Choć do końca roku kalendarzowego zostało jeszcze trochę czasu, 2018 jest niewątpliwie rokiem danych i bezpieczeństwa informacji. W głównej mierze stanie się tak za sprawą RODO[1]. Akt ten nie tylko wymusił zmianę modelu biznesowego u wielu przedsiębiorców, ale urósł do rangi zjawiska społeczno-kulturowego (wraz z licznymi RODO-absurdami), co nie powinno dziwić, skoro akt dotyczy każdego „Kowalskiego” czy „Nowaka”.

Państwa członkowskie UE implementowały następnie dyrektywę NIS[2], której głównym celem jest zapewnienie bezpieczeństwa sieci i systemów informatycznych. Akt ten nie wywołał takiej burzy jak RODO, bo i krąg podmiotów, których dotyczy, jest znacznie węższy (obejmuje operatorów usług kluczowych i dostawców usług cyfrowych), ale także w tym przypadku powstała konieczność dostosowania sposobu korzystania z sieci lub systemów informatycznych do nowych standardów.

W oczekiwaniu na nowe reguły dotyczące ochrony danych osobowych w komunikacji elektronicznej, czyli rozporządzenie ePrivacy[3], nadszedł czas na realizację kolejnego elementu strategii jednolitego rynku cyfrowego – wprowadzenie tzw. piątej swobody, czyli swobody przepływu danych nieosobowych.

Rada UE 9 listopada br. przyjęła rozporządzenie w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej (rozporządzenie FFD)[4] w brzmieniu uwzględniającym poprawki wprowadzone przez Parlament Europejski.

To rozporządzenie będzie istotne zwłaszcza dla sektora przemysłowego, który wytwarza olbrzymie ilości danych niemających nic wspólnego z danymi osobowymi. Dane te są przy tym coraz intensywniej przetwarzane w związku z rozwojem systemów IoT oraz systemów analitycznych opartych na tzw. sztucznej inteligencji.

Dane nieosobowe – co to jest?

Pojęcie danych nieosobowych nie jest obce systemowi prawnemu Unii Europejskiej. Pojawia się ono między innymi w tekście rozporządzenia ETIAS[5] w kontekście monitorowania i oceny funkcjonowania systemu informacyjnego ETIAS (Europejskiego systemu informacji o podróży oraz zezwoleń na podróż) czy decyzji Rady 2008/615/WSiWS z dnia 23 czerwca 2008 r. w sprawie intensyfikacji współpracy transgranicznej, szczególnie w zwalczaniu terroryzmu i przestępczości transgranicznej[6]. Dotąd jednak nie miało ono definicji legalnej.

W rozporządzeniu FFD (art. 3 pkt 1) wskazano, że danymi nieosobowymi są wszystkie dane niebędące danymi osobowymi w rozumieniu RODO. Rozporządzenie FFD obejmie zatem wszelkie dane cyfrowe, które nie pozwalają na zidentyfikowanie osoby fizycznej. Mogą to być: algorytmy informatyczne, dane dotyczące logowania na stronie www, dane generowane przez maszyny (np. dotyczące zużycia wody), dane z czujników montowanych w pojazdach autonomicznych czy innych autonomicznych systemach.

Dane nieosobowe v. dane osobowe

O tym, czy do poszczególnych danych zastosowanie będą miały przepisy dotyczące ochrony danych osobowych, w tym RODO, czy postanowienia rozporządzenia FFD decydować będzie kryterium możliwości zidentyfikowania osoby fizycznej. Niemniej, różnica między tymi kategoriami może nie być łatwa do uchwycenia.

Póki co nie ułatwia tego ustawodawca UE, który wskazuje, że gdy dane nieosobowe są nierozerwalnie powiązane z danymi osobowymi, rozporządzenie FFD powinno być stosowane bez uszczerbku dla stosowania RODO. W praktyce oznacza to, że rozporządzenie FFD będzie ustępowało RODO.

Co ważne, w motywie 9 rozporządzenia FFD dodano, że jeżeli dzięki rozwojowi technologicznemu możliwe stanie się odanonimizowanie zanonimizowanych uprzednio danych, co skutkowało będzie zmianą ich kwalifikacji prawnej z danych nieosobowych na dane osobowe, będzie do nich miało zastosowanie RODO. O ile w przypadku nierozerwalnej więzi między danymi osobowymi i nieosobowymi ich kwalifikacja prawna dokonywana jest przed rozpoczęciem przetwarzania, o tyle w przypadku opisanym w motywie 9 sposób postępowania przedsiębiorców uzależniony został od okoliczności zewnętrznych i trudnych do przewidzenia, co prowadziło będzie do braku pewności prawnej oraz konieczności wielokrotnej weryfikacji kategorii przetwarzanych danych.

Dane nieosobowe – jak są wykorzystywane?

