16 maja 2019

Przepływ danych nieosobowych. Ramy swobodnego przenoszenia informacji w prawie europejskim

Udostępnij

Rozporządzenie o ochronie danych osobowych osób fizycznych[i] (dalej jako: RODO), stosowane od 25 maja 2018 roku, zdążyło już znacząco wpłynąć na funkcjonowanie europejskich przedsiębiorców, a zwłaszcza tych, których działalność opiera się na szeroko pojętym rynku usług internetowych oraz tworzeniu innowacyjnych technologii. Nowe obowiązki nałożone na podmioty przetwarzające dane, konieczność dostosowania wcześniej istniejących struktur oraz widmo wysokich kar finansowych – to zazwyczaj z tymi rzeczami RODO było kojarzone przez polskich przedsiębiorców.  Wysokie koszty wdrożenia zgodności z nowymi przepisami były odczuwalne zwłaszcza dla mniejszych czy dopiero rozpoczynających swoje funkcjonowanie firm. Nowe, innowacyjne podmioty gospodarcze (tzw. startupy) wskazywały, że ramy stosowania RODO i szerokie rozumienie pojęcia danych osobowych mogą prowadzić do ograniczania ich rozwoju biznesowego, dla którego bardzo często kluczowa jest możliwość nieskrępowanego przetwarzania i nieustanny dostęp do informacji.  Również organy Unii Europejska zauważyły potencjalne niebezpieczeństwa, które mogą wynikać z nowych regulacji i w celu ich zrównoważenia przyjęły 14 listopada 2018 roku Rozporządzenie w sprawie ram swobodnego przepływu danych nieosobowych[ii] (dalej jako: Rozporządzenie o przepływie danych), które weszło w życie 18 grudnia 2018 roku. Przepisy nowej regulacji będą mieć zastosowanie od 28 maja 2019 roku.

Powody przyjęcia regulacji

Powszechna cyfryzacja wszystkich dziedzin gospodarki państw europejskich powoli staje się faktem, a usługi informatyczne już dawno przestały być specyficznym działem systemu ekonomicznego, który jest wykonywany jedynie przez wyspecjalizowane podmioty. Dzisiaj prawie każda firma dla sprawnego funkcjonowania wymaga dostępu do technologii przechowywania plików w chmurze, utworzenia własnej strony internetowej czy chociażby nieustannego działania skrzynek mailowych. Wszyscy przedsiębiorcy, od biura projektowego przez kancelarię prawną aż po zakład fryzjerski, aby skutecznie konkurować na rynku i efektywnie docierać do klienta, muszą przynajmniej w części korzystać z informatycznego przetwarzania informacji. Dane w dzisiejszej gospodarce często porównuje się do surowca naturalnego[iii], który napędza funkcjonowanie największych przedsiębiorstw na świecie (Alphabet, Amazon, Facebook). Są one szczególnie ważne dla podmiotów gospodarczych, które całe swoje funkcjonowanie opierają na ich przetwarzaniu. Przykładem może być projektowanie technologii Internetu rzeczy (ang. Internet of Things – IoT), analiza Big Data, uczenie maszynowe, sieci i programy autonomiczne czy technologia 5G. Szczególnie ważnym z ekonomicznego punktu widzenia oraz biorąc pod uwagę wydajność całego sytemu pozostaje stworzenie tzw. łańcucha wartości danych, czyli nieskrępowanego przetwarzania danych przez różne podmioty na odmiennych etapach ich funkcjonowania. Na łańcuch wartości danych składają się m.in. ich tworzenie, gromadzenie, agregacja, organizacja, wykorzystywanie, a następnie ponowne wykorzystanie.

W Rozporządzeniu o przepływie danych zostały zidentyfikowane w szczególności dwie bariery dla wskazanych innowacyjnych przedsięwzięć:

  • wymogi dotyczące lokalizacji danych wprowadzone przez państwa członkowskie UE oraz
  • uzależnienie od jednego dostawcy w sektorze prywatnym.

