W dniu 28 maja 2019 r. weszło w życie rozporządzenie Parlamentu Europejskiego i Rady (EU) 2018/1807 z dnia 14 listopada 2018 r. w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej (Rozporządzenie). To krótkie, 10-stronicowe Rozporządzenie, którego istotę można streścić następująco:
Unia Europejska postanowiła usunąć, a przynajmniej ograniczyć, dwie przeszkody w rozwoju europejskiej gospodarki opartej na danych, tj.:
- wprowadzanie przez państwa członkowskie wymogów nakazujących lokalizację danych nieosobowych (czyli wszystkich danych, które nie są danymi osobowymi) na terytorium danego państwa oraz
- utrudnienia w przenoszalności takich danych, w szczególności między różnymi dostawcami usług dotyczących przetwarzania takich danych.
W tym celu Rozporządzenie wprowadza wyraźny prawny zakaz nakładania przez państwa członkowskie ograniczeń lokalizacyjnych (hard law). Jednocześnie jednak zachęca do tworzenia branżowych samoregulacji określających zasady przenoszenia danych (soft law).
Zakaz ograniczeń lokalizacyjnych
Art. 4 ust. 1 Rozporządzenia ustanawia zasadę swobodnego przepływu danych w Unii poprzez wprowadzenie zakazu nakładania wymogów dotyczących lokalizacji danych, chyba że są one uzasadnione względami bezpieczeństwa publicznego zgodnie z zasadą proporcjonalności.
Co więcej, do dnia 30 maja 2021 r. państwa członkowskie mają zapewnić uchylenie wszelkich istniejących wymogów dotyczących lokalizacji danych, które nie są zgodne z ww. zasadą.
Co ciekawe, chociaż mamy tu do czynienia z rozporządzeniem, a nie z dyrektywą, jego adresatem są przede wszystkim państwa członkowskie. Ww. przepis wymaga bowiem swoistej, “negatywnej” transpozycji, polegającej na usunięciu regulacji sprzecznych z rozporządzeniem.
Zasada przenoszalności danych
Osoby fizyczne mają zagwarantowaną przenoszalność swoich danych osobowych na podstawie art. 20 RODO. Prawodawca unijny nie zdecydował się (na razie) na wprowadzenie obowiązku zapewnienia przenaszalności danym nieosobowym.
Art. 6 Rozporządzenia wyraża jedynie wsparcie Komisji dla opracowywania “samoregulacyjnych kodeksów postępowania na poziomie Unii“, które powinny ustalać najlepsze praktyki w zakresie ułatwiania zmiany dostawcy usług i przenoszenia danych z wykorzystaniem powszechnie używanych formatów.
Prawo do przenoszalności danych nieosobowych nie jest zatem normą, którą można by egzekwować na podstawie przepisów rozporządzenia, a pozostaje jedynie materią do samoregulacji. Dopiero w przypadku braku satysfakcjonujących działań ze strony biznesu, Komisja rozważy możliwość wprowadzenia bardziej jednoznacznych unormowań.
Wnioski dla przedsiębiorców
Cyfryzacja gospodarki postępuje coraz szybciej. Cechą szczególną procesów cyfryzacji Anno Domini 2019 jest brak ograniczenia do sektora TMT. Digitalizacja obejmuje już wszystkie sektory gospodarki i całe społeczeństwa.
Procesy digitalizacyjne postępowały od dawna, jednak nabrały one szybkości wraz z rozwojem takich technologii jak komunikacja 5G, sztuczna inteligencja, Internet Rzeczy, czy systemy autonomiczne.
Rozporządzenie w sprawie ram swobodnego przepływu danych nieosobowych stanowi element digitalizacji w skali Unii Europejskiej, czyli budowy jednolitego rynku cyfrowego w Unii.
W centrum procesów cyfryzacyjnych są bowiem dane, zarówno osobowe, jak i te, które nie pozwalają na identyfikację żadnej osoby – dane nieosobowe. Każdy zakończony powodzeniem proces digitalizacyjny prowadzi do powstania nowych danych, których analiza, zwłaszcza w połączeniu z usługami i produktami, może przynieść ogromne korzyści, zwłaszcza, gdy dokonywana jest w sposób zautomatyzowany.
Przykładowo, nowe narzędzia pomiarowe w wielu dziedzinach (zarówno w przemyśle, jak i rolnictwie) nie dokonują pomiarów w autonomiczny sposób, lecz przesyłają dane przez Internet do systemów producenta miernika, które je przetwarzają i odsyłają wynik do urządzenia pomiarowego. Powoduje to, że dane, które do tej pory były w posiadaniu wyłącznie właściciela urządzenia, są obecnie także w posiadaniu jego producenta, który może wykorzystać je do nieustannego doskonalenia technologii pomiarowej.
Przetwarzanie danych rodzi jednak szereg problemów prawnych. Od roku rynek powoli wypracowuje standardy postępowania dotyczący danych osobowych na gruncie RODO, jednak i dane nieosobowe budzą szereg wątpliwości.
Wśród pojawiających się zagadnień prawnych wymienia się m.in. prawo do własności danych, prawo dostępu do cudzych danych, prawo ich ponownego wykorzystywania, ochrona poufności danych czy uczciwe i konkurencyjne warunki obrotu danymi.
Przetwarzanie danych powstających w wyniku digitalizacji w nowych modelach biznesowych prowadzi do konfliktów z innymi prawami i interesami, na przykład prawami własności intelektualnej. Dobrym przykładem mogą być spory między właścicielami treści chronionych prawem autorskim a platformami umożliwiającymi użytkownikom dzielenie się utworami lub kontrowersje dotyczące legalności eksploracji danych zawartych w utworach chronionych prawem autorskim (data mining).
Tych problemów Rozporządzenie w żaden sposób nie reguluje. Wprowadza dwie fundamentalne zasady, z którymi trudno się nie zgodzić, jednak nadal poza zakresem regulacji prawnej pozostają kwestie konfliktów powstających w ramach wymiany danych nieosobowych.
Dotychczas dane nieosobowe występowały w izolowanych, autonomicznych bazach danych, a obecnie są przedmiotem wyrafinowanych transakcji gospodarczych. Dane są przedmiotem rozmaitych działań opartych na danych, które prowadzą do budowania ich wartości gospodarczej:
- tworzenie i gromadzenie danych (np. użytkownik produktu);
- agregacja i organizacja danych (np. producent produktu);
- przetwarzanie i analiza danych (np. dostawca platformy do przetwarzania danych);
- obrót danymi i dystrybucja danych (np. dostawca baz danych sektorowych);
- wykorzystywanie i ponowne wykorzystywanie danych.
Z jednej strony oczywista jest wartość wynikająca ze współdzielenia danych, jednak z drugiej powstaje wiele obaw dotyczących poufności czy konkurencji.
Przykładowo linie lotnicze są świadome, że współdzielenie danych dotyczących lotów na danych samolotach z innymi liniami lotniczymi oraz producentami samolotów może pozwolić na zwiększenie poziomu bezpieczeństwa. Z drugiej jednak strony linie są coraz bardziej świadome wartości tych danych oraz tego, że w zestawach danych o konkretnym locie ukryte są informacje pozwalające np. na ocenę bezpieczeństwa danego lotu, wydajności pilota i szeregu innych kwestii tradycyjnie uważanych za stanowiące tajemnicę przedsiębiorstwa.
Różne modele współdzielenia takich danych są obecnie przedmiotem testów. Tym niemniej na obecną chwilę, każdy przedsiębiorca decydujący się na udostępnienie swoich danych przemysłowych winien uważnie rozważyć korzyści i wady takiego rozwiązania. Warto podkreślić jednak, że często to jest raczej szansa niż zagrożenie – gdyż poprzez korzystanie ze współdzielenia danych dana firma może poczynić większe i szybsze postępy niż gdyby analizowała tylko swoje dane zbierane w ramach swojego przedsiębiorstwa.
Wejście w życie Rozporządzenia należy zatem przyjąć pozytywnie, jednak należy pamiętać, że – w przeciwieństwie do danych osobowych – przedsiębiorcy nie mogą liczyć na kompleksową ustawową regulację i powinni sami zadbać o ochronę swoich interesów i danych nieosobowych, w szczególności właściwie konstruując umowy dotyczące udostępniania takich danych.
Artykuł ukazał się po raz pierwszy na stronie Bird & Bird.