ustawa o prywatności, ale przepisy i wytyczne specyficzne dla dziedziny, w której dane są gromadzone” […]3

Głównym celem rodzących się zasad i kodeksów postępowania w zakresie wymiany danych rolniczych jest zbudowanie zaufania między rolnikami a przedsiębiorstwami rolnymi w drodze umowy.

Chociaż są one całkowicie dobrowolne, zasady i kodeksy zachęcają agrobiznesy do przekazywania rolnikom informacji o tym, co robią z danymi rolnika, aby uspokoić rolników i pomóc im w dokonaniu świadomego wyboru co do udostępniania ich danych (lub nie) agrobiznesom rozwijającym się w zakresie usług technicznych.4

EU code of conduct for agricultural data sharing (unijny kodeks postępowań)

23 kwietnia 2018 r. Koalicja stowarzyszeń z unijnego łańcucha rolno-spożywczego wprowadziła wspólny unijny kodeks postępowań w zakresie udostępniania danych rolniczych na podstawie umowy. Unijny kodeks postępowań wyjaśnia stosunki umowne i zawiera wytyczne dotyczące wykorzystywania danych rolniczych, w szczególności praw dostępu do danych i ich wykorzystywania.

UE ma długą historię regulowania baz danych, danych osobowych i danych nieosobowych. Od późnych lat 90. XX wieku UE dostrzegała skutki, jakie spowodował gwałtowny wzrost technologii cyfrowych, wraz z towarzyszącym mu gromadzeniem/kompilacją indywidualnych danych w bazach danych (Schneider 1998).

W odpowiedzi na obawy dotyczące prywatności danych i cyberbezpieczeństwa UE uchwaliła Dyrektywę 96/9/WE Parlamentu Europejskiego i Rady z dnia 11 marca 1996 r. w sprawie ochrony prawnej baz danych, OJ L 77, 27.3.1996, w celu ujednolicenia ochrony baz danych we wszystkich państwach członkowskich UE. Dyrektywa ta zwiększyła ochronę kolejnych baz danych utworzonych z syntezy różnych osobistych i nieosobowych danych. Umożliwia przypisanie odpowiednich praw własności do baz danych i promuje „inwestowanie w tworzenie baz danych” (Schneider 1998). Obejmuje on również system sui generis zapobiegający nieuprawnionemu wykorzystywaniu informacji w bazach danych. Program ten nadaje właścicielowi prawa do zakazania pobierania / wykorzystywania danych z ich bazy danych (Schneider 1998). Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (32016L1148; dalej jako: dyrektywa w sprawie bezpieczeństwa sieci i informacji) jest pierwszym ogólnounijnym aktem prawnym dotyczącym cyberbezpieczeństwa. Zapewnia środki prawne, których celem jest zwiększenie ogólnego poziomu cyberbezpieczeństwa w UE. Dyrektywa w sprawie bezpieczeństwa sieci i informacji przyjęta została przez Parlament Europejski w dniu 6 lipca 2016 r. i weszła w życie w sierpniu 2016 r. Państwa członkowskie zobowiązane zostały do implementacji rozwiązań do 9 maja 2018 r., w tym do wskazania operatorów usług podstawowych. Dyrektywa w sprawie bezpieczeństwa sieci i informacji zapewnia środki prawne w celu podniesienia ogólnego poziomu cyberbezpieczeństwa w UE. Ponieważ dane stawały się coraz bardziej sensytywne w 2018 r. UE wdrożyła Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - RODO). RODO zabezpiecza sposób, w jaki agregatory danych przetwarzają dane osobowe mieszkańców UE. Podczas gdy unijna dyrektywa o bazach danych obejmowała zarówno dane osobowe, jak i nieosobowe, RODO miało na celu wyłącznie regulację danych osobowych. W związku z tym UE wprowadziła również Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1807 z dnia 14 listopada 2018 r. w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej (PE/53/2018/REV/1; „Rozporządzenie”). Rozporządzenie to ma na celu uzupełnienie RODO i stymulowanie swobodnego przepływu wszystkich kategorii danych w ramach rynku UE.

Swobodny przepływ odnosi się do nieograniczonego przepływu danych nieosobowych w UE, przy czym w Rozporządzeniu tym znajduje się wyraźne odniesienie do danych rolniczych, sklasyfikowanych jako dane nieosobowe. Rozporządzenie może znacząco przyczynić się do gospodarki opartej na danych aglomeracyjnych i pobudzić rewolucyjne usługi w zakresie danych. Artykuł 4 Rozporządzenia zawiera szczególne odniesienie do przetwarzania danych dotyczących inteligentnego rolnictwa i zakazuje ich wyłącznego przechowywania w jednym obszarze geograficznym. Czynność przechowywania danych rolniczych w jednym obszarze geograficznym jest znana jako „lokalizacja”. Lokalizacja jest zabroniona, ponieważ może hamować innowacje i ograniczać przepływ przydatnych informacji w światowych gospodarkach danych.5

Ponieważ dane rolnicze zostały sklasyfikowane jako dane nieosobowe do celów Rozporządzenia -opracowanie kodeksów stało się bardzo atrakcyjne dla europejskiego sektora rolno-gospodarczego. W związku z tym główni interesariusze UE w sektorze rolnym zainicjowali szybkie opracowanie unijnego kodeksu postępowań w zakresie wymiany danych rolniczych. Copa-Cogeca informuje, że Unijny kodeks postępowań wyjaśnia stosunki umowne i zawiera wskazówki dotyczące wykorzystania danych rolniczych, w szczególności prawa do dostępu i wykorzystania danych. Dyrektor Daniel Azevedo z wiodącego stowarzyszenia rolników w UE, Copa-Cogeca, wskazał, że przemysł rolny jako pierwszy uwzględnił prośbę Komisji dotyczącą tworzenia kodeksów samoregulacyjnych i promuje płynące z niego korzyści, wzmacniając w ten sposób cel Rozporządzenia6. Szybka reakcja sektora rolnego doprowadziła do oficjalnego wprowadzenia unijnego kodeksu postępowań w dniu 23 kwietnia 2018 r., który został podpisany przez jedenaście głównych organizacji reprezentujących unijne przedsiębiorstwa rolne.7

Zasady unijnego kodeksu postępowań w zakresie wymiany danych rolniczych

U podstaw unijnego kodeksu postępowań leży przekonanie, że przy większej przejrzystości w zakresie warunków dostępu do danych i ich wykorzystywania, rolnicy zyskają zaufanie do sposobu zarządzania ich danymi.

W tym celu w unijnym kodeksie postępowań sformułowano pięć kluczowych zasad, które służą jako ramy przewodnie w zakresie dostępu do danych rolniczych i korzystania z nich, i które mają na celu zapewnienie zaufania między przedsiębiorstwami rolnymi w zakresie:
• własności danych,
• dostępu do danych i ich kontroli,
• ochrony i transparentności,
• prywatności i bezpieczeństwa,
• odpowiedzialności i praw własności intelektualnej. System ten wymaga od stron przestrzegania naczelnej zasady że „twórca danych'' powinien mieć kontrolę nad swoimi danymi, że powinien wiedzieć, w jaki sposób dane są wykorzystywane i kto ma do nich dostęp. Wymagają również, aby umowy były przejrzyste, tj. wyjaśniające najważniejsze prawa, obowiązki i cele udostępniania danych oraz wszelkie korzyści, prostym i zrozumiałym językiem. Gromadzenie, przechowywanie i wykorzystywanie może odbywać się wyłącznie za świadomą, wyraźną zgodą twórcy danych w umowie i dalszych zezwoleń należy szukać w przypadku, gdy dane mają być udostępniane stronom trzecim.

Zachęca się agrobiznesy do wyjaśniania, co robią z danymi i przekazywania kontroli nad tymi danymi ich twórcom. Oczywiście zasady te oznaczają, że unijny kodeks postępowań koncentruje się na wynikach wynikających z praktyk ag-data, takich jak zaufanie, zamiast formułować egzekwowalne zasady (Sanderson i in. 2018)8.

