Przewodnik KE o przepływie danych osobowych i nieosobowych

29 maja Komisja Europejska opublikowała komunikat ze wskazówkami w sprawie swobodnego przepływu danych nieosobowych w Unii Europejskiej. Wskazówki mają ułatwić małym i średnim przedsiębiorcom zrozumienie powiązań między rozporządzeniem w sprawie swobodnego przepływu danych nieosobowych a rozporządzeniem o ochronie danych osobowych (RODO).

28 maja weszło w życie rozporządzenie o przepływie danych nieosobowych, które zostało opracowane w listopadzie 2018 roku. Dzięki niemu firmy mogą w prostszy sposób przetwarzać dane na terenie UE, co może zredukować koszty przedsiębiorstwa o 20, a nawet 50%. Rozporządzenie zakłada, że dane mogą swobodnie przepływać pomiędzy członkami UE. Zdaniem KE przyczyni się to do zwiększenia produktywności i konkurencyjności na rynku światowym. Z kolei klienci małych i średnich przedsiębiorstw będą mieli łatwiejszy dostęp do korzystania z zasobów rynku na szeroką skalę.

Rozporządzenie o swobodnym przepływie danych nieosobowych ma trzy główne założenia:

  • Państwa członkowskie nie mogą wprowadzać wymogów dotyczących lokalizacji danych. Wyjątkiem może być tylko kwestia bezpieczeństwa publicznego.
  • Stworzenie mechanizmów współpracy, które zapewnią organom właściwym korzystanie z praw do przetwarzania danych.
  • Wspieranie przedsiębiorstw przez Komisję w tworzeniu  samoregulacyjnych kodeksów postępowania dotyczących zmiany usługodawców i przenoszenia danych.

Cel przewodnika

Przewodnik powstał na podstawie art. 8 ust. 3 rozporządzenia o swobodnym przepływie danych nieosobowych. Zawarte w nim wytyczne łączą Rozporządzenie o swobodnym przepływie danych nieosobowych z Rozporządzeniem o Ochronie Danych Osobowych. Ponieważ zbiory danych składają się zarówno z danych osobowych jak i nieosobowych, przewodnik ma pomóc użytkownikom (zwłaszcza małych i średnich przedsiębiorstw) zrozumieć interakcję między dwiema regulacjami.

Dane

Według Rozporządzenia o Ochronie Danych Osobowych dane osobowe oznaczają jakąkolwiek informację powiązaną ze zidentyfikowaną lub możliwą do zidentyfikowania osobą (tzw. podmiot danych). Możliwa do zidentyfikowania osoba to taka, która może być rozpoznana pośrednio bądź bezpośrednio, w szczególności przez imię, numer pesel, lokalizację, identyfikator internetowy lub przez jedną (i więcej) cechę fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturalną lub społeczną tożsamość osoby fizycznej.

Do danych nieosobowych zalicza się natomiast te, które nie są scharakteryzowane w Rozporządzeniu o Ochronie Danych Osobowych. Mogą one być podzielone na dane, które:

  • nie są powiązane ze zidentyfikowaną lub możliwą do zidentyfikowania osobą, np. dane warunków pogodowych generowane z czujników,
  • początkowo były danymi osobowymi, a następnie zostały zanonimizowane.

Mieszane zbiory danych:

  • Rejestr podatkowy firmy (z imieniem i nazwiskiem właściciela i numerem telefonu)
  • Bankowe zbiory danych (informacje o kliencie, szczegóły transakcji (metody płatności), umowy pożyczki, dokumenty łączące dane osoby fizycznej bądź prawnej
  • Zanonimizowane dane statystyczne instytucji badawczej oraz surowe dane (odpowiedzi respondentów na dane z badań)
  • Bazy firm z informacjami o incydentach i zastosowanych rozwiązaniach
  • Dane z Internetu Rzeczy, które można przypisać do konkretnych osób (np. obecność w konkretnym miejscu)
  • Dane ze sprzętu produkcyjnego w przemyśle wytwórczym