Zniesienie wskazanych ograniczeń według europejskiego legislatora może zwiększyć mobilność danych oraz umożliwić sprawniejsze tworzenie cyfrowego rynku wewnętrznego.

Wymogi dotyczące lokalizacji danych mogą wynikać z przepisów państw członkowskich o randze ustawowej lub wykonawczej. Zgodnie z nimi dane powinny być lokalizowane na określonym obszarze geograficznym lub określonym terytorium do celów ich przetwarzania. Taki sam skutek mogą mieć również przepisy, które nakładałyby trudne do spełnienia wymogi w sytuacji próby przeniesienia przetwarzania danych poza określone terytorium (np. wewnętrzne standardy certyfikacyjne lub nieproporcjonalne wymagania techniczne). Przykładem podobnych regulacji mogą być wymogi nakładane na podmioty finansowe przez organy regulacyjne, ograniczenia zagranicznego przetwarzania danych ze względu na przepisy dotyczące tajemnicy zawodowej czy obowiązki krajowego przechowywania danych nakładane na podmioty publiczne. Powszechne konsultacje przeprowadzone przez organy Unii Europejskiej[iv] pokazały, że większość respondentów (62% z ponad trzystu podmiotów gospodarczych) oczekuje podjęcia działań legislacyjnych, które zniosą nakazy lokalizacyjne dotyczące danych. Przedsiębiorcy w przytoczonych badaniach wskazują, że takie zmiany mogłyby ograniczyć koszty finansowe, które są przez nich ponoszone chociażby przy wprowadzaniu usług internetowych do innych państw członkowskich UE. Ze względu na możliwe korzyści, zgodnie z rozporządzeniem wymogi lokalizacyjne powinny być zniesione również w powszechnych i spójnych praktykach administracyjnych, a także w wymogach przetwarzania danych w inwestycjach z zakresu zamówień publicznych.

Istotnym problemem pozostaje również częste uzależnienie podmiotów prywatnych od jednego dostawcy np. usług przetwarzania danych w chmurze oraz późniejsze trudności przy próbach jego ewentualnej zmiany. Ponad 70% podmiotów z przytaczanych wcześniej publicznych konsultacji zamierza zmienić kontrahenta świadczącego na ich rzecz usługi chmurowe (cloud services), a prawie 60% z nich napotkało istotnych trudności, kiedy próbowało dokonać zmiany w przeszłości. Taka sytuacja może wynikać z charakterystycznego konfliktu interesów, który stworzył się na tym specyficznym rynku.  Usługodawcy chmurowi po pozyskaniu konkretnego klienta, który rozpoczyna korzystanie z udostępnionych zasobów, nie mają ekonomicznych powodu, aby zapewnić mu odpowiednie procedury ewentualnego „wyjścia”, które ułatwią mu możliwość przeniesienia się do innego usługodawcy. Stworzenie takich procedur wiąże się z odpowiednim przygotowaniem technicznym i organizacyjnym, czyli bardzo często z dodatkowymi kosztami finansowymi, które muszą zostać poniesione przez usługodawców. Z tych powodów, w pewnych sytuacjach pojawiać się mogą nawet podejrzenia o to, że usługodawcy podejmują intencjonalne działania, które mają sprawić, aby ewentualna zmiana podmiotu oferującego usługi chmurowe była nieopłacalna dla ich kontrahenta. Mogą to robić poprzez odpowiednie konstruowanie zapisów umownych, przerzucanie ryzyka operacyjnego na kontrahentów czy niezapewnianie odpowiedniej transparentności wymogów technologicznych. Podobne działania będą również ograniczać przenoszenie danych użytkowników z powrotem do ich własnych systemów informatycznych, także po rozwiązaniu przez użytkownika umowy z dostawcą usług. Podejmowanie takich czynności może z pewnością zostać uznane za czyn nieuczciwej konkurencji jednak, ze względu na skomplikowanie techniczne omawianych sytuacji, często mogą one być wysoce trudne do prawnej identyfikacji.