Dane nieosobowe, podobnie jak dane osobowe, po poddaniu ich odpowiedniej obróbce nabierają znacznej wartości ekonomicznej. Im więcej danych przeanalizujemy, tym większą precyzję mają uzyskane wyniki. Wartość tę dostrzegły nie tylko organy Unii Europejskiej, ale także państwa członkowskie. Przełożyło się to na przyspieszenie prac nad rozporządzeniem.

Dane nieosobowe znajdują zastosowanie w wielu dziedzinach, w tym mogą istotnie pomóc w optymalizacji procesów biznesowych lub produkcyjnych.

Przykładowo, jak pokazały badania Google z 2009 roku, dysponując danymi o ruchu sieciowym oraz wyszukiwanych przez użytkowników hasłach, możliwe jest monitorowanie mapy zachorowań (wówczas na grypę typu A/H1N1) w czasie rzeczywistym lub zbliżonym do czasu rzeczywistego[7].

Dane nieosobowe są także „paliwem” systemów określanych często jako AKPiA czyli Aparatura Kontrolno-Pomiarowa i Automatyka. Systemy AKPiA to tak różne rozwiązania jak automatyka budynkowa czy system sterowania blokiem energetycznym w elektrowni.

Bez danych nieosobowych trudno sobie także wyobrazić systemy typu IoT, które pozwalają na zbieranie rozproszonych danych z urządzeń i ich dalsze przetwarzanie.

Dane nieosobowe wykorzystuje znakomita większość zastosowań z zakresu tzw. smart city np. dotyczących inteligentnego sterowania ruchem ulicznym.

Z kolei np. w zamówieniach publicznych dane dotyczące postępowań mogą pozwolić na zidentyfikowanie pewnych prawidłowości, w tym na ocenę szans na wygraną w postępowaniu w oparciu o profile uczestników (polecamy w tym zakresie artykuł Tomasza Zalewskiego, Big Data: Screening systemu zamówień publicznych w Polsce).

Mogą także umożliwić skuteczniejsze wykrywanie nadużywania przewagi kontraktowej lub porozumień kartelowych a więc znaleźć szerokie zastosowanie w postępowaniach kontrolnych czy nadzorczych.

Gdzie będzie obowiązywało nowe rozporządzenie?

Zakres terytorialny zastosowania rozporządzenia FFD jest szerszy niż zakres terytorialny RODO. Obejmie ono każdy podmiot, który przetwarza cyfrowe dane nieosobowe w Unii Europejskiej, przy czym „przetwarzanie danych w UE” rozumiane jest odmiennie w zależności od tego, czy (1) przetwarzanie służy wyłącznie zaspokojeniu własnych potrzeb czy (2) potrzeb innych osób (usługobiorców).

W tym pierwszym przypadku rozstrzygające będzie miejsce zamieszkania lub siedziby przetwarzającego, w drugim – miejsce zamieszkania lub siedziba usługobiorcy. Oznacza to, że postanowienia rozporządzenia FFD będą miały zastosowanie także do podmiotów spoza UE, o ile odbiorcami ich usług będą użytkownicy z UE, co zresztą wprost przyznano w treści rozporządzenia.

Praktyczne skutki stosowania rozporządzenia

Rozporządzenie FFD przynieść może wiele praktycznych zmian w funkcjonowaniu przedsiębiorstw z sektora cyfrowego oraz organów administracji publicznej. Na chwilę obecną wydaje się, że najważniejszymi praktycznymi konsekwencjami wprowadzenia swobody przepływu danych nieosobowych będą:

1. Uwolnienie rynku usług przetwarzania danych w chmurze

Jednym ze skutków stosowania rozporządzenia FFD będzie z pewnością ‘uwolnienie’ rynku usług przetwarzania danych w chmurze na terytorium Unii Europejskiej, a co za tym idzie, wzrost konkurencji między usługodawcami. Zgodnie z art. 4 ust. 1 w terminie 24 miesięcy od daty rozpoczęcia stosowania rozporządzenia państwa członkowskie będą zobowiązane do uchylenia wszelkich wymogów dotyczących lokalizacji danych (np. wymogu, aby dane wytworzone w Polsce były przechowywane na serwerach zlokalizowanych w Polsce) za wyjątkiem tych, które są podyktowane względami bezpieczeństwa publicznego i jednocześnie zdają test proporcjonalności (o ograniczeniach, które państwa członkowskie zdecydują się pozostawić lub wprowadzić, będą musiały poinformować niezwłocznie Komisję Europejską).

