Актуално

На 29.05.2019 г. Европейската комисия публикува нови насоки относно взаимодействието на свободното движение на нелични данни с нормите на ЕС за защита на данните.

Насоките са изготвени заради новия РЕГЛАМЕНТ (ЕС) 2018/1807 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА относно рамка за свободното движение на нелични данни в Европейския съюз, който започна да се прилага в държавите членки  от 28.05.2019 г. Регламентът за свободното движение на нелични данни има за цел да гарантира свободното движение на данни, различни от личните данни

Какво представляват неличните данни?

Неличните данни се различават от личните данни, както е посочено в GDPR. По своя произход неличните данни могат да бъдат категоризирани по следния начин:

• данни, които първоначално не са били свързани с идентифицирано или подлежащо на идентифициране физическо лице, като например данни за метеорологичните условия, генерирани чрез датчици, монтирани върху вятърни турбини, или данни за необходимостта от техническа поддръжка на производствени машини; или
• данни, които първоначално са били лични данни, но по-късно са били анонимизирани.

„Анонимизацията“ на лични данни се различава от псевдонимизацията, тъй като надлежно анонимизираните лични данни не могат да бъдат свързани с конкретно лице дори и чрез използването на допълнителна информация и следователно са нелични данни.

Оценката на това дали данните са надлежно анонимизирани зависи от конкретните и уникални обстоятелства на всеки отделен случай. За да се определи дали дадено физическо лице може да бъде идентифицирано, следва да се вземат предвид всички средства, с които съществува разумна вероятност да си послужи администраторът или друго лице, за да идентифицира пряко или непряко даденото физическо лице.

Примери за нелични данни:

• Данните, които са агрегирани до ниво, на което събитията, касаещи отделни лица (като например отделните пътувания на дадено лице в чужбина или моделите на пътуване, които биха могли да представляват лични данни), вече не подлежат на идентифициране, могат да бъдат квалифицирани като анонимни данни. Анонимните данни се използват например в статистиката или вдокладите за продажби (например с цел изчисляване на популярността на даден продукт и неговите характеристики).
• Данни в областта високочестотната търговия във финансовия сектор или данни за прецизно земеделие, които помагат за наблюдението и оптимизирането на употребата на пестициди, хранителни вещества и вода.
• Ако обаче неличните данни могат по някакъв начин да бъдат свързани с физическо лице, което го прави пряко или непряко подлежащо на идентифициране, данните трябва да се считат за лични. Например ако доклад за контрола на качеството на производствена линия направи възможно свързването на данните с конкретни работници от фабриката (например онези, които задават параметрите на производството), тогава данните ще се квалифицират като лични данни и трябва да се приложи Общият регламент относно защитата на данните. Същите правила са в сила, когато напредъкът в технологичното развитие и анализа на данни направят възможно превръщането на анонимизираните данни в лични данни.

Какво представляват масивите от смесени данни?

В повечето ситуации от реалния живот е много вероятно наборът от данни да е съставен както от лични, така и от нелични данни. Наборът от смесени данни се състои както от лични, така и от нелични данни. Наборите от смесени данни представляват по-голямата част от наборите от данни в основаната на данни икономика и са често срещани в следствие на технологичното развитие, като например „интернет на предметите“ (т.е. цифровото свързване на предмети), изкуствения интелект и технологиите, които позволяват извършването на анализ на големи информационни масиви.

Пример за масив от смесени данни е масивът от данни на дружество в данъчния регистър, който съдържа името и телефонния номер на изпълнителния директор на дружеството. Други примери са: опитът, който дадено дружество е натрупало, в резултат на индивидуални сигнали за инциденти, във връзка с проблеми и решения в областта на информационните технологии; анонимизирани статистически данни на научноизследователска институция; първоначално събирани необработени данни – каквито са например отговорите на въпроси от статистическо проучване.

В случай на набор от данни, съставен както от лични, така и от нелични данни:

• Регламентът за свободното движение на нелични данни се прилага към частта от набора от данни, съдържаща нелични данни;
• разпоредбата относно свободното движение на данни, предвидена в GDPR, се прилага към частта от набора от данни, съдържаща лични данни; и
• ако частта, съдържаща нелични данни, и тази, съдържаща лични данни, са „неразривно свързани“, правата и задълженията за защита на данните, произтичащи от GDPR, се прилагат в пълна степен за целия набор от смесени данни и тогава, когато личните данни представляват само малка част от набора от данни.

В нито един от двата регламента не е дадено определение на понятието „неразривно свързани“. От практическа гледна точка то може да се отнася до ситуация, в която набор от данни съдържа както лични, така и нелични данни и разделянето им би било невъзможно или считано от администратора за икономически неефективно или технически неосъществимо. Например при купуването на CRM системи и системи за отчитане на продажби дружеството ще трябва да удвои разходите си за софтуер, като купи отделен софтуер за системата за CRM (лични данни) и системата за отчитане на продажбите (агрегирани/нелични данни), основана на данните за CRM.

Важно е да се отбележи, че нито един от двата регламента не задължава предприятията да разделят наборите от данни, които администрират или обработват.

Следователно наборът от смесени данни по принцип е предмет на задълженията на администраторите на данни и обработващите данни и зачита правата на субектите на данни, установени от Общия регламент относно защитата на данните.

Свободно движение на данни и премахване на изискванията за локализиране на данни

Регламентът за свободното движение на нелични данни и GDPR разглеждат свободното движение на данни в ЕС от две различни перспективи. Регламентът за свободното движение на нелични данни установява обща забрана срещу изискванията за локализиране на нелични данни. Забраняват изискванията за локализиране на данни, освен ако те са оправдани от съображения за обществена сигурност в съответствие с принципа на пропорционалност.

Изискванията за локализиране на данни се определят като „всяко задължение, забрана, условие, ограничение или друго изискване, което е предвидено в законовите, подзаконовите или административните разпоредби на държава членка или което е в резултат на общи и последователни административни практики на държава членка и на публичноправните организации, включително в областта на обществените поръчки, без да се засяга Директива 2014/24/ЕС, което налага обработването на данни да бъде на територията на конкретна държава членка или пречи на обработването на данни във всяка друга държава членка.

Преките изисквания за локализиране на данни могат да се състоят например от задължение за съхранение на данни в конкретно географско местоположение (например сървърите трябва да бъдат разположени в определена държава членка) или задължение за спазване на специфичните национални технически изисквания (например за данните трябва да се използват конкретни национални формати).

Непреките изисквания за локализиране на данни, които биха пречили на обработването на нелични данни в коя да е друга държава членка, могат да съществуват в различни форми. Те могат да включват изисквания за използване на технологични съоръжения, които са сертифицирани или одобрени в определена държава членка, или други изисквания, които водят до затрудняване на обработването на данни извън конкретен географски район или територия в рамките на Европейския съюз36, 37 . При оценката на това дали конкретна мярка представлява непряко изискване за локализиране на данни, трябва да се разгледат специфичните обстоятелства на всеки случай.

Примери

• Доставчик на облачни услуги, установен в САЩ, предоставя своите услуги за обработване на данни на клиенти, пребиваващи или установени в ЕС. Той управлява дейностите си чрез сървъри, които се намират на територията на ЕС, където данните на европейските му клиенти се съхраняват или обработват по друг начин. Не е необходимо доставчикът на облачни услуги да разполага с инфраструктура, базирана в ЕС, но може например също така да наеме място на сървър в ЕС. Регламентът за свободното движение на нелични данни се прилага за такава обработка на данни.
• Доставчик на облачни услуги, установен в Япония, предлага услугите си на европейски клиенти. Капацитетът за обработване е разположен в Япония и всички дейности по обработване се осъществяват там. В този случай Регламентът за свободното движение на нелични данни не се прилага, ако всички дейности по обработване се осъществяват извън ЕС.
• Малко европейско стартиращо предприятие от държава членка А решава да разшири бизнеса си, като разкрие обект в държава членка Б. За да сведе до минимум разходите, това стартиращо предприятие избира да централизира съхранението и обработването на данните на новия обект на сървъра си, който се намира в държава членка А. Държавите членки не могат да забраняват такива дейности по централизация на информационните технологии, освен на основание обществена сигурност в съответствие с принципа на пропорционалност.

В насоките също така се разяснява понятието „неразривно свързани“ и се предоставят практически примери за прилагането на горепосочените правила.

Съгласно насоките данните ще могат да бъдат съхранявани и обработвани навсякъде в ЕС без неоснователни ограничения. Целта на насоките е да помогне на потребителите и в частност на малките и средните предприятия да разберат взаимодействието между новите разпоредби и Общия регламент относно защитата на данните (GDPR) — особено когато масивите се състоят както от лични, така и от нелични данни.

GDPR и новият регламент за свободното движение на нелични данни оформят стабилна правна и делова среда във връзка с обработването на данните. С новия регламент на държавите от ЕС не се позволява да въвеждат закони, които неоправдано налагат задържането на данните единствено в рамките на националната територия. Такъв акт няма аналог в света. С новите норми значително се увеличава правната сигурност и доверието за всички дружества и в частност за малките и средни предприятия и новосъздадените дружества, за които ще е по-лесно да разработват иновативни услуги, да се възползват от най-добрите оферти на услугите за обработка на данни в рамките на вътрешния пазар и да разширяват дейността си зад граница.

Насоките дават практически примери за това как следва да прилагат нормите от дружествата, които обработват масиви от данни, състоящи се от лични и нелични данни. В насоките се обяснява и какво представляват личните и неличните данни, включително масивите от смесени данни; изброяват се въведените с GDPR и регламента за свободното движение на нелични данни принципи на свободно движение на данните и невъзможност да се изисква локализиране на данните; разглежда се понятието за преносимост на данните съгласно регламента за свободното движение на нелични данни. В насоките се обхващат и изискванията за саморегулиране, посочени в двата регламента.

Един от основните сектори, които е пряко засегнат от тази правна рамка е сектора на облачните услуги. Това е и един от секторите с разработените кодекси за поведение.

Примери на кодекси за поведение, разработени от сектора на облачните услуги:

• Cloud Select Industry Group (C-SIG) въз основа на Директивата за защита на личните данни и в последствие на Общия регламент относно защитата на данните. Кодексът на ЕС за поведение в областта на облачните услуги обхваща пълния спектър от облачни услуги — софтуер като услуга (SaaS), платформа като услуга (PaaS) и инфраструктура като услуга (IaaS).
• Кодексът за поведение на доставчиците на инфраструктура за услуги в облак в Европа (CISPE) е съсредоточен върху доставчиците на инфраструктура като услуга (IaaS). Кодексът за поведение на CISPE се състои от изисквания относно доставчиците на IaaS, които изпълняват функцията на обработващи лични данни съгласно GDPR. В него са предвидени също така разпоредби за управленската структура за изпълнение и прилагане на кодекса.
• Кодексът за поведение на Алианса за облачна сигурност (Cloud Security Alliance — CSA) за съответствие с GDPR е насочен към всички заинтересовани страни в сферата на изчисленията в облак и европейското законодателство в областта на личните данни, като доставчици на облачни услуги, клиенти и потенциални клиенти на облачни услуги, одитори и брокери на облачни услуги. Кодексът за поведение обхваща пълния спектър на доставчиците на облачни услуги.

В момента подгрупа разработва кодекс за поведение с цел саморегулиране относно пренасянето на данни и смяната на доставчиците на облачни услуги (работна група SWIPO), а друга подгрупа работи по въпросите на сертифицирането за сигурност на облачните услуги (работна група CSPCERT). Работната група SWIPO разработва кодекси за поведение, в които е обхванат целият спектър от облачни услуги: инфраструктура като услуга (IaaS), платформа като услуга (PaaS) и софтуер като услуга (SaaS).