Połączenie wymienionych powyżej czynników doprowadziło do znacznych ograniczeń w mobilności danych wewnątrz Unii Europejskiej. Ta niekorzystna sytuacja wpływa na poziom współpracy w inicjatywach badawczo-rozwojowych pomiędzy firmami, a uczelniami oraz innymi organizacjami badawczymi, a przez to pośrednio również na poziom innowacyjności produktów i konkurencyjność całego rynku europejskiego. Z tych powodów organy unijne zdecydowały się wprowadzić jednolite przepisy w formie rozporządzenia, które będą miały bezpośrednie zastosowanie na terenie wszystkich państw członkowskich.

Zakaz wymogów lokalizacyjnych na terenie Unii

Rozporządzenie o przepływie danych będzie mieć zastosowanie do elektronicznego przetwarzania wszystkich danych nieosobowych, jeśli będzie ono świadczone w formie usługi dla użytkowników, których miejsce zamieszkania lub siedziba będzie znajdować się na terytorium Unii Europejskiej. W tej sytuacji bez znaczenia jest fakt, czy sam dostawca usługi ma siedzibę w Unii Europejskiej – będzie on zawsze podlegał regulacji, jeśli jego użytkownicy będą mieć miejsce zamieszkania lub siedzibę na terenie Unii. Prowadzi to do sytuacji, w której przepisy Rozporządzenia będą stosowane w stosunku do podmiotów spoza UE (np. działających z terytorium Stanów Zjednoczonych) tylko dlatego, że ich użytkownicy znajdują się na terytorium UE. Regulacja ma zastosowanie również do przetwarzania danych, które jest prowadzone na własne potrzeby przez osobę fizyczną mającą miejsce zamieszkania lub osobę prawną mającą siedzibę w Unii Europejskiej.

Zwrot dane nieosobowe oznacza wszystkie dane, które nie wchodzą w zakres definicji danych osobowych zgodnie z regulacją przepisów RODO. Danymi nieosobowymi mogą być więc np. dane wytwarzane przez autonomiczne maszyny lub urządzenia Internetu rzeczy, dane z czujników w sygnalizatorach świetlnych czy zagregowane informacje dotyczące ruchu na stronach internetowych Rozporządzenie nie nakłada obowiązku oddzielnego przechowywania różnych rodzajów danych. W sytuacji, w której jeden zbiór danych będzie obejmował zarówno dane osobowe jak i dane nieosobowe – a można przypuszczać, że z taką sytuacją będziemy mieć stosunkowo często – do części zbioru zawierającego dane nieosobowe stosować będziemy Rozporządzenie o przepływie danych. Jednak, jeśli rozdzielenie danych osobowych i nieosobowych nie będzie możliwe, czyli będą one ze sobą nierozerwalnie związane, zastosowanie znajdą przepisy RODO.

Rozporządzenie wskazuje bardzo szeroką definicję przetwarzania danych. Obejmuje ona de facto każdą czynność, którą na danych można dokonać niezależnie od tego, czy jest ona wykonywana w sposób zautomatyzowany czy nie. Warto wskazać, że przepisy Rozporządzenia nie różnicują sytuacji prawnej od tego, czy z usługi przetwarzania danych korzysta osoba fizyczna, osoba prawna czy organ publiczny lub podmiot prawa publicznego. Jest to istotna różnica w stosunku do przepisów RODO, które ochronę danych zapewniają co do zasady tylko osobom fizycznym.

W art. 4 Rozporządzenia o przepływie danych znajduje się jasny zakaz nakładania wymogów dotyczących danych skierowany do organów państw członkowskich. Wymogiem dotyczącym lokalizacji danych jest każdy obowiązek, zakaz, warunek, ograniczenie lub innego rodzaju wymóg określony w przepisach ustawowych i wykonawczych lub wynikający z praktyk administracyjnych, który narzuca wymóg przetwarzania danych na terytorium danego państwa lub utrudnia przetwarzanie danych w jakimkolwiek innym. Państwa członkowskie mogą wprowadzać wymogi dotyczące lokalizacji danych tylko wtedy, jeśli uzasadnione będą one względami bezpieczeństwa publicznego w zgodności z zasadą proporcjonalności. Pojęcie bezpieczeństwa publicznego nie zostało zdefiniowane w Rozporządzeniu, nie ma również ono swojej prawnej definicji w przepisach prawa europejskiego i zasadniczo należy uznać, że to państwa członkowskie decydują o znaczeniu tego pojęcia. Jednak państwa mają jednocześnie obowiązek zgłoszenia Komisji Europejskiej każdy przypadek skorzystania z tego wyjątku i przekazania projekt aktu, który wprowadza wymogi dotyczące lokalizacji danych. Dodatkowo zastosowanie wyjątku bezpieczeństwa publicznego z pewnością będzie podlegać kontroli Trybunału Sprawiedliwości Unii Europejskiej (TSUE). Z utrwalonego orzecznictwa TSUE wynika, że podobne wyjątki nie mogą być stosowane przez państwa jedynie ze względów czysto ekonomicznych[v]. Państwa członkowskie do 30 maja 2021 r. muszą zapewnić usunięcie wszystkich istniejących wymogów dotyczących lokalizacji danych, które nie będą zgodne z opisanym wyjątkiem.

Jednym z powodów wprowadzania przez państwa członkowskie konkretnych ograniczeń w swobodnym przepływie danych w pewnych wrażliwych sektorach gospodarki (np. w sektorze finansowym czy medycznym) była obawa organów tego państwa, że nie będą one mogły otrzymać dostępu do zagranicznych zbiorów danych w celu ich kontroli. Rozporządzenie próbuje ograniczyć to ryzyko wprowadzając w art. 5 jasną regulację, która stanowi, że właściwym organom nie można odmówić dostępu do danych z uwagi na fakt, że dane są przetwarzane w innym państwie członkowskim. Na użytkownika, który nie zapewni dostępu do zbioru danych, mogą zostać nałożone proporcjonalne i odstraszające sankcje za nieprzestrzeganie tego obowiązku.  W sytuacji, w której organ takiego dostępu nie uzyska (np. z powodu braków odpowiednich prawnych lub technicznych mechanizmów udostępniania) może on się zwrócić z wnioskiem o pomoc do właściwego organu państwa członkowskiego, na terytorium którego konkretny zbiór danych się znajduje. Zagraniczny organ będzie mógł, zgodnie z krajowym prawem procesowym, uzyskać fizyczny dostęp do pomieszczeń, urządzeń lub środków służących do przetwarzania danych.  

Samoregulacja dostawców usług

W Rozporządzeniu zdecydowano, że kwestie związane z przenoszeniem danych nieosobowych powinny zostać określone w samoregulacyjnych kodeksach postępowania dostawców usług w chmurze. Kodeksy powinny zostać opracowane w ścisłej współpracy z wszystkimi zainteresowanymi stronami – małymi i średnimi przedsiębiorcami, startupami, a także samymi użytkownikami usług chmurowych. Usługodawcy pracę nad przygotowaniem kodeksów postępowania powinni zakończyć do dnia 29 listopada 2019 r., a ich wdrożenie powinno nastąpić do 29 maja 2020 r.

Opracowane kodeksy postępowania powinny być oparte na zasadzie przejrzystości i interoperacyjności oraz powinny uwzględniać wykorzystanie otwartych standardów technologicznych. W swojej treść samoregulacja usługodawców musi zawierać m.in. najlepsze praktyki w zakresie ułatwienia zmiany dostawcy usług i przenoszenia danych, minimalne wymogi informacyjne dla użytkownika profesjonalnego, gdy chce przenieść swoje dane oraz wskazania dotyczące systemów certyfikacyjnych ułatwiających porównywanie produktów i usług związanych z przetwarzaniem danych.

