Swobodny przepływ danych nieosobowych w UE już od 28 maja 2019 roku

W dniu 18 grudnia 2018 roku weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1807 z 14 listopada 2018 r. w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej (dalej jako „Rozporządzenie”). Jego stosowanie zostało odroczone do dnia 28 maja 2019 roku. Zakres Rozporządzenia nie pokrywa się z RODO. Zakres przedmiotowy Rozporządzenie obejmuje (1) usługi przetwarzania elektronicznych danych nieosobowych w Unii Europejskiej świadczonych na rzecz użytkowników mających miejsce zamieszkania lub siedzibę w UE, niezależnie od tego, czy dostawca usługi ma swoją siedzibę w UE czy poza nią oraz (2) przetwarzanie elektronicznych danych nieosobowych prowadzone na potrzeby własne przez osobę fizyczną mającą miejsce zamieszkania w UE lub osobę prawną mającą siedzibę w UE. Rozporządzenie definiuje dane nieosobowe, jako wszelkie dane elektroniczne, które nie zostały objęte zakresem zastosowywania RODO. Rozporządzenie będzie zatem dotyczyć takich danych, za pomocą których nie jest możliwe zidentyfikowanie konkretnej osoby fizycznej. Rozporządzenie wprowadza ogólną zasadę swobodnego przepływu danych nieosobowych na terytorium Unii Europejskiej. Jedyny wyjątkiem, który może wprowadzać wymóg lokalizacji przepływu danych są względy bezpieczeństwa publicznego. Obowiązek zniesienia ograniczeń przepływu danych nieosobowych ma zostać wdrożony w Państwach członkowskich do końca maja 2021 roku. Wszelkie wyjątki od zasady swobodnego przepływu danych powinny być zgłaszane przez Państwa członkowskie do Komisji Europejskiej ww. terminie. Po 30 maja 2021 roku Państwa członkowskie będą zobowiązane do zgłaszania do Komisji każdego nowego aktu prawnego, którego celem jest wprowadzenie wymogów lokalizacyjnych. Ponadto, państwa członkowskie będą zobowiązane do utworzenia krajowego centralnego internetowego punktu informacyjnego, który powinien dysponować wszelkimi informacjami o mających zastosowanie na terytorium danego państwa członkowskiego wymogach dotyczących lokalizacji danych. Punkt kontaktowe państw członkowskich, z założenia, mają działać na zasadzie wzajemnej współpracy. Na mocy Rozrządzenia, Komisja zobowiązała się wspierać dostawców IT przy tworzeniu kodeksów postępowania branżowego, na zasadzie samoregulacji. Kodeksy z założenia obejmować powinny w szczególności informacje o miejscu przechowywania lub przetwarzania danych oraz kwestiach technicznych dotyczących przetwarzanych informacji. Kodeksy powinny powstawać przy współpracy ze stowarzyszeniami MŚP, przedsiębiorstwami typu start-up, użytkownikami i dostawcami usług w chmurze. Prace na kodeksami powinny zakończyć się do 29 listopada 2019 roku.