Deregulacja nie wszędzie ma sens? Nowe unijne przepisy mogą osłabić RODO

Komisja Europejska zaproponowała pakiet zmian deregulacyjnych w zakresie prawa cyfrowego, w tym także RODO (Rozporządzenie o ochronie danych osobowych). Przedsiębiorcy mieliby zaoszczędzić na ograniczeniu żmudnych procedur administracyjnych, a sami użytkownicy w sieci nie byliby obciążeni obowiązkiem wyrażania licznych zgód. Eksperci ostrzegają jednak, że w nowych przepisach nie chodzi wyłącznie o kwestie uporządkowania procesu „odklikania” ciasteczek. W jaki sposób tzw. cyfrowy omnibus wpłynie na poziom ochrony danych osobowych w sieci?

Uproszczenie RODO i miliardy oszczędności

KE w uzasadnieniu zmian pisze o odciążeniu administratorów danych osobowych i obniżeniu kosztów (m.in. zgłaszania naruszeń). Ujednolicenie procedur i uproszczenie wymogów RODO ma przynieść cyfrowemu biznesowi oszczędności rzędu 5 mld euro do 2029 r. Nie brakuje jednak głosów, iż zmiana prawa może przynieść więcej szkód niż pożytku.

Przeczytaj: Ochrona dzieci przed pornografią a „technologiczna puszka Pandory”. UE szuka złotego środka w sprawie kontroli czatów

Europejska organizacja pozarządowa noyb, stojąca na straży danych osobowych, oceniła w komunikacie, że zaproponowane przez KE regulacje mogą osłabić ochronę praw internautów. Jak wskazano, wbrew deklaracjom nie chodzi o wsparcie MŚP poprzez ograniczenie obciążeń administracyjnych, lecz o „prezent dla amerykańskich gigantów technologicznych”.

„Nowe przepisy tworzą luki prawne, które mogą być wykorzystane przez działy prawne gigantów technologicznych. Cyfrowy omnibus służy cyfrowym gigantom, a w praktyce oznacza cięcia w prawach cyfrowych Europejczyków. KE zdecydowała się na to mimo wyraźnych protestów wielu państw członkowskich i organizacji pozarządowych” – czytamy w komunikacie.

Przyjrzyjmy się zatem, na czym w kontekście prawa ochrony danych osobowych polegają planowane zmiany.

Zmiana definicji danych osobowych

Paulina Komorowska-Mrozik, radca prawny z PwC Legal Polska przekonuje, że Komisja Europejska jest dopiero na początku deregulacyjnej drogi w ramach pakietu Omnibus. Jedną z kluczowych zmian jest modyfikacja definicji danych osobowych.

– To wczesny etap, możliwe są jeszcze zmiany w ramach procesu legislacyjnego. Propozycja Komisji trafi teraz do Parlamentu Europejskiego i Rady. Jedną z kluczowych zmian w kontekście RODO jest modyfikacja definicji danych osobowych, zbieżna z niedawnym orzeczeniem TSUE. Trybunał stwierdził, że tzw. pseudonimizacja danych może – w pewnych okolicznościach – prowadzić do pozbawienia danych ich osobowego charakteru. W świetle tego orzeczenia oceny, czy dane pozwalają na zidentyfikowanie osoby fizycznej, należy dokonywać z perspektywy konkretnego administratora – wyjaśnia ekspertka.

Przeczytaj: Po co nam lekarze, skoro mamy AI. „Widzę jeden scenariusz - gdy sztuczna inteligencja nie dopuści do tego, byśmy w ogóle się rozchorowali"

Innymi słowy, zakwalifikowanie informacji do kategorii „dane osobowe” odtąd będzie wynikało z decyzji konkretnego administratora. Paula Skrzypecka, prawniczka specjalizująca się w prawie nowych technologii, mówi, że w grę wchodzić będzie subiektywna ocena.

– Dane przestają być osobowymi, gdy podmiot nie ma „środków realnie możliwych do użycia” do identyfikacji osoby. W praktyce, jeśli reidentyfikacja jest prawnie zakazana lub wymaga nieproporcjonalnego nakładu pracy, dane wypadają spod RODO – wyjaśnia nasza rozmówczyni.

Eksperci są zgodni, że nie jest to rewolucyjna zmiana, gdyż już wcześniej, jak wspomniano, TSUE wypowiadał się w sprawie pseudonimizacji. Co to oznacza dla internautów?

W efekcie użytkownikowi trudniej będzie zorientować się, czy jego dane są „pod parasolem RODO”, czy już nie.

