Charakter i zakres projektowanej nowelizacji
Projekt Digital Omnibus wprowadza rozbudowany pakiet zmian do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej; RODO). Celem tej rewizji jest dostosowanie przepisów do współczesnej architektury gospodarki cyfrowej oraz intensywnego rozwoju technologii opartych na danych, w szczególności systemów sztucznej inteligencji. Zakres zmian obejmuje modyfikację przepisów – w tym art. 4, 5, 9, 12, 13, 22, 33 i 35 RODO – a także dodanie nowych regulacji w postaci art. 41a oraz art. 88a–88c. Nowelizacja ma charakter przekrojowy: od redefinicji podstawowych pojęć, przez zasady przetwarzania danych, aż po szczegółowe obowiązki dotyczące zgód użytkownika i oceny ryzyka przetwarzania. Całość projektu może być traktowana jako element szerszej tendencji harmonizacji europejskiej regulacji danych oraz zwiększenia jej operacyjności w praktyce.
Definicje, pseudonimizacja i badania naukowe
Wśród najważniejszych propozycji znajduje się doprecyzowanie definicji danych osobowych, kluczowej dla całego systemu ochrony danych. Projekt wzmacnia podejście zorientowane na kontekst – status danych ustala się z punktu widzenia konkretnego administratora, biorąc pod uwagę środki identyfikacji, które są dla niego rozsądnie prawdopodobne do użycia. Jeżeli administrator takich środków nie posiada, informacje nie powinny być dla niego traktowane jako dane osobowe, nawet jeśli inne podmioty mogłyby przeprowadzić identyfikację. Ma to na celu ograniczenie stosowania RODO w sytuacjach, w których – z perspektywy danego administratora – ryzyko dla osób fizycznych jest znikome lub czysto teoretyczne.
W art. 5 znalazło się wyraźne potwierdzenie, że dalsze przetwarzanie danych na cele archiwalne, naukowe, statystyczne lub historyczne jest zgodne z celem pierwotnym. Rozwinięciem tej zasady jest nowe rozwiązanie w art. 13, umożliwiające ograniczenie obowiązków informacyjnych w projektach badawczych, gdy ich realizacja byłaby niewspółmiernie trudna lub niemożliwa. Wymaga to jednak zastosowania transparentnych form informowania publicznego oraz wdrożenia zabezpieczeń wynikających z art. 89 ust. 1 RODO.
Bardzo istotny jest także nowy art. 41a, umożliwiający Komisji wydawanie aktów wykonawczych określających kryteria oceny, kiedy dane pseudonimizowane mogą zostać uznane za dane nieosobowe w relacji do określonych kategorii odbiorców. Rozwiązanie to ma służyć ujednoliceniu praktyki stosowania pseudonimizacji w UE i ograniczeniu sporów interpretacyjnych dotyczących realnego ryzyka reidentyfikacji.
Przetwarzanie danych szczególnych kategorii i danych biometrycznych
Projekt rozbudowuje katalog wyjątków przewidzianych w art. 9 ust. 2 RODO. Nowa litera k) umożliwia przetwarzanie danych szczególnych kategorii w kontekście tworzenia, trenowania i działania systemów lub modeli AI. Jednocześnie nakłada na administratorów obowiązek wdrożenia mechanizmów zapobiegających pozyskiwaniu takich danych oraz usuwania ich ze zbiorów treningowych lub testowych bez zbędnej zwłoki. Jeżeli usunięcie nie jest możliwe bez poniesienia nieproporcjonalnego wysiłku, administrator musi zapewnić skuteczną ochronę danych przed ujawnieniem i jakimkolwiek ponownym wykorzystaniem.
Druga nowa przesłanka – litera l) – pozwala na wykorzystanie danych biometrycznych wyłącznie do weryfikacji tożsamości osoby, pod warunkiem, że dane lub klucze kryptograficzne pozostają pod jej wyłączną kontrolą. Przepis ten tworzy wyraźne ramy dla rozwiązań biometrycznych, które minimalizują ingerencję w prywatność i współgrają z trendem projektowania technologii „privacy by design”.
Nowa podstawa przetwarzania danych w kontekście AI
Nowy art. 88c stanowi jedną z najbardziej znaczących zmian całej nowelizacji. Wprowadza on szczegółową regulację doprecyzowującą możliwość przetwarzania danych osobowych na potrzeby rozwoju i działania systemów AI w oparciu o uzasadniony interes administratora. Przetwarzanie takie musi być konieczne, proporcjonalne, oraz nie może naruszać przepisów wymagających zgody. Projekt przewiduje także wzmocnioną ochronę osób, których dane dotyczą – zwłaszcza dzieci – oraz nałożenie licznych obowiązków o charakterze technicznym i organizacyjnym.