Swobodny przepływ danych

Swobodny przepływ danych nieosobowych będzie uzależniony od kodeksu, który powinien być stworzony na poziomie państwa członkowskiego. Komisja powinna zachęcać i ułatwiać rozwój kodeksów samoregulacji przedsiębiorstw na poziomie UE,[1]. Państwa członkowskie, organy nadzoru, Europejska Rada Ochrony Danych i Komisja powinny zachęcać przedsiębiorstwa do tworzenia kodeksów postępowania i ustanowienia mechanizmów certyfikacji ochrony danych[2].

Stowarzyszenia lub inne organy, reprezentujące szczególną kategorię administratorów lub podmiotów przetwarzających dane, mogą przygotować kodeks postępowania dla danego sektora. Zarys kodeksu powinien być przedłożony do odpowiedniego organu nadzorczego do zatwierdzenia. Jeśli zarys kodeksu postępowania odnosi się do przetwarzania danych w kilku państwach członkowskich, organ nadzorczy musi zgłosić to do Europejskiej Rady Ochrony Danych przed zatwierdzeniem. Wtedy Rada wyda opinię czy stworzony kodeks spełnia warunki z rozporządzenia.

Przy tworzeniu kodeksu powinny być wzięte pod uwagę:

  • najlepsze praktyki ułatwiające zmianę dostawców usług oraz przesyłanie danych w sposób ustrukturyzowany w powszechnie używanym formacie,
  • minimalne wymagania informacyjne, które zapewnią, że przed podpisaniem umowy, użytkownicy otrzymają jasne i szczegółowe informacje o procesach, wymaganiach technicznych, ramach czasowych oraz opłatach, które są pobierane w przypadku gdy użytkownik zechce zmienić dostawcę usług lub przenieść dane do własnego systemu,
  • systemy certyfikacji dla łatwiejszego porównania usług w chmurze,
  • podnoszenie świadomości o kodeksie postępowania.

Rozporządzenie o Ochronie Danych Osobowych zakłada, że swobodny przepływ danych osobowych na terenie Unii nie może być zakazany z powodów ochrony osoby fizycznej. Jednym z celów rozporządzenia o swobodnym przepływie danych osobowych jest omijanie praktyk blokowania dostawców. Takie praktyki zdarzają się, gdy użytkownicy nie mogą zmieniać dostawców usług, ponieważ ich dane są zamknięte w systemie dostawcy – co znaczy, że nie mogą być przesłane poza dany system IT np. z powodu specyficznego formatu lub zapisu w umowie.

Podsumowanie

  • Rozporządzenie o Ochronie Danych Osobowych i rozporządzenie o swobodnym przepływie danych nieosobowych zapewniają transgraniczny rozwój danych. Od nich zależy budowanie zaufania wobec przepływu danych, a także zapewnienie konkurencyjności rynku europejskiego na poziomie światowym.
  • Opracowany przewodnik ma pomóc adresatom rozporządzeń w zrozumieniu i wypełnianiu zadań. Wyjaśnia różnice między rozporządzeniami, tłumaczy najważniejsze pojęcia oraz zawiera przykłady, które pokazują jak należy działać w ramach rozporządzeń.
  • Zarówno Rozporządzenie o Ochronie Danych Osobowych, jak i rozporządzenie o swobodnym przepływie danych nieosobowych odwołują się do mobilności danych. Stawiają za cel łatwiejsze przenoszenie danych z jednego środowiska IT do innego.
  • Rozporządzenia wynikają z potrzeb czwartej rewolucji przemysłowej. Mają one zapewnić jednolity rynek cyfrowy i rozwój nowoczesnych technologii.

[1] Art. 6 rozporządzenia o swobodnym przepływie danych nieosobowych.

[2] Zgodnie z art. 40 ust. 1 i art. 42 ust. 1 Rozporządzenia o Ochronie Danych Osobowych.