Opinia Europejskiego Komitetu Ekonomiczno-Społecznego "Komunikat Komisji do Parlamentu Europejskiego i Rady - Wytyczne dotyczące rozporządzenia w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej (COM(2019) 250 final).

3.1.1. By pogodzić te dwa uzupełniające się rozporządzenia, Komisja wyjaśnia, iż: 1) wymogi lokalizacji danych są obecnie zakazane; 2) dane pozostają dostępne dla właściwych organów; 3) dane stają się mobilne i w związku z tym mogą być przenoszone. W RODO mówi się o możliwości przenoszenia danych, a w rozporządzeniu w sprawie ram swobodnego przepływu danych nieosobowych - o przenoszeniu danych. Użytkownicy mogą przekazywać swoje dane poza kraj, w którym zostały stworzone, a następnie je przywrócić bez (nadmiernych) ograniczeń po zmianie dostawcy usług w celu ich przechowywania, przetwarzania i analizy. W przeciwieństwie do możliwości przenoszenia danych, które jest prawem przysługującym osobom zainteresowanym, przeniesienie danych odbywa się zgodnie z kodeksami postępowania i tym samym w ramach inicjatywy samoregulacji.

3.1.2. Jest to istotna różnica między tymi dwoma rozporządzeniami, gdyż jedno opiera się na prawie twardym, a drugie - na instrumentach niewiążących (prawo miękkie), które - jak wiadomo - zapewniają znacznie mniejsze gwarancje. Według samej Komisji większość danych ma zarówno charakter osobowy, jak i nieosobowy, które są ze sobą nieodłącznie związane i które sprawiają, że są to dane mieszane.

3.1.3. EKES z zadowoleniem przyjmuje tę inicjatywę pomocy, nie kwestionuje wybranych pzykładów i nie zamierza przytaczać innych. Jednak odnotowuje, że wytyczne Komisji adresowane do podmiotów sektora ograniczają się do zilustrowania kontekstu przez podanie przykładów różnych sytuacji. W celu ostrzeżenia Komisji pragnie podkreślić kwestie o znaczeniu krytycznym, które jego zdaniem mogą nastręczać problemów użytkownikom pomimo wytycznych i przyszłych kodeksów.

3.2.1. Zasada: swobodny przepływ danych

Bariery w swobodnym przepływie danych nieosobowych mają raczej charakter funkcjonalny, a nie geograficzny, i są związane z środkami, które przedsiębiorstwa przeznaczają na wykorzystanie technologii informatycznych.

W rozporządzeniu w sprawie ram swobodnego przepływu danych nieosobowych wprowadza się zakaz nakładania wymogów dotyczących lokalizacji danych nieosobowych na danym obszarze (art. 4). Wymaga ono od państw członkowskich, by uchyliły wszelkie niezgodne z tym przepisy w ciągu 24 miesięcy od czasu wejścia w życie rozporządzenia (maj 2021 r.).

W rozporządzeniu dopuszcza się wyjątki związane z bezpieczeństwem publicznym. Państwa powinny publikować w internecie szczegółowe informacje na temat wymogów lokalizacji obowiązujących na szczeblu krajowym. Komisja Europejska może przedstawić swoje uwagi i publikować linki do stron internetowych założonych przez państwa członkowskie.

3.2.2. Wyjątki od swobody przemieszczania się

3.2.4. EKES ubolewa, że w wytycznych nie przewiduje się wzmianki ani o sporach, ani o metodach weryfikacji, w jaki sposób państwa członkowskie będą przestrzegać kryteriów bezpieczeństwa publicznego i w jaki sposób będą mogły w razie konieczności zostać ukarane. Jest zaniepokojony tym, że wyjaśnienia podane w komunikacie nie będą wystarczające, żeby umożliwić operatorom w mikroprzedsiębiorstwach i MŚP uniknięcie wszystkich pułapek prawnych tekstu i że istniejąca niepewność uniemożliwi wzbudzenie zaufania i pewności prawa niezbędnych do rozwoju tego sektora.

