Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Urzędowy Unii Europejskiej - Seria C
  3. Dz.U.UE.C.2020.14.122

Opinia Europejskiego Komitetu Ekonomiczno-Społecznego "Komunikat Komisji do Parlamentu Europejskiego i Rady - Wytyczne dotyczące rozporządzenia w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej (COM(2019) 250 final).

Opinia Europejskiego Komitetu Ekonomiczno-Społecznego "Komunikat Komisji do Parlamentu Europejskiego i Rady - Wytyczne dotyczące rozporządzenia w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej

(COM(2019) 250 final)

(2020/C 14/18)

(Dz.U.UE C z dnia 15 stycznia 2020 r.)

Sprawozdawczyni: Laure BATUT

Wniosek o konsultację Komisja Europejska, 22.7.2019
Podstawa prawna Art. 304 Traktatu o funkcjonowaniu Unii Europejskiej
Sekcja odpowiedzialna Sekcja Transportu, Energii, Infrastruktury i Społeczeństwa Informacyjnego
Data przyjęcia przez sekcję 11.9.2019
Data przyjęcia na sesji plenarnej 25.9.2019
Sesja plenarna nr 546
Wynik głosowania (za/przeciw/wstrzymało się) 162/2/6
1.
Zalecenia
1.1.
EKES zaleca Komisji, by:
-
w prosty i jasny sposób powiadomiła o kryteriach definiowania danych nieosobowych oraz o zakresie stosowania rozporządzenia w sprawie ram swobodnego przepływu danych nieosobowych w celu rozwiania wątpliwości i zwiększenia zaufania,
-
poinformowała podmioty w tym sektorze o obszarach, w których europejskie akty dotyczące danych pokrywają się ze sobą,
-
dbała o to, by dane osobowe nie były stopniowo uznawane za dane nieosobowe, wspierając jednocześnie ich swobodny przepływ, i by dopilnowała, by w ogólnym rozporządzeniu o ochronie danych (RODO) zachowano cały zakres jego stosowania, nawet jeżeli w perspektywie średnioterminowej te dwa rozporządzenia zostaną połączone ze sobą w celu zapewnienia większej ochrony, a nie większego utowarowienia danych,
-
zachęcała do ustanawiania ogólnoeuropejskich federacji usług przetwarzania w chmurze,
-
w jak najbliższej przyszłości pomogła Europejczykom w zastosowaniu algorytmów zdolnych przetwarzać zbiory danych nieosobowych na jednolitym rynku danych; zachęciła państwa członkowskie do rozwinięcia kształcenia w dziedzinie technologii informatycznych i sztucznej inteligencji na wszystkich szczeblach (w szkołach, na uniwersytetach, w środowisku zawodowym) i na wszystkich etapach życia,
-
zachęcała podmioty w tym sektorze do krzewienia ducha odpowiedzialności, etyki i solidarności i by nie pozwalała na to, by samoregulacja i ugodowe rozstrzyganie sporów prowadziły do rozbieżnych interpretacji aktów prawnych,
-
nie zaniedbywała korzystania z narzędzia regulacyjnego,
-
propagowała stosowanie sankcji za naruszenie samoregulacji,
-
opracowała plan działania w celu sprawdzenia, czy przedsiębiorstwa mają faktyczną pewność prawa w ramach swobodnego korzystania ze swych danych przewidzianego w rozporządzeniu w sprawie ram swobodnego przepływu danych nieosobowych,
-
podsumowała obecną sytuację 27 państw członkowskich oraz oceniła działanie krajowych punktów kontaktowych po sześciu miesiącach od rozpoczęcia ich działalności,
-
wykonywała należne jej zadania w zakresie informowania, komunikacji i ostrzegania,
-
zachęcała państwa członkowskie do porozumienia się z podmiotami tego sektora w sprawie ich kryteriów bezpieczeństwa publicznego,
-
zachęcała państwa członkowskie do rozpowszechnienia obszarów, w których przechowuje się niemożliwe do przeniesienia dane,
-
w odpowiednim czasie przeanalizowała politykę konkurencji w celu zapewnienia dostosowania jej obecnej formy do swobodnego przepływu danych.
2.
Wprowadzenie
2.1.
EKES przyjmuje do wiadomości zamiar Komisji, aby ukierunkować przedsiębiorstwa uczestniczące w przekazywaniu danych nieosobowych, jeszcze zanim w 2020 r. dojdzie do negocjowania tej kwestii między zainteresowanymi stronami. Częstotliwość występowania danych o mieszanej naturze, które mogą mieć zarówno charakter danych osobowych, jak i nie, może doprowadzić do sytuacji, kiedy przedsiębiorstwa nie będą pewne, jakie kroki należy podjąć w celu ochrony tych danych. Przed przystąpieniem do analizy punktów, na które EKES zwraca uwagę, warto przypomnieć jeszcze główne zasady obowiązujących przepisów.
2.2.
Komisja odnotowała, że brak konkurencji między usługami przetwarzania w chmurze w Unii Europejskiej i w związku z tym brak mobilności danych w kontekście oligopoli miały negatywny wpływ na rynek danych. Rozporządzenie w sprawie ram swobodnego przepływu danych nieosobowych wymaga od państw członkowskich, by ograniczyły do minimum swe wymogi lokalizacji danych, a także rozdrobnienie przepisów w tej dziedzinie w celu pobudzenia wzrostu i uwolnienia potencjału innowacji przedsiębiorstw.
2.3.
Dzięki przyjęciu rozporządzenia w sprawie swobodnego przepływu danych nieosobowych będącego uzupełnieniem RODO, w aktach prawnych XXI wieku ustanowiona została "piąta swoboda przepływu", która stosuje się do wszystkich danych (zob. AnnaMaria Corazza Bildt, posłanka do Parlamentu Europejskiego i sprawozdawczyni). Na życzenie posiadacza danych możliwe musi być przeniesienie tego towaru niematerialnego, jeżeli można go tak określić, do dostawcy usług hostingowych w kraju innym niż kraj UE, w którym został on stworzony i/lub wykorzystany (art. 1 rozporządzenia w sprawie ram swobodnego przepływu danych nieosobowych) i zarządzanie nim. Ułatwia to sytuację właściciela tego towaru i podnosi jego konkurencyjność.

Rozporządzenie w sprawie ram swobodnego przepływu danych nieosobowych

2.4.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1807 1  promuje swobodny przepływ danych nieosobowych w Unii Europejskiej z myślą o rozwinięciu sztucznej inteligencji, przetwarzania w chmurze i analizy dużych zbiorów danych. Przewiduje ono (art. 6), że Komisja kieruje opracowywaniem w ramach samoregulacji kodeksów postępowania na szczeblu Unii przez podmioty pracujące nad danymi nieosobowymi, a także je wspiera i ułatwia.
2.5.
Omawiany dokument, adresowany do pracowników mikroprzedsiębiorstw i MŚP, powinien ułatwiać im za pomocą wytycznych rozumienie powiązań między tymże rozporządzeniem a RODO. By spełnić funkcję dydaktyczną, Komisja powołuje się na wiele przykładów różnych sytuacji.
2.6.
Przygotowywane kodeksy postępowania powinny być gotowe w okresie od listopada 2019 r. do maja 2020 r. (motywy 30 i 31, art. 6 ust. 1). Ich sporządzenie będzie uwzględniać punkt widzenia wszystkich stron. Odbywają się dwie konsultacje społeczne, a dwie złożone ze specjalistów grupy robocze współdziałają z Komisją: jedna ds. certyfikacji cyberbezpieczeństwa w chmurze (CSPCERT) oraz druga ds. przenoszenia danych i zmiany dostawców usług (SWIPO), Ich wkład obejmuje infrastrukturę jako usługę i oprogramowanie jako usługę. W maju 2020 r. Komisja zaproponuje zachęty dla przemysłu, aby opracować model klauzul umownych, a w 2022 r. złoży Parlamentowi Europejskiemu, Radzie i EKES-owi sprawozdanie na temat stosowania rozporządzenia, zwłaszcza wykorzystania danych złożonych lub mieszanych.
3.
Uwagi ogólne
3.1.
Zadanie Komisji: pogodzenie RODO i rozporządzenia w sprawie ram swobodnego przepływu danych nieosobowych

3.1.1. By pogodzić te dwa uzupełniające się rozporządzenia, Komisja wyjaśnia, iż: 1) wymogi lokalizacji danych są obecnie zakazane; 2) dane pozostają dostępne dla właściwych organów; 3) dane stają się mobilne i w związku z tym mogą być przenoszone. W RODO mówi się o możliwości przenoszenia danych, a w rozporządzeniu w sprawie ram swobodnego przepływu danych nieosobowych - o przenoszeniu danych. Użytkownicy mogą przekazywać swoje dane poza kraj, w którym zostały stworzone, a następnie je przywrócić bez (nadmiernych) ograniczeń po zmianie dostawcy usług w celu ich przechowywania, przetwarzania i analizy. W przeciwieństwie do możliwości przenoszenia danych, które jest prawem przysługującym osobom zainteresowanym, przeniesienie danych odbywa się zgodnie z kodeksami postępowania i tym samym w ramach inicjatywy samoregulacji.

3.1.2. Jest to istotna różnica między tymi dwoma rozporządzeniami, gdyż jedno opiera się na prawie twardym, a drugie - na instrumentach niewiążących (prawo miękkie), które - jak wiadomo - zapewniają znacznie mniejsze gwarancje. Według samej Komisji większość danych ma zarówno charakter osobowy, jak i nieosobowy, które są ze sobą nieodłącznie związane i które sprawiają, że są to dane mieszane.

3.1.3. EKES z zadowoleniem przyjmuje tę inicjatywę pomocy, nie kwestionuje wybranych pzykładów i nie zamierza przytaczać innych. Jednak odnotowuje, że wytyczne Komisji adresowane do podmiotów sektora ograniczają się do zilustrowania kontekstu przez podanie przykładów różnych sytuacji. W celu ostrzeżenia Komisji pragnie podkreślić kwestie o znaczeniu krytycznym, które jego zdaniem mogą nastręczać problemów użytkownikom pomimo wytycznych i przyszłych kodeksów.

