Dane osobowe: strategia tzw. Jednolitego Rynku Cyfrowego

Strategia tzw. Jednolitego Rynku Cyfrowego zakłada, że Europa stanie się obszarem dynamicznego rozwoju dla gospodarki opartej nad danych. Komisja podejmuje więc działania, aby dane swobodnie przepływały między państwami.

Publikacja: 05.01.2018 05:00

Dane osobowe: strategia tzw. Jednolitego Rynku Cyfrowego

Foto: Adobe Stock

Optymalny sposób realizacji tych celów jest przedmiotem dyskusji i konsultacji. Ścierają się w nich stanowiska zachowawcze, postulujące jedynie tworzenie zachęt dla przedsiębiorców, jak i pomysły nowych, nawet daleko idących regulacji, na czele z ideą powstania ogólnego prawa do danych wzorowanego na prawie własności.

Unijne konsultacje

26 kwietnia 2017 roku Komisja Europejska zakończyła konsultacje online na temat inicjatyw podejmowanych w obszarze Jednolitego Rynku Cyfrowego, w tym w odniesieniu do budowy tzw. "europejskiej gospodarki opartej na danych". Komisji zależało na ustaleniu, czy w Unii realizowana jest zasada swobodnego przepływu danych oraz jakie kroki należy jeszcze podjąć, aby wzmocnić potencjał ekonomiczny wynikający z gromadzenia, przetwarzania czy analizowania dużych ilości informacji.

Oprócz internetowego badania opinii publicznej zorganizowano kilka warsztatów (ogólnych i sektorowych) z zainteresowanymi osobami i instytucjami. W sumie w konsultacjach wzięli udział zarówno przedstawiciele biznesu, w tym producenci urządzeń podłączanych do Internetu, operatorzy i użytkownicy platform internetowych, brokerzy danych i przedsiębiorcy zajmujący się komercjalizacją produktów i usług opartych na danych, jak i organizacje pozarządowe i instytucje naukowe oraz przedstawiciele państw członkowskich, w tym Polski.

Bez barier

Większość uczestników konsultacji nie miała wątpliwości, że bariery dla swobodnego przepływu danych (określane jako ograniczenia lub wymogi dotyczące lokalizacji) negatywnie wpływają na gospodarkę Unii. Przepisy nakazujące przechowywanie pewnych danych w granicach państwa (np. danych księgowych czy określonych typów dokumentacji technicznej) i zakazujące lub ograniczające możliwość ich swobodnego przenoszenia w ramach UE wpływają na koszty działalności i utrudniają wprowadzenie produktu lub usługi na nowy rynek. W opinii części środowisk ograniczenia mają przede wszystkim odczuwać startupy oraz sektor MŚP działający w obszarze nowoczesnych technologii zmuszeni do powielania zasobów czy utrzymywania dodatkowej infrastruktury na potrzeby nowych rynków.

Wnioskiem ponad połowy respondentów stała się konieczność zapewnienia swobodnego przepływu danych przez usunięcie wymogów w zakresie lokalizacji. Część z nich zwracała jednak uwagę, że pewne ograniczenia są konieczne ze względów bezpieczeństwa publicznego, walki z przestępczością czy ochrony poufności.

Co ciekawe, uczestnicy konsultacji w większości uznali, że najlepszy sposób na zwiększenie swobody przepływu danych to odpowiedni instrument legislacyjny, dopiero na drugim miejscu wskazując niewiążące wytyczne czy działalność edukacyjną.

Niejasne warunki przenoszenia danych

Respondenci odpowiadali także na pytania dotyczące problemów, z jakimi stykają się, gdy chcą przenieść lub odzyskać dane zgromadzone u usługodawców (dane przetwarzane w chmurach obliczeniowych, dane gromadzone lub tworzone w cudzej infrastrukturze w modelach IaaS lub PaaS i in.). Część (a w kategorii MŚP nawet większość) respondentów wskazała na trudności, których doświadczyła w związku z próbą transferu swych danych między różnymi usługodawcami, w szczególności dostawcami usług chmurowych. Wyrażono zatem zgodny postulat podjęcia działań ułatwiających ich przenaszalność.

Transfer danych to jednak nie tylko problem prawny, który dałby się rozwiązać przez stworzenie stosownego uprawnienia po stronie usługobiorców. To również kwestia standaryzacji technologicznej, w tym zgodności formatów, która pozwoli łatwo zmienić środowisko informatyczne oraz zapewni właściwą identyfikację danych i metadanych dla ustalenia ich źródła czy przynależności. Problemem jest także czas potrzebny na efektywny transfer, a także zapewnienie i unormowanie wymogów interoperacyjności systemów, w tym środowisk chmurowych.

