Navigation path

Left navigation

Additional tools

Komisja Europejska - Zestawienie informacji

Ramowe warunki swobodnego przepływu danych nieosobowych w UE

Bruksela, 19 września 2017 r.

Pytania i odpowiedzi

IP/17/3190

Na czym polega propozycja Komisji?

W rozporządzeniu w sprawie swobodnego przepływu danych nieosobowych Komisja proponuje nowe zasady polegające na zniesieniu wymogów w zakresie lokalizacji danych i jednoczesnym zapewnieniu właściwym organom praw dostępu do celów kontroli regulacyjnej.

Wraz z europejskimi przepisami w zakresie ochrony danych osobowych, wprowadzonymi w ogólnym rozporządzeniu o ochronie danych, nowe środki tworzą wspólną europejską przestrzeń cyfrową – kluczowy element strategii jednolitego rynku cyfrowego.

Jakie są najważniejsze elementy tej propozycji?

Celem rozporządzenia jest usunięcie przeszkód utrudniających swobodny przepływ danych w UE z punktu widzenia przedsiębiorstw, administracji publicznej i obywateli:

a) ma ono wesprzeć właściwe funkcjonowanie rynku wewnętrznego, zapewniając swobodny przepływ danych nieosobowych w UE. Usuwa nieuzasadnione lub nieproporcjonalne przepisy krajowe, które utrudniają przedsiębiorstwom wybór lokalizacji do celów przechowywania lub przetwarzania danych lub ograniczają ten wybór. Państwa członkowskie będą musiały powiadomić Komisję o nowych lub istniejących wymogach w zakresie lokalizacji danych;

b) umożliwi właściwym organom uzyskanie dostępu do danych przechowywanych lub przetwarzanych w innym państwie członkowskim. Dzięki temu organy te będą mogły wykonywać swoje zadania zgodnie ze swoimi uprawnieniami, tak samo jak w sytuacji, gdy dane są przechowywane w państwie, w którym mają siedzibę;

c) zachęca do opracowania samoregulacyjnych kodeksów dobrych praktyk w celu ułatwienia zmiany dostawcy usług w chmurze, np. poprzez informowanie użytkowników o zasadach i warunkach, na jakich mogą oni przenosić dane poza swoje środowisko IT;

d) we wszystkich państwach członkowskich ustanawia punkty kompleksowej obsługi, które mają nawiązać współpracę między sobą i z Komisją, aby zapewnić skuteczne stosowanie nowych przepisów w sprawie swobodnego przepływu danych nieosobowych.

Dlaczego konieczne jest usunięcie barier utrudniających przenoszenie danych?

Innowacyjne rozwiązania wykorzystujące potencjał danych są kluczowym czynnikiem wzrostu gospodarczego i zatrudnienia. Mają też potencjał, aby znacznie zwiększyć konkurencyjność Europy na rynku światowym. Aby jak najlepiej wykorzystać gospodarkę opartą na danych, należy umożliwić przepływ danych i korzystanie z nich ponad granicami państw.

Uważa się, że usunięcie ograniczeń w zakresie lokalizacji danych jest najistotniejszym warunkiem wykorzystania potencjału gospodarki opartej na danych, która w 2020 r. może osiągnąć wartość 739 mld euro, dwa razy zwiększając swój udział w PKB (do 4 %).

Ponadto usunięcie istniejących środków w zakresie lokalizacji danych obniży koszty usług w sektorze danych oraz umożliwi przedsiębiorstwom bardziej elastyczną organizację zarządzania danymi i ich analizy. Dzięki temu przedsiębiorstwa będą mogły poszerzyć zakres, w jakim korzystają z usług w tej dziedzinie, oraz będą mieć większy wybór dostawców. Mogłoby to przyczynić się do wzrostu PKB nawet o 8 mld euro rocznie.

Jakie są obecne przeszkody dla swobodnego przepływu danych nieosobowych?

Obecnie ograniczenia w zakresie lokalizacji danych nakładane przez organy publiczne państw członkowskich oraz elementy utrudniające przepływ danych pomiędzy systemami informatycznymi (praktyki uzależniania od jednego dostawcy) uniemożliwiają przedsiębiorstwom i organizacjom w UE czerpanie korzyści gospodarczych, społecznych i biznesowych. Dodatkowymi barierami dla swobodnego przepływu danych nieosobowych są brak pewności prawa i brak zaufania.

