Komisja Europejska opublikowała oficjalny tekst zmian prawnych zawartych w pakiecie Digital Omnibus (Cyfrowy Omnibus) mających w założeniu upraszczać unijne regulacje cyfrowe w taki sposób, aby wspomagały rozwój biznesu i innowacyjność.
Komisja Europejska opublikowała oficjalny tekst proponowanych zmian prawnych zawartych w pakiecie Digital Omnibus (Cyfrowy Omnibus), które mają – jako rozporządzenie – stanowić rozwiązanie prowadzące do radykalnego uproszczenia i konsolidacji unijnych ram prawnych w dziedzinie technologii cyfrowych.
Głównym celem Cyfrowego Omnibusa deklarowanym przez KE jest wzmocnienie konkurencyjności Unii Europejskiej, europejskiego biznesu (szczególnie zaś małych i średnich firm), przez zmniejszenie obciążeń administracyjnych dla przedsiębiorstw, administracji publicznej i obywateli. Rozporządzenie ma też ujednolicać przepisy, jak i stwarzać warunki większej pewności co do jego praktycznego stosowania.
Cyfrowy Omnibus ma upraszczać regulacje w kilku obszarach – w swoim oficjalnym komunikacie prasowym, KE wymienia cyberbezpieczeństwo, sztuczną inteligencję i dane. Przyjrzyjmy się temu bliżej.
Konsolidacja przepisów dotyczących danych
Cyfrowy Omnibus przewiduje scalenie rozproszonych przepisów z Rozporządzenia w sprawie zarządzania danymi, Dyrektywy o otwartych danych, a także Rozporządzenia w sprawie swobodnego przepływu danych innych, niż osobowe w ramach jednego, spójnego aktu prawnego – znowelizowanego Aktu o danych.
Według KE, doprowadzi to do stworzenia jednolitego rynku danych, ułatwi ich ponowne wykorzystywanie i przyczyni się do stymulacji innowacji opartych na danych.
Usprawnienia w zgłaszaniu incydentów bezpieczeństwa
Cyfrowy Omnibus wprowadza jednolity punkt wejścia (SEP, Single Entry Point), którym zarządzać ma unijna agencja ds. cyberbezpieczeństwa ENISA. Wprowadzenie SEP przekłada się na to, że podmiot zgłaszający incydent będzie mógł jednocześnie wypełnić wiele obowiązków sprawozdawczych w myśl zasady “zgłoś raz, udostępnij wielu”.
Obowiązki sprawozdawcze nakładają w zakresie cyberbezpieczeństwa m.in. takie regulacje, jak dyrektywa NIS2, rozporządzenie DORA, RODO, oraz dyrektywy CER. SEP ma być obsługiwany przez jeden interfejs, co ma przekładać się na zmniejszenie obciążeń administracyjnych.
Modernizacja przepisów o ochronie danych (RODO i ePrivacy)
Jedną z najbardziej kontrowersyjnych (do czego jeszcze wrócimy) zmian proponowanych przez Cyfrowy Omnibus są te w zakresie prawa ochrony danych osobowych i prywatności. Zmianie ulegają definicje pojęć ”danych osobowych”, co według KE jest doprecyzowaniem definicji, obniżony zostaje też próg zgłaszania naruszeń ochrony danych do organów nadzorczych (do “wysokiego ryzyka”).
Zmiany mają też rozwiązywać problem “zmęczenia zgodą”, czyli bannerów proszących użytkowników stron internetowych o akceptowanie bądź odrzucanie plików cookies – wprowadzone bowiem mają być uproszczone mechanizmy wyrażania woli, ograniczona zostanie też liczba bannerów.
Kontrowersje wokół wykorzystania danych dla badań
Jedną z bardziej kontrowersyjnych zmian, które wprowadza Cyfrowy Omnibus, jest zmiana dotycząca uregulowania przetwarzania danych osobowych na potrzeby badań naukowych i rozwoju oraz funkcjonowania systemów sztucznej inteligencji.
Poprawki Cyfrowego Omnibusa mają na celu ułatwienie prowadzenia badań naukowych w Unii, przy jednoczesnym zachowaniu wysokiego poziomu ochrony danych osobowych – deklaruje KE. Ma temu służyć m.in. wprowadzenie formalnej definicji badań naukowych w art. 4 RODO, która jest szeroka i według urzędników – wspiera innowacyjność, np. rozwój technologiczny.
Badania muszą przyczyniać się do zwiększenia istniejącej wiedzy naukowej, lub stosować istniejącą wiedzę w nowy sposób. Powinny być też prowadzone w celu przyczynienia się do wzrostu dobrobytu społeczeństwa i przestrzegać norm etycznych w danym obszarze badawczym.
Co istotne, nie wyklucza się, że badania mogą mieć na celu również promowanie interesu handlowego, czy też komercyjnego. W praktyce przekłada się na to na goodwashing bardzo wielu badań prowadzonych przez Big Techy.
Kontrowersje wokół przetwarzania danych na potrzeby systemów AI
Budzącą ogromny sprzeciw po stronie organizacji społeczeństwa obywatelskiego zmianą, którą wprowadza Cyfrowy Omnibus, jest ta sprawiająca, że przetwarzanie danych osobowych dla rozwoju i działania systemu AI może być prowadzone na podstawie pojęcia uzasadnionego interesu (w rozumieniu art. 6 par 1 pkt. f RODO).
Jeśli administrator systemu wykaże, że przetwarzanie jest niezbędne dla jego interesów w kontekście rozwoju i działania systemu – będzie przetwarzał nasze dane, choć w teorii istnieje zabezpieczenie w postaci przepisu mówiącego, iż interes ten musi być oceniany w kontekście praw podstawowych, wolności i interesów osób, których dane dotyczą, w szczególności, jeśli mowa o dzieciach.
Rozważane ma być m.in. to, czy interes administratora jest korzystny dla osoby, której dane dotyczą, oraz dla społeczeństwa w ogóle – na przykład, czy przetwarzanie danych przyczyni się do zmniejszenia stronniczości AI, lub do zwiększenia dokładności zwracanych przez system wyników.
Respektowana ma być zasada minimalizacji danych na etapie wyboru źródeł, szkolenia i testowania modeli lub systemów AI przetwarzających nasze dane, a ich architektura musi chronić informacje przed nieujawnieniem zachowanych resztkowo danych i gwarantować bezwarunkowe prawo do sprzeciwu wobec przetwarzania.
Nowe wyjątki od zakazu przetwarzania danych szczególnych kategorii
Tu też mamy do czynienia z kontrowersjami. Cyfrowy Omnibus wprowadza nowe wyjątki od zakazu przetwarzania danych szczególnych kategorii w rozumieniu art. 9 RODO na potrzeby systemów i modeli sztucznej inteligencji.
W myśl zmian dozwolone ma być szczątkowe przetwarzanie szczególnych kategorii danych w kontekście rozwoju i działania systemu lub modelu AI – pod warunkiem, że wdrożono odpowiednie środki organizacyjne i techniczne, aby uniknąć zbierania lub innego przetwarzania tych danych.
Z dużą dozą pewności, to właśnie w tym punkcie będzie wąskie gardło postępowań w związku z naruszeniami przepisów, które będą trwały lata, a firmy będą płacić kary – nikt im jednak nie zabierze zysków wypracowanych przez naruszenia regulacji i przetwarzanie danych szczególnych kategorii niezgodnie z przepisami.
Dalej Cyfrowy Omnibus zakłada, że jeśli dane szczególnej kategorii zostaną zidentyfikowane w danych używanych do szkolenia, testowania lub walidacji podczas rozwoju, albo w systemie lub modelu AI, to muszą zostać usunięte przez administratora.
Jeśli usunięcie tych danych wymagać będzie niewspółmiernego wysiłku, np. ponownego zaprojektowania całego systemu, to administrator musi każdorazowo podjąć skuteczne środki prowadzące do ochrony tych danych przed wykorzystaniem ich do generowania wyników, ujawnieniem lub udostępnieniem stronom trzecim.
Wyjątek ten dotyczy tylko przypadków, w których przetwarzanie danych szczególnych kategorii nie jest konieczne dla zamierzonego celu przetwarzania danych (w ogóle).
Wprowadzono też nowy wyjątek dla przetwarzania danych biometrycznych na potrzeby weryfikacji tożsamości – jest ono dozwolone, jeśli jest konieczne dla potwierdzania tożsamości osób, a dane biometryczne lub środki potrzebne do weryfikacji znajdują się pod wyłączną kontrolą osoby, której dotyczą.
