„RODO-szaleństwo” za nami. Czy czeka nas „RODO–szaleństwo”?

Niemałe poruszenie prawne, biznesowe i społeczno-kulturowe wywołało ogólne rozporządzenie o ochronie danych, zwane popularnie „RODO”. Przypomnijmy, chodzi o rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenie dyrektywy 95/46/WE.

W obliczu zatwierdzenia w dniu 9 listopada 2018 przez Radę UE projektu „bliźniaczego” rozporządzenia dotyczącego danych nieosobowych (w kształcie zaproponowanym przez Parlament Europejski) zadać sobie należy następujące pytanie – czy czeka nas kolejna rewolucja?

Proces legislacyjny

Projekt Rozporządzenia Parlamentu i Rady UE w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej („RODN”) przyjęty został w dniu 4 października 2018 roku przez Parlament Europejski. Zgodnie z komunikatem prasowym Rady UE, projekt ten został w dniu 9 listopada zatwierdzony przez tę instytucję. Jego podpisanie przez oba organy ma nastąpić podczas sesji plenarnej Parlamentu w połowie listopada, a następnie zostanie opublikowany w Dzienniku Urzędowym UE.

Obecnie Państwa Członkowskie mają swobodę regulacyjną w zakresie danych nieosobowych, co ze względu na rozbieżności między przepisami powoduje pewne przeszkody w swobodnym przepływie tych danych między państwami. Z tego powodu projektowane rozporządzenie ma obowiązywać bezpośrednio i zastąpić regulacje krajowe.

Przyjęcie tego aktu prawnego poprzedziły blisko dwuletnie konsultacje i badania społeczne, głównie wśród przedsiębiorców. Upewniły one instytucje unijne w przekonaniu co do konieczności regulacji tej materii na płaszczyźnie unijnej. Albowiem zgodnie z wynikami badań, 61,9% zainteresowanych uważało, że ograniczenia dotyczące lokalizacji danych powinny zostać usunięte, ponieważ uważali je za przeszkodę w prowadzeniu przedsiębiorstwa, obniżające zdolności przedsiębiorstw do wejścia na nowy rynek.

Czego dotyczy regulacja RODN?

Projektowane rozporządzenie, jak wskazuje jego tytuł, dotyczy danych nieosobowych, definiując je jako wszelkie dane niebędące danymi osobowymi w rozumieniu przepisów rozporządzenia RODO.

Tak lakoniczna definicja dla laika wydaje się tajemnicza i niezrozumiała. Wyjaśniając, należy wskazać, że są to wszelkie dane cyfrowe niepozwalające na identyfikację osoby fizycznej. Zatem chodzi o takie dane jak: przeglądane strony, liczba wizyt na stronach, czas spędzony na nich, posiadany przez użytkownika system operacyjny czy posiadana przeglądarka internetowa, pod warunkiem, że nie dotyczą konkretnej, zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Istotne jest, aby dane te nie mogły być połączone z osobą, której dotyczą, w przeciwnym wypadku będziemy mieć do czynienia z danymi osobowymi.

Co zaś dotyczy samej regulacji, znajdziemy w niej przepisy wprowadzające swobodę przepływu tego typu danych, reguły przechowywania danych na serwerach czy reguły lokalizacji samych serwerów. Przewidziano również regulację dotyczącą sposobów uzyskiwania informacji o przetwarzanych danych przez organy państwowe, co ma w konsekwencji usprawnić procedury nadzorcze Państw Członkowskich.

Kogo dotyczy RODN?

Wszystkie te okoliczności mają mieć pozytywny wpływ na rynek przedsiębiorców specjalizujących się w przetwarzaniu danych na serwerach chmurowych i tzw. big data. Zniesienie wszelkich barier spowoduje liberalizację dostępu do rynku, co w konsekwencji może pomóc przedsiębiorcom z Polski. Będą oni mieli szanse pozyskać nowych klientów z całego obszaru Europy, mogąc zaproponować im niższe ceny niż ich miejscowi odpowiednicy.

Istotnym również z punktu widzenia zainteresowanych jest fakt, że umożliwiono tworzenie kodeksów postępowań przez podmioty przetwarzające dane. Ich stworzenie ma usprawnić stosowanie przepisów rozporządzenia, tworząc bliższą relację między podmiotem przetwarzającym dane a tym, którego dane się przetwarza, i uszczegóławiając przepisy rozporządzenia. Jest to odpowiednik instytucji znanej już z RODO.

Rozporządzenie RODN nakłada również obowiązki na Państwa Członkowskie. Przede wszystkim formułuje zasadę, że nie można wprowadzać jakichkolwiek zakazów czy ograniczeń w przedmiocie przechowywania lub innego przetwarzania danych, chyba że jest to uzasadnione bezpieczeństwem publicznym. Ponadto, na mocy tego rozporządzenia Państwa zobowiązują się do uchylenia wszystkich przepisów dotyczących lokalizacji danych w ciągu 12 miesięcy od wejścia w życie tego aktu, chyba, że uznają, że ich pozostawienie jest uzasadnione ww. bezpieczeństwem. Wówczas muszą powiadomić o tym fakcie Komisję Europejską.

Skoro już mowa o wejściu aktu w życie, wskazać należy, że prawodawca w RODN przewidział zdecydowanie krótsze niż w RODO vacatio legis. Jest to czas pomiędzy opublikowaniem aktu prawnego a jego faktycznym wejściem w życie. W tym przypadku na dostosowanie się do nowych regulacji przez adresatów przewidziano jedynie pół roku. Pierwszych dni obowiązywania tych przepisów możemy się więc spodziewać w połowie 2019 roku.

Wnioski końcowe

Odpowiadając na pytanie zadane przeze mnie w tytule, wydaje się, że do „RODN–szaleństwa” nie dojdzie, a przynajmniej nie na niwie społecznej i kulturowej. Nie wynika to jedynie z faktu, że takie sformułowanie nie jest najłatwiejszą do wymówienia zbitką językową. Przede wszystkim, dla zwykłego „Kowalskiego” rozporządzenie to nie będzie mieć większego zastosowania. Będzie miało jednak wpływ na przedsiębiorstwa specjalizujące się w rozwiązaniach chmurowych i przetwarzaniu na swoich serwerach tzw. big data. Te na nadchodzące zmiany legislacyjne muszą być przygotowane.