You are currently viewing Bezpieczeństwo i ochrona danych w rolnictwie

Bezpieczeństwo i ochrona danych w rolnictwie

Bezpieczeństwo i ochrona  danych  w rolnictwie  (cz.I)

W  dobie  gdy sektor cyfryzacyjny i rolniczy notują jedne z największych wzrostów  wydajności w dziejach – mamy pewność, że to cyfryzacja będzie stymulować procesy w rolnictwie. Rosnąca ilość  przetwarzanych danych w połączeniu z ich ulepszoną analizą oraz technologią gromadzenia danych może drastycznie zwiększyć produktywność i rentowność gospodarstw.

Mając świadomość, iż tworzy się w ramach Gaia-X szereg Hubów[1]  narodowych, a duże  firmy sektora podpisały porozumienie dotyczące współpracy przy rozwoju technologii wykorzystujących komunikację 5G i trwają prace nad rozwijaniem innowacyjnych aplikacji, które wykorzystują sieć 5G, aby umożliwić wydajniejszą pracę rolnikom – konieczne jest, aby mówić o wartości  danych rolniczych, a także metodach ich zabezpieczenia.

Geneza kodeksów

Jedną z głównych przyczyn pojawienia się kodeksów postępowań w rolnictwie jest rosnące uznanie potencjalnych korzyści i wartości danych dla rolnictwa i produkcji żywności.

Potencjalna wartość danych rolniczych (i szerzej technologii cyfrowych) została zdefiniwoana  przez Australian Farm Institute w projekcie badawczym Accelerating Precision Agriculture to Decision Agriculture P2D („P2D”), przy czym wskazano, że modelowanie ekonomiczne wskazuje, iż rolnictwo cyfrowe, zdefiniowane jako „zarówno gromadzenie i analiza danych w celu usprawnienia podejmowania decyzji zarówno w gospodarstwie, jak i poza nim, prowadząc do lepszych wyników biznesowych”, może zwiększyć wartość brutto australijskiej produkcji rolnej o 25%[2].

Z kolei podczas przesłuchania w Senacie USA w listopadzie 2017 r. w sprawie rolnictwa opartego na danych, które odbyło się w ramach przygotowań do kolejnej przygotowywanej ustawy o rolnictwie, kilku kongresmanów zasugerowało, że przepisy regulujące dane rolnicze mogą być konieczne –  będą one bowiem wpływać na: gromadzenie i analizę danych umożliwiającą  rolnikom obniżenie kosztów,  wydajniejsze stosowanie środków produkcji, takich jak nawozy i pestycydy; poprawienie decyzji produkcyjnych dzięki ulepszonemu prowadzeniu dokumentacji,  dokładniejsze prognozy wydajności oraz wzmocnienie zarządzania gruntami, zrównoważenie praktyk rolniczych, np. poprzez usuwanie nieefektywności w sadzeniu, zbiorach, zużyciu wody i alokacji innych zasobów.

Badając korzyści i koszty lepszego udostępniania danych publicznych i prywatnych, australijska Komisja ds. Produktywności skomentowała złożoność ram prawnych i regulacyjnych dotyczących dostępu do danych i ich wykorzystywania w Australii: „Ustawodawstwo ograniczające dostęp do danych powstało sto lat temu i wiele z nich nie nadaje się już do obecnych celów. Podstawową przeszkodą prawną w bardziej efektywnym wykorzystaniu danych nie jest zazwyczaj ustawa o prywatności, ale przepisy i wytyczne specyficzne dla dziedziny, w której dane są gromadzone” […][3]

Głównym celem rodzących się  zasad i kodeksów postępowania w zakresie wymiany danych rolniczych jest zbudowanie zaufania między rolnikami a przedsiębiorstwami rolnymi w drodze umowy.

Chociaż są one całkowicie dobrowolne, zasady i kodeksy zachęcają agrobiznesy do przekazywania rolnikom informacji o tym, co robią z danymi rolnika, aby uspokoić rolników i pomóc im w dokonaniu świadomego wyboru co do udostępniania ich danych (lub nie) agrobiznesom rozwijającym się w zakresie usług technicznych.[4]

EU code of conduct for agricultural data sharing (unijny kodeks postępowań)

23 kwietnia 2018 r. Koalicja stowarzyszeń z unijnego łańcucha rolno-spożywczego wprowadziła wspólny unijny kodeks postępowań w zakresie udostępniania danych rolniczych na podstawie umowy. Unijny kodeks postępowań wyjaśnia stosunki umowne i zawiera wytyczne dotyczące wykorzystywania danych rolniczych, w szczególności praw dostępu do danych i ich wykorzystywania.