Nowe prawo w Europie

Wnioski z konsultacji bardzo szybko doprowadziły do konkretnych działań Komisji. 13 września 2017 roku opublikowano projekt rozporządzenia w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej. Celem projektowanej regulacji jest ograniczenie wymogów lokalizacyjnych do niezbędnego minimum. Ma także precyzować zasady dostępności danych dla właściwych organów oraz odnosić się do kwestii ich przenoszenia.

W przeciwieństwie do pierwszego projektu, który w sposób nieoficjalny ujrzał światło dzienne kilka tygodni wcześniej, jego aktualny tekst wyraźnie ogranicza się do danych innych niż osobowe. Zagadnienia takie jak przenaszalność czy swobodny przepływ danych osobowych reguluje już bowiem ogólne rozporządzenie o ochronie danych (RODO). Co więcej, nowe przepisy mają zasadniczo dotyczyć relacji między przedsiębiorcami, pozostawiając kwestie danych „należących" do konsumentów innym regulacjom.

Zgodnie z projektem, państwa członkowskie nie mogą wprowadzać żadnych ograniczeń, nakazów ani zakazów dotyczących przechowywania lub innego rodzaju przetwarzania danych w określonym państwie członkowskim. Ewentualne wyjątki dopuszczalne w świetle opublikowanej wersji projektu muszą być umotywowane względami bezpieczeństwa publicznego. Jednak aby zapobiec dowolności w stosowaniu tej przesłanki, państwa członkowskie zobowiązane będą powiadomić Komisję o każdym projekcie aktu, który wprowadza nowe lub zmienia istniejące wymogi dotyczące lokalizacji.

Państwa członkowskie będą miały 12 miesięcy, aby uchylić wszelkie niezgodne z rozporządzeniem wymogi dotyczące lokalizacji danych. Jeżeli jednak któreś z nich uzna, że określony wymóg należy zachować ze względów bezpieczeństwa publicznego, będzie musiało powiadomić o tym Komisję i przedłożyć stosowne uzasadnienie. Dla większej przejrzystości, państwa będą miały obowiązek podawania w Internecie i aktualizowania informacji o wszelkich zachowanych ograniczeniach dotyczących swobodnego przepływu danych.

Uprawnienia służb

Projekt rozporządzenia uwzględnia także sugestie uczestników konsultacji, którzy zwracali uwagę na zagrożenia związane z całkowitą swobodą przepływu danych w Unii, w szczególności dla zwalczania przestępczości, w tym dla prawidłowego przebiegu postępowań karnych.

Dokument wyraźnie przewiduje, że nikt nie będzie mógł odmówić dostępu do danych tylko dlatego, że dane są przetwarzane w innym państwie członkowskim. Natomiast, gdy organ wyczerpie krajowe środki prawne, lecz osoba zobowiązana do udostępnienia nie przekaże żądanych informacji, organ będzie mógł, za pośrednictwem tzw. centralnego punktu kontaktowego, zwrócić się z wnioskiem o pomoc do właściwego organu w państwie przechowywania danych. Organy państw, w których będzie możliwy dostęp do danych zobowiązane będą pomóc organom poszukującym dostępu, chyba że naruszałoby to porządek publiczny tych państw.

Przenoszenie danych

Projekt rozporządzenia nie reguluje, a jedynie odnosi się do kwestii przenaszalności danych. Komisja będzie wspierać i ułatwiać opracowywanie przez samych zainteresowanych unijnych kodeksów praktyk, dzięki którym zmiana dostawcy ma być prosta. Na razie nie zamierza jednak wprowadzać bezwzględnie wiążących regulacji. Kodeksy mają również zapewnić, aby dostawcy informowali swoich klientów m.in. o procesach, wymaganiach technicznych, ramach czasowych czy opłatach stosowanych w przypadku zmiany dostawcy lub woli odzyskania danych. Co ciekawe, wśród zalecanych praktyk mają znaleźć się gwarancje dostępu do danych w przypadku upadłości dostawcy.

Komisja uznała, że na obecnym etapie byłoby niezwykle trudno stworzyć jednoznaczny i wyczerpujący katalog wymagań organizacyjnych, technicznych i prawnych dotyczących przenaszalności danych, który objąłby wszystkie istniejące modele. Projekt zastrzega jednak, że po dwóch latach stosowania rozporządzenia zostanie przeprowadzony przegląd praktyk rynkowych i kodeksów. Można przypuszczać, że w przypadku negatywnej oceny metody samoregulacji, Komisja zaproponuje inne, tym razem władcze rozwiązania.

Niedyskryminujące warunki

Omawiany projekt obejmuje jedynie wycinek zagadnień istotnych dla „budowy europejskiej gospodarki opartej na danych". Nie wspomina m.in. o zachętach dla wymiany danych między przedsiębiorcami czy wykorzystaniu danych pochodzących z sektora publicznego. Przedsiębiorcy dostrzegają zaś wagę możliwości korzystania z wielu źródeł danych, w tym także pochodzących od innych podmiotów. Zarazem doceniają korzyści z istnienia reguł obrotu danymi, które chronią najważniejsze tajemnice przedsiębiorstwa i nakłady poczynione na zebranie lub przetworzenie danych, lecz z drugiej strony nie powodują nadmiernych ograniczeń w dostępie do cennych informacji.

Uczestnicy konsultacji byli jednak sceptyczni wobec jakichkolwiek prób władczego regulowania, w tym wymuszania dostępu do danych. Twierdzą, że swoboda umów zawieranych między "posiadaczami" danych i zainteresowanymi stronami powinna mieć pierwszorzędne znaczenie, w szczególności wobec bardzo zróżnicowanych modeli biznesowych opartych na korzystaniu z danych czy wrażliwości niektórych informacji, nad którymi ich "posiadacze" wolą zachować pełną kontrolę. Idea wprowadzenia pewnych zasad dla ustabilizowania praktyki relacji umownych znalazła jednak przychylność.

Jedną z koncepcji jest wprowadzenie wymogu, aby dane były licencjonowane na uczciwych, rozsądnych i niedyskryminujących warunkach (FRAND – fair, reasonable, and non-discriminatory terms), a więc zgodnie z wymaganiami znanymi z prawa konkurencji dla umów dotyczących ograniczonych lub zmonopolizowanych dóbr. Wskazuje się także na możliwość stworzenia zestawu domyślnych, zalecanych czy standardowych postanowień umownych.

Celem tych działań byłoby nie tyle wymuszenie udostępnienia danych, ale stworzenie budzących zaufanie, przemyślanych i uczciwych warunków dobrowolnych umów dotyczących udostępnienia. Zakłada się bowiem, że kontrahenci chętniej wymienialiby się danymi, gdyby dysponowali łatwymi do stosowania, standardowymi rozwiązaniami umownymi gwarantującymi m.in. przejrzystość co do sposobu i celów przetwarzania danych lub ich ochrony (w tym poufności).

Żadna z wymienionych koncepcji nie została jeszcze przesądzona. Każda ma swoich zwolenników i przeciwników, a wśród uczestników konsultacji największą zgodność budziły koncepcje zmierzające do technicznego ujednolicenia rynku (np. stosowania zestandaryzowanych interfejsów programistycznych aplikacji). Podkreśla się jednak, że stanowią one jedynie mechanizm służący do wymiany danych, jednak same w sobie nie wpływają ani na decyzję o ich udostępnieniu, ani na warunki ich udostępnienia.

Komisja będzie prowadzić dalsze analizy, obejmując nimi także pozostałe zagadnienia, w tym kwestie dostępu i ponownego wykorzystania danych pochodzących z sektora publicznego oraz dostępu do prywatnych, lecz mających publiczne znaczenie informacji, zwłaszcza w obszarze bezpieczeństwa. ?

Zdaniem autora

Piotr Zawadzki, adwokat, rzecznik patentowy, senior associate w zespole prawa własności intelektualnej i ochrony danych osobowych w polskim biurze Bird & Bird

Warto przypomnieć, że jednym z najciekawszych, ale i najbardziej kontrowersyjnych pomysłów Komisji była idea stworzenia wyraźnego prawa do danych wzorowanego na prawie własności. Podczas konsultacji zwracano jednak uwagę, że najważniejszą kwestią nie jest to, który podmiot ma „tytuł własności" do danych i jak należy go definiować, ale raczej to, w jaki sposób należy zorganizować, w sensie technicznym i organizacyjnym, dostęp do nich. Przywoływano także stanowisko Europejskiego Ośrodka Strategii Politycznej, zgodnie z którym wybór między działaniami zmierzającymi do stworzenia nowego własnościowego prawa a działaniami prowadzącymi do zwiększania dostępu do danych to alternatywa rozłączna. Komisja i inne ośrodki decyzyjne w Unii muszą więc podjąć jednoznaczną decyzję polityczną o kierunku dalszych prac. ?

Optymalny sposób realizacji tych celów jest przedmiotem dyskusji i konsultacji. Ścierają się w nich stanowiska zachowawcze, postulujące jedynie tworzenie zachęt dla przedsiębiorców, jak i pomysły nowych, nawet daleko idących regulacji, na czele z ideą powstania ogólnego prawa do danych wzorowanego na prawie własności.

Unijne konsultacje

Pozostało 97% artykułu
2 / 3
artykułów
Czytaj dalej. Kup teraz
Prawo karne
Przeszukanie u posła Mejzy. Policja znalazła nieujawniony gabinet
Prawo dla Ciebie
Nowe prawo dla dronów: znikają loty "rekreacyjne i sportowe"
Edukacja i wychowanie
Afera w Collegium Humanum. Wykładowca: w Polsce nie ma drugiej takiej „drukarni”
Edukacja i wychowanie
Rozporządzenie o likwidacji zadań domowych niezgodne z Konstytucją?
Praca, Emerytury i renty
Są nowe tablice GUS o długości trwania życia. Emerytury będą niższe