– Ten sam identyfikator (np. zhashowany e-mail, pseudonim, ID urządzenia) może być danymi osobowymi dla jednego podmiotu (np. platformy, która zna mapowanie), ale już nie dla innego, który mapowania nie ma. W efekcie użytkownikowi trudniej będzie zorientować się, czy jego dane są „pod parasolem RODO”, czy już nie. Dochodzi też więcej uznaniowości („rozsądnie prawdopodobne środki identyfikacji”), co prawnicy słusznie wskazują jako źródło przyszłych sporów i niepewności prawnej – podsumowuje Paula Skrzypecka.

Internauci wyjęci spod RODO?

O konsekwencjach poluzowania przepisów mówi także Mateusz Wrotny, prawnik z Fundacji Panoptykon. Jego zdaniem mieszanie w RODO czy w tzw. AI Act dodatkowo komplikuje prawo, które z założenia miało być uproszczone.

Nasz rozmówca wyjaśnia, że w przypadku subiektywnej oceny administratora, czy posiadane przez niego informacje pozwalają na identyfikację danej osoby, w prawie jest wiele niedociągnięć i niejasności.

– Administrator oceni, czy – biorąc pod uwagę własne możliwości techniczne – jest w stanie powiązać ją z konkretną osobą. To nie przedsiębiorcy powinni decydować o tym, czy mają do czynienia z danymi osobowymi i czy powinni je chronić. W konsekwencji osłabia to dotychczasowe, zobiektywizowane podejście do tego, czym są dane osobowe – wyjaśnia Mateusz Wrotny.

Przeczytaj: Wielopoziomowe zmiany w firmach sięgających po sztuczną inteligencję. AI zmienia kulturę organizacji i sposób myślenia o danych

Ustawodawca, jak wspomniano, deregulację uzasadnia oszczędnościami, jakie przedsiębiorstwa będą mogły wygenerować dzięki zdjęciu z ich barków obciążeń administracyjnych w sieci. Zdaniem naszego rozmówcy oszczędności te mogą jednak wiązać się z bezpośrednymi stratami po stronie użytkowników.

– Dużo rzadziej będziemy informowani o naruszeniach przetwarzania danych. Dotąd administrator musiał zgłaszać każde naruszenie przetwarzania danych. Wyjątkiem była sytuacja, gdy było mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia konkretnych praw. Jeśli przejdzie propozycja Komisji Europejskiej, przedsiębiorcy będą musieli zgłaszać tylko te naruszenia, które w ich ocenie prawdopodobnie spowodują wysokie ryzyko naruszenia danych osobowych. A więc będzie to subiektywna decyzja przedsiębiorcy, która otworzy furtkę do niestarannego traktowania incydentów – wyjaśnia prawnik z Fundacji Panoptykon.

Zgłaszanie incydentów uproszczone

Przyjrzyjmy się zatem, jak obecnie wygląda kwestia zgłaszania incydentów w sieci i co dokładnie ma się zmienić.

– Obecnie przedsiębiorcy mogą mieć obowiązek zgłoszenia incydentu do kilku organów, w zależności od rodzaju naruszenia. W grę wchodzi wspomniane RODO, dyrektywa NIS2 (Network and Information Systems Directive), dotycząca cyberbezpieczeństwa, czy DORA (Digital Operational Resilience Act), obejmująca sektor finansowy. Może zatem dojść do sytuacji, w której jedno zdarzenie (incydent) musi zostać zgłoszone do różnych organów, w odmiennych terminach i trybach. Zgodnie z zapowiedzią Komisji Europejskiej proces ten ma być uproszczony: ma powstać jeden kanał komunikacji – wyjaśnia Paulina Komorowska-Mrozik.

KE zakłada także, że na gruncie RODO przedsiębiorcy będą zobligowani do zgłaszania tylko tych naruszeń, które wiążą się z wysokim ryzykiem naruszenia praw jednostek. Czas na zgłoszenie ma zostać wydłużony z 72 do 96 godzin.

„Zmęczenie ciasteczkami”

Jak argumentuje KE, „obywatele są zmęczeni niezliczonymi banerami tzw. pop-up (automatycznie wyskakujące okienka – red), w których administrator prosi o wymagane zgody”.

„Mnogość komunikatów sprawia, że użytkownicy klikają dowolny przycisk, by tylko uzyskać dostęp do danej strony internetowej”. A to, jak wskazuje KE, jest działaniem dalekim od świadomej zgody na przetwarzanie danych osobowych. Użytkownicy w większości i tak nie mają wiedzy, co dzieje się z danymi po udzieleniu zgody.

