- Nowe unijne przepisy mają przeciwdziałać tendencji do cyfrowego zamykania się w obrębie państwa oraz służyć rozwojowi sztucznej inteligencji i internetu rzeczy - mówi Damian Karwala w rozmowie z DGP.
Damian Karwala, doktor nauk prawnych, radca prawny, senior associate w kancelarii CMS fot. Tomasz Boniecki/Materiały prasowe / Dziennik Gazeta Prawna
Parlament Europejski przegłosował w ostatnich dniach swoją wersję rozporządzenia w sprawie ram swobodnego przepływu danych nieosobowych w UE. Czym różnią się one od danych osobowych?
Dane te mają związek z takimi zjawiskami jak internet rzeczy, sztuczna inteligencja czy komunikacja pomiędzy maszynami. Przykładowo może to być zestaw danych z systemu do zarządzania nowoczesnym domem czy poszczególnymi jego elementami, jak np. oświetleniem czy poborem mediów (tzw. inteligentne liczniki). Te dane generowane są przez nowoczesne urządzenia i co ważne, mogą być całkowicie oderwane od określonych użytkowników. Jednak w praktyce dane nieosobowe często trudno oddzielić od osobowych.
Dlaczego?
Definicja danych osobowych w prawie unijnym, w wytycznych regulatorów i orzecznictwie Trybunału Sprawiedliwości Unii Europejskiej jest coraz szersza i odrywa się od danych, które są dla każdego w oczywisty sposób osobowe – jak imię i nazwisko, adres zamieszkania, e-mail. Wydaje się, że same instytucje unijne zaczynają napotykać na trudność w ich rozdzieleniu. W ramach prac nad rozporządzeniem o przepływie danych nieosobowych podawany jest przykład danych generowanych przez nowoczesne samochody i wówczas są one traktowane jako nieosobowe. Natomiast przy pracach nad rozporządzeniem ePrivacy ten sam przykład podawany jest jako zagrożenie dla prywatności – a więc dane powiązane zostają z osobami fizycznymi, czyli użytkownikami aut. Jest to najlepszy dowód na to, że będziemy obserwować sytuacje, w których trudno będzie, zwłaszcza w jednym zbiorze, oddzielić jedne dane od drugich. Może się nawet okazać, że w praktyce zakres działania tego nowego rozporządzenia będzie niewielki. Większość danych, z jakimi mamy do czynienia, to bowiem dane osobowe.
Skąd więc w ogóle pomysł na te regulacje?
Geneza związana jest z widoczną w Unii Europejskiej, ale też w Rosji, Chinach i Brazylii tendencją do tego, by ograniczać na terenie danego kraju możliwość oferowania usług cyfrowych świadczonych przez podmioty z innych państw. Jest to tendencja protekcjonistyczna, prowadząca do odgradzania się w obrębie granic państw, mimo tego, że ciągle mówi się o globalizacji. Wynika to z wielu względów, choćby związanych z bezpieczeństwem. Przypadek Snowdena pokazał wyraźnie, że dane, które trafiają na serwery dużych dostawców internetowych, mogą być wykorzystywane przez służby danego państwa. Ale mogą być też względy ekonomiczne, podnoszone np. we Francji, związane z dążeniem do chronienia i promowania rodzimych usługodawców. Przeciwdziałaniu zjawisku okopywania się w granicach państw ma służyć nowe rozporządzenie. Komisja myśli przyszłościowo – mamy w planach rozwój sztucznej inteligencji i internetu rzeczy, w którym generowane będą informacje przekazywane podczas komunikacji między maszynami. Będą więc one oderwane od osób fizycznych, a ich nieskrępowany przepływ będzie istotny.
Może pan podać jakieś inne przykłady tego typu danych?
Kolejnym mogą być dane telekomunikacyjne. Co do zasady są danymi osobowymi, ale po odpowiedniej obróbce, ich agregacji lub anonimizacji mogą stać się nieosobowe. A pozwalają na obserwację np. sposobu przemieszczania się dużych mas ludzi i mogą być wykorzystywane np. do zwiększenia bezpieczeństwa ruchu czy rozładowania korków lub zatorów tworzących się po dużych imprezach masowych.
Jedną z głównych zmian jest zatem zakaz stosowania przez poszczególne państwa UE środków wymagających lokalizowania danych w konkretnym kraju?
Tak, projektowane przepisy mają służyć zwiększeniu mobilności danych nieosobowych w ramach jednolitego rynku. Na przeszkodzie tej mobilności stoją zaś krajowe ograniczenia dotyczące lokalizacji. Ograniczenia takie wprowadzane są na co najmniej dwa sposoby. Pierwszy, bardziej bezpośredni, poprzez wprowadzenie konkretnych nakazów lub zakazów. I nie musi być to od razu zakaz przetwarzania danych w innym państwie, ale np. zakaz korzystania z usług partnerów z innego państwa. Mogą to być też rozwiązania bardziej pośrednie, np. faworyzowanie określonych dostawców w ramach zamówień publicznych lub określonej technologii, ale skutek będzie podobny. Wszystkim im ma przeciwdziałać to rozporządzenie. Ma ono poprawić wewnątrzunijne transfery danych. Mówi się nawet o piątej swobodzie unijnej obok czterech tradycyjnych dotyczących przepływu osób, towarów, usług i kapitału. Swobodę przepływu danych osobowych zapewniło RODO, pozostały jednak dane nieosobowe i ten obszar wymagał regulacji. Projekt wprowadza zasadę transgranicznego swobodnego przepływu danych w UE, ale zostawia też furtkę na przyjmowanie wyjątków przez poszczególne państwa związanych z bezpieczeństwem publicznym.
Co firmy zyskają na uwolnieniu przepływu danych?
Należy zakładać, że będzie to dla nich zjawisko korzystne, bo otwiera cały rynek europejski. Przykładowo przechowywanie danych w Polsce jest tańsze niż w państwach Europy Zachodniej, więc nasze firmy IT byłyby bardziej konkurencyjne, ale przez przepisy lokalizacyjne traciły tę przewagę. Otwarcie rynku może spowodować poprawę ich sytuacji. Pamiętajmy jednak, że tendencja do zamykania się nie jest tylko kwestią określonych regulacji, nakazów i zakazów, ale także pewnej mentalności. Wielu przedsiębiorców woli, żeby ich dane przechowywane były lokalnie. Dlatego oprócz pewnych rozwiązań twardych Komisja i inne gremia powinny też opracować rozwiązania miękkie. Duże praktyczne znaczenie może mieć art. 6 rozporządzenia, w którym mowa o tzw. porting of data, czyli zachęcie dla dostawców usług (np. chmurowych), by stosowali kodeksy dobrych praktyk.