Komisja Europejska przedstawiła projekt „Cyfrowego Omnibusa”1, który wprowadza istotne zmiany między innymi w przepisach dotyczących danych osobowych. Firmy muszą przygotować się na nowe zasady w kilku kluczowych obszarach, a ich celem jest zmniejszenie kosztów zapewnienia zgodności, zwiększenie przejrzystości i stworzenie bardziej konkurencyjnego środowiska dla biznesu.
Najważniejsze zmiany w obszarze danych osobowych
1. Definicja danych osobowych
Projekt doprecyzowuje, że dane nie będą uznawane za „osobowe” dla podmiotu, który nie ma realnych środków do identyfikacji określonej osoby. Ma to zapewnić większą jasność w ocenie, kiedy dane podlegają RODO2.
Dodatkowo, Komisja Europejska oraz Europejska Rada Ochrony Danych mają opracować środki i kryteria oceny czy dane wynikające z pseudonimizacji nie są danymi osobowymi i czy nie zachodzi ryzyko ponownej identyfikacji podmiotów danych, biorąc pod uwagę między innymi dostępne rozwiązania techniczne.
2. Przetwarzanie danych szczególnych kategorii
Dostęp do rozwiązań biometrycznych w celu weryfikacji tożsamości ma być łatwiejszy w przypadku, gdy dane pozostają pod kontrolą użytkownika (np. lokalnie w pamięci urządzenia lub w formie zaszyfrowanej).
Kolejnym wyjątkiem ma być możliwość wykorzystania danych szczególnych kategorii w rozwoju i działaniu systemów AI, jednakże pod warunkiem wdrożenia środków organizacyjnych i technicznych minimalizujących ryzyko (takich jak pseudonimizacja, filtrowanie, usuwanie danych wrażliwych z modeli). Dane szczególnych kategorii mogą pojawiać się w różnych zbiorach danych. Nowe przepisy mają ułatwić rozwój systemów AI, tak aby administratorzy nie musieli ponosić dużych kosztów na identyfikację
i usuwanie takich danych. Nie jest to jednak pełne zwolnienie z obowiązków, ponieważ jeśli identyfikacja podmiotów danych jest możliwa, administrator powinien usunąć dane osobowe lub je odpowiednio zabezpieczyć.
3. AI i badania naukowe
W projekcie wskazano na kluczowe znaczenie sztucznej inteligencji dla wzrostu ekonomicznego oraz wsparcia dla innowacji, dlatego rozwój i wykorzystanie systemów AI w oparciu o dane, w tym dane osobowe, będzie mógł być oparty o uzasadniony interes jako podstawę prawną. Nie zwalnia to jednak administratora z konieczności przeprowadzenia testu równowagi, wprowadzenia odpowiednich zabezpieczeń czy zapewnienia podmiotom danych prawa do sprzeciwu.
4. Obowiązki informacyjne i DPIA
Projekt zakłada zwolnienie administratorów ze spełnienia obowiązku informacyjnego w przypadku, gdy istnieją uzasadnione oczekiwania, że podmiot danych dysponuje już tymi informacjami, chociaż planowana regulacja pokrywa się niemal w pełni z dotychczasową treścią art. 13 ust. 4 RODO. Kolejny planowany wyjątek dotyczy przetwarzania, które nie będzie powodowało wysokiego ryzyka dla praw lub wolności osób fizycznych, jak również badań naukowych, gdy informowanie byłoby niemożliwe lub wymagałoby nieproporcjonalnego wysiłku ze strony administratora.
Harmonizacja DPIA: planowana jest jedna unijna lista operacji wymagających i niewymagających oceny skutków oraz wspólny szablon i metodyka przygotowane przez EDPB. Obecnie, zgodnie z art. 35 ust. 4 RODO, organy nadzorcze każdego z krajów UE mają obowiązek opublikować taki wykaz. Zmiany z zadowoleniem powinny przyjąć podmioty działające na rynkach w wielu krajach Europy.
5. Naruszenia ochrony danych
Zgłoszenie naruszenia ochrony danych miałoby mieć miejsce wyłącznie przy wysokim ryzyku naruszenia praw lub wolności osób fizycznych. Obecnie wyjątkiem od konieczności notyfikacji jest sytuacja, gdy jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Termin na dokonywanie zgłoszeń ma zostać wydłużony do 96 godzin, zamiast obecnych 72. Wspólny ma być szablon zgłoszeń, który ma pełnić rolę „single-entry point” (pojedynczego punktu kontaktowego) dla wielu regulacji (RODO, NIS2 implementowanego w Polsce poprzez nowelizację UKSC, DORA, eIDAS czy CER).
6. Cookies i ePrivacy
Zasady dotyczące plików cookie oraz podobnych technologii stosowanych przez reklamodawców na stronach internetowych mają zostać przeniesione z obecnej Dyrektywy e-Privacy3 do RODO. Obecnie zgoda zbierana jest poprzez banery wyświetlane podczas odwiedzin strony, co dla użytkowników bywa dosyć uciążliwe i często niezrozumiałe, a dla właścicieli stron wiąże się z kosztami zapewnienia zgodności. Zakładane uproszczenie polega na wprowadzeniu mechanizmu automatycznych preferencji (np. w przeglądarkach), które strony internetowe będą musiały uwzględniać, co oznaczać ma mniej uciążliwych komunikatów dla użytkowników.
Podsumowanie
Cyfrowy Omnibus zakłada szereg zmian w przepisach dotyczących ochrony danych osobowych. Liczne głosy mówią o deregulacji, pojawiają się też opinie o zagrożeniu dla prywatności i rozluźnieniu dotychczasowych obowiązków. Dla przedsiębiorców to krok w stronę bardziej spójnego i przyjaznego dla innowacji ekosystemu regulacyjnego, najpierw jednak powinni oni zwrócić uwagę w jaki sposób nowe przepisy mogą wpłynąć na ich procesy i systemy, jak legalnie wykorzystać dane w rozwoju AI, minimalizując ryzyko naruszeń oraz które dokumenty i procedury zaktualizować.