3.2.
Przypomnienie zasad

3.2.1. Zasada: swobodny przepływ danych

Bariery w swobodnym przepływie danych nieosobowych mają raczej charakter funkcjonalny, a nie geograficzny, i są związane z środkami, które przedsiębiorstwa przeznaczają na wykorzystanie technologii informatycznych.

W rozporządzeniu w sprawie ram swobodnego przepływu danych nieosobowych wprowadza się zakaz nakładania wymogów dotyczących lokalizacji danych nieosobowych na danym obszarze (art. 4). Wymaga ono od państw członkowskich, by uchyliły wszelkie niezgodne z tym przepisy w ciągu 24 miesięcy od czasu wejścia w życie rozporządzenia (maj 2021 r.).

W rozporządzeniu dopuszcza się wyjątki związane z bezpieczeństwem publicznym. Państwa powinny publikować w internecie szczegółowe informacje na temat wymogów lokalizacji obowiązujących na szczeblu krajowym. Komisja Europejska może przedstawić swoje uwagi i publikować linki do stron internetowych założonych przez państwa członkowskie.

3.2.2. Wyjątki od swobody przemieszczania się

-
Władze państw członkowskich mogą uzyskać dostęp do przekazanych danych: w rozporządzeniu w sprawie ram swobodnego przepływu danych nieosobowych stosuje się procedurę umożliwiającą wszystkim organom nadzorczym państwa X uzyskanie danych przetworzonych w państwie Y. Przewiduje się procedurę współpracy między państwami (art. 5 i 7). Niemniej ze względu na brak lokalizacji EKES jest poważnie zaniepokojony tym, że dane (księgowe, finansowe, umowne itd.) mogą wymknąć się kontroli ze strony władz państw członkowskich. Przypomina Komisji, by w razie potrzeby wzięła pod uwagę zastosowanie narzędzia regulacyjnego.
-
Punkt kompleksowej obsługi każdego państwa członkowskiego rozpatrzy wniosek wraz z krajowym organem nadzorczym, który będzie mógł dostarczyć dane, jeżeli uzna wniosek za dopuszczalny. W duchu rozporządzenia w sprawie ram swobodnego przepływu danych nieosobowych punkty kompleksowej obsługi powinny pomagać podmiotom w świadomym wyborze przekazywania danych i dostawców usług w całej Unii w warunkach pełnej konkurencji.

EKES uważa, że same wytyczne nie rozwieją licznych wątpliwości związanych z realizacją tej zasady. Skomplikowana jest ocena uzasadnienia państw, dobrej wiary operatorów i sprawnego funkcjonowania punktów kompleksowej obsługi. Wszelkie oceny w tym zakresie będą trudne.

-
Zakaz bezpośredniego lub pośredniego wymogu lokalizacji danych z wyjątkiem uzasadnionych przypadków bezpieczeństwapublicznego. EKES jest zdania, że w kontekście przepływu i utowarowienia danych pojęcie bezpieczeństwa publicznegowspomniane w rozporządzeniu nie jest wystarczająco precyzyjne, a jego zakres niejasny. Wymóg dotyczący lokalizacji danychzostał określony w rozporządzeniu w sprawie ram swobodnego przepływu danych nieosobowych jako "każdy obowiązek, zakaz,warunek, ograniczenie lub innego rodzaju wymóg określony w przepisach ustawowych, wykonawczych lub administracyjnychpaństwa członkowskiego lub wynikający z [...] praktyk administracyjnych w państwie członkowskim" 2 , który zobowiązywałbyoperatorów do utrzymania danych na określonym obszarze w obrębie UE. Według Trybunału Sprawiedliwości Unii Europejskiej(TSUE) 3  (motyw 19 rozporządzenia w sprawie ram swobodnego przepływu danych nieosobowych) bezpieczeństwo publiczne"obejmuje zarówno bezpieczeństwo wewnętrzne, jak i zewnętrzne danego państwa członkowskiego"i "zakłada ono istnienierzeczywistego i wystarczająco poważnego zagrożenia dla jednego z podstawowych interesów społecznych". Powyższa definicjaobejmuje dane genetyczne, biometryczne i zdrowotne. Reakcja państwa członkowskiego musi być proporcjonalna.

3.2.3. Komitet uważa, że zarówno w odniesieniu do swobodnego przepływu danych, jak i ich lokalizacji:

-
uwzględnione kryteria mogą być interpretowane bardzo różnie,
-
jedynie sędzia będzie mógł je wyjaśnić indywidualnie w każdym przypadku, co może mieć negatywny wpływ na zaufanie niezbędne w handlu, zwłaszcza w odniesieniu do danych wrażliwych; spory wynikające z kodeksów postępowania mogą zwiększyć fragmentację sytuacji,
-
czas trwania procedury sądowej nie ma nic wspólnego z tempem rozwoju technologii cyfrowej i przepływu danych.EKES uważa, że niepewność i złożoność sytuacji zniechęcają mikroprzedsiębiorstwa i MŚP.

