GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Nowe prawa UE – czy czeka nas powtórka z RODO?

Strumień danych na czarnym tle i obok żółte gwiazdy UE

W naszym niedawnym artykule (https://gdpr.pl/akt-o-uslugach-cyfrowych-o-co-chodzi-i-kogo-to-obchodzi) przedstawialiśmy ogólny zarys nadchodzącego rozporządzenia o usługach cyfrowych. Nie jest to jednak ostatni ze zbliżających się aktów unijnych, wnoszących duże zmiany. Te dokumenty mogą nieść ze sobą równie poważne skutki jak RODO.

Akt o rynkach cyfrowych

Siostrzany do Aktu o usługach cyfrowych, Akt o rynkach cyfrowych (Digital Markets Act- DMA) skupia się na zwalczaniu nieuczciwych praktyk biznesowych dużych platform internetowych. DMA wprowadza pojęcie „strażników dostępu’- dostawców usług internetowych, którzy:

  1. wywierają znaczący wpływ na rynek wewnętrzny UE,
  2. świadczą podstawową usługę platformową pełniącą funkcję ważnego punktu dostępu, za pośrednictwem którego użytkownicy biznesowi mogą dotrzeć do użytkowników końcowych,
  3. osiągnęli ugruntowaną i trwałą pozycję w zakresie prowadzonej działalności lub można z dużym prawdopodobieństwem przewidzieć, że osiągnie taką pozycję w niedalekiej przyszłości.

 

Analiza ryzyka w RODO

Lista strażników dostępu nie została jeszcze określona, ale z dużym prawdopodobieństwem będą to tacy giganci jak Apple, Amazon, Google, Microsoft, Meta. Takim podmiotom będzie zakazane np.:

  1. przetwarzanie danych osobowych użytkowników zebranych z serwisów podmiotów trzecich w celu świadczenia usług reklamy internetowej bez uprzedniej zgody,
  2. ponownego wykorzystania danych osobowych zebranych w trakcie świadczenia usługi na potrzeby innej usługi bez uprzedniej zgody,
  3. wymaganie od użytkowników subskrypcji określonych usług (np. newslettera), aby móc korzystać z oferowanych usług.

Recenzja: BIG DATA, nauka o danych i AI bez tajemnic

Akt w sprawie zarządzania danymi

Kolejnym zbliżającym się aktem, jest Akt w sprawie zarządzania danymi (Data Governance Act-DGA). Te rozporządzenie skupią się na mechanizmach ułatwiających ponowne wykorzystania niektórych kategorii chronionych danych sektora publicznego. Celem aktu jest zwiększenie wykorzystywania danych, tak aby Unia Europejska nie pozostawała w tyle za resztą świata (Chiny, USA). Rozporządzenie dotyczy takich danych jak: tajemnice handlowe, informacje statystyczne, dane osobowe, dane chronione przepisami o własności intelektualnej. Akt wprowadza ramy wykorzystywania tych danych. Co ważne, dane przed ponownym wykorzystaniem, będą musiały być zabezpieczone w celu zachowania ich ochrony, prywatności i poufności.

Dodatkowo DGA w swoich przepisach, promuje usługi udostępniania danych, zapewniające bezpieczne środowisko ich wymiany pomiędzy przedsiębiorcami. Co interesujące DGA wprowadza instytucje altruistycznego podejścia do danych, gdzie konkretna osoba będzie mogła dobrowolnie przekazywać swoje dane np. w celu badań medycznych.

Akt w sprawie sztucznej inteligencji

Następną nadchodzącą regulacją jest Akt w sprawie sztucznej inteligencji (AI Act). Jest to dość awangardowy projekt, bowiem zakładane ramy prawne starają się przewidzieć, jak systemy sztucznej inteligencji będą wyglądać w bliższej i dalszej przyszłości, co samo w sobie jest dosyć ciekawe, acz ryzykowne. Sama regulacja wprowadza definicje sztucznej inteligencji oraz pojęcia systemów ogólnego przeznaczenia, systemów zakazanych, systemów sztucznej inteligencji wysokiego ryzyka. Oprócz tego zakazane będą systemy sztucznej inteligencji, która np. mają na celu social scoring.

Akt o usługach cyfrowych – o co chodzi i kogo to obchodzi?

Akt w sprawie danych

Kolejnym aktem wartym uwagi jest Akt w sprawie danych (Data Act). To rozporządzenie reguluje podmioty i sposoby dostępu do danych nieosobowych generowanych na terenie UE. Akt ma na celu pobudzenie rynku danych i sprawienie, że dane będą bardziej dostępne dla wszystkich. Przepisy rozporządzenia pozwalają m.in. na:

  1. dostęp dla użytkowników do danych generowanych przez ich urządzenia,
  2. umożliwienie klientom skutecznego przełączania się między różnymi dostawcami usług przetwarzania danych w chmurze,
  3. przedsiębiorcy również będą mogli uzyskać dostęp do danych z ich urządzeń i wykorzystywać w dalszych procesach,
  4. zwiększenie ilości danych w rynku dostępnych dla przedsiębiorców.

Wspólnie z DGA, ten akt realizuje europejską strategię dla danych, mającą na celu m.in. stworzenie jednolitego rynku danych.

Postępowanie TSUE rodzi pytania o zakres stosowania RODO

Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego

Z kolei w zakresie cyberbezpieczeństwa UE prowadzi również inne inicjatywy legislacyjne. Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (Digital Operational Resilience Act- DORA), którego celem jest wzmocnienie bezpieczeństwa informatycznego podmiotów finansowych. Akt wprowadza jednolite wymogi, dotyczące bezpieczeństwa sieci i systemów informatycznych instytucji finansowych. Dodatkowo przepisy harmonizują zasady zarządzanie ryzykiem ICT (technologie informacyjne i komunikacyjne) oraz raportowanie incydentów ICT. Regulacja wprowadza również nowe wymagana dotyczące testowania operacyjnej odporności cyfrowej.

Dyrektywa NIS 2

Następną szczególnie ważną w kontekście ustawy o krajowym systemie cyberbezpieczeństwa (KSC), jest Dyrektywa NIS 2. Jest ona rozwinięciem poprzedniej dyrektywy NIS z 2016 roku. W porównaniu do swojej poprzedniczki zwiększa ona wymagania w sferze cyberbezpieczeństwa oraz zwiększa zakres podmiotów nią objętych (rozszerzenie o m.in. administrację publiczną, usługi pocztowe i kurierskie). Dodatkowo zwiększeniu ulegnie zakres obowiązków wynikających z dyrektywy. Podmioty uznane z niezbędne i istotne będą obowiązane np. do:

  1. przeprowadzenia analizy ryzyka
  2. polityki bezpieczeństwa systemów informatycznych
  3. zapewnienia ciągłości działania i zarządzania kryzysowego
  4. https://gdpr.pl/zielone-swiatlo-dla-unijnej-regulacji-cyberprzestrzeni

Jak widać, jest to poważna regulacja, która wymoże zmiany w KSC oraz zwiększy wymagania i obowiązki dla wielu firm.

Zielone światło dla unijnej regulacji cyberprzestrzeni

Podsumowując, obecne działania legislacyjne UE są daleko zaawansowane i dotkną wielu różnych obszarów i sektorów. Warto więc obserwować, w jakim kierunku zmierzają interesujące nas regulacje tak by jak najlepiej przygotować się na nadchodzące zmiany.

Źródła:

DMA: https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:52020PC0842&from=en

DGA: https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:52020PC0767&from=EN

AI Act- wersja z 3 listopada 2022: https://artificialintelligenceact.eu/wp-content/uploads/2022/11/AIA-CZ-Draft-for-Coreper-3-Nov-22.pdf

Data Act: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52022PC0068

DORA- https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:52020PC0595&from=FR

NIS 2: https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:52020PC0823&from=PL