3.2.5. EKES dostrzega wielką zaletę komunikatu, którą jest szerokie odgórne rozpowszechnienie informacji o sytuacji wynikającej z tych dwóch rozporządzeń. Komunikat jest absolutnie konieczny dla świata mikroprzedsiębiorstw i MŚP. EKES ma nadzieję, że działanie krajowych punktów kontaktowych i korzystanie ze strony internetowej Komisji przez te podmioty będą oceniane po sześciu miesiącach funkcjonowania, tak by szybko można było wprowadzić korekty, jeżeli dostrzeżony zostanie brak informacji i komunikacji.

4.1.1. Dane nieosobowe obejmują domyślnie zbiór danych cyfrowych, które nie wchodzą w zakres danych osobowych określonych w RODO. Może chodzić o dane handlowe, dane dotyczące rolnictwa precyzyjnego i potrzeb w zakresie konserwacji maszyn, dane meteorologiczne itd.

4.1.2. Dane zebrane przez służby publiczne takie jak szpitale, opieka społeczna czy też organy podatkowe mogą być bardzo zbliżone do danych osobowych pacjentów lub podatników. Przedsiębiorstwa je wykorzystujące muszą zadbać o to, by nie pozwalały na identyfikację osób i by po anonimizacji nie można było odwrócić tego procesu. Dla mikroprzedsiębiorstw lub MŚP może to oznaczać zastosowanie procedur wymagających zbyt dużo czasu czy pieniędzy. Ze względu na to, że dwa rozporządzenia (RODO i rozporządzenie w sprawie ram swobodnego przepływu danych nieosobowych) razem zapewniają swobodny przepływ wszystkich danych w UE, gdy są one "nierozerwalnie związane", ochrona prawna przewidziana w RODO stosuje się zatem do zbiorów danych mieszanych (motyw 8 i art. 2 ust. 2 rozporządzenia (UE) 2018/1807). Do pierwszego ograniczenia swobodnego przepływu danych nieosobowych powiązanego z bezpieczeństwem publicznym dochodzi zatem ograniczenie związane z samym charakterem danych. Jest to zasadnicza kwestia poruszona w komunikacie Komisji, w którym wielokrotnie mówi się o podobieństwie danych osobowych i nieosobowych: "Mieszane zbiory danych reprezentują większość zbiorów danych [...]"(komunikat, pkt 2.2), mogą one być "nierozerwalnie związane"(pkt 2.2), "w żadnym z omawianych dwóch rozporządzeń nie zobowiązuje się przedsiębiorstw do podziału zbiorów danych"(pkt 2.2).

4.1.3. Zadaniem przedsiębiorstwa jest zastanowienie się, czy przetwarzane przez nie dane nieosobowe są "nierozerwalnie związane"z danymi osobowymi, i objęcie ich ochroną, jeżeli są. Przedsiębiorstwu nie jest łatwo przygotować "out management". Ogólna definicja danych mieszanych wydaje się niemożliwa, a nakładanie się tych dwóch rozporządzeń prawdopodobnie zazębia się z innymi aktami prawnymi odnoszącymi się do prawa dotyczącego danych, takimi jak przepisy dotyczące własności intelektualnej: dane nieosobowe mogą się przemieszczać, lecz nie będą już podlegać tym samym zasadom, jeżeli zostaną ponownie wykorzystane w danym utworze. EKES uważa, że powiązania między różnymi aktami prawnymi będą miały bardzo delikatny charakter. Orzecznictwo wymagało już, by nierozerwalny związek został przeanalizowany pod kątem rozsądnego kryterium. EKES stwierdza, że w omawianym komunikacie zdecydowanie nie można dokonać przeglądu wszystkich scenariuszy, by pomóc podmiotom, i że powstała sytuacja sprzyja raczej dużym przedsiębiorstwom. Zaleca Komisji dopilnowanie, by dane osobowe nie były stopniowo uznawane w praktyce za nieosobowe i by w RODO zachowano cały zakres jego stosowania, nawet jeżeli oba rozporządzenia zostaną połączone w perspektywie średnioterminowej z myślą o większej ochronie danych, a nie o ich większym utowarowieniu.

RODO przewiduje, że możliwość przenoszenia danych musi regulować rozporządzenie (art. 20), a rozporządzenie w sprawie ram swobodnego przepływu danych nieosobowych, że musi się to odbywać w ramach samoregulacji. EKES wyraża ubolewanie, że ze względu na duże ryzyko sporów może się zrodzić duża niepewność prawa narażająca na szwank mikroprzedsiębiorstwa i MŚP. Uważa, że dane nieosobowe mogą być importowane i eksportowane, jeżeli są towarami, rzecz jasna niematerialnymi, lecz znajdującymi się w swobodnym obrocie. W obecnym kontekście korzystna byłaby debata na temat ich własności. Zasobem o prawdziwej wartości są raczej zbiory danych, a nie same dane. W związku z tym Komitet uważa, że polityka konkurencji może nie być dostosowana do tego rodzaju rynku. Zastanawia się, w jaki sposób zaistniała sytuacja zwiększy wydajność mikroprzedsiębiorstw i MŚP. Komunikat Komisji nie dostarcza im żadnych kluczowych informacji na ten temat.

4.3.1. Od dłuższego czasu EKES ubolewa, że UE nie ma ani dużych operatorów, ani chmury "europejskiej". Efekt skali, do którego się zawsze dąży, jest cechą bardzo dużych amerykańskich przedsiębiorstw komputerowych i niektórych chińskich przedsiębiorstw. Dlatego też nawet główne organy administracji państw członkowskich odczuwają pokusę zawierzenia im i przekazania im zarządzania swymi danymi (tak jak Francja).

4.3.2. EKES jest zdania, że Europejczycy potrzebują stworzenia ekosystemów partnerskich, a także zapewnienia transmisji danych między platformami. Oprócz komunikatu Komisja mogłaby pomóc mikroprzedsiębiorstwom i MŚP w rozwinięciu w tym celu zasobów, podobnie jak uczyniła to w przypadku usług świadczonych w interesie ogólnym w swym projekcie z 2018 r. dotyczącym federacji usług ogólnoeuropejskich przetwarzania w chmurze w odniesieniu do usług świadczonych w ogólnym interesie gospodarczym i usług o charakterze nieekonomicznym świadczonych w interesie ogólnym (usług na żądanie FaaS) oraz jak przewiduje w wypadku sieci centrów innowacji cyfrowych (A network of Digital Innovation Hubs, web/Komisja/DIH/styczeń 2019 r.).

4.4.1. Na szczeblu krajowym operatorzy krajowi 5  sprawdzają charakter przekazywanych danych i je zabezpieczają. Obowiązeklokalizacji odpowiadał możliwym do weryfikacji przepisom prawa krajowego dotyczącym bezpieczeństwa. Pomimo RODOi rozporządzenia w sprawie ram swobodnego przepływu danych nieosobowych normy bezpieczeństwa komputerowego nie zostałyujednolicone między różnymi państwami członkowskimi UE. Komitet uważa, że krajowe punkty kontaktowe powinny dostarczyćw różnych językach bardzo rzetelne informacje na ten temat mikroprzedsiębiorstwom i MŚP, a także służbom prywatnymi publicznym,

Jest zdania, że na szczeblu zewnętrznym wątpliwości budzi zdolność przedsiębiorstw spoza UE do respektowania kodeksów postępowania i zwrócenia danych po nowej transmisji na żądanie ich posiadacza. Obawia się, że w perspektywie długoterminowej trudny stanie się podział odpowiedzialności.

Zaleca Komisji, by pomogła europejskim podmiotom w jak najszybszym zastosowaniu algorytmów mogących przetwarzać zbiory danych nieosobowych na jednolitym rynku danych.

4.4.2. Położenie fizyczne serwerów i ich bezpieczeństwo pozostaną kwestią negocjacji handlowych i dyplomatycznych między państwami. Jest to kwestia o kluczowym znaczeniu. Choć zarządzanie danymi jest kompetencją dzieloną między państwa członkowskie i UE, to w obliczu dużych przedsiębiorstw internetowych i ich państw odniesienia negocjacje każdego z państw członkowskich z osobna byłyby ryzykowne.

4.4.3. EKES proponuje Komisji, by uściśliła komunikat w sprawie obowiązków dostawców usług w odniesieniu do przechowywania danych nieosobowych, stosowanych metod, miejsc fizycznych, przewidzianego lub dopuszczonego okresu przechowywania i wykorzystania po przetwarzaniu, gdyż aspekty te decydują o bezpieczeństwie danych i mogą być istotne dla przedsiębiorstw europejskich w kontekście światowej konkurencji.

4.5.1. Począwszy od maja 2019 r. zachęca się podmioty, których dotyczy rozporządzenie w sprawie ram swobodnego przepływu danych nieosobowych (głównie użytkowników i dostawców usług w chmurze), do sporządzenia w ciągu 12 miesięcy swego kodeksu postępowania. Zdaniem Komisji należy wziąć pod uwagę dobre praktyki, podejścia w dziedzinie systemów certyfikacji oraz plany działania w zakresie komunikacji. Grupy robocze SWIPO i CSPCERT wnoszą swą wiedzę fachową.

4.5.2. Komisja odnosi się do działań podjętych w związku z RODO (komunikat, s. 23). Ze względu na to, że rozporządzenie zgodne jest z opinią EIOD 6 , można je wykorzystać jako wsparcie dla rozporządzenia w sprawie ram swobodnego przepływu danych nieosobowych. Stowarzyszenia przedstawicieli danego sektora działalności mogą opracować swój kodeks postępowania. Autorzy muszą dowieść właściwym organom (CompSA), że ich projekt kodeksu, czy to krajowy, czy transgraniczny, zaspokaja konkretną potrzebę sektora, ułatwia zastosowanie rozporządzenia i ustanawia skuteczne mechanizmy nadzoru przestrzegania kodeksu.

4.5.3. Nawet przed wejściem w życie RODO główni dostawcy infrastruktury jako usługi (IaaS) i oprogramowania jako usługi (SaaS) opracowali własny kodeks postępowania w celu określenia warunków wdrażania i tym samym wyjaśnienia wątpliwości zgłaszanych przez specjalistów 7 ; włączyli w to MŚP, uznając, że dla wielu z nich certyfikacja własna jest bardziej pożądana niż bardzo wysokie koszty certyfikacji.

4.5.4. EKES popiera podejście sektorowe w odniesieniu do rozporządzenia w sprawie ram swobodnego przepływu danych nieosobowych, jeżeli jednolite i uniwersalne rozwiązanie nie wydaje się odpowiednie. W rozporządzeniu w sprawie ram swobodnego przepływu danych nieosobowych (art. 40 ust. 2) ustalono niewyczerpujący wykaz kwestii, które mają być objęte kodeksami, zwłaszcza jeśli chodzi o lojalność i przejrzystość związaną z procedurami, bezpieczeństwo w dziedzinie przekazywania danych i rozwiązywanie sporów. W interesie konsumentów, a także w celu zwiększenia ich zaufania do podejścia europejskiego podmioty należy zachęcać do oparcia się na tym i do wzbudzenia w sobie ducha odpowiedzialności, etyki i solidarności, szczególnie na podstawie wytycznych biorących pod uwagę sztuczną inteligencję. Jest to jedna z kwestii, którą pragnie poruszyć Komitet: zaleca Komisji niedopuszczenie do tego, by samoregulacja i ugodowe rozstrzyganie sporów prowadziły do rozbieżnych interpretacji aktów prawnych. Konieczne byłoby wprost przeciwnie podjęcie wszelkich możliwych starań, by je ujednolicić, następnie uczynić z nich przepisy mające zastosowanie do wszystkich i ogłosić to w planach działania dotyczących informacji i komunikacji.

Komisja będzie dokonywać regularnej oceny wpływu swobodnego przepływu, zastosowania rozporządzenia, uchylenia restrykcyjnych środków przez państwa członkowskie oraz skuteczności kodeksów postępowania. EKES uważa, że należy zachęcić przedstawicieli społeczeństwa obywatelskiego do wyrażenia swych poglądów na ten temat 8 . By całe społeczeństwo obywatelskie czuło się bezpiecznie i tym samym miało zaufanie do nowych praktyk cyfrowych, Unia i państwa członkowskie powinny rozwiązać wątpliwości co do prawa właściwego, poufności, przechowywania i przywracania danych bez ich utraty, gwarancji wykonalności oraz dobrej wiary podmiotów, a także gwarancji finansowych. Nierozerwalny związek danych będących zarówno osobowymi, jak i nieosobowymi budzi zaniepokojenie. Ze względu na ich odsetek w stosunku do wszystkich danych EKES zastanawia się, czy samoregulacja była faktycznie jedyną możliwą drogą. Zaleca, by w perspektywie średnioterminowej przepisy RODO stosowały się do wszystkich danych i do całego przepływu danych z wyjątkiem prawdziwych danych nieosobowych.