We wrześniu 2017 r. a więc po przyjęciu przez organy i instytucje Unii Europejskiej RODO, Komisja Europejska skierowała wniosek w sprawie przyjęcia przez Parlament Europejski i Radę rozporządzenia w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej. Nie ulega jakiejkolwiek wątpliwości, że nowe technologie cyfrowe, takie jak przetwarzanie w chmurze, duże zbiory danych, sztuczna inteligencja i Internet rzeczy (IoT) zaprojektowane są tak, aby w jak największym stopniu zwiększyć wydajność oraz umożliwić osiągnięcie korzyści skali i rozwój nowych usług. Technologie te mają wiele zalet z punktu widzenia użytkownika, takich jak większa elastyczność, produktywność, szybkość wdrażania i autonomia, np. dzięki zdolności maszyn do uczenia się. Aby rozwój nowych technologii był jednak możliwy w ocenie Komisji Europejskiej koniecznym było wprowadzenie ram prawnych ułatwiających dostęp i przetwarzanie danych. Komisja Europejska zaprojektowała więc rozporządzenie unijne oparte na trzech filarach: poprawa mobilności danych i możliwości ich transgranicznego przekazywania, ułatwienie właściwym organu dostępu do treści danych na potrzeby kontroli regulacyjnej oraz ułatwienie profesjonalnym użytkownikom usług przechowywania lub innego rodzaju przetwarzania danych. Mówiąc najprościej, istotą regulacji było wskazanie, że dane nie są niczyją własnością, a ich swobodne pozyskiwanie może w znacznym stopniu wpłynąć na rozwój gospodarki cyfrowej w Unii Europejskiej. Rozporządzenie przyjęte przez Parlament Europejski oraz Radę zaczęło obowiązywać w polskim porządku od 28 maja br. Godnym szczególnego podkreślenia jest to, że przez dane nieosobowe rozumie się w nim informacje elektroniczne inne niż te osobowe zdefiniowane w RODO – nie dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Przykładami danych nieosobowych są algorytmy informatyczne, dane generowane przez maszyny oraz ich zanonimizowane zbiory wykorzystywane do analiz big data. Danymi nieosobowymi o ekonomicznym znaczeniu mogą być również przykładowo kolory farb oferowane przez określoną sieć sklepów wielkopowierzchniowych. Bardzo poważnym błędem jest więc nazywanie nowej regulacji – jak często jest określana, nowym RODO. Regulacja nie tylko nie ma nic wspólnego z RODO, ale opiera się na zupełnie innym podejściu. O ile RODO jest aktem prawnym ograniczającym przetwarzanie danych osobowych z uwagi na uznanie ich jako jednego z praw podstawowych o tyle rozporządzenie o którym mowa w niniejszym tekście, ma ułatwić przetwarzanie informacji o nieosobowym charakterze. Istotą nowej regulacji jest więc poszanowanie prawa podstawowego, jakim jest swoboda działalności gospodarczej o której mowa w art. 16 Karty Praw Podstawowych. Kierunkiem rozwoju gospodarki są dane, a rozporządzenie ma ułatwić ich wykorzystywanie. Z tego punktu widzenia nie wydaje się do końca trafionym pomysłem posługiwanie się w rozporządzeniu terminem „danych nieosobowych”, który mimo braku faktycznego związku może być mylnie wiązany z danymi osobowymi.
Nowe rozporządzenie jest bardzo krótkim aktem prawnym, składającym się formalnie z 9 artykułów, przy czym wyłączając przepisy końcowe oraz przepisy wprowadzające określające zakres zastosowania rozporządzenia i definicję, treść normatywna aktu ustawodawczego zamyka się w 5 przepisach. Określają one odpowiednio zakaz nakładania przez państwa członkowskie wymogów dotyczących lokalizacji danych, zasady dostępu właściwych organów do danych w tym współpracy administracyjnej, zasady przenoszalności danych oraz wymóg przedłożenia przez Komisję Parlamentowi Europejskiemu, Radzie i Europejskiemu Komitetowi Ekonomiczno-Społecznemu sprawozdania z oceny wykonania rozporządzenia.
Rozporządzenie nie nakłada żadnych dodatkowych obowiązków na podmioty prywatne, zobowiązując jedynie państwa członkowskie Unii Europejskiej do usuwania barier ograniczających swobodny przepływ danych oraz notyfikowania Komisji Europejskiej wszelkich działań legislacyjnych ograniczających swobodny przepływ danych. Państwa członkowskie deklarują również przepisami rozporządzenia zniesienie barier w obszarze swobodnego przepływu danych nieosobowych.
Komentowane rozporządzenie jest o tyle specyficznym aktem ustawodawczym Unii Europejskiej, że nie zawiera w zasadzie delegacji dedykowanych państwom członkowskim i nakładających obowiązek jego wdrażania konkretnym aktem prawa krajowego. W przeciwieństwie do regulacji RODO nie będzie więc w Polsce zapewne ustawy, która kompleksowo wdraża rozporządzenie do naszej przestrzeni prawnej. Wyjątkiem w tym zakresie byłby pakiet przepisów, uchylających już obowiązujące normy prawne. Zgodnie bowiem z przepisami rozporządzenia, do dnia 30 maja 2021 r. państwa członkowskie zapewnią uchylenie wszelkich istniejących wymogów dotyczących lokalizacji danych ustanowionych w przepisach ustawowych, wykonawczych lub administracyjnych o charakterze ogólnym. Wyjątkiem jest również art. 7 ust. 1 rozporządzenia, zgodnie z którym każde państwo członkowskie wyznacza centralny punkt kontaktowy, który współpracuje z centralnymi punktami kontaktowymi innych państw członkowskich i z Komisją w odniesieniu do stosowania rozporządzenia. Państwa członkowskie powiadamiają Komisję o wyznaczonych centralnych punktach kontaktowych oraz o wszelkich późniejszych zmianach w tym zakresie. Nic nie wyłącza możliwości uznania, że punktem kontaktowym może być właściwy organ administracji publicznej w tym organ administracji rządowej jak ministerstwo. Przepisy rozporządzenia nie nakładają na taki punkt żadnych dodatkowych wymogów, w tym wymogów niezależności. Zasadniczym celem takich punktów kontaktowych ma być szerzenie w społeczeństwie informacji na temat treści nowych regulacji.
Kancelaria Prawna Osiej i Partnerzy
