Breaking news
Zapraszamy do współpracy w 2024 r.! Po więcej informacji skontaktuj się z nami mailowo: [email protected]

Jak podaje na swoim Alercie Prawnym Deloitte, 18 grudnia 2018 r. weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1807 z 14 listopada 2018 r. w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej. Będzie ono stosowane od 28 maja 2019 r.

Z Alertu Prawnego dowiadujemy się:

Jaki jest cel i co reguluje Rozporządzenie?

Celem Rozporządzenia jest przede wszystkim wsparcie rozwoju europejskiej gospodarki oraz nowoczesnych technologii opartych na danych i ich przepływie poprzez:

a) ułatwienie mobilności danych nieosobowych w ramach Unii Europejskiej poprzez zakaz nakładania wymogów lokalizacji danych na określonym terytorium, chyba że jest to uzasadnione względami bezpieczeństwa publicznego.

  • Ograniczenia w tym zakresie obowiązują w niektórych państwach członkowskich w odniesieniu do świadczących usługi finansowe, działających w sektorze usług zdrowotnych czy podmiotów publicznych.
  • Ograniczenia mają być zniesione do 30 maja 2021 r., zaś każdy nowy projekt aktu wprowadzającego ograniczenia lub je zmieniającego będzie wymagał zgłoszenia Komisji Europejskiej.
  • Do 30 maja 2021 r. państwa członkowskie mają zgłosić Komisji Europejskiej, że istniejący w danym państwie zakaz jest uzasadniony względami bezpieczeństwa publicznego – zgłoszenie to będzie podlegało badaniu przez Komisję Europejską, która w razie konieczności przedstawi swoje uwagi i zalecenie zmiany lub uchylenia środka. Państwa członkowskie będą także zobowiązane do publicznego udostępniania informacji o stosowanych na ich terytorium wymogach lokalizacyjnych.

b) zachęcanie do tworzenia samoregulacyjnych unijnych kodeksów postępowania (np. dostawców usług przetwarzania w chmurze):

  • Kodeksy powinny regulować następujące aspekty:
    • najlepsze praktyki w zakresie ułatwiania zmiany dostawcy usług i przenoszenia danych do innych dostawców lub własnych systemów informatycznych, z wykorzystaniem formatów ustrukturyzowanych, powszechnie używanych i nadających się do odczytu maszynowego, w tym formatów opartych na otwartych standardach, gdy jest to wymagane przez dostawcę usług otrzymującego dane lub gdy zwraca się on z takim wnioskiem;
    • minimalne wymogi informacyjne mające na celu zapewnienie użytkownikom korzystającym z usług dla celów związanych z prowadzeniem działalności gospodarczej - przed zawarciem umowy o przetwarzanie danych - wystarczająco dokładnych, jasnych i przejrzystych informacji na temat: procesów (w tym procesów tworzenia zapasowych kopii danych i lokalizację takich kopii; wymogów technicznych oraz dostępnych formatów i nośników danych, wymaganej konfiguracji systemów informatycznych oraz minimalnej szerokości pasma sieciowego), ram czasowych (np. czasu wymaganego przed rozpoczęciem procesu przenoszenia danych i okresu, przez który dane będą nadal dostępne do celów ich przeniesienia), opłat, które mają zastosowanie w przypadku, gdy użytkownik profesjonalny chce zmienić dostawcę usług lub przenieść dane z powrotem do własnych systemów informatycznych;
    • podejścia w zakresie systemów certyfikacji ułatwiających porównywanie produktów i usług związanych z przetwarzaniem danych dla użytkowników korzystających z usług dla celów związanych z prowadzeniem działalności gospodarczej, w tym np. zarządzanie jakością, zarządzanie bezpieczeństwem informacji, zarządzanie ciągłością działania i zarządzanie środowiskowe;
    • plany działania w zakresie komunikacji z wielodyscyplinarnym podejściem do upowszechniania wiedzy o kodeksach postępowania wśród właściwych zainteresowanych stron.
  • Komisja zachęca dostawców usług do opracowania kodeksów do 29 listopada 2019 r. oraz ich skutecznego wdrożenia do 29 maja 2020 r.

Rozporządzenie określa także zasady dostępu do danych przez właściwe organy dla celów związanych z wykonywaniem obowiązków urzędowych oraz współpracy organów z różnych państw członkowskich w tym zakresie.