Administrator będzie zobowiązany do minimalizowania zakresu danych już na etapie ich pozyskiwania, stosowania zabezpieczeń chroniących dane pozostałe w modelach, a także do zapewnienia przejrzystej komunikacji wobec osób, których dane dotyczą. Szczególną rolę pełni w tym przepisie bezwarunkowe prawo sprzeciwu, które stanowi realne narzędzie kontroli nad wykorzystaniem danych w rozwoju systemów AI.
Prawa jednostki i obowiązki informacyjne
Zmiana art. 12 ust. 5 RODO wzmacnia możliwości administratora w sytuacjach, gdy wnioski podmiotów danych mają charakter oczywiście bezzasadny lub nadmierny. Prawodawca unijny wprost wskazuje, że nadmierność może polegać na instrumentalnym wykorzystywaniu prawa w sposób prowadzący do nadużywania prawa wobec administratora lub generowania nieuzasadnionych obciążeń. Rozwiązanie to ma zwiększyć proporcjonalność relacji między jednostką a administratorem, przy jednoczesnym zachowaniu standardów ochrony danych.
Nowe brzmienie art. 13 umożliwia stosowanie uproszczonego obowiązku informacyjnego w przypadkach nieskomplikowanego i nieintensywnego przetwarzania danych, odbywającego się w kontekście zrozumiałej i powszechnie przyjętej relacji. Zwolnienie z obowiązku nie ma jednak zastosowania, gdy przetwarzanie wiąże się z przekazywaniem danych, automatycznym podejmowaniem decyzji lub podwyższonym ryzykiem.
Zautomatyzowane podejmowanie decyzji
Przekształcony art. 22 ust. 1-2 doprecyzowuje warunki, w jakich decyzje wywołujące skutki prawne lub w podobny sposób istotnie wpływające na osobę mogą być oparte wyłącznie na zautomatyzowanym przetwarzaniu. Przepis potwierdza, że nawet jeżeli decyzja mogłaby zostać podjęta przez człowieka, nie wyklucza to spełnienia przesłanki „konieczności” dla celów umowy. Zmiana ta odzwierciedla realia nowoczesnych procesów decyzyjnych, w których automatyzacja nie jest już wyjątkiem, lecz narzędziem powszechnym i funkcjonalnie uzasadnionym.
Naruszenia danych i DPIA
Projekt znacząco modyfikuje obowiązki notyfikacyjne z art. 33 RODO. Po pierwsze, zgłoszenia wymagać będą wyłącznie naruszenia, które prawdopodobnie doprowadzą do wysokiego ryzyka. Po drugie, termin zgłoszenia przesunięto do 96 godzin, dając administratorom więcej czasu na rzetelną ocenę incydentu. Po trzecie, system zgłaszania ma być obsługiwany przez unijny jednolity punkt wejścia, co ma zapewnić większą spójność z regulacjami dotyczącymi cyberbezpieczeństwa.
W art. 35 przewidziano również harmonizację zasad DPIA w całej Unii poprzez utworzenie wspólnych list operacji wymagających i niewymagających przeprowadzenia oceny skutków, a także opracowanie unijnej metodologii DPIA. Zadania te przypadną Europejskiej Radzie Ochrony Danych, a ostateczne akty zostaną przyjęte przez Komisję.
Przetwarzanie danych na urządzeniach końcowych
Nowe art. 88a i 88b przenoszą do RODO regulacje dotyczące przechowywania i uzyskiwania dostępu do danych na urządzeniach końcowych użytkownika. Artykuł 88a ustanawia generalną zasadę konieczności uzyskania zgody, przewidując przy tym ograniczony katalog wyjątków – m.in. dla transmisji komunikacji, realizacji usługi na żądanie czy działań związanych z bezpieczeństwem. Przepis nakłada także obowiązek umożliwienia łatwej odmowy zgody oraz ogranicza możliwość ponawiania próśb o jej udzielenie w krótkich odstępach czasu.
Artykuł 88b rozwija ideę maszynowo czytelnych sygnałów zgody i sprzeciwu, które administratorzy będą zobowiązani respektować. Sygnały te mają być standaryzowane w skali unijnej, a producenci przeglądarek internetowych będą musieli zapewnić ich obsługę. Rozwiązanie to ma zwiększyć użyteczność zgód oraz odpowiedzieć na problem tzw. „cookie fatigue”, polegający na rutynowym akceptowaniu powtarzających się banerów.
Projekt Digital Omnibus można traktować jako jedną z najbardziej kompleksowych prób dostosowania RODO do współczesnej rzeczywistości technologicznej. Proponowane zmiany są zarówno techniczne, jak i systemowe, tworząc bardziej przystępne i praktyczne ramy prawne dla podmiotów działających w środowisku cyfrowym, w tym dla podmiotów przetwarzających dane w procesach AI. Ostateczny kształt reformy pozostaje przedmiotem prac legislacyjnych, jednak już dziś wiele wskazuje na to, że nowelizacja będzie miała istotny wpływ na sposób stosowania RODO w najbliższych latach.
Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →
