Czym są dane nieosobowe i jak chroni je ,,nowe" RODO?
Od dziś tj. 28 maja 2019r. w życie wchodzi rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1807 w sprawie ram swobodnego przepływu danych nieosobowych w UE („Rozporządzenie”), które zharmonizuje rozproszone i niejednolite regulacje państw członkowskich.
Co to są dane nieosobowe?
Są to informacje elektroniczne niedotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, pozostające poza unormowaniem RODO. Chodzi tu m.in. o:
– informacje odnoszące się do przeglądanych stron internetowych;
– dane dotyczące liczby wizyt i czasu spędzanego na stronach www;
– analizy big data;
– algorytmy informatyczne;
– dane generowane przez maszyny.
Przetwarzanie danych nieosobowych to operacja lub zestaw operacji wykonywanych na danych nieosobowych lub zbiorach danych nieosobowych w formie elektronicznej. Może się odbywać w sposób zautomatyzowany lub niezautomatyzowany. Dotyczy to ich zbierania, porządkowania, przechowywania, pobierania, przeglądania, utrwalania, rozpowszechniania, niszczenia lub usuwania.
Co się zmieni?
Celem Rozporządzenia jest zwiększenie swobody przepływu i przetwarzania danych w ramach Unii Europejskiej, w szczególności przez podmioty zawodowo świadczące usługi cloud computing oraz big data, a także zajmujące się kwestiami sztucznej inteligencji. Dotyczy to zwłaszcza małych i średnich przedsiębiorstw oraz start-up’ów ogniskujących swoją działalność w sektorze nowych technologii.
Rozporządzenie umożliwi współpracę organów europejskich poprzez wyznaczenie przez państwa członkowskie „centralnych punktów kontaktowych”, współpracujących z innymi takimi jednostkami oraz Komisją Europejską na terenie Unii Europejskiej.
Zakłada również wprowadzenie odpowiednich kodeksów postępowania branżowego na zasadzie samoregulacji. Powinny być kompleksowe i obejmować co najmniej kluczowe aspekty istotne w procesie przenoszenia danych, takie jak:
– procesy tworzenia zapasowych kopii danych i lokalizację takich kopii;
– dostępne formaty i nośniki danych;
-wymaganą konfigurację systemów informatycznych i minimalną szerokość pasma sieciowego;
– czas wymagany przed rozpoczęciem procesu przenoszenia danych i okres, przez który dane będą nadal dostępne do celów ich przeniesienia;
– gwarancję dostępu do danych w przypadku upadłości dostawcy usług.
Kodeksy postępowania powinny wyraźnie stanowić, że uzależnienie od jednego dostawcy nie jest dopuszczalną praktyką handlową oraz przewidywać stosowanie technologii zwiększających zaufanie. Podczas całego procesu Komisja jest zobowiązana zapewniać konsultacje z wszystkimi zainteresowanymi stronami, w tym małymi i średnimi przedsiębiorstwami oraz przedsiębiorstwami typu start-up, użytkownikami oraz dostawcami usług w chmurze.
Wdrożenie powyższych kodeksów powinno nastąpić do 29 listopada 2019 r., jednak nie później niż do 29 maja 2020 r.
Dane nieosobowe a RODO
Warto zaznaczyć, że Rozporządzenie nie zastępuje dotychczasowych unormowań dotyczących danych osobowych, a jedynie uzupełnia RODO w zakresie danych nieosobowych. W tym zakresie osobno stosujemy postanowienia RODO dla danych osobowych i Rozporządzenia dla danych nieosobowych. W przypadku zmieszania danych osobowych i nieosobowych w jednym zbiorze, należy pamiętać o odpowiednim stosowaniu dwóch regulacji unijnych.