Proponowane zmiany w RODO
„Digital Omnibus” zawiera pierwszą, a jednocześnie znaczącą propozycję nowelizacji rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO) od przyjęcia w 2016 r. Odnosi się ona do zagadnień istotnych i dyskusyjnych w trakcie stosowania RODO: definicji danych osobowych, podstaw prawnych przetwarzania danych osobowych dla potrzeb uczenia modeli AI (przesłanki dopuszczalności), automatycznego podejmowania decyzji, zgłaszania naruszeń ochrony danych czy uprawnień informacyjnych osób, których dane dotyczą.
Dane osobowe
Jedną z najbardziej doniosłych zmian w „Digital Omnibus” dla europejskiego prawa danych jest doprecyzowanie definicji danych osobowych w art. 4 pkt. 1 RODO poprzez dodanie zastrzeżenia, że informacja odnosząca się do osoby fizycznej nie musi być danymi osobowymi dla każdego podmiotu tylko dlatego, że inny podmiot jest w stanie tę osobę zidentyfikować. Wprost wskazano, że dane „nie są osobowe dla danego podmiotu, jeżeli ten podmiot nie może zidentyfikować osoby przy użyciu środków, których użycie jest wystarczająco prawdopodobne”, a fakt, że „potencjalny dalszy odbiorca” takie środki posiada, nie zmienia kwalifikacji danych po stronie pierwszego podmiotu. To doprecyzowanie implementuje wprost wnioski z wyroku TSUE z 4.9.2025 r. w sprawie C-413/23, EDPS v. SRB, Legalis, w którym Trybunał potwierdził, że ta sama informacja może być danymi osobowymi z perspektywy jednego podmiotu, a danymi anonimowymi z perspektywy innego, jeżeli ten drugi nie posiada środków identyfikacji, których użycie byłoby w jego sytuacji faktycznie i wystarczająco prawdopodobne. Doprecyzowaniu definicji „danych osobowych” towarzyszy również nowe uprawnienie Komisji do przyjmowania aktów wykonawczych, które mają określać „środki i kryteria” pozwalające ustalić, kiedy dane powstałe w wyniku pseudonimizacji „nie stanowią już danych osobowych” dla określonych kategorii podmiotów. Projekt zobowiązuje Komisję do oceny „stanu techniki” oraz opracowania (po zasięgnięciu opinii EROD) kryteriów pozwalających administratorom i odbiorcom danych szacować ryzyko ponownej identyfikacji w odniesieniu do typowych odbiorców. Co istotne, wdrożenie przez administratorów środków wskazanych w akcie wykonawczym miałoby stanowić element wykazania, że dane nie umożliwiają reidentyfikacji osoby fizycznej.
Podstawy prawne przetwarzania danych dla potrzeb AI
We wniosku KE można także znaleźć mechanizmy prawne dla rozwoju i trenowania systemów AI, zawarte w nowym art. 88c RODO. Projekt wyraźnie potwierdza, że trening modeli nie funkcjonuje poza systemem ochrony danych: administrator nadal musi oprzeć się na jednej z istniejących podstaw przetwarzania, a prawnie uzasadniony interes może mieć zastosowanie tylko wtedy, gdy pełna ocena równowagi wykaże, że prawa i wolności osób – zwłaszcza dzieci – nie zostaną naruszone. Komisja nie luzuje więc rygorów, lecz wpisuje praktyki AI w dotychczasową logikę RODO, jednocześnie dodając nowe gwarancje. Administrator miałby dbać o minimalizację danych już na etapie wyboru źródeł, chronić przed ujawnieniem informacje rezydualne utrwalone w modelu oraz zapewnić użytkownikom większą przejrzystość co do wykorzystania ich danych. Projekt przewiduje także bezwarunkowe prawo sprzeciwu wobec takiego przetwarzania.
Kolejna grupa zmian dotyczy rozszerzenia przypadków dopuszczalnego przetwarzania szczególnych kategorii danych osobowych. Komisja wycofała się z pomysłu, który pojawił się w nieoficjalnej wersji projektu, a który zawężałby art. 9 RODO wyłącznie do danych bezpośrednio ujawniających informacje wskazane w tym przepisie o konkretnej osobie fizycznej. Zamiast tego projektodawca proponuje, aby administratorzy mogli przetwarzać szczególne kategorie danych osobowych w kontekście opracowywania i funkcjonowania systemów lub modeli AI, pod warunkiem wdrożenia skutecznych środków technicznych i organizacyjnych mających na celu unikanie pozyskiwania takich danych oraz ich niezwłocznego usuwania po wykryciu (gdyby ich usunięcie wymagało niewspółmiernych nakładów, takie dane miałyby być skutecznie zabezpieczane przez administratorów). Po drugie, projekt dopuszcza przetwarzanie danych biometrycznych niezbędnych wyłącznie do weryfikacji tożsamości, o ile cały proces pozostaje pod wyłączną kontrolą osoby, której dane dotyczą – na przykład poprzez przechowywanie danych lub klucza szyfrującego wyłącznie po jej stronie.
Uprawnienia informacyjne osób, których dane dotyczą
Zmiany zaproponowane przez Komisję obejmują również prawa informacyjne podmiotów danych. Komisja chce zmodyfikować art. 12 ust. 5 RODO tak, aby za sytuacje uzasadniające odmowę realizacji prawa dostępu lub pobranie rozsądnej opłaty uznawać przypadki, w których wnioskodawca nadużywa tego prawa w celach innych niż ochrona danych osobowych – na przykład w celu uzyskania korzyści w zamian za wycofanie żądania. Dalej idącą modyfikację Komisja proponuje jednak w odniesieniu do art. 13 RODO. Projekt zakłada rozszerzenie zwolnienia z obowiązku informacyjnego na sytuacje, w których relacja między administratorem a osobą jest „jasna i ściśle określona”, a działalność administratora nie wiąże się z intensywnym przetwarzaniem danych – jak w przypadku rzemieślników, niewielkich stowarzyszeń czy klubów sportowych. Komisja zakłada, że w takich kontekstach można racjonalnie przyjąć, iż osoba ma już podstawową wiedzę o tożsamości administratora i celach przetwarzania. Zwolnienie nie obejmie jednak przypadków udostępniania danych innym odbiorcom, transferów do państw trzecich, profilowania ani przetwarzania stwarzającego wysokiego ryzyka dla praw i wolności osób fizycznych. Komisja proponuje także nowe wyłączenie dla badań naukowych – gdy spełnienie obowiązku informacyjnego jest niemożliwe, wymagałoby niewspółmiernego wysiłku lub poważnie utrudniłoby realizację celów badania – pod warunkiem m.in. publicznego ujawnienia stosownych informacji.
Podejmowanie automatycznych decyzji
Zmiany w art. 22 RODO, dotyczące automatycznego podejmowania decyzji, wydają się wywołać dalej idące konsekwencje, niż wskazuje się w pierwszych komentarzach do propozycji zmian. Przestaje to być bowiem prawo podmiotu danych (do „niepodlegania decyzji, opartej wyłącznie na zautomatyzowanym przetwarzaniu), a art. 22 w ust. 1 RODO staje się przepisem kreującym podstawy prawne do automatycznego podejmowania decyzji, wobec tego podmiotu, które mają charakter określenia wyłącznych sytuacji dopuszczalności dla tego typu sytuacji. Uprawnieniami osoby podlegającej decyzji pozostają tylko ustanowione w ust. 3 tego artykułu żądania interwencji ludzkiej, wyrażenie własnego stanowiska i zakwestionowania decyzji.
Oprócz tego doprecyzowano sytuację, gdy podstawą automatycznego podejmowania decyzji jest niezbędność do zawarcia lub wykonania umowy między podmiotem danych oraz administratorem danych, ponieważ wskazuje się, że przesłanka ta może zaistnieć „niezależnie od tego, czy decyzja ta mogłaby zostać podjęta w inny sposób niż wyłącznie w sposób zautomatyzowany”.