W praktyce oznacza to, że przedsiębiorstwa nie mogą – lub sądzą, że nie mogą – swobodnie korzystać ze wszystkich możliwości oferowanych przez usługi w chmurze, wybrać najbardziej efektywne pod względem kosztów lokalizacje zasobów informatycznych, zmieniać dostawców usług lub przenosić swoje dane z powrotem do własnych systemów informatycznych. Dzięki zasadzie swobodnego przepływu danych nieosobowych, przedsiębiorstwa mogą uniknąć powielania danych w kilku lokalizacjach, mogą czuć się pewniej, wchodząc na nowe rynki i łatwiej rozwijać swoją działalność.

Jakie są przykłady ograniczeń lokalizacji danych?

Komisja – opierając się na badaniach, dyskusjach z zainteresowanymi stronami oraz konsultacjach publicznych – stwierdziła istnienie licznych ograniczeń w zakresie lokalizacji przechowywania i przetwarzania danych. Ograniczenia dotyczące lokalizacji danych, które bezpośrednio lub pośrednio utrudniają mobilność danych, przybierają różne formy i istnieją w rozlicznych sektorach, np. w sektorze publicznym. Poniżej kilka przykładów:

  • organy nadzorcze doradzają dostawcom usług finansowych, aby przechowywali dane lokalnie;
  • lokalne przechowywanie lub przetwarzanie danych sugeruje się w przepisach dotyczących tajemnicy zawodowej (np. w sektorze opieki zdrowotnej);
  • lokalne przechowywanie informacji generowanych przez sektor publiczny, bez względu na wrażliwość informacji, jest wymagane w przepisach ogólnych.

W niektórych przypadkach ograniczenia dotyczące lokalizacji danych mogą być uzasadnione i proporcjonalne (np. ze względu na bezpieczeństwo publiczne), jednak zarówno w Europie, jak i na świecie obserwuje się tendencję do wprowadzania w tej dziedzinie nieuzasadnionych wymogów. Jest to często oparte na błędnym rozumowaniu, że lokalne usługi są automatycznie bezpieczniejsze od usług transgranicznych.

Dlaczego wniosek ogranicza się do danych nieosobowych?

Nowe ramy prawne dotyczące swobodnego przepływu danych nieosobowych stanowią uzupełnienie istniejących przepisów dotyczących danych osobowych, które wejdą w życie w dniu 25 maja 2018 r. Ogólne rozporządzenie o ochronie danych (GDPR) zawiera przepisy dotyczące swobodnego przepływu i możliwości przenoszenia danych osobowych w UE, zapewniając równocześnie wysoki poziom ochrony takich danych. Zakres rozporządzenia obejmuje również przetwarzanie i przechowywanie danych osobowych: państwa członkowskie nie mogą nakładać ograniczeń w zakresie lokalizacji danych osobowych, podając jako przyczynę konieczność ich ochrony.

Nowe ramy prawne dotyczące swobodnego przepływu danych nieosobowych pozwalają uniknąć powielania przepisów i zapewniają spójność z istniejącymi instrumentami prawnymi UE. Ich celem jest wprowadzenie takich samych zasad swobodnego przepływu w odniesieniu do przechowywania i przetwarzania danych elektronicznych innych niż dane osobowe w UE. Nowe przepisy wraz z ogólnym rozporządzeniem o ochronie danych zapewnią kompleksowe i spójne podejście do swobodnego przepływu i możliwości przenoszenia danych w UE.

Czy zajęto się również kwestią przepływu danych do i z krajów spoza UE?

Nie, rozporządzenie w sprawie ram prawnych dla swobodnego przepływu danych nieosobowych w Unii Europejskiej obejmuje jedynie przepływ danych w UE.

Kiedy właściwe organy uzyskują dostęp do danych przechowywanych w innym państwie członkowskim UE?

Co do zasady przechowywanie lub innego rodzaju przetwarzanie danych za granicą nie może być podstawą odmowy dostępu do danych dla krajowych organów regulacyjnych. Jeżeli krajowy organ regulacyjny ma prawo – na podstawie odpowiednich przepisów – zażądać dostępu od posiadacza danych oraz jeżeli jest to konieczne do wykonywania obowiązków urzędowych przez organ regulacyjny, należy udzielić zgody na dostęp do takich danych.

Jeżeli organ regulacyjny wyczerpie środki umożliwiające uzyskanie dostępu do danych bezpośrednio od posiadacza danych, może skorzystać z już istniejącego i szczegółowo określonego mechanizmu współpracy i w jego ramach zwrócić się o pomoc do innego państwa członkowskiego. W przypadku gdy szczególny mechanizm współpracy nie ma zastosowania lub nie istnieje, w rozporządzeniu przewidziano standardowy mechanizm współpracy między właściwymi organami.