Unijny kodeks postępowań zaczyna się od manifestu kontroli rolników nad wytwarzanymi przez nich danymi, stwierdzając: „Rolnik pozostaje w centrum gromadzenia, przetwarzania i zarządzania danymi rolniczymi”.9

Jedną z najbardziej pozytywnych cech unijnego kodeksu postępowań jest to, że podniósł on świadomość szerokiego zakresu kwestii związanych z udostępnianiem danych przez agencje, próbując nawiązać rozmowę między agrobiznesami produkującymi technologie IOT dla gospodarstw i rolników, na temat warunków ich relacji w zakresie udostępniania danych.10 Pamiętajmy, że genezą unijnego kodeksu postępowań pozostaje założenie, że dzięki przejrzystości wokół terminów związanych z dostępem do danych i ich wykorzystaniem rolnicy zyskają zaufanie do sposobu zarządzania ich danymi.

Wskazuje się przy tym iż przejrzystość w umowach agrobiznesu musi dotyczyć :
• celu zbierania, udostępniania i przetwarzania danych
• określone muszą zostać prawa i obowiązki stron związane z danymi, zasady i procesy dotyczące udostępniania danych, bezpieczeństwa danych oraz ramy prawne, w których dane są przechowywane i w których są przechowywane kopie zapasowe
• oprogramowanie lub odpowiednia aplikacja oraz przechowywanie i wykorzystanie danych rolniczych musi być wskazana
• istnieć musi mechanizmy weryfikacji twórcy danych
• A także istnieć musza przejrzyste mechanizmy dodawania nowych i przyszłych zastosowań wykorzystania danych
• Jakie są instrumenty informowania o naruszeniach, ochrony i zabezpieczania danych oraz odpowiedzialności za szkody.11

Sygnatariusze12 unijnego kodeksu postępowń wskazują: „rolnicy i przedsiębiorstwa rolne są bardziej niż chętni do wymiany danych między sobą i angażują się w bardziej otwarty sposób myślenia. Zrobią to jednak tylko wtedy, gdy potencjalne korzyści i ryzyka zostaną jasno określone i gdy będą mogli ufać, że zostaną one uregulowane we właściwy i uczciwy sposób w drodze umów.”13

Podkreślić jednak należy, iż przestrzeganie unijnego kodeksu postępowań jest dobrowolne. Zgodnie z unijnym kodeksem postępowań strony powinny zawrzeć umowę jasno określającą warunki gromadzenia i udostępniania danych (w tym korzyści) zgodnie z potrzebami umawiających się stron. Umowa powinna potwierdzać prawo wszystkich stron do ochrony wrażliwych informacji. Prawa dotyczące danych wytworzonych w gospodarstwie lub podczas działań rolniczych są przyznawane rolnikowi („posiadane przez”) imogą być przez niego szeroko wykorzystywane.

Co istotne w unijnym kodeksie postępowań uznaje się prawo wytwórcy danych, niezależnie od tego, czy jest on rolnikiem czy inną stroną, do czerpania korzyści z wykorzystania danych utworzonych w ramach ich działalności lub otrzymywania rekompensaty za wykorzystanie danych. O ile w umowie nie uzgodniono inaczej, wytwórca danych ma prawo przesłać te dane innemu użytkownikowi danych. Ponadto twórcy danych nie powinni być w żaden sposób ograniczani, jeśli chcą wykorzystywać swoje dane w innych platformach systemowych, urządzeniach do przechowywania danych. Zatem gromadzenie, udostępnianie, przechowywanie i wykorzystywanie zebranych danych rolniczych może mieć miejsce tylko wtedy, gdy twórca danych wyrazi na to wyraźną, wyraźną i świadomą zgodę w drodze umowy, a dane muszą być gromadzone i wykorzystywane do określonego celu uzgodnionego w umowie.

Pamiętać też należy – że jeżeli dane są wykorzystywane do podejmowania decyzji dotyczących wytwórcy danych „jako osoby fizycznej”, zastosowanie ma RODO.14

Biorąc powyższe pod uwagę warto zastanowić się na ile te zasady zostały już implementowane w Polsce i jaką świadomość w zakresie ochrony wytwarzanych danych mają polscy rolnicy. Wyzwaniem dla kodeksów ag-data jest bowiem nie ich tworzenie – ale wyegzekwowanie przez interesariuszy ich odpowiedniego wdrożenia i stosowania. Podobnie jak wszystkie programy dobrowolne, kodeksy praktyk zależą od przemysłu, agrobiznesu i producentów.

W części drugiej artykułu przedstawimy jak często dane rolnicze mogą zawierać kombinację danych osobowych i nieosobowych, a także zaprezentujemy inne kodeksy regulujące wykorzystanie danych rolniczych.

Justyna Bójko – Radca Prawny, Partner Zarządzający w JBW
Małgorzata Puto – Prawnik w JBW

1 W Polce informacje na www.cloud.pl.
2 E. Perrett, R. Heath, A. Laurie, L. Darragh, Accelerating Precision Agriculture to Decision Agriculture: Analysis of the Economic Benefit and Strategies for Delivery of Digital Agriculture in Australia, Australian Farm Institute and Cotton Research and Development Corporation, 2017, 1, 25; za: J. Sanderson, L. Wiseman, S. Poncini, What’s behind the ag-data logo? An examination of voluntary agricultural data codes of practice, International Journal of Rural Law and Policy, No. 1, 1-21. 2018, https://doi.org/10.5130/ijrlp.1.2018.6043.
3 Australian Productivity Commission, Data Availability and Use, Inquiry Report No 82, 31 March 2017, 121; za: J. Sanderson, L. Wiseman, S. Poncini, What’s behind the ag-data logo?...
4 J. Sanderson, L. Wiseman, S. Poncini, What’s behind the ag-data logo?...
5 S. van der Burg, L. Wiseman, J. Krkeljas, Trust in farm data sharing: reflections on the EU code of conduct for agricultural data sharing. Ethics Inf Technol (2020). https://doi.org/10.1007/s10676-020-09543-1.
6 COPA COGECA et al. (Press Release, CDP(18)5022:1, 26 June 2018).; za: S. van der Burg, L. Wiseman, J. Krkeljas, Trust in farm data sharing...
7 European Crop Protection Association (ECPA), (23 April 2018); Copa-Cogeca (2018); za: S. van der Burg, L. Wiseman, J. Krkeljas, Trust in farm data sharing…
8 Za: S. van der Burg, L. Wiseman, J. Krkeljas, Trust in farm data sharing: reflections on the EU code of conduct for agricultural data sharing. Ethics Inf Technol (2020). https://doi.org/10.1007/s10676-020-09543-1
9 COPA & COGECA, EU Code of conduct on agricultural data sharing by contractual agreement, 2020, https://copa-cogeca.eu/Archive/Download?id=3770357
10 European Crop Protection Association (ECPA), (23 April 2018); Copa-Cogeca (2018); za: S. van der Burg, L. Wiseman, J. Krkeljas, Trust in farm data sharing…
11 Coeckelbergh (2012); za: S. van der Burg, L. Wiseman, J. Krkeljas, Trust in farm data sharing…
12 Unijny kodeks postępowań był wspólnym wysiłkiem spółdzielni rolników w UE sprzymierzonych z Copa-Cogeca i CEJA, a także przedstawicieli firm zajmujących się hodowlą zwierząt i dużych organizacji reprezentujących różne branże produkujące paszę dla zwierząt, nawozy, nasiona lub maszyny rolnicze (takie jak CEMA, Fertilizers Europe, CEETTAR, ECPA, EFFAB, FEFAC i ESA).
13 European Crop Protection Association (ECPA), (23 April 2018); Copa-Cogeca (2018); za: S. van der Burg, L. Wiseman, J. Krkeljas, Trust in farm data sharing…
14 S. van der Burg, L. Wiseman, J. Krkeljas, Trust in farm data sharing…