Swobodny przepływ danych nieosobowych w UE

Przeczytaj także: UE: nowa dyrektywa ograniczy cyberprzestępczość?

Cele projektu – jednolity rynek cyfrowy

W założeniu rozporządzenie ma poprawić transgraniczną mobilność danych nieosobowych na jednolitym rynku, utrudnioną obecnie w wielu państwach członkowskich. Jej celem jest również zapewnienie dostępu właściwych organów do danych oraz ułatwienie profesjonalnym użytkownikom usług przechowywania lub innego rodzaju przetwarzania danych. Rozporządzenie ma także ułatwić dokonanie zmiany dostawcy usług i przeniesienie swoich danych, nie stwarzając przy tym nadmiernego obciążenia dla dostawców usług, ani nie powodując zakłóceń na rynku.

W tym celu zdecydowano się, podobnie jak w przypadku RODO, na stworzenie instrumentu w formie rozporządzenia, który może zapewnić stosowanie jednolitych przepisów w całej UE w tym samym czasie. Ma to szczególne znaczenie dla usuwania istniejących ograniczeń oraz zapobiegania ich wprowadzaniu przez państwa członkowskie. Celem rozporządzenia jest także uwolnienie europejskiej gospodarki opartej na danych, która w roku 2020 mogłaby osiągnąć wartość nawet 106 mld EUR.

2. Zakres obowiązywania – czym są dane nieosobowe?

Zgodnie z art. 2 projektowanego rozporządzenia, będzie miało ono zastosowanie do przechowywania lub innego rodzaju przetwarzania danych elektronicznych, innych niż dane osobowe, np. algorytmy informatyczne, dane generowane przez maszyny, dane z czujników w sygnalizatorach świetlnych służące do efektywniejszego zarządzania ruchem ulicznym lub optymalizacji tras przejazdu na terenie całej Unii Europejskiej. W konsekwencji regulacja ta znajdzie zastosowanie do wszystkich podmiotów przechowujących lub w inny sposób przetwarzających dane nieosobowe, o ile tylko wykonują te działania w obszarze UE. Zakres podmiotowy i terytorialny proponowanego rozporządzenia jest zatem szerszy niż w przypadku RODO, które nie obejmowało przetwarzania danych osobowych przez osobę fizyczną o czysto osobistym lub domowym charakterze.

Unia Europejska stara się możliwie szeroko podejść do zagadnienia przepływu danych nieosobowych, dając – jak się wydaje – zielone światło dla względnie nieskrępowanego rozwoju rynku np. Big Data, IoT (Internet of Things) czy sztucznej inteligencji (AI). Rozporządzenie stosuje się do wszelkiego rodzaju systemów informatycznych, niezależnie od tego, czy są one zlokalizowane w pomieszczeniach użytkownika czy są przedmiotem outsourcingu na rzecz dostawcy usług przechowywania lub innego rodzaju przetwarzania danych. Dodatkowo objęte rozporządzeniem powinny być różne modele przetwarzania danych w chmurze.

3. Praktyczny wymiar swobodnego przepływu danych nieosobowych

Rozporządzenie wprowadza zasady zapewniające dostęp właściwych organów państw członkowskich do przetwarzanych danych, co ma zagwarantować skuteczniejsze narzędzia kontrolne, szczególnie w przypadkach transgranicznego przetwarzania informacji w krajach UE. Współpraca organów na terenie UE ma zostać usprawniona przez zobowiązanie każdego z państw członkowskich do wyznaczenia centralnego punktu kontaktowego, który współpracuje z innymi takimi jednostkami w Unii Europejskiej i Komisją Europejską.
Dodatkowo rozporządzenie, podobnie jak RODO, przewiduje instytucję kodeksów postępowań, które będą mogli tworzyć dostawcy rozwiązań chmurowych, aby umożliwić łatwą zmianę dostawcy oraz zapewnić prawo do przenoszenia swoich danych pomiędzy różnymi podmiotami. Komisja Europejska zachęca do wdrożenia kodeksów postępowań w ciągu 12 miesięcy od daty publikacji rozporządzenia w Dzienniku Urzędowym Unii Europejskiej (lecz nie później niż w terminie 18 miesięcy).

Rezultatem wprowadzenia rozporządzenia ma być również dostarczanie użytkownikom usług przechowywania lub innego sposobu przetwarzania danych nieosobowych dostatecznie szczegółowych, jasnych i przejrzystych informacji dotyczących m.in. kwestii wymagań technicznych, ram czasowych i opłat, które mają zastosowanie, gdy użytkownik profesjonalny chce zmienić dostawcę na innego lub przenieść dane z powrotem do własnych systemów informatycznych. Dodatkowo, w myśl zasady transparentności, usługodawca będzie zobowiązany wskazać również wymagania operacyjne i pozostałe wymogi obowiązujące przy zmianie dostawcy lub przenoszeniu danych. Informacje muszą zostać przedstawione w sposób uporządkowany, w powszechnie używanym formacie nadającym się do odczytu maszynowego oraz zapewniać użytkownikowi wystarczająco dużo czasu na zmianę dostawcy lub przeniesienie danych.

4. Dane (nie)osobowe

Jakkolwiek zrozumiałe jest dążenie do stworzenia fundamentów pod funkcjonowanie jednolitego rynku cyfrowego w UE, o tyle bardzo szeroka definicja danych osobowych na gruncie RODO może powodować realny problem z czytelnym odseparowaniem danych osobowych od danych nieosobowych. W konsekwencji może nawet doprowadzić do zaburzenia stosowania proponowanego rozporządzenia. Jako przykład można wskazać odmienne traktowanie danych generowanych przez technologie wykorzystywane w nowoczesnych samochodach, np. informacje o prędkości, usterkach pojazdu, których jednoznaczna klasyfikacja, czy są to dane osobowe czy nieosobowe, jest bardzo trudna. Ten aspekt, jak również sposób korzystania przez organy z nadanych im kompetencji, mogą budzić wiele wątpliwości oraz obaw. Niemniej jednak jako pozytywny należy odnotować fakt, że – przynajmniej w obecnym kształcie rozporządzenia – przepisy nie przewidują możliwości nałożenia pieniężnych kar administracyjnych, jak w przypadku RODO (w tym zakresie te kompetencje pozostawiono ustawodawstwom krajowym). Komisja Europejska będzie także, w terminie 6 miesięcy od daty opublikowania rozporządzenia, zobowiązana do opublikowania wskazówek na temat wzajemnych powiązań rozporządzenia i RODO, w szczególności w odniesieniu do zbiorów danych obejmujących zarówno dane osobowe, jak i nieosobowe.

Maciej Kawiorski