Najpierw RODO, teraz dane…nieosobowe

9 listopada Rada Unii Europejskiej zatwierdziła projekt rozporządzenia Parlamentu Europejskiego i Rady w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej. Jak sama nazwa wskazuje, regulacja ma zmienić rynek unijny pod względem swobodnego przepływu danych innych niż osobowe, dając tym samym przedsiębiorcom szereg nowych możliwości. W najbliższych dniach można oczekiwać publikacji rozporządzenia, które (podobnie jak RODO) będzie stosowane wprost we wszystkich państwach członkowskich, po 6 miesiącach od jego publikacji, czyli przypuszczalnie już w maju 2019.

Czy szykuje się kolejny rewolucyjny maj pod względem obowiązków obciążających przedsiębiorców?

 

Wszyscy przedsiębiorcy pamiętają zapewne, z jak dużymi zmianami i nowymi obowiązkami wiązało się rozpoczęcie stosowania RODO. Tym razem ustawodawca skoncentrował się jednak przede wszystkim na ułatwieniu przedsiębiorcom i start-upom dostępu do informacji i zapewnieniu im większej swobody działalności. Stanie się tak bez konieczności rewolucjonizowania procedur i procesów wewnętrznych, inaczej niż  miało to miejsce w przypadku RODO.

Rozporządzenie dotyczy danych elektronicznych innych, niż dane osobowe, przykładowo algorytmów informatycznych, danych generowanych maszynowo czy danych z czujników w sygnalizatorach świetlnych, służących do optymalizacji tras przejazdu na terenie UE. Jego celem jest przyczynienie się do otwarcia Internetu i zapewnienia funkcjonowania rynku wewnętrznego nieograniczonego do terytorium jednego państwa członkowskiego. Rozporządzenie ma pomóc w eliminacji i zapobieganiu barierom w korzystaniu i świadczeniu usług opartych na danych, takich jak usługi chmurowe, a także w konfiguracji wewnętrznych systemów IT.

Rozporządzenie stanowi przy tym, że przedsiębiorcy powinni tworzyć kodeksy postępowania dotyczące przenoszenia danych na poziomie UE – tak, aby ułatwić użytkownikom zmianę dostawców usług (przykładowo rozwiązań chmurowych) i przenoszenie danych pomiędzy różnymi podmiotami. Kodeksy powinny też zapewnić użytkownikom wystarczająco szczegółowe, jasne i przejrzyste informacje przed zawarciem umowy o przechowywanie i przetwarzanie danych.

 

Jakie ograniczenia w przepływie danych możemy obecnie napotkać?  

Obowiązujące na terenie Unii swoboda przedsiębiorczości i swoboda świadczenia usług dotyczą również usług przechowywania i innego przetwarzania danych. W praktyce, dostarczanie tego typu rozwiązań jest jednak obecnie utrudnione przez poszczególne wymogi krajowe dotyczące miejsca przechowywania danych. Takie ograniczenia mogą obejmować m.in. wymóg, aby dane finansowe lub telekomunikacyjne były przechowywane na terenie kraju.

Oprócz wymienionych regulacji krajowych, istnieją dodatkowo przepisy oraz praktyka organów wywierające podobny skutek np. wymóg korzystania z narzędzi technologicznych certyfikowanych lub zatwierdzonych w danym państwie członkowskim.

Przepływ danych w UE podlega też ograniczeniom prywatnym, przykładowo na podstawie zapisów umownych utrudniających lub uniemożliwiających przenoszenie danych pomiędzy usługodawcami lub do własnego systemu IT – do momentu rozwiązania umowy z usługodawcą.

 

Na czym ma polegać swoboda przepływu danych nieosobowych?

Zgodnie z treścią rozporządzenia, nie można ograniczać miejsca przetwarzania (w tym   przechowywania) danych do terytorium określonego państwa członkowskiego. Przetwarzanie danych w innym państwie członkowskim nie może zostać zabronione ani ograniczone, chyba że jest to uzasadnione bezpieczeństwem publicznym.

Rozporządzenie dotyczy usług przechowywania i innego przetwarzania danych elektronicznych innych niż dane osobowe, jeśli:

  • usługi są świadczone na rzecz użytkowników mających miejsce zamieszkania lub siedzibę na terenie UE – bez względu na to, czy usługodawca ma siedzibę w UE; albo
  • dane są przetwarzane przez osobę fizyczną lub osobę prawną mającą miejsce zamieszkania lub siedzibę w UE – dla potrzeb własnych.

Dodatkowo rozporządzenie nakłada na państwa członkowskie obowiązek informowania Komisji Europejskiej o każdym projekcie aktu prawnego wprowadzającego nowe lub zmieniającego istniejące wymogi dotyczące lokalizacji danych. Jeśli istniejące wymogi w zakresie miejsca przetwarzania danych okażą się niezgodne z rozporządzeniem, powinny zostać uchylone w ciągu 12 miesięcy od rozpoczęcia jego stosowania.

 

Co zmieni w praktyce nowa regulacja dotycząca przepływu danych nieosobowych?

Rozporządzenie ma przyczynić się do tworzenia Jednolitego Rynku Cyfrowego w Unii i znoszenia barier, które utrzymują się na tym rynku.

Obecnie niepewność prawa w innych państwach Unii Europejskiej może ograniczać przedsiębiorców w przetwarzaniu czy przechowywaniu danych za granicą. Dzięki rozporządzeniu, ewentualne krajowe regulacje ograniczające możliwości przetwarzania, przechowywania i transferu danych mają być zniesione, co pozwoli na śmielsze inwestowanie w tego typu rozwiązania w innych Państwach UE.

Stosowanie rozporządzenia ma pozwolić na szerszy dostęp do danych, które powinny być powszechnie dostępne, takich jak np. dane statystyczne, informacje o pogodzie, natężeniu ruchu, wyniki projektów badawczych czy biblioteki e-booków. Dostęp do tych informacji, może być korzystny dla przedsiębiorców, w szczególności dla start-upów i pobudzać tworzenie innowacyjnych projektów.

Dzięki zniesieniu ograniczeń, nowo powstałe firmy i mali przedsiębiorcy będą mogli łatwiej zdobywać nowe, zagraniczne rynki. Na szerszym dostępie do danych i zniesieniu wirtualnych granic w ich przechowywaniu skorzystają m.in. przedsiębiorcy działający lub planujący rozpoczęcie działalności w sektorach IT świadczących usługi chmurowe czy związane z „Internetem Rzeczy” (np. technologie typu inteligentny dom).

Szerszy dostęp do tego typu rozwiązań będzie miał korzystny wpływ również na decyzje użytkowników (zarówno w relacjach B2C i B2B): będą oni mieli dostęp do usług, oferowanych przez firmy z różnych krajów UE. Przedsiębiorcy będą mogli wybrać korzystniejsze cenowo lub jakościowo rozwiązania związane z przechowywaniem gromadzonych przez nich danych, bez ograniczeń związanych z lokalizacją serwerów, na których są przechowywane. Z kolei usługodawcy będą mogli oferować swoje usługi szerszemu gronu odbiorców. Większa konkurencja na rynku unijnym może pozytywnie wpłynąć na jakość świadczonych usług, obniżyć ceny czy zmotywować firmy do ulepszania ich produktów.

Co na to RODO?

Regulacje dotyczące danych nieosobowych pozostają bez wpływu na te związane z ochroną danych osobowych. Ocena, czy dane należy uznać za osobowe czy też są to dane nieosobowe może nastręczać trudności. Komisja Europejska powinna w najbliższym czasie udzielić wskazówek, mających ułatwić dokonanie tej oceny i postawienie wyraźniejszej granicy pomiędzy zakresem stosowania obu rozporządzeń.

Nie zmienia to jednak faktu, że dane osobowe w praktyce rzadko bywają wyodrębniane od innych danych cyfrowych, co może oznaczać, że miejsce ich przechowywania również nie powinno być ograniczane przez poszczególne państwa Unii. Trzeba jednak pamiętać, że transfer danych osobowych poza obszar EOG rządzi się odrębnymi prawami i nowego rozporządzenia nie można odbierać jako furtki pozwalającej na dowolny przepływ danych również poza granicami Unii.

Autor: Marta Maliszewska

Autor: Zuzanna Prandecka-Walek

SENIOR ASSOCIATE | ADWOKAT | OW LEGAL

zuzanna.prandecka-walek@olesinski.com

Więcej