Европейската комисия публикува насоки за свободното движение на нелични данни в ЕС

С насоките се изпълнява изискването на Регламента за свободното движение на нелични данни Комисията да публикува насоки относно взаимодействието му и GDPR, „особено по отношение на наборите от данни, съставени както от лични, така и от нелични данни“.

Регламентът за свободното движение на нелични данни, който започна се прилага от 28 май, позволява данните да бъдат съхранявани и обработвани навсякъде в ЕС без неоснователни ограничения, съобщи ЕК.  “С ….насоките се цели да се помогне на потребителите и в частност на малките и средните предприятия да разберат взаимодействието между новите разпоредби и Общия регламент относно защитата на данните (GDPR) – особено когато масивите се състоят както от лични, така и от нелични данни.”

На 29 май заместник-председателят на Комисията по въпросите на цифровия единен пазар Андрус Ансип заяви: „Очаква се до 2025 г. делът на основаната на данни икономика на ЕС-27 да бъде 5,4 % от БВП на Съюза, което се равнява на 544 млрд. евро. От друга страна, ако движението на данните не е свободно, този огромен потенциал няма да може да бъде разгърнат. Като премахваме наложените ограничения пред локализирането на данните, ние позволяваме на повече хора и дружества да се възползват в максимална степен от данните и възможностите, които те предлагат. С днешните насоки ще се изясни как свободното движение на нелични данни си взаимодейства с нашите строги норми за защита на личните данни.“

Комисарят по въпросите на цифровата икономика и цифровото общество Мария Габриел заяви: „Икономиката ни все повече се основава на данни. Регламентът за свободното движение на нелични данни и Общият регламент относно защитата на данните представляват цялостна уредба на общото европейско пространство на данни и на свободното движение на данните в рамките на Европейския съюз. Насоките, които публикуваме днес, ще помогнат на бизнеса, особено на малките и средните предприятия, за разберат взаимодействието между двата регламента.“

Общият регламент относно защитата на данните (GDPR), който започна да се прилага преди година, и новият регламент за свободното движение на нелични данни оформят стабилна правна и делова среда във връзка с обработването на данните. С новия регламент на държавите от ЕС не се позволява да въвеждат закони, които неоправдано налагат задържането на данните единствено в рамките на националната територия. Такъв акт няма аналог в света. С новите норми значително се увеличава правната сигурност и доверието за всички дружества и в частност за МСП и новосъздадените дружества, за които ще е по-лесно да разработват иновативни услуги, да се възползват от най-добрите оферти на услугите за обработка на данни в рамките на вътрешния пазар и да разширяват дейността си зад граница.

В Насоките се съдържат практически примери за това как следва да прилагат нормите дружествата, които обработват масиви от данни, състоящи се от лични и нелични данни. В насоките се обяснява и какво представляват личните и неличните данни, включително масивите от смесени данни; изброяват се въведените с Общия регламент относно защитата на данните и регламента за свободното движение на нелични данни принципи на свободно движение на данните и невъзможност да се изисква локализиране на данните; разглежда се понятието за преносимост на данните съгласно регламента за свободното движение на нелични данни. В насоките се обхващат и изискванията за саморегулиране, посочени в двата регламента.

Договорените мерки са в съответствие със съществуващите норми относно свободното движение и преносимост на личните данни в ЕС. Те:

  • осигуряват трансграничното свободно движение на данните: с новите норми се урежда съхраняването и обработването на данни в ЕС и се възпрепятстват ограниченията пред локализирането на данните. Държавите членки ще трябва да представят на Комисията всички оставащи или планирани ограничения пред локализирането на данните, за да се преценява доколко са основателни. Двата регламента ще се прилагат едновременно, за да се даде възможност за свободното движение на данни – лични и нелични, като по този начин ще се създаде общо европейско пространство на данни. При масивите от смесени данни разпоредбата на GDPR, гарантираща свободното движение на лични данни, се прилага към частта от масива, която съдържа лични данни, а принципът за свободно движение на нелични данни ще се прилага към частта, съдържаща нелични данни.
  • гарантират наличието на данните за целите на регулаторния контрол: Публичните органи ще могат да имат достъп до данните с цел осъществяване на контрол и надзор, независимо къде в ЕС се съхраняват или обработват те. Държавите членки могат да санкционират ползвателите, които при искане от компетентен орган не осигуряват достъп до данните, съхранявани в друга държава членка.
  • насърчават изготвянето на етични кодекси за предоставянето на компютърни услуги в облак, с което още от ноември 2019 г. ще се улесни преминаването от един към друг доставчик на услуги в облак. Това ще направи пазара за услуги в облак по-гъвкав, а цените на услугите за данни в ЕС – по-достъпни.

Регламентът за свободното движение на нелични данни и Общият регламент относно защитата на данните разглеждат свободното движение на данни в ЕС от две различни перспективи, се казва в Насоките.

Регламентът за свободното движение на нелични данни  на нелични данни (РСДНД) установява обща забрана срещу изискванията за локализиране на нелични данни. Съгласно член 4, параграф 1 от РСДНД се забраняват изискванията за локализиране на данни, освен ако те са оправдани от съображения за обществена сигурност в съответствие с принципа на пропорционалност.

В допълнение към гарантирането на висока степен на защита на личните данни, Общият регламент относно защитата на данните (GDPR) гарантира свободното движение на лични данни. В съответствие с член 1, параграф 3 от GDPR свободното движение на лични данни „не се ограничава, нито се забранява по причини, свързани със защитата на физическите лица във връзка с обработването на лични данни“. Заедно двата регламента предвиждат свободното движение на „всички“ данни в рамките на ЕС. Конкретните разпоредби са допълнително разгледани в раздели 3.1 и 3.2.

Наборът от смесени данни се състои както от лични, така и от нелични данни. Наборите от смесени данни представляват по-голямата част от наборите от данни в основаната на данни икономика и са често срещани в следствие на технологичното развитие, като например „интернет на предметите“ (т.е. цифровото свързване на предмети), изкуствения интелект и технологиите, които позволяват извършването на анализ на големи информационни масиви.

Примери за набори от смесени данни:

  • данни на дружество в данъчния регистър, които съдържат името и телефонния номер на изпълнителния директор на дружеството;
  • набори от данни в банка, по-специално онези, които съдържат информация за клиента и данни за трансакцията, като например платежни услуги (кредитни и дебитни карти), приложения за управление на връзките с партньори (PRM) и договори за кредит, документи, съдържащи смесени данни относно физически и юридически лица;
  • анонимизирани статистически данни на научноизследователски институт и първоначално събраните необработени данни, като например отговорите на отделните респонденти на въпроси от статистическо проучване;
  • база данни от знания на дружество относно проблеми, свързани с информационните технологии и тяхното решение, въз основа на доклади за отделни инциденти, свързани с информационните технологии;
  • данни, свързани с „интернет на предметите“, когато някои данни позволяват да бъдат направени предположения относно подлежащи на идентифициране физически лица (например присъствие на определен адрес и модели на използване); и
  • анализ на данните от експлоатационния дневник на производствено оборудване в преработващата промишленост.

Пример: услуги за управление на връзките с клиенти

Някои банки използват услуги за управление на връзките с клиенти (CRM), предоставяни от трети страни, които изискват предоставянето на данни за клиента на софтуера за CRM. Данните, съхранявани в рамките на услугата за CRM, ще включват цялата необходима информация за ефективното управление на взаимодействието с клиента, като например неговия пощенски адрес и адрес на електронна поща, телефонния му номер, продуктите и услугите, които купува, както и отчетите за продажби, включително агрегираните данни. Следователно тези данни могат да включват както лични, така и нелични данни за клиентите.

По отношение на наборите от смесени данни Регламентът за свободното движение на нелични данни предвижда следното:

„В случая на набори от данни, съставени както от лични, така и от нелични данни, настоящият регламент се прилага към частта от набора на данни, съдържаща нелични данни. Когато личните и неличните данни в набор от смесени данни са неразривно свързани, настоящият регламент не засяга прилагането на Регламент (ЕС) 2016/679.“.

Това означава, че в случай на набор от данни, съставен както от лични, така и от нелични данни:

  • Регламентът за свободното движение на нелични данни се прилага към частта от набора от данни, съдържаща нелични данни;
  • разпоредбата относно свободното движение на данни, предвидена в Общия регламент относно защитата на данните, се прилага към частта от набора от данни, съдържаща лични данни; и
  • ако частта, съдържаща нелични данни, и тази, съдържаща лични данни, са „неразривно свързани“, правата и задълженията за защита на данните, произтичащи от Общия регламент относно защитата на данните, се прилагат в пълна степен за целия набор от смесени данни и тогава, когато личните данни представляват само малка част от набора от данни.

Това тълкувание е в съответствие с правото на защита на личните данни, гарантирано от Хартата на основните права на Европейския съюз и със съображение 8 от Регламента за свободното движение на нелични данни. Съображение 8 от него предвижда, че „правната рамка относно защитата на физическите лица във връзка с обработването на лични данни […], и особено [Общият регламент относно защитата на данните] […] и директиви (ЕС) 2016/680 и 2002/58/ЕО […], не са засегнати от настоящия регламент.“

Практически пример:

Дружество, извършващо дейност в ЕС, предлага услугите си чрез платформа. Предприятията (клиентите) качват на платформата своите документи, които съдържат набори от смесени данни. В качеството си на „администратор“ предприятието, което качва документите, трябва да се увери, че обработването е в съответствие с разпоредбите на Общия регламент относно защитата на данните. Като обработва набора от данни от името на администратора, дружеството, което предлага услугите („обработващият лични данни“), трябва да съхранява и обработва данните в съответствие с Общия регламент относно защитата на данните, например за да се увери, че е гарантирано подходящо ниво на сигурност по отношение на данните, включително чрез криптиране.

В нито един от двата регламента не е дадено определение на понятието „неразривно свързани“. От практическа гледна точка то може да се отнася до ситуация, в която набор от данни съдържа както лични, така и нелични данни и разделянето им би било невъзможно или считано от администратора за икономически неефективно или технически неосъществимо. Например при купуването на CRM системи и системи за отчитане на продажби дружеството ще трябва да удвои разходите си за софтуер, като купи отделен софтуер за системата за CRM (лични данни) и системата за отчитане на продажбите (агрегирани/нелични данни), основана на данните за CRM.

С разделянето на набора от данни също така е вероятно неговата стойност значително да се намали. Освен това променящият се характер на данните  прави по-трудно ясното разграничаване на различните категории данни и съответно тяхното разделяне.

Важно е да се отбележи, че нито един от двата регламента не задължава предприятията да разделят наборите от данни, които администрират или обработват.

Следователно наборът от смесени данни по принцип е предмет на задълженията на администраторите на данни и обработващите данни и зачита правата на субектите на данни, установени от Общия регламент относно защитата на данните, се казва в насоките.

Комисията публикува и Въпроси и отговори относно свободното движение на нелични данни.

 

Можете да споделите: