Swobodny przepływ danych w UE

28 maja 2019 r. weszło w życie rozporządzenie Parlamentu Europejskiego i Rady w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej. Wprowadza ono szereg zapisów, dzięki którym wymiana handlowa na terenie Unii Europejskiej będzie znacznie łatwiejsza, ale też formułuje wobec branży ICT szereg obowiązków, związanych z zapewnieniem bezpieczeństwa danych oraz przejrzystości działania.

Pora na standardy

Rozporządzenie to kolejny milowy krok na drodze do opracowania zbioru dobrych i jasnych zasad swobodnego przepływu danych nieosobowych w Unii Europejskiej i uwolnienia potencjału europejskiej gospodarski opartej na danych. Będzie to możliwe dzięki wypracowaniu otwartych standardów, interoperacyjności, jakości i bezpieczeństwa przenoszenia danych przy jednoczesnym zapewnieniu wzajemnego uznawania certyfikacji usług w chmurze bez względu na kraj pochodzenia oraz łatwości przenoszenia usług między dostawcami na rynku wewnętrznym Unii Europejskiej.

Firmy i organizacje działające w Polsce oraz krajach Europy Środkowo Wschodniej mają dziś niepowtarzalną szansę na wywarcie istotnego wpływu na ostateczny kształt europejskich standardów, które mają być przedstawione w listopadzie br. w Helsinkach a skutecznie wdrożone do 29 maja 2020 roku.  

Konferencja w MC

Z myślą o zapewnieniu polskim przedsiębiorcom należnego miejsca w tworzeniu europejskiej strategii jednolitego rynku cyfrowego i zapewnieniu im przewagi konkurencyjnej na globalnych rynkach Minister Cyfryzacji we współpracy z Dyrekcją Generalną ds. Sieci Komunikacyjnych, Treści i Technologii Komisji Europejskiej (KE DG Connect) zaprasza na konferencję „Jednolity Rynek Cyfrowy – czas na swobodny przepływ danych: wolność, wzrost, (cyber)bezpieczeństwo Europy”, która odbędzie się w Warszawie w dniach 30 września  - 1 października 2019 r.

Obecność na Konferencji potwierdzili m.in. Pan Roberto Viola, Dyrektor Generalny ds. Sieci Komunikacyjnych, Treści i Technologii Komisji Europejskiej (DGSKTiT KE), Pierre Chastanet, szef biura ds. usług Chmurowych i Oprogramowania DGSKTiT KE oraz eksperci pracujący w międzynarodowychGrupach Roboczych ds. Bezpieczeństwa i Standaryzacji Usług Chmurowych (CSP CERT) oraz ds. Wymiany Danych Pomiędzy Chmurami (SWIPO).

Gospodarzami wydarzenia ze strony polskiej będą Pan Marek Zagórski, Minister Cyfryzacji (MC) oraz Pan Karol Okoński, sekretarz stanu w MC, Pełnomocnik Rządu ds. Cyberbezpieczeństwa.

30 września opowiemy, jaki pożytek dla Małych i Średnich Przedsiębiorstwa oraz instytucji administracji publicznej i jednostek samorządu terytorialnego niesie gromadzenie i przetwarzania danych w chmurze obliczeniowej. Konferencja będzie też okazją do przedstawienia w międzynarodowym gronie polskich rozwiązań w tym obszarze.

Ministerstwo Cyfryzacji zachęca do wzięcia udziału, zabirania głos w dyskusji, podzielenia się swoim doświadczeniem. Czas na Twój ruch! Dowiedz się więcej. Email: dsm@mc.gov.pl  

Informacje o grupach SWIPO i CSP CERT

Grupy Robocze SWIPO (ds. Wymiany Danych Pomiędzy Chmurami) oraz CSP CERT (ds. Bezpieczeństwa i Standaryzacji Usług Chmurowych) działają przy Dyrekcji Generalnej ds. Sieci Komunikacyjnych, Treści i Technologii Komisji Europejskiej (KE DG Connect) w związku z realizacją artykułu 6 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1807 w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej z 14.11.2018r., które weszło w życie 28.05.2019r.

Treść artykułu 6

Przenoszenie danych

1. Aby przyczynić się do rozwoju konkurencyjnej gospodarki opartej na danych, Komisja wspiera i ułatwia opracowywanie samoregulacyjnych kodeksów postępowania na poziomie Unii (zwanych dalej „kodeksami postępowania”), opartych na zasadzie przejrzystości i interoperacyjności oraz należycie uwzględniających otwarte standardy, obejmujące między innymi następujące aspekty:

a) najlepsze praktyki w zakresie ułatwiania zmiany dostawcy usług i przenoszenia danych z wykorzystaniem formatów ustrukturyzowanych, powszechnie używanych i nadających się do odczytu maszynowego, w tym formatów opartych na otwartych standardach, gdy jest to wymagane przez dostawcę usług otrzymującego dane lub gdy zwraca się on z takim wnioskiem;

b) minimalne wymogi informacyjne mające na celu zapewnienie użytkownikom profesjonalnym, przed zawarciem umowy o przetwarzanie danych, wystarczająco dokładnych, jasnych i przejrzystych informacji na temat następujących kwestii: procesów, wymogów technicznych, ram czasowych i opłat, które mają zastosowanie w przypadku, gdy użytkownik profesjonalny chce zmienić dostawcę usług lub przenieść dane z powrotem do własnych systemów informatycznych;

c) podejścia w zakresie systemów certyfikacji ułatwiających porównywanie produktów i usług związanych z przetwarzaniem danych dla użytkowników profesjonalnych, z uwzględnieniem przyjętych krajowych lub międzynarodowych norm, w celu ułatwienia porównywalności tych produktów i usług. Podejścia takie mogą obejmować między innymi zarządzanie jakością, zarządzanie bezpieczeństwem informacji, zarządzanie ciągłością działania i zarządzanie środowiskowe;

d) plany działania w zakresie komunikacji z wielodyscyplinarnym podejściem do upowszechniania wiedzy o kodeksach postępowania wśród właściwych zainteresowanych stron.

2. Komisja zapewnia, aby kodeksy postępowania były opracowywane w ścisłej współpracy ze wszystkimi właściwymi zainteresowanymi stronami, w tym stowarzyszeniami MŚP oraz przedsiębiorstwami typu start-up, użytkownikami i dostawcami usług w chmurze.

3. Komisja zachęca dostawców usług do zakończenia prac nad kodeksami postępowania do dnia 29 listopada 2019 r. oraz do ich skutecznego wdrożenia do dnia 29 maja 2020 r.

Grupa CSP CERT

Główny cel Grupy Roboczej ds. Bezpieczeństwa i Standaryzacji Usług Chmurowych CSPCERT został już osiągnięty – jest nim publikacja zawierająca rekomendacje dotyczące Europejskiego Systemu Certyfikacji przekazany na ręce przedstawicieli Komisji Europejskiej w czerwcu br. (dokument dostępny jest na stronie www.cspcert.eu )

Grupa nie zawiesza jednak działalności i jest otwarta na przyjęcie nowych członków – ekspertów w dziedzinie bezpieczeństwa I certyfikacji usług chmurowych wywodzących się z rynku Polskiego i Europy Środkowo-Wschodniej. Jednym z obszarów nadal trwającej dyskusji jest wypracowanie najlepszych sposobów komunikowania wypracowanych przez Grupę zaleceń i zapewnienia, że wymogi bezpieczeństwa, metodologie oceny zgodności Europejską ustawą o cyberbezpieczeństwie, są spójne w całej Europie i przestrzegane przez wszystkie zaangażowane strony na tym samym poziomie zgodności.

Językiem roboczym grupy jest angielski.

Wszelkie pytania, dotyczące możliwości zaangażowania się w dalsze prace Grupy można kierować w języku angielskim na adres: cspcerteurope@gmail.com

Grupa SWIPO

Grupa zajmuje się wypracowaniem samoregulacyjnych kodeksów postępowania branży na poziomie UE, we współpracy z wszystkimi stronami procesu – usługodawcami i usługobiorcami usług chmurowych, zarówno tych prywatnych jak i publicznych. Celem Grupy jest przedstawienie spójnego dokumentu, zawierającego wskazówki, dla dostawców usług świadczonych w chmurze i ich klientów, w celu zapewnienia bezpiecznego i skutecznego przenoszenia danych nieosobowych pomiędzy chmurami.

Dokument ma być gotowy na 29 listopada br.

Grupa jest otwarta na przyjęcie ekspertów z Polski i Europy Środkowo-Wschodniej, specjalizujących się zarówno w kwestiach oceny ryzyka, standardów bezpieczeństwa jak też oceny jakości danych.

Aktualnie Grupa SWIPO w swoich pracach dotyczących zarządzania procesami związanymi z przekazywaniem danych i związanych z tym spójnych kodów postępowania kładzie szczególny nacisk na następująca problematykę: 

• opracowanie ogólnoeuropejskich ram wzajemnego uznawania świadectw, niezależnie od tego, gdzie w Europie zostały przyznane; 
• przejrzystość (jak zagwarantować, że wszyscy usługodawcy udostępniają informacje o tym, jak przebiegał proces ich certyfikacji);
• opracowanie zbioru najlepszych praktyk zarządzania ciągłością biznesową;
• opracowanie procedury należytej staranności – zapewnienie jakości danych wprowadzanych do systemu, niezależnie od tego, skąd pochodzą dane (gdzie nie ma jakości, nie ma mowy o przenoszeniu).

Językiem roboczym grupy jest angielski. Formularz zgłoszenia dostępny jest pod linkiem: https://swipo.page.link/join

Więcej informacji: https://ec.europa.eu/digital-single-market/en/dsm-cloud-stakeholder-working-groups-cloud-switching-and-cloud-security-certification

Co reguluje rozporządzenie (UE) 2018/1807 w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej?

We wrześniu 2017 r., jako część orędzia przewodniczącego Jeana-Claude'a Junckera o stanie Unii, Komisja przedstawiła ramy swobodnego przepływu danych nieosobowych w celu pełnego wykorzystania potencjału europejskiej gospodarki opartej na danych oraz strategii jednolitego rynku cyfrowego. Nowe rozporządzenie ma zastosowanie od 28 maja. Zgodnie z nowymi przepisami Komisja miała obowiązek opublikować wskazówki dotyczące powiązań między tym rozporządzeniem a ogólnym rozporządzeniem o ochronie danych (RODO), zwłaszcza w odniesieniu do zbiorów danych, które składają się zarówno z danych osobowych, jak i nieosobowych.

Celem nowego rozporządzenia jest zapewnienie swobodnego przetwarzania elektronicznych danych innych niż dane osobowe w całej UE. Wprowadza ono zakaz stosowania ograniczeń w odniesieniu do miejsca przechowywania lub przetwarzania danych.

Przepisy o swobodnym przepływie danych nieosobowych są zgodne z obowiązującymi przepisami dotyczącymi swobodnego przepływu i możliwości przenoszenia danych osobowych w UE. Nowe przepisy:

• zapewniają swobodny przepływ danych ponad granicami. Nowe przepisy ustanawiają ramy przechowywania i przetwarzania danych w całej UE, uniemożliwiając wprowadzanie ograniczeń dotyczących lokalizacji danych. Państwa członkowskie będą musiały zgłosić Komisji wszelkie utrzymane lub planowane ograniczenia dotyczące lokalizacji danych. Następnie Komisja oceni, czy takie ograniczenia są uzasadnione. Oba rozporządzenia będą funkcjonowały łącznie, aby umożliwić swobodny przepływ wszelkich danych – osobowych i nieosobowych – tworząc w ten sposób wspólną europejską przestrzeń danych. W przypadku zbioru obejmującego oba rodzaje danych przepisy RODO gwarantujące swobodny przepływ danych osobowych będą miały zastosowanie do zawartych w tym zbiorze danych osobowych, natomiast zasada swobodnego przepływu danych nieosobowych będzie dotyczyć zawartych w nim danych nieosobowych;
• zapewniają dostępność danych na potrzeby kontroli regulacyjnej. Na potrzeby kontroli i nadzoru organy publiczne będą miały dostęp do danych, niezależnie od tego, gdzie w UE dane te są przechowywane i przetwarzane. Państwa członkowskie mogą nakładać sankcje na użytkowników, którzy nie udzielą właściwym organom dostępu do danych przechowywanych w innym państwie członkowskim;
• zachęcają do opracowywania kodeksów postępowania w zakresie usług przetwarzania w chmurze, co ułatwi zmianę dostawcy usług przetwarzania w chmurze, do końca listopada 2019 r. Dzięki temu rynek usług przetwarzania w chmurze stanie się bardziej elastyczny, a usługi w zakresie danych staną się w UE bardziej przystępne cenowo.

Rozporządzenie opisywane ma zastosowanie do przetwarzania danych nieosobowych, które jest:

• świadczone jako usługa na rzecz użytkowników mających miejsce zamieszkania w UE;
• prowadzone na potrzeby własne przez osobę fizyczną, przedsiębiorstwo lub organizację w UE.

Rozporządzenie zakazuje stosowania środków znanych jako wymogi dotyczące lokalizacji, ograniczając przetwarzanie danych do określonego terytorium w UE, z wyjątkiem sytuacji, w których takie ograniczenie uzasadnione jest względami bezpieczeństwa publicznego.

Państwa członkowskie UE są zobowiązane do:

• niezwłocznego poinformowania Komisji Europejskiej o każdym potencjalnym nowym wymogu dotyczącym lokalizacji;
• uchylenia wszelkich nieuzasadnionych wymogów dotyczących lokalizacji lub przekazania informacji Komisji o wymogach, które uważa za uzasadnione do dnia 30 maja 2021 r.;
• ustanowienia krajowego centralnego internetowego punktu informacyjnego zawierającego wszystkie aktualne wymogi dotyczące lokalizacji;
• wyznaczenia centralnego punktu kontaktowego w celu współpracy z centralnymi punktami kontaktowymi innych państw członkowskich i z Komisją, zwłaszcza w zakresie wniosków o udzielenie pomocy.

Organy publiczne mogą zwrócić się z wnioskiem o udzielenie dostępu do danych zlokalizowanych w innym państwie członkowskim UE lub przechowywanych, czy też przetwarzanych w chmurze oraz wymaganych na potrzeby wykonywania ich obowiązków urzędowych.

Komisja Europejska zobowiązana jest do:

• publikowania linków do krajowego centralnego internetowego punktu informacyjnego na swojej stronie internetowej oraz regularnego aktualizowania skonsolidowanego wykazu wymogów dotyczących lokalizacji;
• zapewnienia do dnia 29 maja 2019 r.wskazówek na temat wzajemnych powiązań między niniejszym rozporządzeniem a rozporządzeniem (UE) 2016/679 w sprawie przetwarzania i przekazywania danych osobowych, zwłaszcza danych zawierających zarówno informacje osobowe, jak i nieosobowe;
• do przedłożenia do dnia 29 listopada 2022 r., sprawozdania Parlamentowi Europejskiemu, Radzie i Europejskiemu Komitetowi Ekonomiczno-Społecznemu na temat sposobu stosowania rozporządzenia.

Komisja ma wspierać tworzenie samoregulacyjnych kodeksów postępowania na poziomie Unii. Powinny one:

• być opracowywane w ścisłej współpracy z zainteresowanymi stronami, takimi jak małe i średnie przedsiębiorstwa, przedsiębiorstwa typu start-up, użytkownicy i dostawcy usług w chmurze;
• zostać ukończone do dnia 29 listopada 2019 r., tak aby mogły być wdrożone do dnia 29 maja 2020 r.;
• obejmować
  • najlepsze praktyki w przypadku zmiany dostawców usług lub przenoszenia danych*
  • minimalne wymogi informacyjne dla użytkowników profesjonalnych przed podpisaniem umowy o przetwarzanie danych
  • systemy certyfikacji umożliwiające porównywanie produktów i usług związanych z przetwarzaniem danych dla użytkowników profesjonalnych
  • komunikację w celu upowszechniania wiedzy o kodeksach postępowania.

Rozporządzenie ma zastosowanie od 18 czerwca 2019 r. Nowe przepisy wskazują określone terminy, które muszą być dotrzymane, np. wszelkie nieuzasadnione wymogi dotyczące lokalizacji powinny zostać uchylone do dnia 30 maja 2021 r.

Nowe przepisy mają na celu ułatwienie transgranicznego prowadzenia działalności gospodarczej w UE oraz stworzenie jednolitego rynku przechowywania danych i usług przetwarzania danych, takich jak przetwarzanie w chmurze.

Możliwość wyboru dostawcy usług w dowolnym miejscu w UE powinna prowadzić do bardziej innowacyjnych usług opartych na danych oraz bardziej konkurencyjnych cen dla przedsiębiorstw, konsumentów i organów administracji publicznej.

Szacuje się, że z korzystnym otoczeniem regulacyjnym gospodarka oparta na danych mogłaby osiągnąć 4% PKB (produktu krajowego brutto) UE do 2020 r.

Dane nieosobowe to wszelkie informacje niezwiązane ze zidentyfikowaną lub możliwą do zidentyfikowania osobą, inne niż dane osobowe, jak określono w art. 4 pkt 1 ogólnego rozporządzenia o ochronie danych (RODO).

Wymogi dotyczące lokalizacji to każdy środek prawny lub administracyjny, który stanowi, że przetwarzanie danych musi się odbyć na określonym terytorium UE.

Przenoszenie danych oznacza przenoszenie danych od jednego dostawcy usług do drugiego lub z powrotem na serwery własne przedsiębiorstwa.

Wskazówki Komisji Europejskiej w sprawie swobodnego przepływu danych nieosobowych

Komisja Europejska opublikowała w maju br. nowe wskazówki, które dotyczą powiązań między unijnymi przepisami o swobodnym przepływie danych nieosobowych a przepisami o ochronie danych.

Nowe rozporządzenie w sprawie swobodnego przepływu danych nieosobowych, które zaczęło obowiązywać w państwach członkowskich, umożliwi przechowywanie i przetwarzanie danych w całej UE bez nieuzasadnionych ograniczeń. Jest to część strategii jednolitego rynku cyfrowego. Wskazówki Komisji Europejskiej mają pomóc przedsiębiorstwom – zwłaszcza małym i średnim – zrozumieć powiązania między nowymi przepisami a ogólnym rozporządzeniem o ochronie danych (RODO), zwłaszcza gdy zbiory danych obejmują zarówno dane osobowe, jak i nieosobowe.

Wiceprzewodniczący do spraw jednolitego rynku cyfrowego Andrus Ansip oświadczył: "Do 2025 r. w UE-27 gospodarka oparta na danych będzie prawdopodobnie stanowić 5,4 proc. unijnego PKB, co odpowiada kwocie 544 mld euro. Ten ogromny potencjał jest jednak ograniczony, jeżeli danych nie można swobodnie przekazywać. Zniesienie odgórnych ograniczeń dotyczących lokalizacji danych oznacza, że obywatele i przedsiębiorstwa mogą jak najlepiej wykorzystywać dane i możliwości, jakie one oferują. Ogłoszone dzisiaj wskazówki zapewnią teraz pełną jasność co do tego, w jaki sposób swobodny przepływ danych nieosobowych jest powiązany z unijnymi przepisami dotyczącymi ochrony danych osobowych".

Komisarz do spraw gospodarki cyfrowej i społeczeństwa cyfrowego Marija Gabriel dodała: "Nasza gospodarka w coraz większym stopniu opiera się na danych. Dzięki rozporządzeniu w sprawie swobodnego przepływu danych nieosobowych oraz ogólnemu rozporządzeniu o ochronie danych dysponujemy kompleksowymi ramami dla wspólnej europejskiej przestrzeni danych i swobodnego przepływu wszystkich danych w Unii Europejskiej. Wskazówki, które dziś publikujemy, pomogą przedsiębiorstwom – zwłaszcza małym i średnim – zrozumieć powiązania między tymi dwoma rozporządzeniami".

Razem z ogólnym rozporządzeniem o ochronie danych (RODO), które zaczęto stosować rok temu, nowe rozporządzenie w sprawie swobodnego przepływu danych nieosobowych zapewnia stabilne otoczenie prawne i biznesowe dla przetwarzania danych. Nowe rozporządzenie uniemożliwia państwom członkowskim wprowadzanie przepisów, które w nieuzasadniony sposób zmuszałyby do przechowywania danych wyłącznie na terytorium danego kraju. Jest to pierwszy tego rodzaju akt prawny na świecie. Nowe przepisy zwiększają pewność prawa i zaufanie przedsiębiorstw oraz ułatwiają MŚP i przedsiębiorstwom typu start-up opracowywanie innowacyjnych usług, korzystanie z najlepszych oferowanych usług przetwarzania danych na rynku wewnętrznym oraz prowadzenie działalności transgranicznej.

Przedstawione wskazówki zawierają praktyczne przykłady tego, w jaki sposób należy stosować przepisy w przypadku, gdy przedsiębiorstwo przetwarza zbiory danych, które obejmują zarówno dane osobowe, jak i nieosobowe. We wskazówkach wyjaśniono również pojęcia danych osobowych i nieosobowych, w tym mieszanych zbiorów danych; przedstawiono zasady swobodnego przepływu danych oraz brak możliwości wprowadzania wymogów dotyczących lokalizacji danych zarówno na podstawie RODO, jak i rozporządzenia w sprawie swobodnego przepływu danych nieosobowych; oraz przedstawiono pojęcie przenoszenia danych na mocy rozporządzenia w sprawie swobodnego przepływu danych nieosobowych. Wskazówki zawierają również wymogi w zakresie samoregulacji, które określono w obu wspomnianych rozporządzeniach.

Więcej informacji:

• Swobodny przepływ danych nieosobowych (Komisja Europejska);
• Komisja ogłasza wskazówki w sprawie swobodnego przepływu danych nieosobowych – pytania i odpowiedzi;
• Wskazówki dotyczące rozporządzenia w sprawie swobodnego przepływu danych nieosobowych;
• Ramy swobodnego przepływu danych nieosobowych w UE – pytania i odpowiedzi;
• Rozporządzenie w sprawie swobodnego przepływu danych nieosobowych;
• Pierwszy rok obowiązywania ogólnego rozporządzenia o ochronie danych;
• Grupy robocze ds. zmian dostawcy usług przetwarzania w chmurze oraz ds. certyfikacji bezpieczeństwa takich usług;
• Informacje praktyczne o swobodnym przepływie danych – portal „Twoja Europa”.

Podstawa prawna:

• rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1807 z dnia 14 listopada 2018 r. w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej (Dz.U. L 303 z 28.11.2018, s. 59-68);
• rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1–88).

A.J.
Zespół e-prawnik.pl