Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Swobodny przepływ danych nieosobowych

22-09-2020 Autor: Agata Zaczek

W artykule przeanalizujemy wybrane zagadnienia dotyczące swobodnego przepływu danych nieosobowych na podstawie rozporządzenia w tej sprawie oraz ochrony danych osobowych na podstawie rodo.

 

Wcelu zwiększenia transgranicznej wymiany danych i pobudzenia gospodarki opartej na danych w UE zostało przyjęte kompleksowe podejście do ram wspólnej europejskiej przestrzeni danych i swobodnego przepływu wszystkich danych, zarówno osobowych, jak i nieosobowych. Podjęte przez Komisję Europejską inicjatywy zmierzające do jego realizacji znalazły odzwierciedlenie w dwóch rozporządzeniach.


Od 25 maja 2018 r. stosujemy rodo. Kilka miesięcy później, w listopadzie 2018 r. przyjęto rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1807 z dnia 14 listopada 2018 r. w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej (DzUrz UE L 303 z 28.11.2018; dalej: FFD). Rozporządzenie zaczęło obowiązywać rok po wprowadzeniu rodo, tj. od 28 maja 2019 r.


Celem obu aktów prawnych jest zapewnienie nienaruszalności zasady swobodnego przepływu danych. Gwarantują one ich swobodny i konkurencyjny przepływ między państwami członkowskimi UE.
 

Pojęcie danych osobowych i nieosobowych


Celem rodo jest zagwarantowanie wysokiego poziomu ochrony danych osobowych, które zostały zdefiniowane w art. 4 pkt 1 rodo jako „oznaczające informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej («osobie, której dane dotyczą»); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”. Dodatkowo ochronie danych osobowych podlegają „spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej” (motyw 26 preambuły rodo). Warto wspomnieć, że aspekty definicji danych osobowych zostały już wcześniej przeanalizowane przez Grupę Roboczą art. 29 (Opinia 04/2007 w sprawie pojęcia danych osobowych z 20 czerwca 2007 r., WP 136).


Natomiast celem rozporządzenia FFD jest zapewnienie swobodnego przepływu danych nieosobowych. Zostały one w rozporządzeniu zdefiniowane jako dane inne niż dane osobowe w rozumieniu rodo (art. 4 pkt 1 rodo i art. 3 pkt 1 FFD). Zatem ustawodawca unijny zdecydował się na definicję negatywną pojęcia danych nieosobowych w FFD. Ze względu na pochodzenie dane nieosobowe można podzielić na dwie grupy. Do pierwszej można zaliczyć dane zanonimizowane, tj. dane, które pierwotnie były osobowymi, a następnie zostały poddane anonimizacji w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować (motyw 26 preambuły rodo). Jeśli dane są prawidłowo zanonimizowane, nie jest możliwe przypisanie ich konkretnej osobie nawet przy użyciu dodatkowych informacji (wyrok TSUE z 19 października 2016 r., Patrick Breyer przeciwko Bundesrepublik Deutschland, C-582/14, ECLI: EU:C:2016:779). Przykładem danych anonimowych są dane wykorzystywane w celach statystycznych, naukowych czy dane w sprawozdaniach dotyczących sprzedaży produktów, które są opracowywane dla dokonania oceny ich popularności. Do danych anonimowych można również zaliczyć dane, które zostały w takim stopniu zagregowane, że nie są już dłużej danymi osobowymi, np. pojedyncze podróże zagraniczne osoby fizycznej (Grupa Robocza art. 29, Opinia 05/2014 w sprawie technik anonimizacji, przyjęta 10 kwietnia 2014 r., WP 216). Wydaje się, że danymi nieosobowymi będą zbiory danych zawierające nazwy i dane kontaktowe osób prawnych. W świetle art. 4 pkt 1 i motywu 14 preambuły rodo: „rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej”. Jeśli jednak imię i nazwisko osoby fizycznej, do której należy osoba prawna, będzie odpowiadało nazwie osoby prawnej, takie dane będą osobowymi.

 

Do drugiej grupy danych nieosobowych można zaliczyć dane niedotyczące osoby fizycznej, tzn. dane, które od samego początku nie dotyczyły zidentyfikowanej osoby fizycznej ani możliwej do zidentyfikowania. Przykładem takich danych mogą być zarówno dane z czujników i maszyn wykorzystywanych w technologiach produkcji, rolnictwie precyzyjnym (np. dane z monitoringu pestycydów czy wody), jak i dane pogodowe, lokalizacyjne, samochodowe oraz dane z systemów komputerowych (logi komputerowe).

 

Przykładowo w analizie przygotowanej na zlecenie Ministerstwa Cyfryzacji1 dane z czujników zostały podzielone na trzy grupy: „

 

  • dane stałe; „
  • ruchome (śledzenie); „
  • dane z systemów komputerowych.

Zbiór danych osobowych i nieosobowych („mieszane zbiory danych”)

 

Ustawodawca unijny nie zdecydował się na zdefiniowanie w FFD „mieszanych zbiorów danych”, uznając – jak wynika z art. 2 ust. 2 FFD – że będą to zbiory zawierające oba rodzaje danych. W rzeczywistości większość zbiorów danych będzie zawierała zarówno dane osobowe, jak i nieosobowe. Które przepisy rozporządzeń stosować w takich przypadkach? Jeśli zbiór danych składa się z danych osobowych i nieosobowych, zgodnie z art. 2 ust. 2 FFD ma zastosowanie do części zbioru złożonej z danych nieosobowych. Natomiast w przypadku, w którym w zbiorze danych dane osobowe i nieosobowe są nierozerwalnie związane, „rozporządzenie pozostaje bez uszczerbku dla stosowania rozporządzenia (UE) 2016/679”.

 

To oznacza, że gdy zbiór zawiera oba rodzaje danych, będą miały zastosowanie dwa reżimy prawne: „

 

  • rodo do danych osobowych znajdujących się w tym zbiorze (art. 1 ust. 3 rodo); „
  • FFD do danych nieosobowych stanowiących pozostałą część zbioru (motyw 8 FFD).

Jeżeli jednak oba typy danych są ze sobą „nierozerwalnie związane” (inextricably linked), wówczas do całego zbioru danych będą miały zastosowanie prawa i obowiązki wynikające z rodo. Stosunek procentowy obu typów danych w zbiorze danych jest bez znaczenia.

 

Co zatem należy rozumieć przez pojęcie „nierozerwalnie związane”? Ustawodawca unijny nie zdefiniował go w żadnym z wymienionych rozporządzeń. Wydaje się, że można próbować je wyjaśnić poprzez odniesienie do dwóch czynników, tj. nieopłacalności i trudności technicznych w przypadku próby rozdzielenia danych, gdy rozdzielenie danych nierozerwalnie związanych będzie niemożliwe lub bezzasadne ekonomicznie.

 

Przykładowo dla firmy, która dysponuje systemami do zarządzania relacjami z klientami (customer relationship management, CRM) oraz do raportowania sprzedaży, zakup dwóch oddzielnych programów komputerowych nie będzie opłacalny. Ustawodawca unijny w wymienionych rozporządzeniach nie nałożył obowiązku podziału „mieszanych zbiorów danych” ani na administratorów danych, ani na podmioty przetwarzające. Innym przykładem „mieszanych zbiorów danych” będą zbiory danych w banku, które zawierają dane zarówno o klientach (osobach fizycznych i prawnych), jak i o ich usługach płatniczych. Dla celów statystycznych wykorzystuje się dane w postaci pytań i odpowiedzi respondentów, kolejnym przykładem są dane dotyczące internetu rzeczy (IoT). Również dane dotyczące zdrowia, z uwagi na elektroniczną dokumentację medyczną, mogą być takim zbiorem. Na uwagę zasługuje także aplikacja mobilna w służbie zdrowia (mHealth)2. Rozwiązania mHealth mogą gromadzić duże ilości informacji (np. dane przechowywane przez użytkowników na urządzeniu i dane z różnych czujników, w tym lokalizacji) oraz przetwarzać je w celu zapewnienia nowych innowacyjnych usług dla użytkownika końcowego3.

 

[...]

 

Autorka jest PhD Candidate na Wydziale Prawa i Administracji Uniwersytetu Jagiellońskiego. Jednocześnie pracuje jako radca ministra w Ministerstwie Finansów

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.