Od 2018 roku fundamentem systemu ochrony danych osobowych w Unii Europejskiej pozostaje rozporządzenie o ochronie danych osobowych – RODO. Od tego czasu unijne ramy regulacyjne w obszarze cyfrowym istotnie się rozbudowały oraz stały się bardziej złożone. Obok RODO zaczęły obowiązywać nowe akty dotyczące danych, cyberbezpieczeństwa oraz sztucznej inteligencji, a ostatnio pojawił się także Digital Omnibus. W rezultacie przedsiębiorcy funkcjonują dziś w środowisku wielowarstwowych regulacji cyfrowych.
Projekt Digital Omnibus stanowi próbę uporządkowania tej rzeczywistości oraz doprecyzowania wybranych mechanizmów samego RODO, tak aby jego stosowanie stało się bardziej przewidywalne. Jednocześnie cyfrowy omnibus nie ogranicza się wyłącznie do RODO, lecz obejmuje również inne akty prawa unijnego, w tym regulacje dotyczące danych oraz platform cyfrowych. Zmiany w RODO stanowią zatem jedynie element szerszego pakietu legislacyjnego, który ma uporządkować europejski ład cyfrowy.
Z tego artykułu dowiesz się:
- Jakie zmiany w zakresie definicji danych osobowych przewiduje Digital Omnibus i jak wpłyną one na stosowanie RODO,
- W jakich sytuacjach cyfrowy omnibus wprowadza nowe wyjątki dotyczące przetwarzania danych szczególnych oraz systemów AI,
- Jak projekt modyfikuje zasady zgłaszania naruszeń i wykonywania praw przez osoby, których dane dotyczą,
- Czy Digital Omnibus rzeczywiście upraszcza obowiązki przedsiębiorców, czy jedynie doprecyzowuje obecny model ochrony danych.
Doprecyzowanie definicji „danych osobowych”
W pierwszej kolejności należy wskazać, że projekt Digital Omnibus przewiduje doprecyzowanie pojęcia danych osobowych. W aktualnym brzmieniu RODO definicja „danych osobowych” ma bardzo szeroki charakter, ponieważ obejmuje wszelkie informacje dotyczące osoby zidentyfikowanej lub możliwej do zidentyfikowania, w praktyce prowadzi to do przyjmowania szerokiej wykładni tego pojęcia.
Nowa propozycja zawarta w Digital Omnibus zmierza do bardziej szczegółowego określenia granic tej definicji. W proponowanej zmianie wskazano, że dana informacja nie będzie uznana za dane osobowe wobec konkretnego podmiotu, jeżeli podmiot ten przy uwzględnieniu realnie dostępnych i prawdopodobnych do użycia środków nie ma faktycznej możliwości zidentyfikowania osoby, której informacja dotyczy.
Zwolnienia dotyczące przetwarzania szczególnych kategorii danych
W ramach Digital Omnibus zaproponowano również rozszerzenie wyjątków od zakazu przetwarzania szczególnych kategorii danych. Projekt przewiduje odstępstwo od generalnego zakazu przetwarzania danych biometrycznych, jednak wyłącznie w ściśle określonym zakresie. Odstępstwo to ma znaleźć zastosowanie wtedy, gdy przetwarzanie pozostaje niezbędne wyłącznie do weryfikacji tożsamości osoby, której dane dotyczą. Dodatkowo zarówno dane biometryczne, jak i narzędzia umożliwiające ich wykorzystanie muszą pozostawać pod wyłączną kontrolą tej osoby.
Jednocześnie projekt przewiduje odrębny wyjątek dotyczący incydentalnego przetwarzania szczególnych kategorii danych w procesie tworzenia oraz wykorzystywania systemów lub modeli AI. Dopuszczalność takiego przetwarzania uzależniono od wdrożenia adekwatnych środków technicznych i organizacyjnych. Środki te powinny ograniczać pozyskiwanie danych szczególnych kategorii, a także zapewniać ich niezwłoczne usuwanie po wykryciu. Tym samym digital omnibus stara się pogodzić rozwój technologii AI z utrzymaniem standardów ochrony danych wynikających z RODO.
Zgłaszanie naruszeń do organu nadzorczego
W ramach Digital Omnibus zaproponowano również ograniczenie obowiązku notyfikacyjnego. Zgłoszenie naruszenia do organu nadzorczego miałoby być wymagane jedynie w przypadku wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Tym samym ustawodawca odchodzi od obecnego modelu opartego na szerokim kryterium ryzyka. Jednocześnie projekt zakłada wydłużenie terminu na zgłoszenie naruszenia ochrony danych osobowych z 72 do 96 godzin.
Dodatkowo zaproponowano wprowadzenie jednolitego punktu kontaktowego na poziomie UE, który przyjmowałby składane zgłoszenia dot. naruszeń wysyłane przez administratorów. Europejska Rada Ochrony Danych miałaby opracować jednolity wzór zgłoszenia oraz katalog okoliczności wskazujących na wysokie ryzyko. Rozwiązania te wpłynęłyby na zwiększenie spójności systemu raportowania w całej UE.
Ograniczenie nadużyć prawa dostępu
Projekt Digital Omnibus przewiduje również doprecyzowanie zasad wykonywania praw przez osoby, których dane dotyczą. Administrator mógłby odmówić realizacji żądania lub pobrać rozsądną opłatę w przypadku oczywistego nadużycia prawa. Dotyczyłoby to sytuacji, w których żądanie służy celom innym niż ochrona danych osobowych. Jednocześnie obowiązek wykazania nadmierności lub nieuzasadnionego charakteru żądania nadal spoczywałby na administratorze, co oznacza utrzymanie podstawowych gwarancji wynikających z RODO.
Zwolnienia informacyjne
Zwolnienie z realizacji tego obowiązku ma znaleźć zastosowanie w jasnych oraz ograniczonych relacjach, przy jednocześnie niewielkiej skali przetwarzania danych. Warunkiem będzie uzasadnione przekonanie administratora, że osoba, której dane dotyczą, posiada już podstawowe informacje o przetwarzaniu. Jednocześnie zwolnienie nie obejmie transferów danych do państw trzecich, udostępniania danych innym odbiorcom ani profilowania. Ponadto nie znajdzie zastosowania w sytuacjach, w których przetwarzanie wiąże się z wysokim ryzykiem naruszenia praw i wolności.
Cyfrowy omnibus przewiduje także odrębne wyłączenie w obszarze badań naukowych. W takich przypadkach administrator nie będzie musiał realizować obowiązku informacyjnego, jeżeli jego wykonanie okaże się niemożliwe lub niewspółmiernie utrudnione. Jednak zastosowanie tego wyłączenia będzie wymagało wdrożenia odpowiednich zabezpieczeń. Dodatkowo administrator będzie musiał publicznie udostępnić informacje o przetwarzaniu, co ma zapewnić przejrzystość oraz zgodność z zasadami RODO.
Zautomatyzowane podejmowanie decyzji
Projekt „Digital Omnibus” porządkuje również zasady dotyczące automatycznego podejmowania decyzji. Chodzi o sytuacje, w których decyzja wobec danej osoby zapada bez udziału człowieka.
Zmiana dotyczy przede wszystkim relacji umownych. Zgodnie z projektowanym brzmieniem art. 22 RODO decyzja oparta wyłącznie na zautomatyzowanym przetwarzaniu może zostać podjęta w trzech sytuacjach:
- gdy jest niezbędna do zawarcia lub wykonania umowy między osobą a administratorem.
- gdy jest dopuszczona przepisami prawa UE lub prawa krajowego, które przewidują odpowiednie środki ochrony praw osoby.
- gdy opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
Nie ma przy tym znaczenia, czy technicznie możliwe byłoby jej podjęcie w sposób inny niż zautomatyzowany. Dla przedsiębiorców oznacza to większą pewność przy stosowaniu systemów do automatycznej akceptacji czy odmowy przy jednoczesnym utrzymaniu odpowiednich zabezpieczeń.
Digital Omnibus – krok w stronę uproszczenia czy tylko korekta systemu?
Analiza proponowanych zmian prowadzi do wniosku, że Digital Omnibus nie zmienia fundamentów systemu ochrony danych osobowych. Projekt koncentruje się na korekcie oraz doprecyzowaniu wybranych mechanizmów RODO. W zaproponowanych rozwiązaniach wyraźnie widać nacisk na proporcjonalność oraz ograniczenie nadmiernych obciążeń administracyjnych. Doprecyzowanie definicji danych osobowych, zmiana zasad zgłaszania naruszeń czy uregulowanie zautomatyzowanych decyzji mają zwiększyć pewność prawa. Jednocześnie ustawodawca zachowuje kluczowe gwarancje ochronne przewidziane w RODO.
Z perspektywy przedsiębiorców projekt może oznaczać większą przewidywalność stosowania przepisów oraz mniejsze ryzyko interpretacyjne. Z perspektywy osób, których dane dotyczą, zachowany ma zostać wysoki poziom ochrony i podstawowe mechanizmy kontroli nad przetwarzaniem danych.