Współpraca między państwami członkowskimi

W celu współpracy międzynarodowej z Komisją Europejską w ramach stosowania przepisów Rozporządzenia o przepływie danych, każde państwo członkowskie ma obowiązek wyznaczenia tzw. centralnego punktu kontaktowego. Komunikacja pomiędzy państwami członkowskimi ma przebiegać właśnie przez wyznaczone przez nie poszczególne punkty kontaktowe. Będą one np. umożliwiać złożenie uzasadnionego wniosku o pomoc w dostępie do zbioru danych, który zostanie przekazany do odpowiedniego organu publicznego danego państwa. Organ ten, w terminie proporcjonalnym do pilności wniosku, ma obowiązek przekazać swoją odpowiedź wraz z żądanymi danymi lub decyzję odmowną wraz uzasadnieniem, zgodnie z którym uważa, że warunki udostępnienia danych nie zostały wspomniane.

Na stronie internetowej Komisji zostaną opublikowane linki do stron centralnych punktów kontaktowych państw członkowskich wraz ze skonsolidowanym wykazem europejskich wymogów dotyczących lokalizacji danych. Centralne punkty kontaktowe mają obowiązek udostępniania użytkownikom ogólnych informacji na temat omawianego rozporządzenia oraz przyjętych przez dostawców usług kodeksów postępowania. Dodatkowo państwa członkowskie za pośrednictwem punktów kontaktowych udostępniają informację o wszystkich mających zastosowanie na ich terytorium dodatkowych wymogach dotyczących lokalizacji.

Szansa dla przedsiębiorców

Dużym źródłem powstawania danych nieosobowych pozostają z pewnością takie nowoczesne dziedziny gospodarki jak internet rzeczy, sztuczna inteligencja czy uczenie maszynowe. Właśnie na tych gałęziach rynku opiera się w głównej mierze powstawanie zbiorów danych wynikających ze zautomatyzowania procesów produkcji przemysłowej, zagregowania i zanonimizowania danych o ruchu internetowym czy informacji rolniczych dotyczących sposobów i postępów dokonywania upraw konkretnych odmian roślin.  Przedsiębiorcy, którzy dla zmodernizowania sposobów prowadzenia swojej działalności używają podobnych zbiorów danych, będą tymi, którzy najbardziej mogą zyskać na wprowadzeniu przepisów nowej regulacji. Przede wszystkich rozwiązania przedstawione w Rozporządzeniu z pewnością będą mogły ułatwić transgraniczną analizę zbiorów dużych danych (Big Data) oraz pozytywnie wpłyną na współpracę międzynarodową pomiędzy ośrodkami naukowymi, a podmiotami gospodarczymi. Nowe przepisy poprawią również transparentność na rynku usług chmurowych, a przez to otworzą nowe możliwości do rozwijania przedsięwzięć opartych o te technologie. Jednak największym pozytywnym efektem Rozporządzenia może okazać się zwiększenie pewności prawnej co do legalności sposobów przetwarzania danych oraz działania informacyjne, które będą realizowane przez centralne punkty komunikacyjne poszczególnych państw członkowskich oraz przez dostawców usług chmurowych, którzy będą tworzyć kodeksy samoregulacyjne.  

 

Adam Polanowski

Prawnik stażysta w dziale prawa nowych technologii kancelarii Wardyński i Wspólnicy. Zainteresowany obecnością nowych technologii w finansowaniu przedsiębiorstw, prawie własności intelektualnej i crowdfundingu.

Artykuł pochodzi z Biuletynu Euro Info 1/2019


[i] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);

[ii] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1807 z dnia 14 listopada 2018 r. w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej;

[iii] Więcej na ten temat zob. The world’s most valuable resource is no longer oil, but data, The Economist, 06.02.2017 (dostęp: https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data)

[iv] Zob. Raport UE: Building a European Data Economy (dostęp: https://ec.europa.eu/digital-single-market/en/news/summary-report-public-consultation-building-european-data-economy%20)

[v] Zob. m.in. Wyrok Trybunału Sprawiedliwości w sprawie Bond z dnia 26 kwietnia 1988 r. (325/85);