Zgłaszanie naruszeń ochrony danych oraz przeprowadzanie DPIA
We wniosku KE znalazły się także istotne zmiany dotyczące zgłaszania naruszeń. Administrator miałby 96 godzin na notyfikację do właściwego organu nadzorczego, a obowiązek ten powstawałby wyłącznie przy naruszeniach, które prawdopodobnie powodują wysokie ryzyko dla praw lub wolności osób fizycznych. Docelowo zgłoszenia mają być składane poprzez jeden unijny punkt kontaktowy. Komisja chce również wprowadzić wspólny wzór zgłoszenia naruszeń oraz listę okoliczności, w których jest prawdopodobne, że naruszenie doprowadzi do wysokiego ryzyka dla praw i wolności osób, których dane dotyczą – dokumenty te przygotuje EROD, a KE przyjmie je w formie aktów wykonawczych. Ułatwieniem dla administratorów mają być także unijne listy operacji wymagających i niewymagających DPIA oraz wspólna metodologia oraz wzór oceny skutków dla ochrony danych. EROD ma opracować i przekazać Komisji projekty obu list oraz jednolitej metodologii i szablonu DPIA w terminie dziewięciu miesięcy od rozpoczęcia stosowania nowych przepisów. Po ich ocenie Komisja przyjmie je w drodze aktów wykonawczych, z możliwością ich okresowej aktualizacji.
Uporządkowanie relacji RODO z przepisami o e-prywatności
Istotną częścią inicjatywy legislacyjnej KE jest propozycja przeniesienia do RODO – i uporządkowania – zasad dotyczących zapisywania informacji w urządzeniach końcowych użytkowników lub uzyskiwania do nich dostępu, dotąd regulowanych głównie przez dyrektywę ePrivacy i jej ugruntowaną praktykę stosowania. Projektowany art. 88a ustanawia zasadę, że zapisanie danych osobowych w urządzeniu osoby fizycznej lub uzyskanie do nich dostępu wymaga jej zgody, z wyjątkiem sytuacji, gdy takie działania są niezbędne dla transmisji komunikacji, świadczenia usług wyraźnie żądanych przez użytkownika, pomiaru oglądalności wykonywanego przez dostawcę na własne potrzeby oraz zapewnienia bezpieczeństwa usługi lub urządzenia. Przewidziano także doprecyzowanie zasad zarządzania zgodą – jeżeli osoba, której dane dotyczą, odmówi jej udzielenia, administrator nie może ponownie zwrócić się o zgodę w tym samym celu przez co najmniej sześć miesięcy. Wniosek KE przewiduje pełne ustandaryzowanie sposobu wyrażania zgód i sprzeciwów wobec przetwarzania danych na urządzeniach końcowych poprzez wprowadzenie mechanizmów maszynowo odczytywalnych. Administratorzy będą zobowiązani udostępniać interfejsy, które potrafią odczytać i respektować takie sygnały – zarówno wyrażenie zgody, jak i odmowę oraz sprzeciw wobec przetwarzania danych osobowych na potrzeby marketingu bezpośredniego (art. 21 ust. 2 RODO). Komisja ma zwrócić się do europejskich organizacji normalizacyjnych o opracowanie wspólnych standardów interpretacji tych sygnałów, a zgodność z tymi standardami będzie dawała administratorom domniemanie zgodności z RODO. Po upływie czterech lat od wejścia w życie przepisów dostawcy przeglądarek (z wyłączeniem MŚP) będą mieli obowiązek wdrożyć funkcje umożliwiające użytkownikom automatyczne przekazywanie takich sygnałów, co w praktyce oznacza techniczną egzekwowalność globalnych ustawień prywatności
Co dalej z ochroną danych osobowych?
Wniosek legislacyjny KE „Digital Omnibus” stanie się teraz podstawą dalszych negocjacji w Parlamencie Europejskim i Radzie UE, a także zostanie zaopiniowany przez EROD. Zatem droga do jego przyjęcia i ustalenia ostatecznego kształtu jest dosyć odległa.
