14 listopada 2018 r. zostało ostatecznie zatwierdzone przez Przewodniczących Parlamentu Europejskiego i Rady Unii Europejskiej rozporządzenie w sprawie swobodnego przepływu danych nieosobowych. Oznacza to, że po upływie sześciu miesięcy od jego opublikowania w dzienniku urzędowym Unii rozporządzenie będzie miało bezpośrednie zastosowanie we wszystkich państwach członkowskich, w tym w Polsce. Polski ustawodawca będzie musiał zatem do połowy 2019 r. dostosować do rozporządzenia nasze polskie przepisy prawa.
Po co taka regulacja i czym są dane nieosobowe?
Jak stanowi preambuła rozporządzenia, cyfryzacja gospodarki postępuje coraz szybciej, a technologie informacyjno-komunikacyjne nie stanowią już specyficznego sektora, lecz są podstawą wszystkich nowoczesnych, innowacyjnych systemów gospodarczych i społeczeństw. Dane elektroniczne znajdują się w centrum tych systemów i mogą przynieść ogromne korzyści, jeżeli podda się je analizie lub połączy z usługami i produktami. Jednocześnie szybki rozwój gospodarki opartej na danych oraz nowo powstające technologie, takie jak sztuczna inteligencja, produkty i usługi internetu rzeczy, systemy autonomiczne i sieci 5G, stwarzają nowe wyzwania prawne dotyczące kwestii dostępu do danych i ich ponownego wykorzystywania, odpowiedzialności, etyki i solidarności. Zdaniem Brukseli należy podjąć działania w kwestii odpowiedzialności, w szczególności w drodze wdrożenia kodeksów samoregulacji i innych wzorcowych praktyk, uwzględniając zalecenia, decyzje i działania podejmowane bez udziału człowieka w całym łańcuchu przetwarzania danych. Działania takie mogłyby również uwzględniać odpowiednie mechanizmy ustalania odpowiedzialności, przenoszenia odpowiedzialności między uzupełniającymi się usługami, ubezpieczenia oraz kontroli.
Nowe prawo ma pomóc w rozwoju nowoczesnych technologii, w tym badań i rozwoju Big Data, usług przetwarzania danych w chmurze czy sztucznej inteligencji. Jak wiadomo paliwem nowoczesnej gospodarki i nowych technologii są dane, w tym dane osobowe. Te ostatnie zostały uregulowane w RODO. Teraz przyszedł czas na całą resztę danych – czyli danych nieosobowych. Rozwijający się internet rzeczy, sztuczna inteligencja oraz uczenie się maszyn stanowią duże źródło danych nieosobowych, na przykład w konsekwencji stosowania ich w zautomatyzowanych procesach produkcji przemysłowej.
Definicja danych nieosobowych zawarta w rozporządzeniu jest bardzo szeroka i stanowi, że są to wszystkie dane inne niż dane osobowe, o których mowa w rozporządzeniu RODO. Przykładami danych nieosobowych, są dane wytworzone przez komputery i inne urządzenia, zagregowane i zanonimizowane zbiory danych wykorzystywane do celów analizy dużych zbiorów danych, dane związane z rolnictwem precyzyjnym ułatwiające monitorowanie i optymalizację zużycia pestycydów i wody lub np. dane dotyczące potrzeb związanych z konserwacją maszyn przemysłowych.
Czy swoboda przepływu danych zmniejszy bariery rozwoju w Europie?
Rozporządzenie zapewnia swobodny i bezpieczny przepływ danych nieosobowych w całej Unii Europejskiej. Oznacza to, że lokalizacja danych na terytorium Unii nie może ograniczać się do terytorium określonego państwa członkowskiego, a przechowywanie lub innego rodzaju przetwarzanie danych w innym państwie członkowskim nie może być zakazywane ani ograniczane, chyba że jest to uzasadnione względami bezpieczeństwa publicznego. Państwa Unii nie będą mogły zatem wprowadzać przepisów nakazujących lokalizacji baz danych w ich kraju lub ograniczających przechowywanie i przetwarzanie danych nieosobowych w innych krajach UE. Będą musiały także w ciągu najbliższego pół roku dostosować obecnie obowiązujące przepisy do nowych zasad. Nawet jeżeli nie zdążą, to z uwagi na zasadę bezpośredniego stosowania rozporządzeń w prawie państw członkowskich całą Unię Europejską obejmie swoboda przepływu danych nieosobowych.
Ponieważ rozporządzenie w sprawie swobodnego przepływu danych nieosobowych nie obejmuje danych osobowych, to nie ma ono wpływu na stosowanie rozporządzenia o ochronie danych osobowych (RODO). Co ciekawe, zgodnie z nowym prawem, jeżeli rozwój technologiczny umożliwi przekształcanie zanonimizowanych danych w dane osobowe, takie dane należy traktować jako dane osobowe i stosować odpowiednio RODO. Więc jak widać oba rozporządzenia dotykają bardzo podobnej materii i będą często wymagały łącznego zastosowania w projektach obejmujących oba rodzaje danych. To może nastręczać wielu problemów prawnych i organizacyjno-technicznych. Trzeba więc będzie pamiętać o zasadzie prawnej wprowadzonej przez RODO - „privacy-by-design", czyli obowiązku zadbania przez przedsiębiorcę o ochronę prywatności danych już w fazie projektowania każdego nowego rozwiązania technicznego, biznesowego czy organizacyjnego.
Jakie możliwości otwierają się dla przedsiębiorców?
Rozporządzenie ma zastosowanie do przechowywania i innego rodzaju przetwarzania danych, obejmującego wykorzystywanie wszelkiego rodzaju systemów informatycznych, niezależnie od tego, czy są one zlokalizowane w pomieszczeniach użytkownika, czy też są przedmiotem outsourcingu na rzecz dostawcy usług przechowywania lub innego rodzaju przetwarzania danych.
Zatem przede wszystkim zwiększyć się powinien popyt na outsourcing usług dotyczących obsługi danych nieosobowych, które dotychczas musiały być przechowywane i przetwarzane lokalnie w danym kraju członkowskim. Może to zwiększyć szanse na dalszy rozwój w Polsce centrów rozliczeniowych, baz danych, w tym w chmurze obliczeniowej.
Konieczne jest zatem przeanalizowanie jurysdykcji poszczególnych państw członkowskich w celu ustalenia, jakie i gdzie obecnie istnieją ograniczenia w swobodnym przemieszczaniu danych nieosobowych. Może to dotyczyć branż i sektorów regulowanych (takich jak usługi finansowe, bankowość, służba zdrowia, itp.), ale także baz danych należących do sektora publicznego, takich jak na przykład różnego rodzaju ewidencje i rejestry państwowe, chyba że będą musiały zostać wyłączone spod działania rozporządzenia ze względu na bezpieczeństwo publiczne. Przyszłość pokaże jaka będzie w tej mierze praktyka państw członkowskich i Komisji Europejskiej. Może się okazać, że obsługa i przechowywanie danych należących do wielu instytucji centralnych lub samorządowych, które nie mają znaczenia dla bezpieczeństwa publicznego będzie migrowana do centrów obliczeniowych umiejscowionych w państwach o niższych kosztach obsługi lub wręcz do chmury, pod warunkiem, że będzie to chmura europejska.
Nowa regulacja zachęca uczestników rynku, czyli każdego z nas do opracowania szczegółowych unijnych kodeksów postępowania, co mogłoby obejmować także określenie wzorców warunków umownych przepływu danych.
Wojciech Wyrozębski, Radca Prawny w Kancelarii Ożóg Tomczykowski