3.2.4. EKES ubolewa, że w wytycznych nie przewiduje się wzmianki ani o sporach, ani o metodach weryfikacji, w jaki sposób państwa członkowskie będą przestrzegać kryteriów bezpieczeństwa publicznego i w jaki sposób będą mogły w razie konieczności zostać ukarane. Jest zaniepokojony tym, że wyjaśnienia podane w komunikacie nie będą wystarczające, żeby umożliwić operatorom w mikroprzedsiębiorstwach i MŚP uniknięcie wszystkich pułapek prawnych tekstu i że istniejąca niepewność uniemożliwi wzbudzenie zaufania i pewności prawa niezbędnych do rozwoju tego sektora.

3.2.5. EKES dostrzega wielką zaletę komunikatu, którą jest szerokie odgórne rozpowszechnienie informacji o sytuacji wynikającej z tych dwóch rozporządzeń. Komunikat jest absolutnie konieczny dla świata mikroprzedsiębiorstw i MŚP. EKES ma nadzieję, że działanie krajowych punktów kontaktowych i korzystanie ze strony internetowej Komisji przez te podmioty będą oceniane po sześciu miesiącach funkcjonowania, tak by szybko można było wprowadzić korekty, jeżeli dostrzeżony zostanie brak informacji i komunikacji.

4.
Uwagi szczegółowe
4.1.
Odnośnie do danych

4.1.1. Dane nieosobowe obejmują domyślnie zbiór danych cyfrowych, które nie wchodzą w zakres danych osobowych określonych w RODO. Może chodzić o dane handlowe, dane dotyczące rolnictwa precyzyjnego i potrzeb w zakresie konserwacji maszyn, dane meteorologiczne itd.

4.1.2. Dane zebrane przez służby publiczne takie jak szpitale, opieka społeczna czy też organy podatkowe mogą być bardzo zbliżone do danych osobowych pacjentów lub podatników. Przedsiębiorstwa je wykorzystujące muszą zadbać o to, by nie pozwalały na identyfikację osób i by po anonimizacji nie można było odwrócić tego procesu. Dla mikroprzedsiębiorstw lub MŚP może to oznaczać zastosowanie procedur wymagających zbyt dużo czasu czy pieniędzy. Ze względu na to, że dwa rozporządzenia (RODO i rozporządzenie w sprawie ram swobodnego przepływu danych nieosobowych) razem zapewniają swobodny przepływ wszystkich danych w UE, gdy są one "nierozerwalnie związane", ochrona prawna przewidziana w RODO stosuje się zatem do zbiorów danych mieszanych (motyw 8 i art. 2 ust. 2 rozporządzenia (UE) 2018/1807). Do pierwszego ograniczenia swobodnego przepływu danych nieosobowych powiązanego z bezpieczeństwem publicznym dochodzi zatem ograniczenie związane z samym charakterem danych. Jest to zasadnicza kwestia poruszona w komunikacie Komisji, w którym wielokrotnie mówi się o podobieństwie danych osobowych i nieosobowych: "Mieszane zbiory danych reprezentują większość zbiorów danych [...]"(komunikat, pkt 2.2), mogą one być "nierozerwalnie związane"(pkt 2.2), "w żadnym z omawianych dwóch rozporządzeń nie zobowiązuje się przedsiębiorstw do podziału zbiorów danych"(pkt 2.2).

4.1.3. Zadaniem przedsiębiorstwa jest zastanowienie się, czy przetwarzane przez nie dane nieosobowe są "nierozerwalnie związane"z danymi osobowymi, i objęcie ich ochroną, jeżeli są. Przedsiębiorstwu nie jest łatwo przygotować "out management". Ogólna definicja danych mieszanych wydaje się niemożliwa, a nakładanie się tych dwóch rozporządzeń prawdopodobnie zazębia się z innymi aktami prawnymi odnoszącymi się do prawa dotyczącego danych, takimi jak przepisy dotyczące własności intelektualnej: dane nieosobowe mogą się przemieszczać, lecz nie będą już podlegać tym samym zasadom, jeżeli zostaną ponownie wykorzystane w danym utworze. EKES uważa, że powiązania między różnymi aktami prawnymi będą miały bardzo delikatny charakter. Orzecznictwo wymagało już, by nierozerwalny związek został przeanalizowany pod kątem rozsądnego kryterium. EKES stwierdza, że w omawianym komunikacie zdecydowanie nie można dokonać przeglądu wszystkich scenariuszy, by pomóc podmiotom, i że powstała sytuacja sprzyja raczej dużym przedsiębiorstwom. Zaleca Komisji dopilnowanie, by dane osobowe nie były stopniowo uznawane w praktyce za nieosobowe i by w RODO zachowano cały zakres jego stosowania, nawet jeżeli oba rozporządzenia zostaną połączone w perspektywie średnioterminowej z myślą o większej ochronie danych, a nie o ich większym utowarowieniu.

4.2.
Odnośnie do możliwości przenoszenia danych oraz ich przekazywania, przetwarzania i przechowywania

RODO przewiduje, że możliwość przenoszenia danych musi regulować rozporządzenie (art. 20), a rozporządzenie w sprawie ram swobodnego przepływu danych nieosobowych, że musi się to odbywać w ramach samoregulacji. EKES wyraża ubolewanie, że ze względu na duże ryzyko sporów może się zrodzić duża niepewność prawa narażająca na szwank mikroprzedsiębiorstwa i MŚP. Uważa, że dane nieosobowe mogą być importowane i eksportowane, jeżeli są towarami, rzecz jasna niematerialnymi, lecz znajdującymi się w swobodnym obrocie. W obecnym kontekście korzystna byłaby debata na temat ich własności. Zasobem o prawdziwej wartości są raczej zbiory danych, a nie same dane. W związku z tym Komitet uważa, że polityka konkurencji może nie być dostosowana do tego rodzaju rynku. Zastanawia się, w jaki sposób zaistniała sytuacja zwiększy wydajność mikroprzedsiębiorstw i MŚP. Komunikat Komisji nie dostarcza im żadnych kluczowych informacji na ten temat.

4.3.
Odnośnie do dostawców usług

4.3.1. Od dłuższego czasu EKES ubolewa, że UE nie ma ani dużych operatorów, ani chmury "europejskiej". Efekt skali, do którego się zawsze dąży, jest cechą bardzo dużych amerykańskich przedsiębiorstw komputerowych i niektórych chińskich przedsiębiorstw. Dlatego też nawet główne organy administracji państw członkowskich odczuwają pokusę zawierzenia im i przekazania im zarządzania swymi danymi (tak jak Francja).

4.3.2. EKES jest zdania, że Europejczycy potrzebują stworzenia ekosystemów partnerskich, a także zapewnienia transmisji danych między platformami. Oprócz komunikatu Komisja mogłaby pomóc mikroprzedsiębiorstwom i MŚP w rozwinięciu w tym celu zasobów, podobnie jak uczyniła to w przypadku usług świadczonych w interesie ogólnym w swym projekcie z 2018 r. dotyczącym federacji usług ogólnoeuropejskich przetwarzania w chmurze w odniesieniu do usług świadczonych w ogólnym interesie gospodarczym i usług o charakterze nieekonomicznym świadczonych w interesie ogólnym (usług na żądanie FaaS) oraz jak przewiduje w wypadku sieci centrów innowacji cyfrowych (A network of Digital Innovation Hubs, web/Komisja/DIH/styczeń 2019 r.).

4.4.
Odnośnie do bezpieczeństwa danych 4

4.4.1. Na szczeblu krajowym operatorzy krajowi 5  sprawdzają charakter przekazywanych danych i je zabezpieczają. Obowiązeklokalizacji odpowiadał możliwym do weryfikacji przepisom prawa krajowego dotyczącym bezpieczeństwa. Pomimo RODOi rozporządzenia w sprawie ram swobodnego przepływu danych nieosobowych normy bezpieczeństwa komputerowego nie zostałyujednolicone między różnymi państwami członkowskimi UE. Komitet uważa, że krajowe punkty kontaktowe powinny dostarczyćw różnych językach bardzo rzetelne informacje na ten temat mikroprzedsiębiorstwom i MŚP, a także służbom prywatnymi publicznym,

Jest zdania, że na szczeblu zewnętrznym wątpliwości budzi zdolność przedsiębiorstw spoza UE do respektowania kodeksów postępowania i zwrócenia danych po nowej transmisji na żądanie ich posiadacza. Obawia się, że w perspektywie długoterminowej trudny stanie się podział odpowiedzialności.

Zaleca Komisji, by pomogła europejskim podmiotom w jak najszybszym zastosowaniu algorytmów mogących przetwarzać zbiory danych nieosobowych na jednolitym rynku danych.

4.4.2. Położenie fizyczne serwerów i ich bezpieczeństwo pozostaną kwestią negocjacji handlowych i dyplomatycznych między państwami. Jest to kwestia o kluczowym znaczeniu. Choć zarządzanie danymi jest kompetencją dzieloną między państwa członkowskie i UE, to w obliczu dużych przedsiębiorstw internetowych i ich państw odniesienia negocjacje każdego z państw członkowskich z osobna byłyby ryzykowne.

4.4.3. EKES proponuje Komisji, by uściśliła komunikat w sprawie obowiązków dostawców usług w odniesieniu do przechowywania danych nieosobowych, stosowanych metod, miejsc fizycznych, przewidzianego lub dopuszczonego okresu przechowywania i wykorzystania po przetwarzaniu, gdyż aspekty te decydują o bezpieczeństwie danych i mogą być istotne dla przedsiębiorstw europejskich w kontekście światowej konkurencji.

4.5.
Odnośnie do kodeksów postępowania

4.5.1. Począwszy od maja 2019 r. zachęca się podmioty, których dotyczy rozporządzenie w sprawie ram swobodnego przepływu danych nieosobowych (głównie użytkowników i dostawców usług w chmurze), do sporządzenia w ciągu 12 miesięcy swego kodeksu postępowania. Zdaniem Komisji należy wziąć pod uwagę dobre praktyki, podejścia w dziedzinie systemów certyfikacji oraz plany działania w zakresie komunikacji. Grupy robocze SWIPO i CSPCERT wnoszą swą wiedzę fachową.

4.5.2. Komisja odnosi się do działań podjętych w związku z RODO (komunikat, s. 23). Ze względu na to, że rozporządzenie zgodne jest z opinią EIOD 6 , można je wykorzystać jako wsparcie dla rozporządzenia w sprawie ram swobodnego przepływu danych nieosobowych. Stowarzyszenia przedstawicieli danego sektora działalności mogą opracować swój kodeks postępowania. Autorzy muszą dowieść właściwym organom (CompSA), że ich projekt kodeksu, czy to krajowy, czy transgraniczny, zaspokaja konkretną potrzebę sektora, ułatwia zastosowanie rozporządzenia i ustanawia skuteczne mechanizmy nadzoru przestrzegania kodeksu.

4.5.3. Nawet przed wejściem w życie RODO główni dostawcy infrastruktury jako usługi (IaaS) i oprogramowania jako usługi (SaaS) opracowali własny kodeks postępowania w celu określenia warunków wdrażania i tym samym wyjaśnienia wątpliwości zgłaszanych przez specjalistów 7 ; włączyli w to MŚP, uznając, że dla wielu z nich certyfikacja własna jest bardziej pożądana niż bardzo wysokie koszty certyfikacji.

4.5.4. EKES popiera podejście sektorowe w odniesieniu do rozporządzenia w sprawie ram swobodnego przepływu danych nieosobowych, jeżeli jednolite i uniwersalne rozwiązanie nie wydaje się odpowiednie. W rozporządzeniu w sprawie ram swobodnego przepływu danych nieosobowych (art. 40 ust. 2) ustalono niewyczerpujący wykaz kwestii, które mają być objęte kodeksami, zwłaszcza jeśli chodzi o lojalność i przejrzystość związaną z procedurami, bezpieczeństwo w dziedzinie przekazywania danych i rozwiązywanie sporów. W interesie konsumentów, a także w celu zwiększenia ich zaufania do podejścia europejskiego podmioty należy zachęcać do oparcia się na tym i do wzbudzenia w sobie ducha odpowiedzialności, etyki i solidarności, szczególnie na podstawie wytycznych biorących pod uwagę sztuczną inteligencję. Jest to jedna z kwestii, którą pragnie poruszyć Komitet: zaleca Komisji niedopuszczenie do tego, by samoregulacja i ugodowe rozstrzyganie sporów prowadziły do rozbieżnych interpretacji aktów prawnych. Konieczne byłoby wprost przeciwnie podjęcie wszelkich możliwych starań, by je ujednolicić, następnie uczynić z nich przepisy mające zastosowanie do wszystkich i ogłosić to w planach działania dotyczących informacji i komunikacji.

5.
Odnośnie do oceny

Komisja będzie dokonywać regularnej oceny wpływu swobodnego przepływu, zastosowania rozporządzenia, uchylenia restrykcyjnych środków przez państwa członkowskie oraz skuteczności kodeksów postępowania. EKES uważa, że należy zachęcić przedstawicieli społeczeństwa obywatelskiego do wyrażenia swych poglądów na ten temat 8 . By całe społeczeństwo obywatelskie czuło się bezpiecznie i tym samym miało zaufanie do nowych praktyk cyfrowych, Unia i państwa członkowskie powinny rozwiązać wątpliwości co do prawa właściwego, poufności, przechowywania i przywracania danych bez ich utraty, gwarancji wykonalności oraz dobrej wiary podmiotów, a także gwarancji finansowych. Nierozerwalny związek danych będących zarówno osobowymi, jak i nieosobowymi budzi zaniepokojenie. Ze względu na ich odsetek w stosunku do wszystkich danych EKES zastanawia się, czy samoregulacja była faktycznie jedyną możliwą drogą. Zaleca, by w perspektywie średnioterminowej przepisy RODO stosowały się do wszystkich danych i do całego przepływu danych z wyjątkiem prawdziwych danych nieosobowych.

Bruksela, dnia 25 września 2019 r.
Luca JAHIER
Przewodniczący
Europejskiego Komitetu Ekonomiczno-Społecznego

ZAŁĄCZNIK

Następujące poprawki, które uzyskały poparcie co najmniej jednej czwartej oddanych głosów, zostały odrzucone przez Zgromadzenie (art. 59 ust. 3 regulaminu wewnętrznego):

Punkt 4.1.3

Zmienić

Zadaniem przedsiębiorstwa jest zastanowienie się, czy przetwarzane przez nie dane nieosobowe są "nierozerwalnie związane" z danymi osobowymi, i objęcie ich ochroną, jeżeli są. Przedsiębiorstwu nie jest łatwo przygotować "out management". Ogólna definicja danych mieszanych wydaje się niemożliwa, a nakładanie się tych dwóch rozporządzeń prawdopodobnie zazębia się z innymi aktami prawnymi odnoszącymi się do prawa dotyczącego danych, takimi jak przepisy dotyczące własności intelektualnej: dane nieosobowe mogą się przemieszczać, lecz nie będą już podlegać tym samym zasadom, jeżeli zostaną ponownie wykorzystane w danym utworze. EKES uważa, że powiązania między różnymi aktami prawnymi będą miały bardzo delikatny charakter. Orzecznictwo wymagało już, by nierozerwalny związek został przeanalizowany pod kątem rozsądnego kryterium. EKES stwierdza, że w omawianym komunikacie zdecydowanie nie można dokonać przeglądu wszystkich scenariuszy, by pomóc podmiotom, i że powstała sytuacja sprzyja raczej dużym przedsiębiorstwom. Zaleca Komisji dopilnowanie, by dane osobowe nie były stopniowo uznawane w praktyce za nieosobowe i by w RODO zachowano cały zakres jego stosowania, nawet jeżeli oba rozporządzenia zostaną połączone w perspektywie średnioterminowej z myślą o większej ochronie danych, a nie o ich większym utowarowieniu.

Punkt 5

Zmienić

Komisja będzie dokonywać regularnej oceny wpływu swobodnego przepływu, zastosowania rozporządzenia, uchylenia restrykcyjnych środków przez państwa członkowskie oraz skuteczności kodeksów postępowania. EKES uważa, że należy zachęcić przedstawicieli społeczeństwa obywatelskiego do wyrażenia swych poglądów na ten temat. By całe społeczeństwo obywatelskie czuło się bezpiecznie i tym samym miało zaufanie do nowych praktyk cyfrowych, Unia i państwa członkowskie powinny rozwiązać wątpliwości co do prawa właściwego, poufności, przechowywania i przywracania danych bez ich utraty, gwarancji wykonalności oraz dobrej wiary podmiotów, a także gwarancji finansowych. Nierozerwalny związek danych będących zarówno osobowymi, jak i nieosobowymi budzi zaniepokojenie. Ze względu na ich odsetek w stosunku do wszystkich danych EKES zastanawia się, czy samoregulacja była faktycznie jedyną możliwą drogą. Zaleca, by w perspektywie średnioterminowej przepisy RODO stosowały się do wszystkich danych i do całego przepływu danych z wyjątkiem prawdziwych danych nieosobowych.

Punkt 1.1, tiret trzecie

Zmienić

EKES zaleca Komisji, by:

[...]

-
dbała o to, by dane osobowe nie były stopniowo uznawane za dane nieosobowe, wspierając jednocześnie ich swobodny przepływ, i by dopilnowała, by w ogólnym rozporządzeniu o ochronie danych (RODO) zachowano cały zakres jego stosowania, nawet jeżeli w perspektywie średnioterminowej te dwa rozporządzenia zostaną połączone ze sobą w celu zapewnienia większej ochrony, a nie większego utowarowienia danych;

[...].

Uzasadnienie

RODO i rozporządzenie (UE) 2018/1807 mają różne podstawy prawne (odpowiednio art. 16 TFUE dotyczący podstawowego prawa jednostki do ochrony danych osobowych oraz art. 114 TFUE dotyczący zbliżenia przepisów ustawowych). Daje to UE różny zakres interwencji w stosunku do prywatnych przedsiębiorstw (dlatego w pierwszym przypadku UE interweniowała za pomocą bardzo rygorystycznych i szczegółowych przepisów, a w drugim wybrała samoregulację jako najwłaściwszą i najbardziej proporcjonalną metodę). W związku z tym tych dwóch instrumentów nie można połączyć na płaszczyźnie prawnej.

Wynik głosowania nad poprawką

Za: 54

Przeciw: 84

Wstrzymało się: 18

1 Dz.U. L 303 z 28.11.2018, s. 59.
2 Rozporządzenie (UE) 2018/1807, art. 3 ust. 5.
3 Zob. komunikat COM(2019) 250, przypisy na s. 13 oraz orzeczenie w sprawie C-331/16 i C-366/16 K. przeciwko Staatssecretaris van Veiligheid en Justitie oraz H.F. przeciwko państwu belgijskiemu: "42. Z kolei, z orzecznictwa Trybunału wynika, że pojęcie »bezpieczeństwa publicznego«odnosi się jednocześnie do wewnętrznego bezpieczeństwa państwa członkowskiego, jak i jego bezpieczeństwa zewnętrznego (wyrok z dnia 23 listopada 2010 r., Tsakouridis, C-145/09, EU:C:2010:708, pkt 43). Bezpieczeństwo wewnętrzne może zostać zakłócone w szczególności poprzez bezpośrednie zagrożenie spokoju i fizycznego bezpieczeństwa ludności danego państwa członkowskiego (zob. podobnie wyrok z dnia 22 maja 2012 r., I, C-348/09, EU:C:2012:300, pkt 28). Natomiast bezpieczeństwo zewnętrzne może zostać zakłócone, w szczególności, przez ryzyko poważnego zakłócenia stosunków zagranicznych tego państwa członkowskiego lub pokojowego współistnienia narodów (zob. podobnie wyrok z dnia 23 listopada 2010 r., Tsakouridis, C-145/09, EU:C:2010:708, pkt 44)".
4 Dz.U. C 227 z 28.6.2018, s. 86.
5 Dz.U. C 218 z 23.7.2011, s. 130.
6 EIOD - Europejski Inspektor Ochrony Danych, wytyczne 1/2019 dotyczące kodeksów postępowania, 12 lutego 2019 r.: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-12019-codes-conduct-and-monitoring-bodies-under_en.
7 CISPE (Cloud Infrastructure Services Providers in Europe).
8 Dz.U. C 487 z 28.12.2016, s. 92; Dz.U. C 62 z 15.2.2019, s. 292.

Zmiany w prawie

Zmiany w podatkach 2025 - przybędzie obowiązków sprawozdawczych
Zmiany w podatkach 2025 - przybędzie obowiązków sprawozdawczych

1 stycznia 2025 r. weszły w życie liczne zmiany podatkowe, m.in. nowe definicje budynku i budowli w podatku od nieruchomości, JPK CIT, globalny podatek wyrównawczy, PIT kasowy, zwolnienie z VAT dla małych firm w innych krajach UE. Dla przedsiębiorców oznacza to często nowe obowiązki sprawozdawcze i zmiany w systemach finansowo-księgowych. Firmy muszą też co do zasady przeprowadzić weryfikację nieruchomości pod kątem nowych przepisów.

Monika Pogroszewska 02.01.2025
Nowy Rok - jakie zmiany czekają nas w prawie
Nowy Rok - jakie zmiany czekają nas w prawie

W 2025 roku minimalne wynagrodzenie za pracę wzrośnie tylko raz. Obniżeniu ulegnie natomiast minimalna podstawa wymiaru składki zdrowotnej płaconej przez przedsiębiorców. Grozi nam za to podwyżka podatku od nieruchomości. Wzrosną wynagrodzenia nauczycieli, a prawnicy zaczną lepiej zarabiać na urzędówkach. Wchodzą w życie zmiany dotyczące segregacji odpadów i e-doręczeń. To jednak nie koniec zmian, jakie czekają nas w Nowym Roku.

Renata Krupa-Dąbrowska 31.12.2024
Zmiana kodów na PKD 2025 rodzi praktyczne pytania
Zmiana kodów na PKD 2025 rodzi praktyczne pytania

1 stycznia 2025 r. zacznie obowiązywać nowa Polska Klasyfikacja Działalności – PKD 2025. Jej ostateczny kształt poznaliśmy dopiero w tygodniu przedświątecznym, gdy opracowywany od miesięcy projekt został przekazany do podpisu premiera. Chociaż jeszcze przez dwa lata równolegle obowiązywać będzie stara PKD 2007, niektórzy już dziś powinni zainteresować się zmianami.

Tomasz Ciechoński 31.12.2024
Co się zmieni w prawie dla osób z niepełnosprawnościami w 2025 roku
Co się zmieni w prawie dla osób z niepełnosprawnościami w 2025 roku

Dodatek dopełniający do renty socjalnej dla niektórych osób z niepełnosprawnościami, nowa grupa uprawniona do świadczenia wspierającego i koniec przedłużonych orzeczeń o niepełnosprawności w marcu - to tylko niektóre ważniejsze zmiany w prawie, które czekają osoby z niepełnosprawnościami w 2025 roku. Drugą część zmian opublikowaliśmy 31 grudnia.

Beata Dązbłaż 28.12.2024
Stosunek prezydenta Dudy do wolnej Wigilii "uległ zawieszeniu"
Stosunek prezydenta Dudy do wolnej Wigilii "uległ zawieszeniu"

Prezydent Andrzej Duda powiedział w czwartek, że ubolewa, że w sprawie ustawy o Wigilii wolnej od pracy nie przeprowadzono wcześniej konsultacji z prawdziwego zdarzenia. Jak dodał, jego stosunek do ustawy "uległ niejakiemu zawieszeniu". Wyraził ubolewanie nad tym, że pomimo wprowadzenia wolnej Wigilii, trzy niedziele poprzedzające święto mają być dniami pracującymi. Ustawa czeka na podpis prezydenta.

kk/pap 12.12.2024
ZUS: Renta wdowia - wnioski od stycznia 2025 r.
ZUS: Renta wdowia - wnioski od stycznia 2025 r.

Od Nowego Roku będzie można składać wnioski o tzw. rentę wdowią, która dotyczy ustalenia zbiegu świadczeń z rentą rodzinną. Renta wdowia jest przeznaczona dla wdów i wdowców, którzy mają prawo do co najmniej dwóch świadczeń emerytalno-rentowych, z których jedno stanowi renta rodzinna po zmarłym małżonku. Aby móc ją pobierać, należy jednak spełnić określone warunki.

Grażyna J. Leśniak 20.11.2024
Metryka aktu
Identyfikator:

Dz.U.UE.C.2020.14.122
Rodzaj: Opinia
Tytuł: Opinia Europejskiego Komitetu Ekonomiczno-Społecznego "Komunikat Komisji do Parlamentu Europejskiego i Rady - Wytyczne dotyczące rozporządzenia w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej (COM(2019) 250 final).
Data aktu: 15/01/2020
Data ogłoszenia: 15/01/2020