Czym są dane nieosobowe i jakie zmiany czekają nas od 28 maja 2019 roku?

• Rafał Stępniewski
• /
• 19 kwietnia 2019

Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej dotyczy tylko takich danych, za pomocą których w żaden sposób nie jest możliwe zidentyfikowanie osoby fizycznej. Rozporządzenie to nie pokrywa się z RODO — obejmuje dane nieosobowe, które nie zostały objęte zakresem zastosowywania RODO.

18 grudnia 2018 r. weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1807 z 14 listopada 2018 r. w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej. Jednak jego zastosowanie zostało odroczone w czasie i będzie obowiązywać od 28 maja 2019 roku.

Problemem były bariery legislacyjne, na które narzekali twórcy systemów IT opartych na chmurze. Chodziło o ograniczenia, które były zależne od tego, w jakim państwie członkowskim podmiot posiadał bazy danych.

Czym są dane nieosobowe

Dane nieosobowe to dane elektroniczne — inne niż dane osobowe zdefiniowane w przepisach RODO. Dane nieosobowe nie dopuszczają do ustalenia tożsamości osoby fizycznej. Do takich informacji zaliczają się na przykład:

• informacje dotyczące przeglądanych stron www,

• dane zawierające liczbę wizyt oraz czas spędzony na konkretnej stronie internetowej,

• analizy big data,

• algorytmy informatyczne,

• dane związane z konserwacją maszyn przemysłowych,

• dane wytwarzane przez maszyny,

• zanonimizowane zbiory danych lub dane wytwarzane przez maszyny — o ile informacje te nie dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Przetwarzanie danych nieosobowych to operacja lub zestaw operacji wykonywanych na danych nieosobowych lub zbiorach danych nieosobowych w formie elektronicznej. Przetwarzanie danych nieosobowych może odbywać się w sposób zautomatyzowany lub niezautomatyzowany, czyli zbieranie, utrwalanie, przechowywanie, porządkowanie, organizowanie, pobieranie, przeglądanie, adaptowanie/modyfikowanie, wykorzystywanie, ujawnianie przez przesłanie, rozpowszechnianie lub udostępnianie, łączenie lub dopasowywanie, niszczenie, ograniczanie, usuwanie danych nieosobowych.

Co się zmieni od 28 maja 2019 roku?

Rozporządzenie ma zapewnić na obszarze Unii Europejskiej swobodny przepływ danych innych niż dane osobowe. Aby to zrobić, należało ustanowić przepisy dotyczące lokalizacji i dostępności danych dla właściwych organów oraz przenoszenia danych przez użytkowników profesjonalnych.

Przewidziano, by w praktyce przepisy miały zastosowanie głównie do podmiotów przetwarzających dane w chmurze oraz zajmujących się Internet of Things (IoT), sztuczną inteligencją (AI) oraz związanych z Big Data. 

Istotne jest to, że majowe rozporządzenie nie będzie miało wpływu na regulacje dotyczące ochrony danych osobowych, czyli RODO. Rozporządzenie ma zastosowanie do danych nieosobowych — w zbiorach obejmujących zarówno dane nieosobowe, jak i dane osobowe.

W sytuacji, gdy dane osobowe i dane nieosobowe są nierozerwalnie związane, to należy pamiętać, że omawiane Rozporządzenie nie usuwa obowiązków związanych z przepisami RODO.

Ciekawą i pomocną zmianą jest stworzenie wytycznych dotyczących praktyk w zakresie ułatwiania użytkownikom profesjonalnym zmiany dostawcy usług oraz zabezpieczenie użytkowników, aby przed zawarciem umowy o przetwarzanie i przechowywanie danych, dostawcy dostarczali klarownych, szczegółowych informacji w kwestii: procesów, wymogów technicznych, opłat oraz ram czasowych.

Zmiany mają zastosowanie, gdy użytkownik profesjonalny chce z powrotem przenieść dane do własnych systemów informatycznych lub chce zmienić dostawcę usług.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Jakie są cele Rozporządzenia dotyczącego swobodnego przepływu danych nieosobowych?

Rozporządzenie unijne ma na celu zapewnienie odpowiedniej przestrzeni rozwoju współczesnych technologii, np. sztuczna inteligencja czy przetwarzanie danych w chmurze.

Inne cele to:

• poprawa transgranicznej mobilności danych nieosobowych na jednolitym rynku UE,

• zapewnienie, aby odpowiednie organy zachowały uprawnienia do żądania i uzyskiwania dostępu do danych na potrzeby kontroli regulacyjnej, inspekcji i audytów,

• ułatwienie profesjonalnym użytkownikom usług przechowywania lub przetwarzania danych, dokonania zmiany dostawcy usług i przeniesienia swoich danych, bez obciążenia dla dostawców usług czy zakłóceń na rynku.

Majowe rozporządzenie będzie stosowane do:

• usług przetwarzania elektronicznych danych nieosobowych na terenie UE, świadczonych na rzecz użytkowników zamieszkałych w Unii Europejskiej lub mających tam siedzibę — bez względu na to, czy dostawca usług ma swoją siedzibę w UE lub poza nią,

• przetwarzania elektronicznych danych nieosobowych realizowanego na własne potrzeby przez osobę fizyczną, mieszkającą na terenie Unii Europejskiej lub osobę prawną, mającą siedzibę w UE.

Rozporządzenie ma za zadanie określić zasady dostępu do danych przez właściwe organy dla celów powiązanych z wykonywaniem obowiązków urzędowych — zgodnie z prawem UE lub prawem wewnętrznym.  

Dzięki temu nie będzie można odmówić organom właściwym dostępu do danych, mimo że dane są przetwarzane w innym państwie członkowskim.

Twórcy układając te przepisy chcieli, aby Rozporządzenie miało zostasowanie do szeroko rozumianego przetwarzania danych, włączając wykorzystanie różnego rodzaju systemów informatycznych. 

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.