Считано от 28 май 2019 г. в държавите членки на Европейския съюз започна прякото прилагане на новия Регламент за свободно движение на нелични данни (Регламент (ЕС) 2018/1807 на Европейския парламент и на Съвета от 14 ноември 2018 година относно рамка за свободното движение на нелични данни в Европейския съюз). Приемането на новия регламент е част от стратегията за цифров единен пазар на ЕС.

 

Под “нелични” данни по смисъла на новия Регламент следва да се разбират всички данни, различни от тези по чл. 4, пар. 1 от Общия регламент относно защитата на данните (GDPR). Нелични данни могат да бъдат:

  • данни, които първоначално не са били свързани с идентифицирано или подлежащо на идентифициране физическо лице, като например данни за метеорологичните условия, генерирани чрез датчици, монтирани върху вятърни турбини, или данни за необходимостта от техническа поддръжка на производствени машини; или
  • данни, които първоначално са били лични данни, но по-късно са били анонимизирани.

Новият правен акт се прилага за обработването на електронни данни, което:

  • се извършва като услуга за ползвателите, пребиваващи или установени в Съюза, независимо от това дали доставчикът на услуги е установен в Съюза или не;
  • се извършва от физическо или юридическо лице, което пребивава или е установено в Съюза за собствените си нужди.

 

В случаите на набори от данни, съставени както от лични, така и от нелични данни, новият регламент се прилага към частта от набора на данни, съдържаща нелични данни. Когато личните и неличните данни в набор от смесени данни са неразривно свързани, настоящият регламент не засяга прилагането на Общия регламент относно защитата на данните (GDPR).

 

Един от най-важните аспекти на Регламента е въвеждането на забрана за държавите членки да приемат закони, с които неоправдано да налагат задържането на данните единствено в рамките на своята национална територия (т.нар. локализиране на данни). Държавите членки ще имат срок до 30 май 2021 г. да предприемат мерки за премахване на изискванията за локализиране на данни, с изключение на случаите, когато това се налага от съображения за обществена сигурност или въз основа на действащото право на Съюза.

 

Сред целите на Регламента е и да се избегнат практиките на създаване на зависимост от конкретен доставчик. Тези практики се появяват, когато ползвателите не могат да сменят доставчиците на услуги, тъй като техните данни са „заключени“ в системата на доставчика, например поради специален формат на данните или договорни условия, и не могат да бъдат прехвърлени извън информационната система на доставчика.

 

Във връзка с прилагането на този регламент Европейската комисия прие и публикува насоки, в които се съдържат практически примери за прилагане на нормите от дружества, които обработват смесени масиви от лични и нелични данни (например базите данни в услугите за управление на връзки с клиенти – CRM). Те нямат задължение да разделят смесените масиви – разпоредбата на GDPR, гарантираща свободното движение на лични данни, ще се прилага към частта от масива, която съдържа лични данни, а принципът за свободно движение на нелични данни ще се прилага към частта, съдържаща нелични данни. Европейската комисия приема, че при неразривна свързаност на масива правата и задълженията за защита на данните, произтичащи от Общия регламент относно защитата на данните, се прилагат в пълна степен за целия набор от смесени данни и тогава, когато личните данни представляват само малка част от набора от данни.

 

Взети заедно, двата регламента създават основата за свободното движение на всички данни в рамките на Европейския съюз и за високо конкурентна основана на данни европейска икономика.