Kiedy usługodawcy nie mają obowiązku przekazania danych organom z innego państwa członkowskiego UE?

Państwo członkowskie, do którego organ regulacyjny z innego państwa członkowskiego zwróci się o pomoc w uzyskaniu dostępu do danych, może odrzucić wniosek tylko wtedy, gdy byłoby to sprzeczne z jego porządkiem publicznym. Usługodawcy będą nadal korzystać ze wszystkich stosownych praw i gwarancji procesowych przewidzianych przez prawo, w tym z prawa do skutecznego środka odwoławczego oraz z ewentualnego wymogu uzyskania uprzedniej zgody sądu na dostęp do pomieszczeń firmy.

W jaki sposób Komisja będzie wspierać tworzenie kodeksów dobrych praktyk w celu ułatwienia zmiany dostawcy usług?

Komisja będzie wspierać i ułatwiać opracowywanie samoregulacyjnych kodeksów dobrych praktyk w celu ułatwienia zmiany dostawcy i by zagwarantować, że przed zawarciem umowy na przechowywanie i przetwarzanie danych usługodawcy będą podawać użytkownikom zawodowym wystarczająco szczegółowe, jasne i przejrzyste informacje na temat obowiązujących warunków.

Należy wziąć pod uwagę różne aspekty dotyczące procesów, wymogów technicznych, harmonogramów i opłat, które mogą mieć zastosowanie w przypadku zmiany dostawcy. Może to obejmować proces tworzenia kopii zapasowych i ich lokalizację; dostępne formaty i nośniki danych; wymaganą konfigurację informatyczną i minimalną szerokość pasma; czas wymagany przed rozpoczęciem procesu przenoszenia i okres, w którym dane będą mogły być przenoszone; oraz gwarancje dostępu do danych w przypadku upadłości usługodawcy.

Komisja dopilnuje, by usługodawcy skutecznie wdrożyli odpowiednie kodeksy postępowania w terminie jednego roku od daty rozpoczęcia stosowania rozporządzenia. Komisja oceni również, czy dostawcy przestrzegają wymogów w zakresie przejrzystości. Jeżeli Komisja uzna, że wymogi te nie są przestrzegane w wystarczającym stopniu, może zaproponować dodatkowe środki.

Jakie będą skutki dla bezpieczeństwa danych?

W nowym rozporządzeniu wyjaśniono, że wszystkie wymogi bezpieczeństwa, które mają obecnie zastosowanie do przedsiębiorstw i organów administracji publicznej, będą nadal obowiązywać również wtedy, gdy zdecydują się oni na przechowywanie lub przetwarzanie danych w innym państwie członkowskim lub na korzystanie z usług w chmurze. W związku z tym celem rozporządzenia jest zwiększenie świadomości przedsiębiorstw na temat ciążących na nich obowiązków w zakresie bezpieczeństwa przechowywania i przetwarzania danych w kontekście transgranicznym.

Nowe środki opierają się na mechanizmach wdrożeniowych określonych w dyrektywie w sprawie bezpieczeństwa sieci i systemów informatycznych, aby wzmocnić odporność cybernetyczną transgranicznych systemów przechowywania i innego rodzaju przetwarzania danych. Wraz z niniejszym projektem rozporządzenia Komisja zaproponowała, aby zintensyfikować działania podejmowane przez UE w odpowiedzi na ataki cybernetyczne. W tym celu przedstawiła nowe przepisy ramowe dotyczące bezpieczeństwa cybernetycznego, umożliwiające lepsze przewidywanie zagrożeń cybernetycznych, reagowanie na nie oraz przeciwdziałanie im. Komisja zaproponowała również nowe europejskie ramy certyfikacji bezpieczeństwa cybernetycznego. Będą one czynnikiem wspierającym transgraniczną podaż i popyt na usługi w chmurze i inne usługi dotyczące danych; przyczynią się także do znacznego zwiększenia przejrzystości i wydajności systemu.

Jaki będzie wpływ rozporządzenia na obywateli UE?

Rozporządzenie w sprawie swobodnego przepływu danych nieosobowych obejmuje dane inne niż osobowe. W związku z tym dotyczy przede wszystkim przedsiębiorstw i biznesowych usługobiorców korzystających z usług przechowywania i przetwarzania danych, ewentualnie osób fizycznych działających w celach zawodowych. Rozporządzenie w sprawie swobodnego przepływu danych nieosobowych jest jednym z szeregu wniosków w ramach strategii jednolitego rynku cyfrowego. Pozostałe wnioski mogą mieć bardziej bezpośrednie skutki dla obywateli. Np. przepisy dotyczące umów cyfrowych poszerzają prawo konsumenta do rozwiązania umowy z dostawcą treści cyfrowych, takim jak dostawca usług w chmurze, oraz do uzyskania dostępu do danych osobowych przetwarzanych przez dostawców treści cyfrowych. Aby uniknąć powielania tych samych przepisów w innych instrumentach UE, rozporządzenie w sprawie swobodnego przepływu danych nieosobowych nie odnosi się bezpośrednio do obywateli. Oczekuje się jednak, że obywatele odniosą z niego korzyści dzięki zwiększeniu konkurencyjności jednolitego rynku usług przechowywania i przetwarzania danych w UE oraz większemu otwarciu wspomnianego rynku.

Jakie działania podjęła Komisja w celu wsparcia gospodarki opartej na danych?

W 2014 r. w komunikacie pt. „Ku gospodarce opartej na danych”, Komisja zaproponowała środki w celu przyspieszenia przejścia ku opartej na danych gospodarce, w szczególności do utworzenia europejskiego ekosystemu danych oraz promowania innowacji wykorzystujących potencjał danych. Usuwanie przeszkód utrudniających swobodny przepływ danych nieosobowych jest również jednym z kluczowych działań zapowiedzianych w śródokresowym przeglądzie strategii jednolitego rynku cyfrowego.

Omawiany wniosek stanowi uzupełnienie działań na rzecz budowania europejskiej gospodarki opartej na danych rozpoczętych przez Komisję w styczniu 2017 r. Ich celem jest wspieranie możliwie najlepszego wykorzystania potencjału cyfrowych danych z korzyścią dla gospodarki i społeczeństwa. W ramach tych działań Komisja oceniła przeszkody utrudniające swobodny przepływ danych i inne nowe wyzwania dla europejskiej gospodarki opartej na danych.

Ponadto wniosek opiera się na pakiecie pt. Cyfryzacja europejskiego przemysłu z kwietnia 2016 r., który obejmował Europejską inicjatywę dotyczącą przetwarzania w chmurze. Dotyczyła ona zaawansowanych usług przetwarzania w chmurze, wykorzystywanych do celów przetwarzania i udostępniania danych naukowych oraz ich ponownego wykorzystywania. We wniosku uwzględniono także zmienioną wersję europejskich ram interoperacyjności, która ma wspierać lepszą cyfrową współpracę administracji publicznych w Europie.

Wykorzystanie możliwości, jakie oferują technologie cyfrowe, w tym technologie i usługi oparte na danych, jest również jednym z celów zaprezentowanej wczoraj kompleksowejstrategii w zakresie polityki przemysłowej.

Jakie dodatkowe środki rozważa Komisja?

W celu zebrania opinii zainteresowanych stron na temat nowych zagadnień związanych z gospodarką opartą na danych – takich jak dostęp do danych nieosobowych w kontekście relacji między przedsiębiorstwami i nowe technologie, np. internet przedmiotów (IoT), zaawansowana robotyka i systemy autonomiczne – Komisja przeprowadziła w okresie od stycznia do kwietnia 2017 r. konsultacje publiczne pt. „Budowa europejskiej gospodarki opartej na danych‏”. Teraz, wraz z rozporządzeniem w sprawie swobodnego przepływu danych nieosobowych, opublikowanopełne sprawozdanie na ten temat.

Jeśli chodzi o dostęp do danych w kontekście relacji między przedsiębiorstwami, wiele zainteresowanych podmiotów popiera zwiększenie skali dzielenia się danymi. Większość zainteresowanych stron uważa, że ramy regulacyjne nie powinny teraz ulec zmianie i popiera raczej środki nieregulacyjne. Komisja analizuje obecnie, w jaki sposób przełożyć te wyniki na rozwiązania praktyczne. W odniesieniu do wyzwań związanych z odpowiedzialnością w kontekście powstających technologii, zanim ogłoszone zostaną jakiekolwiek działania, Komisja będzie nadal gromadzić dane i przeprowadzać analizy.

MEMO/17/3191

Kontakty z mediami:

Zapytania od obywateli: Serwis Europe Direct – tel. [ 00 800 67 89 10 11 ] lub e-mail


Side Bar