29 maja 2019 r., w ślad za wejściem w życie Rozporządzenia Parlamentu Europejskiego i Rady (EU) 2018/1807 z dnia 14 listopada 2018 r. w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej (Rozporządzenie) Komisja Europejska opublikowała wytyczne dotyczące jego stosowania.
Rozporządzenie o swobodnym przepływie danych czy RODO?
Dokument Komisji, zgodnie z zobowiązaniem nałożonym w Rozporządzeniu, zawiera wskazówki na temat wzajemnych powiązań między Rozporządzeniem a RODO, w szczególności w odniesieniu do zbiorów danych obejmujących zarówno dane osobowe, jak i nieosobowe. Zgodnie z art. 2 ust. 2 Rozporządzenia, ma ono zastosowanie do części takich zbiorów złożonych z danych nieosobowych. Jednak gdy w zbiorze dane osobowe i nieosobowe są ze sobą nierozerwalnie związane, nową regulację należy stosować bez uszczerbku dla RODO.
Przywołany przepis budził wątpliwości już od dnia publikacji projektu Rozporządzenia. Zastanawiano się w szczególności, która z regulacji (RODO czy Rozporządzenie) będzie miała pierwszeństwo w przypadku legalnych (tj. wynikających ze względów bezpieczeństwa publicznego) ograniczeń w przepływie danych nieosobowych należących jednak do zbioru składającego się także z nierozerwalnie z nimi związanych danych osobowych. Warto wszak przypomnieć, że zgodnie z RODO ograniczenia w przepływie danych osobowych w ramach Unii nie powinny w zasadzie mieć miejsca. Wytyczne Komisji wyjaśniają tę i inne wątpliwości.
Bez uszczerbku dla ochrony danych osobowych
W dokumencie wskazano przede wszystkim, że w przypadku zbiorów obejmujących zarówno dane osobowe, jak i nieosobowe, które są ze sobą nierozerwalnie związane, prawa i obowiązki dotyczące ochrony danych wynikające z RODO mają w pełni zastosowanie do całego mieszanego zbioru danych również wtedy, gdy dane osobowe stanowią jedynie jego niewielką część. Innymi słowy, w przypadku wątpliwości, żadne regulacje Rozporządzenia ani przepisów wydanych w oparciu o Rozporządzenie, nie mogą umniejszyć gwarancji wynikających z RODO.
Ponadto, wedle stanowiska Komisji, między RODO a Rozporządzeniem nie ma żadnej sprzeczności. Różnica między regulacjami nie polega bowiem na tym, że pierwsza z nich zawsze gwarantuje swobodny przepływ danych w Unii, a druga dopuszcza jego ograniczenia. RODO sprzeciwia się jedynie ograniczeniom uzasadnionym powodami odnoszącymi się do "ochrony osób fizycznych w związku z przetwarzaniem danych osobowych”. Innymi słowy, RODO nie zabrania istnienia innych ograniczeń (wymogów lokalizacyjnych), jeżeli uzasadniają je inne motywy, zgodne z prawem Unii. W konsekwencji, w świetle wytycznych Komisji, państwo członkowskie może nałożyć takie inne ograniczenia, jeżeli dokona tego z powodów innych niż ochrona danych osobowych (np. wynikających ze względów bezpieczeństwa publicznego). Ograniczenia takie oraz powody ich wprowadzenia muszą jednak wytrzymać test zgodności z innymi unijnymi przepisami, a w szczególności z podstawowymi wolnościami traktatowymi i dopuszczalnymi od nich wyjątkami.
Przenaszalność danych
Wytyczne Komisji dotykają także problemu przenaszalności danych. Komisja zawczasu wyjaśnia jednak, że i w tym przypadku między omawianymi regulacjami nie ma żadnej sprzeczności. W istocie bowiem "oba rozporządzenia odnoszą się do przenoszenia danych i celu, jakim jest ułatwienie przenoszenia danych z jednego środowiska informatycznego do drugiego, tj. do systemów innego dostawcy albo do systemów własnych". Różne są jednak docelowe grupy interesów, dla których (w pierwszej kolejności) ustanowiono te przepisy. Inny jest także charakter prawny odnośnych regulacji.
RODO, wedle wyjaśnień Komisji, skupia się na relacji między osobą, której dane dotyczą a administratorem. Kreuje prawo takiej osoby do otrzymania jej danych, oczywiście w stosownym formacie, oraz do ich przesłania innemu administratorowi. Rozporządzenie nie przewiduje natomiast podobnego uprawnienia po stronie użytkowników. Obejmuje bowiem podejście oparte na samoregulacji (dobrowolne kodeksy postępowania), a nade wszystko odnosi się do sytuacji, w której użytkownik profesjonalny (mogący być administratorem danych osobowych) zlecił w ramach outsourcingu przetwarzanie swoich danych usługodawcy, a następnie planuje ich przeniesienie do nowego partnera świadczącego analogiczne usługi (z punktu widzenia RODO, chodziłoby więc często o przeniesienia danych między dwoma procesorami). Powyższe rozróżnienie nie wyklucza jednak sytuacji, w których przenoszenie danych byłoby objęte zarówno Rozporządzeniem, jak i unijną regulacją o ochronie danych osobowych, w szczególności w odniesieniu do zbiorów mieszanych.
Certyfikacja
Obydwa rozporządzenia odwołują się do możliwości tworzenia systemów certyfikacji. Zgodnie z RODO, celem uzyskana stosownego certyfikatu może być wykazanie spełnienia odnośnych obowiązków w zakresie ochrony danych osobowych. Komisja zakłada jednak, że odpowiednie systemy certyfikujące mogą także zwiększyć zaufanie do bezpieczeństwa transgranicznego przetwarzania danych, a zatem zmniejszyć skłonność uczestników rynku i podmiotów sektora publicznego do traktowania lokalizacji danych (w tym danych nieosobowych) jako zastępczej gwarancji ich bezpieczeństwa. W konsekwencji, właściwie zbudowane systemy certyfikujące mogą służyć obydwu kategoriom danych.
A zatem wszystko jasne?
Niekoniecznie. Praktyka z pewnością przyniesie kolejne pytania o relację między RODO a Rozporządzeniem, a wyjaśnienia Komisji nie są z pewnością wyczerpującym opracowaniem. Jednocześnie trzeba jednak pamiętać, że i sam przedmiot regulacji Rozporządzenia jest bardzo ograniczony. Sprowadza się bowiem do zakazu stosowania ograniczeń czy wymogów dotyczących lokalizacji danych, a także zachęt do samoregulacji w zakresie pewnego tylko aspektu profesjonalnego obrotu danymi (przenoszenie danych między dostawcami usług związanych z ich przetwarzaniem). Nie może więc dziwić, że i wyjaśnienia Komisji nie są, ze swej natury, rewolucyjne. W szczególności zaś nie zmieniają poglądu na rolę i wagę (a wręcz przewagę) regulacji dotyczących ochrony danych osobowych. Na pewno ułatwią nieco określenie relacji między obiema regulacjami.