Oznacza to, że prawo (w szerokim znaczeniu, gdyż rozporządzenie odwołuje się w tej mierze nie tylko do przepisów prawa, ale także do pragmatyk i utrwalonych zwyczajów postępowania) przestanie faworyzować lokalnych dostawców usług chmurowych a ich lokalizacja nie powinna mieć wpływu na wybór oferty. Skutkiem tego nie będą oni zmuszani do ponoszenia dodatkowych kosztów związanych z ustanawianiem przedstawicielstw podmiotu zagranicznego oraz utrzymywaniem infrastruktury w wielu państwach członkowskich UE

2. Większe uprawnienia kontrolne organów administracji publicznej

W tym zakresie jednym z ważniejszych postanowień rozporządzenia FFD jest art. 5 ust. 1 in fine, z którego wynika, że podstawą odmowy dostępu do danych przez organ państwowy nie może być fakt, że dane są przechowywane na serwerach znajdujących się w innym państwie członkowskim. Postanowienie to dotyczy także podmiotów prywatnych, w tym osób fizycznych. Z pewnością wprowadzenie powyższej zasady przyczyni się to do usprawnienia nadzoru sprawowanego przez państwa członkowskie, zwłaszcza że niedostosowanie się do niej będzie wiązało się ze stosowaniem sankcji, o ile państwa członkowskie zdecydują się na ich wprowadzenie. Jak wynika z rozporządzenia FFD taką sankcją, w przypadku nadużycia praw przysługujących użytkownikom, będą między innymi tymczasowe środki zabezpieczające polegające nawet na tymczasowej relokacji danych.

3. Przenoszalność danych nieosobowych

Prawo do przenoszalności danych znane jest już z art. 20 RODO. Zakres jego stosowania oraz interpretacja przepisu zostały wyjaśnione w wytycznych Grupy art. 29, następie przyjęte przez Europejską Radę Ochrony Danych. O przenoszalności danych jest też mowa w rozporządzeniu FFD, ale tym razem w odniesieniu do danych nieosobowych.

Rozwiązanie zaproponowane w art. 6 ust. 1 lit. a rozporządzenia FFD (podobnie jak art. 20 RODO) ma na celu wyeliminowanie z obrotu zjawiska bycia zakładnikiem jednego usługodawcy z uwagi na obawę utraty danych lub techniczne trudności z ich przeniesieniem (vendor lock-in). W tym zakresie rozporządzenie FFD nie wskazuje gotowego rozwiązania, ale stawia przed Komisją Europejską zadanie wspierania procesów tworzenia a także systematycznego aktualizowania kodeksów dobrych praktyk przez dostawców usług w chmurze (niezależnie od modelu usługi).

Kodeksy te powinny wskazywać standardy ułatwiające zmianę usługodawcy oraz środki służące zapewnieniu możliwości przenoszenia danych zarówno pomiędzy usługodawcami jak i na własne urządzenia. Ten ostatni cel powinien zostać osiągnięty poprzez wypracowanie wspólnych standardów co do formatów plików z danymi. Jak zaznaczono, mogą to być także otwarte formaty plików, o ile taki wniosek lub żądanie zostaną zgłoszone przez przejmującego udane usługodawcę.

Dodatkowo, jeszcze przed zawarciem umowy usługodawcy będą musieli informować (w transparentny i przejrzysty sposób) użytkowników o minimalnych wymogach technicznych dotyczących przenoszenia danych. W konsekwencji, rozporządzenie FFD wprowadza kolejny obowiązek informacyjny.

4. Wsparcie rynków Big Data, IoT oraz AI

Większa swoboda w przepływie danych nieosobowych w Unii Europejskiej jest efektem potrzeby zapewnienia możliwości dalszego rozwoju tych rozwiązań, które - mówiąc potocznie - żywią się danymi nieosobowymi, tj. ich skuteczność jest wprost proporcjonalna do ilości danych, z których mogą się uczyć lub które mogą analizować (AI, IoT). Rozwiązania zaproponowane w rozporządzeniu FFD ułatwią ich rozwój. Być może pozwolą nawet na wyeliminowanie zjawiska „słonia w pomieszczeniu”[8].

Podsumowanie

Rozporządzenia FFD powinno zostać podpisane w najbliższych dniach. Jeśli tak się stanie, można spodziewać się, że zacznie ono obowiązywać już w pierwszej połowie 2019 roku, choć większość zmian zobaczymy po upływie dwóch lat od daty rozpoczęcia jego stosowania.

Jest to kolejny akt prawny, który w szczególnej mierze dotyczy podmiotów świadczących usługi cyfrowe. Powinni się nim zainteresować zwłaszcza dostawcy usług przetwarzania danych w chmurze. Przed nimi pojawiają się bowiem nowe zadania – konieczność wypracowania wspólnie kodeksów dobrych praktyk w zakresie przenoszenia danych oraz informowania użytkowników w fazie przedkontraktowej o minimalnych wymaganiach technicznych dla przenoszalności danych.

Z perspektywy zaś „Kowalskiego” czy „Nowaka” nie jest to akt o przełomowym znaczeniu, ale niesie on z sobą obietnicę szybszego rozwoju IoT czy AI.