Końcowy kształt reformy RODO pozostaje otwarty, a kolejne postulaty już się pojawiają – jak propozycje Konferencji Niezależnych Organów Ochrony Danych Federacji i Krajów Związkowych w Niemczech dotyczące wzmocnienia ochrony danych osobowych dzieci. Wszystko wskazuje na to, że najtrudniejsza część debaty o przyszłości RODO dopiero przed nami.
Już teraz można jednak wskazać, że nie proponuje się zmian fundamentów prawnej ochrony danych osobowych, tak naprawdę istniejących w Unii Europejskiej od 1995 r. (tj. od momentu przyjęcia dyrektywy 95/46/WE), a w sposób daleko idący zreformowanych w reformie ochrony danych zapoczątkowanej w 2016 r. Jednak korekta przepisów o ochronie danych jest znacząca. Może ona być różnie odczytywana, ale w naszej opinii nie powinno następować to w sposób skrajny: ani przez pryzmat alarmistycznych obaw, ani nadmiernych zachwytów. To raczej moment, w którym unijny prawodawca podejmuje próbę zmierzenia się z problemami widocznymi prawie od początku stosowania RODO, a od lat odkładanymi na później. Dla nas kluczowe pozostaje pytanie o samo rozumienie pojęcia danych osobowych, co wyznacza zakres stosowania przepisów: Jak rozumieć „wystarczające prawdopodobieństwo użycia środków” prowadzących do identyfikacji osoby? Czy należy brać pod uwagę wyłącznie realne możliwości techniczne konkretnego administratora, czy także szerszy ekosystem informacyjny, otoczenie regulacyjne i zmienne warunki organizacyjne, które w praktyce mogą zwiększać lub ograniczać jego potencjał identyfikacyjny? Stabilność takiej oceny jest iluzoryczna, bo zarówno narzędzia, jak i dostępność danych zmieniają się dynamicznie. To właśnie odpowiedź na te pytania przesądzi o faktycznym zasięgu stosowania RODO.
W zakresie innych kwestii projekt można różnie oceniać. Z jednej strony mogą się pojawić głosy, że to niepełna i bez przemyślanych do końca konsekwencji próba obniżenia standardu ochrony danych osobowych na rzecz iluzorycznej deregulacji, czego wyrazem są np. ograniczenie uprawnień podmiotów danych oraz naruszenie koncepcji neutralności technologicznej RODO. Z drugiej strony wielu może uznać niektóre propozycje KE za racjonalne z punktu widzenia odciążenia adresatów obowiązków i uproszczenia wykonywania przepisów: wyjątek badawczy od obowiązków informacyjnych, wspólne unijne wzory zgłaszania naruszeń, listy operacji wymagających i niewymagających oceny skutków oraz jednolitą metodologię ich przeprowadzania.
Jedno wydaje się oczywiste – Komisja Europejska poszerza swoje kompetencje w uzupełnianiu i wiążącej interpretacji przepisów RODO. Świadczą o tym liczne propozycje nowych uprawnień KE do wydawania aktów wykonawczych obejmujących kluczowe obszary stosowania rozporządzenia: od doprecyzowania środków i kryteriów pozwalających ocenić, kiedy dane powstałe w wyniku pseudonimizacji przestają stanowić dane osobowe dla określonych podmiotów, przez ustalenie wykazu okoliczności, w których naruszenie ochrony danych prawdopodobnie prowadzi do wysokiego ryzyka dla osób fizycznych, po ujednolicenie metodologii i wzoru przeprowadzania DPIA. To już nie tylko techniczne porządkowanie przepisów, lecz także wyraźny sygnał zamiaru dalszej centralizacji w KE ujednolicania stosowania prawa ochrony danych osobowych.
Dr hab. Grzegorz Sibiga, prof. INP PAN – Adwokat, Partner w Traple Konarski Podrecki i Wspólnicy, kierownik Zakładu Prawa Administracyjnego INP PAN
Mateusz Kupiec – prawnik w Traple Konarski Podrecki i Wspólnicy, asystent w Zakładzie Prawa Administracyjnego INP PAN
Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →
