W ostatnich latach ustawodawca unijny stara się odpowiedzieć na wyzwania jakie niesie ze sobą rewolucja cyfrowa, stawiająca w centrum problematykę danych. Chodzi tutaj nie tylko o dane osobowe, ale także dane nieosobowe, które od dawna napędzają światowe gospodarki. Przywykliśmy do tego, że dane stają się współczesną walutą, a hasło „informacja to władza” dziś traktuje się jak wyświechtany slogan. Na szczeblu unijnym tworzy się system prawny regulujący zasady zarządzania wszelkiego rodzaju danymi, o którego randze świadczy fakt, że akty prawne przybierają formę rozporządzeń, a nie dyrektyw. Oznacza to, że ich przepisy są stosowane bezpośrednio w porządkach krajowych państw członkowskich i nie ma potrzeby ich wdrażania przez ustawy krajowe – te ostatnie jednak towarzyszą rozporządzeniu, by doprecyzować jego postanowienia w krajowym porządku prawnym, w szczególności przez stworzenie otoczenia instytucjonalnego (organu) czuwającego nad przestrzeganiem przepisów unijnego aktu.
W chwili obecnej na unijny system prawa w zakresie danych składa się pięć rozporządzeń, przy czym jest to wciąż system znajdujący się w fazie budowy. Niniejszym wpisem dokonamy przeglądu fundamentalnych aktów prawnych, które na tę chwilę istotnie się różnią co do statusu ich obowiązywania.
- rozporządzenie nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, czyli tzw. RODO) – to chyba najbardziej popularny w historii akt prawny Unii Europejskiej, który dokonał rewolucji w zakresie podejścia do danych osobowych. Sławę swą zawdzięcza karom finansowym o gigantycznych rozmiarach, jakie nakładać może krajowy organ nadzoru (w Polsce jest nim Prezes Urzędu Ochrony Danych Osobowych). Jego przepisy są bezpośrednio stosowane, a ustawy krajowe mu towarzyszące pełnią w zasadzie rolę służebną. RODO weszło w życie w dniu 24 maja 2016 r., lecz zaczęło obowiązywać w dniu 25 maja 2018 r. Przedmiotem ochrony ze strony tego rozporządzenia są dane osobowe, a więc wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, przy czym identyfikacja ta możliwa jest bezpośrednio lub pośrednio w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Intencją twórców wspomnianego aktu była ochrona ludzkiej prywatności przed podmiotami chcącymi czerpać korzyści (nie tylko finansowe) z przetwarzania danych osobowych. RODO starało się położyć kres nadużyciom przy przetwarzaniu danych, np. zbieraniu danych w jak największej ilości i na zapas, przechowywaniu ich w nieskończoność czy bez podstawy prawnej, bądź ich migracji bez ograniczeń terytorialnych. Z perspektywy czasu możemy stwierdzić, iż respekt przed tym rozporządzeniem ulegał obniżeniu, choć organy nadzorcze w państwach UE starały się go podtrzymywać przez nakładanie kolejnych kar finansowych za naruszanie rozporządzenia.
- rozporządzenie nr 2018/1807 z dnia 14 listopada 2018 r. w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej – jest to zdecydowanie mniej popularne od RODO rozporządzenie, które weszło w życie w dniu 18 grudnia 2018 r., co istotniejsze: zaczęło być stosowane od dnia 28 maja 2019 r. Ten akt prawny jest pierwszym z trzech filarów systemu ochrony danych nieosobowych, które definiuje się po prostu jako dane inne niż dane osobowe. Celem przyjęcia tego rozporządzenia było usunięcie wymogów nakazujących lokalizację danych nieosobowych na terytorium danego państwa członkowskiego, co umożliwić ma mobilność tych danych na terenie UE, a także utrudnień w przenoszalności takich danych, w szczególności między różnymi dostawcami usług dotyczących przetwarzania takich danych. Jednocześnie dostawców tych zachęcono do tworzenia branżowych samoregulacji określających zasady przenoszenia danych.
- rozporządzenie nr 2022/868 z dnia 30 maja 2022 r. w sprawie europejskiego zarządzania danymi i zmieniające rozporządzenie (UE) 2018/1724 (akt w sprawie zarządzania danymi, ang. Data Governance Act – DGA) to drugi filar europejskiego sytemu danych nieosobowych, choć dotyczy on również danych osobowych; rozporządzenie weszło w życie w dniu 23 czerwca 2022 r., a jego stosowanie rozpoczęło się w dniu 24 września 2023 r., choć z uwagi na opieszałość polskich władz legislacyjnych można mieć wątpliwości w jakim zakresie ono u nas obowiązuje, skoro żaden organ państwa nie ma kompetencji związanych ze stosowaniem DGA. Projekt ustawy o zarządzaniu danymi przepadł w Sejmie poprzedniej kadencji, trwają prace nad projektem, który ma zostać przyjęty przez rząd w IV kwartale 2024 r. (Prezes GUS i Prezes UODO mają być organami odpowiedzialnymi za stosowanie omawianego rozporządzenia). Akt ten reguluje trzy obszary: ponowne wykorzystywanie niektórych kategorii chronionych danych będących w posiadaniu podmiotów sektora publicznego (tzw. chronione dane), usługi pośrednictwa danych oraz altruizm danych oparty na zgodzie właścicieli danych na bezpłatne ich udostępnianie do celów leżących w interesie ogólnym (np. wspieranie i rozwój badań, poprawa opieki zdrowotnej, zapobieganie klęskom żywiołowym).
- rozporządzenie nr 2023/2854 z dnia 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 (akt w sprawie danych) – jest trzecim filarem sytemu danych nieosobowych (choć podobnie jak DGA także porusza kwestię danych osobowych); weszło w życie w dniu 11 stycznia 2024 r., lecz zacznie obowiązywać od dnia 12 września 2025 r. Akt ten już potocznie nazywany jest mianem „RODO dla IoT”, bowiem wprowadza nowe wymogi w zakresie projektowania i wytwarzania inteligentnych urządzeń (chodzi o sprzęty podłączone do internetu jak np. smart AGD czy sprzęty inteligentnego domu). Celem jest zapewnienie użytkownikom dostępu do danych generowanych w wyniku korzystania z tych urządzeń oraz zyskania możliwości udostępnienia tych danych innym podmiotom oferującym usługi na rynkach niższego szczebla lub np. zaoferowanie ich na cele altruizmu danych. Chodzi więc o zapewnienie sprawiedliwego dostępu do danych, na których posiadanie dotychczas monopol dzierżyli producenci urządzeń. Akt będzie regulował wymianę danych między przedsiębiorstwami, między przedsiębiorstwami a konsumentami oraz między przedsiębiorstwami a administracją publiczną. Akt w sprawie danych zawiera też nowe regulacje w zakresie interoperacyjności danych i usług chmurowych, dążąc także do zmniejszenia zależności użytkowników od dostawców usług chmurowych (zmiana dostawcy i połączony z nią transfer danych ma przebiegać sprawniej i bez opłat). Należy się spodziewać ustawy wdrażającej wymogi w/w rozporządzenia.
- rozporządzenie w sprawie poszanowania życia prywatnego i ochrony danych osobowych w łączności elektronicznej oraz uchylające dyrektywę 2002/58/WE (rozporządzenie o prywatności i łączności elektronicznej, tzw. ePrivacy). Jest to ostatni z aktów europejskiego systemu prawnego w zakresie danych, który w założeniach miał być uzupełnieniem RODO i zacząć obowiązywać właśnie z tym rozporządzeniem. Tak się jednak nie stało, a na tę chwilę ePrivacy pozostaje jedynym aktem regulacyjnym w zakresie danych, który nie został przyjęty. Rozporządzenie to ma regulować zasady prywatności i ochrony danych osobowych w odniesieniu do komunikacji elektronicznej, nakładając na dostawców usług łączności elektronicznej szereg wymogów, niekiedy poprzez aktualizację dotychczasowych (np. w zakresie plików cookie czy spamu). Negocjacje w sprawie przyjęcia rozporządzenia trwają, ich przewlekłość w dużej mierze wynika z dynamiki zachodzących przemian cyfrowych – każdy z nas przyzna, że świat w roku 2024 wygląda inaczej niż w roku 2017, gdy po raz pierwszy usłyszeliśmy o ePrivacy. Gdy rozporządzenie zostanie przyjęte, uzupełni europejski system prawny w zakresie danych.
Jak z powyższego wynika, Unia Europejska stara się legislacyjnie nadążyć za przemianami wywołanymi rewolucją technologiczną kształtującą gospodarkę cyfrową opartą na danych. Dowodem tego jest przyjęcie kolejnego z doniosłych rozporządzeń, tj. rozporządzenia nr 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji). Akt ten nie dotyczy stricte danych, a bardziej narzędzi do ich przetwarzania jakimi są systemy sztucznej inteligencji. Prawo AI to dziedzina, o której szerzej traktujemy tutaj.
Chęć sprawnego poruszania się w gąszczu nowych regulacji winna skłaniać do korzystania z takich usług jak stała obsługa prawna IT – zachęcamy do kontaktu z naszą kancelarią, która zapewnia wsparcie prawne w obszarze compliance.
Data publikacji: 26.09.2024