UE ma długą historię regulowania baz danych, danych osobowych i danych nieosobowych. Od późnych lat 90. XX wieku UE dostrzegała skutki, jakie spowodował gwałtowny wzrost technologii cyfrowych, wraz z towarzyszącym mu gromadzeniem/kompilacją indywidualnych danych w bazach danych (Schneider 1998).

W odpowiedzi na obawy dotyczące prywatności danych i cyberbezpieczeństwa UE uchwaliła Dyrektywę 96/9/WE Parlamentu Europejskiego i Rady z dnia 11 marca 1996 r. w sprawie ochrony prawnej baz danych, OJ L 77, 27.3.1996, w celu ujednolicenia ochrony baz danych we wszystkich państwach członkowskich UE. Dyrektywa ta zwiększyła ochronę kolejnych baz danych utworzonych z syntezy różnych osobistych i nieosobowych danych. Umożliwia przypisanie odpowiednich praw własności do baz danych i promuje „inwestowanie w tworzenie baz danych” (Schneider 1998). Obejmuje on również system sui generis zapobiegający nieuprawnionemu wykorzystywaniu informacji w bazach danych. Program ten nadaje właścicielowi prawa do zakazania pobierania / wykorzystywania danych z ich bazy danych (Schneider 1998). Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (32016L1148; dalej jako: dyrektywa w sprawie bezpieczeństwa sieci i informacji) jest pierwszym ogólnounijnym aktem prawnym dotyczącym cyberbezpieczeństwa. Zapewnia środki prawne, których celem jest zwiększenie ogólnego poziomu cyberbezpieczeństwa w UE. Dyrektywa w sprawie bezpieczeństwa sieci i informacji przyjęta została przez Parlament Europejski w dniu 6 lipca 2016 r. i weszła w życie w sierpniu 2016 r. Państwa członkowskie zobowiązane zostały do implementacji rozwiązań do 9 maja 2018 r., w tym do wskazania operatorów usług podstawowych. Dyrektywa w sprawie bezpieczeństwa sieci i informacji zapewnia środki prawne w celu podniesienia ogólnego poziomu cyberbezpieczeństwa w UE. Ponieważ dane stawały się coraz bardziej sensytywne w 2018 r. UE wdrożyła  Rozporządzenie  Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO). RODO zabezpiecza sposób, w jaki agregatory danych przetwarzają dane osobowe mieszkańców UE. Podczas gdy unijna dyrektywa o bazach danych obejmowała zarówno dane osobowe, jak i nieosobowe, RODO miało na celu wyłącznie regulację danych osobowych. W związku z tym UE wprowadziła również Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1807 z dnia 14 listopada 2018 r. w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej (PE/53/2018/REV/1; „Rozporządzenie”). Rozporządzenie to ma na celu uzupełnienie RODO i stymulowanie swobodnego przepływu wszystkich kategorii danych w ramach rynku UE.

Swobodny przepływ odnosi się do nieograniczonego przepływu danych nieosobowych w UE, przy czym w  Rozporządzeniu tym znajduje się wyraźne odniesienie do danych rolniczych, sklasyfikowanych jako dane nieosobowe. Rozporządzenie może znacząco przyczynić się do gospodarki opartej na danych aglomeracyjnych i pobudzić rewolucyjne usługi w zakresie danych. Artykuł 4 Rozporządzenia zawiera szczególne odniesienie do przetwarzania danych dotyczących inteligentnego rolnictwa i zakazuje ich wyłącznego przechowywania w jednym obszarze geograficznym. Czynność przechowywania danych rolniczych w jednym obszarze geograficznym jest znana jako „lokalizacja”. Lokalizacja jest zabroniona, ponieważ może hamować innowacje i ograniczać przepływ przydatnych informacji w światowych gospodarkach danych.[5]

Ponieważ dane rolnicze zostały sklasyfikowane jako dane nieosobowe do celów Rozporządzenia -opracowanie kodeksów stało się bardzo atrakcyjne dla europejskiego sektora rolno-gospodarczego. W związku z tym główni interesariusze UE w sektorze rolnym zainicjowali szybkie opracowanie unijnego kodeksu postępowań w zakresie wymiany danych rolniczych. Copa-Cogeca informuje, że Unijny kodeks postępowań wyjaśnia stosunki umowne i zawiera wskazówki dotyczące wykorzystania danych rolniczych, w szczególności prawa do dostępu i wykorzystania danych. Dyrektor Daniel Azevedo z wiodącego stowarzyszenia rolników w UE, Copa-Cogeca, wskazał, że przemysł rolny jako pierwszy uwzględnił prośbę Komisji dotyczącą tworzenia kodeksów samoregulacyjnych i promuje płynące z niego korzyści, wzmacniając w ten sposób cel Rozporządzenia[6]. Terminowa reakcja sektora rolnego doprowadziła do oficjalnego wprowadzenia unijnego kodeksu postępowań w dniu 23 kwietnia 2018 r., który został podpisany przez jedenaście głównych organizacji reprezentujących unijne przedsiębiorstwa rolne.[7]

Zasady unijnego kodeksu postępowań w zakresie wymiany danych rolniczych

U podstaw unijnego kodeksu postępowań leży przekonanie, że przy większej przejrzystości w zakresie warunków dostępu do danych i ich wykorzystywania, rolnicy zyskają zaufanie do sposobu zarządzania ich danymi.

W tym celu w unijnym kodeksie postępowań sformułowano pięć kluczowych zasad, które służą jako ramy przewodnie w zakresie dostępu do danych rolniczych i korzystania z nich, i które mają na celu zapewnienie zaufania między przedsiębiorstwami rolnymi w zakresie:

  • własności danych,
  • dostępu do danych i ich kontroli,
  • ochrony i transparentności,
  • prywatności i bezpieczeństwa,
  • odpowiedzialności i praw własności intelektualnej.

Wszystkie pięć zasad razem wziętych wymaga od stron przestrzegania tego, że „twórca danych” powinien mieć kontrolę nad swoimi danymi, że powinien wiedzieć, w jaki sposób dane są wykorzystywane i kto ma do nich dostęp. Wymagają również, aby umowy były przejrzyste, tj. wyjaśniające najważniejsze prawa, obowiązki i cele udostępniania danych oraz wszelkie korzyści, prostym i zrozumiałym językiem. Gromadzenie, przechowywanie i wykorzystywanie może odbywać się wyłącznie za świadomą, wyraźną zgodą twórcy danych w umowie i dalszych zezwoleń należy szukać w przypadku, gdy dane mają być udostępniane stronom trzecim.

Zachęca się agrobiznesy do wyjaśniania, co robią z danymi i przekazywania kontroli nad tymi danymi ich twórcom. Oczywiście zasady te oznaczają, że unijny kodeks postępowań koncentruje się na wynikach wynikających z praktyk ag-data, takich jak zaufanie, zamiast formułować egzekwowalne zasady (Sanderson i in. 2018)[8].

Unijny kodeks postępowań zaczyna się od manifestu kontroli rolników nad wytwarzanymi przez nich danymi, stwierdzając: „Rolnik pozostaje w centrum gromadzenia, przetwarzania i zarządzania danymi rolniczymi”.[9]

Jedną z najbardziej pozytywnych cech unijnego kodeksu postępowań jest to, że podniósł on świadomość szerokiego zakresu kwestii związanych z udostępnianiem danych przez agencje, próbując nawiązać rozmowę między agrobiznesami produkującymi technologie IOT dla gospodarstw i rolników, na temat warunków ich relacji w zakresie udostępniania danych.[10]

Genezą  unijnego kodeksu postępowań jest założenie, że dzięki przejrzystości wokół terminów związanych z dostępem do danych i ich wykorzystaniem rolnicy zyskają zaufanie do sposobu zarządzania ich danymi.

Wskazuje się  przy tym iż  przejrzystość w umowach agrobiznesu musi dotyczyć :

  • celu zbierania, udostępniania i przetwarzania danych
  • określone muszą zostać prawa i obowiązki stron związane z danymi, zasady i procesy dotyczące udostępniania danych, bezpieczeństwa danych oraz ramy prawne, w których dane są przechowywane i w których są przechowywane kopie zapasowe
  • oprogramowanie lub odpowiednia aplikacja oraz przechowywanie i wykorzystanie danych rolniczych musi być wskazana
  • istnieć musi mechanizmy weryfikacji twórcy danych
  • A także istnieć musza przejrzyste mechanizmy dodawania nowych i przyszłych zastosowań wykorzystania danych
  • Jakie są instrumenty informowania o naruszeniach, ochrony i zabezpieczania danych oraz odpowiedzialności za szkody.[11]

Sygnatariusze Kodeksu[12]  wskazują: „rolnicy i przedsiębiorstwa rolne są bardziej niż chętni do wymiany danych między sobą i angażują się w bardziej otwarty sposób myślenia. Zrobią to jednak tylko wtedy, gdy potencjalne korzyści i ryzyka zostaną jasno określone i gdy będą mogli ufać, że zostaną one uregulowane we właściwy i uczciwy sposób w drodze umów.”[13]

Podkreślić jednak należy, iż przestrzeganie unijnego kodeksu postępowań jest dobrowolne. Zgodnie z unijnym kodeksem postępowań strony powinny zawrzeć umowę jasno określającą warunki gromadzenia i udostępniania danych (w tym korzyści) zgodnie z potrzebami umawiających się stron. Umowa powinna potwierdzać prawo wszystkich stron do ochrony wrażliwych informacji. Prawa dotyczące danych wytworzonych w gospodarstwie lub podczas działań rolniczych są przyznawane rolnikowi („posiadane przez”) i mogą być przez niego szeroko wykorzystywane.

Co istotne w unijnym kodeksie postępowań uznaje się prawo wytwórcy danych, niezależnie od tego, czy jest on rolnikiem czy inną stroną, do czerpania korzyści z wykorzystania danych utworzonych w ramach ich działalności lub otrzymywania rekompensaty za wykorzystanie danych. O ile w umowie nie uzgodniono inaczej, wytwórca danych ma prawo przesłać te dane innemu użytkownikowi danych. Ponadto twórcy danych nie powinni być w żaden sposób ograniczani, jeśli chcą wykorzystywać swoje dane w innych platformach systemowych, urządzeniach do przechowywania danych.

Gromadzenie, udostępnianie, przechowywanie i wykorzystywanie zebranych danych rolniczych może mieć miejsce tylko wtedy, gdy twórca danych wyrazi na to wyraźną, wyraźną i świadomą zgodę w drodze umowy, a dane muszą być gromadzone i wykorzystywane do określonego celu uzgodnionego w umowie.

Jeżeli dane są wykorzystywane do podejmowania decyzji dotyczących wytwórcy danych „jako osoby fizycznej”, zastosowanie ma RODO.[14]

Biorąc powyższe pod uwagę  warto zastanowić się na ile te zasady zostały już implementowane w Polsce i  jaką świadomość w zakresie ochrony wytwarzanych danych mają polscy rolnicy. Wyzwaniem dla kodeksów ag-data jest bowiem nie ich tworzenie – ale wyegzekwowanie przez interesariuszy ich odpowiedniego wdrożenia i stosowania. Podobnie jak wszystkie programy dobrowolne, kodeksy praktyk zależą od przemysłu, agrobiznesu i producentów.

W części drugiej przedstawimy jak często dane rolnicze  mogą zawierać kombinację danych osobowych i nieosobowych, a także zaprezentujemy inne kodeksy regulujące wykorzystanie danych rolniczych.

 

 

Justyna Bójko – Radca Prawny, Partner Zarządzający w JBW

Stworzyła Kancelarię JBW w odpowiedzi na potrzeby swoich Klientów, pracując wiele lat w Warszawie i Trójmieście. Radca prawny z ponad 20-letnim doświadczeniem w prawie cywilnym i administracyjnym. Przez wiele lat współpracowała z administracją publiczną, a także spółkami strategicznymi w sektorach paliwowym, energetycznym, drogowym, kolejowym i stoczniowym. Ekspert w dziedzinie prawa z zakresu infrastruktury, inwestycji budowlanych, procesów planowania, zagospodarowania przestrzennego, prawa energetycznego, wodnego oraz cyber–bezpieczeństwa. Pomysłodawczyni i współautorka wydawanych od 2015 r. zeszytów „Bezpieczeństwo infrastruktury krytycznej”.

Małgorzata Puto – Prawnik w JBW

Małgorzata Puto jest absolwentką prawa na Wydziale Prawa i Administracji Uniwersytetu Mikołaja Kopernika w Toruniu oraz doktorantką w katedrze Prawa Europejskiego i Komparatystyki Prawniczej Wydziału Prawa i Administracji Uniwersytetu Gdańskiego. Specjalizuje się w prawie Unii Europejskiej, a swoją pracę doktorską przygotowuje pod kątem granic swobód traktatowych w orzecznictwie Trybunału Sprawiedliwości Unii Europejskiej. Małgorzata Puto ukończyła również Szkołę prawa chińskiego na Wydziale Prawa i Administracji Uniwersytetu Gdańskiego, a także program stypendialny na Pekińskim Uniwersytecie Technologicznym. Posiada doświadczenie zawodowe w obszarze AML, w JBW czynnie współpracuje przy projektach z zakresu zamówień publicznych.

[1] W Polce informacje na www.cloud.pl.

[2] E. Perrett, R. Heath, A. Laurie, L. Darragh, Accelerating Precision Agriculture to Decision Agriculture: Analysis of the Economic Benefit and Strategies for Delivery of Digital Agriculture in Australia, Australian Farm Institute and Cotton Research and Development Corporation, 2017, 1, 25; za: J. Sanderson, L. Wiseman, S. Poncini, What’s behind the ag-data logo? An examination of voluntary agricultural data codes of practice, International Journal of Rural Law and Policy, No. 1, 1-21. 2018, https://doi.org/10.5130/ijrlp.1.2018.6043.

[3] Australian Productivity Commission, Data Availability and Use, Inquiry Report No 82, 31 March 2017, 121; za: J. Sanderson, L. Wiseman, S. Poncini, What’s behind the ag-data logo?...

[4] J. Sanderson, L. Wiseman, S. Poncini, What’s behind the ag-data logo?...

[5] S. van der Burg, L. Wiseman, J. Krkeljas, Trust in farm data sharing: reflections on the EU code of conduct for agricultural data sharingEthics Inf Technol (2020). https://doi.org/10.1007/s10676-020-09543-1.

[6] COPA COGECA et al. (Press Release, CDP(18)5022:1, 26 June 2018).; za: S. van der Burg, L. Wiseman, J. Krkeljas, Trust in farm data sharing...

[7] European Crop Protection Association (ECPA), (23 April 2018); Copa-Cogeca (2018); za: S. van der Burg, L. Wiseman, J. Krkeljas, Trust in farm data sharing…

[8] Za: S. van der Burg, L. Wiseman, J. Krkeljas, Trust in farm data sharing: reflections on the EU code of conduct for agricultural data sharingEthics Inf Technol (2020). https://doi.org/10.1007/s10676-020-09543-1

[9] COPA & COGECA, EU Code of conduct on agricultural data sharing by contractual agreement, 2020, https://copa-cogeca.eu/Archive/Download?id=3770357

[10] European Crop Protection Association (ECPA), (23 April 2018); Copa-Cogeca (2018); za: S. van der Burg, L. Wiseman, J. Krkeljas, Trust in farm data sharing…

[11] Coeckelbergh (2012); za: S. van der Burg, L. Wiseman, J. Krkeljas, Trust in farm data sharing…

[12] Unijny kodeks postępowań był wspólnym wysiłkiem spółdzielni rolników w UE sprzymierzonych z Copa-Cogeca i CEJA, a także przedstawicieli firm zajmujących się hodowlą zwierząt i dużych organizacji reprezentujących różne branże produkujące paszę dla zwierząt, nawozy, nasiona lub maszyny rolnicze (takie jak CEMA, Fertilizers Europe, CEETTAR, ECPA, EFFAB, FEFAC i ESA).

[13] European Crop Protection Association (ECPA), (23 April 2018); Copa-Cogeca (2018); za: S. van der Burg, L. Wiseman, J. Krkeljas, Trust in farm data sharing…

[14] S. van der Burg, L. Wiseman, J. Krkeljas, Trust in farm data sharing…