Jaki jest zakres zastosowania Rozporządzenia?

Rozporządzenie stosuje się do:

a) usług przetwarzania elektronicznych danych nieosobowych w Unii Europejskiej świadczonych na rzecz użytkowników mających miejsce zamieszkania lub siedzibę w UE, niezależnie od tego, czy dostawca usługi ma swoją siedzibę w UE czy poza nią; lub

b) przetwarzania elektronicznych danych nieosobowych prowadzonego na potrzeby własne przez osobę fizyczną mającą miejsce zamieszkania w UE lub osobę prawną mającą siedzibę w UE.

W praktyce Rozporządzenie będzie miało zastosowanie np. do podmiotów świadczących usługi przetwarzania w chmurze, big data, IoT, czy AI.

Czym są dane nieosobowe?

Dane nieosobowe to elektroniczne dane inne niż dane osobowe zdefiniowane w RODO. Będą to więc informacje, które nie będą wskazywały lub pozwalały na ustalenie tożsamości osoby fizycznej.

Jako przykłady danych nieosobowych wskazuje się zanonimizowane zbiory danych wykorzystywane do analiz big data, algorytmy informatyczne, dane wytwarzane przez maszyny, czy informacje dotyczące przeglądanych stron internetowych, czasu spędzonego na danej stronie lub liczby wizyt, o ile informacje te nie dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Czym jest przetwarzanie danych nieosobowych?

Przetwarzanie danych nieosobowych to każda operacja lub zestaw operacji wykonywanych na danych nieosobowych lub zbiorach danych nieosobowych w formie elektronicznej, w sposób zautomatyzowany lub niezautomatyzowany.

Przetwarzaniem będzie zatem na przykład zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie przez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych nieosobowych.

Rozporządzenie powinno mieć zastosowanie do jak najszerzej rozumianego przetwarzania danych, obejmującego wykorzystanie wszelkiego rodzaju systemów informatycznych, niezależnie od tego, czy są one zlokalizowane w pomieszczeniach użytkownika czy też są zlecane w ramach outsourcingu na rzecz dostawcy usług. Przetwarzanie powinno obejmować różne modele dostarczania usług – Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) lub Software-as-a-Service (SaaS).

Jak się ma Rozporządzenie w sprawie swobodnego przepływu danych nieosobowych do RODO?

Rozporządzenie dotyczące swobodnego przepływu danych nieosobowych pozostaje bez wpływu na regulacje dotyczące ochrony danych osobowych, tak więc wszystkie prawa i obowiązki wynikające z RODO pozostają w mocy.

W odniesieniu do zbiorów obejmujących zarówno dane osobowe, jak i nieosobowe, Rozporządzenie ma zastosowanie do części zbioru złożonej z danych nieosobowych. W przypadku gdy w zbiorze danych dane osobowe i nieosobowe są nierozerwalnie związane, Rozporządzenie pozostaje bez uszczerbku dla stosowania RODO.

W związku z tym, że w praktyce mogą się pojawić wątpliwości co do statusu określonych informacji, tj. dane osobowe v. dane nieosobowe, do 29 maja 2019 r. Komisja Europejska ma opublikować wskazówki dotyczące wzajemnych powiązań między Rozporządzeniem a RODO.

Jak to będzie działać w praktyce?

Generalnie trudno nie zgodzić się z kierunkiem zmian wprowadzanych przez Rozporządzenie. Należy jednak pamiętać, że może ono obejmować swoim zakresem o wiele szerszy zakres danych niż RODO, ponieważ dane nieosobowe mogą być w zasadzie czymkolwiek (tak długo jak nie są danymi osobowymi).

W związku z tym trudne może być określenie spójnych zasad dla tak szerokiego spektrum danych. Przykładowo, dla usług obecnie dostępnych w chmurach obliczeniowych zupełnie inne są wyzwania związane z formatem i przenoszeniem danych z platform do pracy grupowej i kolaboracji (np. dokumenty, dzielone zasoby, itp.), a inne dla danych opisujących infrastrukturę w chmurze (np. obrazy maszyn wirtualnych, topologia sieci, dane w platformach bazodanowych). Rozporządzenie nie rozróżnia tych rodzajów danych, tymczasem opracowanie jednolitych regulacji dla tak różnych danych może być w praktyce bardzo trudne.

Źródło: deloitte.com