Przeczytaj: Algorytmy wchodzą do gry. Firmy szukają ochrony przed fiskusem

Zmiany dotyczyć będą także ciasteczek, czyli plików cookies. Mowa o plikach, które strona internetowa zapisuje na danym urządzeniu, gdy użytkownik ją przegląda. Taki plik jest odzwierciedleniem m.in. naszych danych logowania.

– Komisja Europejska chce, by tego typu zgody były wyrażane „jednym kliknięciem” oraz aby były zapamiętywane na urządzeniu. Dzięki temu użytkownik miałby ułatwione i szybsze przeglądanie stron internetowych – wyjaśnia ekspertka z PwC.

Nasze dane „pożywką” dla AI?

Cyfrowy omnibus dopuszcza wykorzystywanie danych, którymi zarządzają administratorzy stron, do tzw. trenowania modeli sztucznej inteligencji. Jak wyjaśnia Mateusz Wrotny, dane będą wykorzystywane w „uzasadnionym interesie” administratora, lecz bez wyraźnej zgody użytkowników. Dominującym stanie się wówczas model opt out (prawo do rezygnacji). W dużym uproszczeniu chodzi o to, że zgoda na przetwarzanie danych stanie się domyślna, lecz będzie można zgłosić sprzeciw. W przeciwnym modelu opt in (prawo do wyrażenia zgody) administrator działa na podstawie wyraźnej zgody użytkownika.

Przeczytaj: Czy sharenting zawsze musi być zły? „Dobro dziecka ponad władzą rodzicielską”

– W konsekwencji proponowana zmiana przepisów usankcjonowałaby sytuację, w której publikowane przez nas zdjęcia czy posty na portalach społecznościowych mogłyby być wykorzystywane do trenowania komercyjnych modeli AI. To rodzi poważne ryzyko naruszeń prywatności. Osoby, których dane będą w ten sposób wykorzystywane, mogą nawet nie być tego świadome, co w praktyce przekreśla możliwość zgłoszenia sprzeciwu – wyjaśnia ekspert.

Prawniczka Paula Skrzypecka mówi także o ryzyku wykorzystywania np. danych zdrowotnych.

– Krytycy wskazują, że jest to wytrych dla big techów. Umożliwia on szerokie wykorzystywanie danych (w tym bardzo wrażliwych) do AI pod hasłem „uzasadnionego interesu”, bez realnej, uprzedniej kontroli użytkownika. Moim zdaniem to absolutnie nie jest neutralne „doprecyzowanie”, tylko polityczna zmiana filozofii ochrony danych – wyjaśnia nasza rozmówczyni.

To absolutnie nie jest neutralne „doprecyzowanie”, tylko polityczna zmiana filozofii ochrony danych .

Ekspertka mówi także o wyjątku od zakazu przetwarzania danych biometrycznych (np. odcisku palca).

– Dane biometryczne będą mogły być przetwarzane w celu weryfikacji tożsamości, pod warunkiem że pozostaną pod wyłączną kontrolą osoby, której dotyczą (np. zapis wyłącznie w telefonie, na karcie lub szyfrowanie z kluczem tylko u użytkownika). Być może dzięki temu biometria stanie się bardziej „normalizowana” w codziennych usługach, w których dotychczas obawiano się jej wprowadzenia – mówi Paula Skrzypecka.

W czyim interesie?

Zdaniem ekspertki nacisk na tę polityczną zmianę mogła położyć administracja Donalda Trumpa. Europejskie prawo ochrony danych osobowych bywa wyzwaniem dla gigantów cyfrowych zza oceanu, stąd też deregulacja jest im „na rękę”.

– W ujęciu całościowym kierunek jest wyraźnie deregulacyjny, z realnym ryzykiem osłabienia praktycznej ochrony prywatności. Ostateczny efekt będzie zależał od tego, jak mocno Parlament i Rada „dokręcą śrubę” w negocjacjach. Dziś to wciąż projekt, a nie obowiązujące prawo – podsumowuje ekspertka.

Przedstawiciel Fundacji Panoptykon przyznaje, że zliberalizowane przepisy służyć będą największym firmom technologicznym. Te zyskają łatwiejszy dostęp do danych i większą swobodę ich wykorzystywania, w tym do celów związanych z rozwojem AI.

Z perspektywy użytkowników i użytkowniczek oznacza to przede wszystkim osłabienie ochrony prywatności oraz mniejsze poczucie bezpieczeństwa. Zamiast przejrzystości pojawiają się niejasne reguły, które zwiększą niepewność prawną i mogą zmusić firmy do zatrudniania dodatkowych prawników.

– Z perspektywy użytkowników i użytkowniczek oznacza to przede wszystkim osłabienie ochrony prywatności oraz mniejsze poczucie bezpieczeństwa. Zamiast przejrzystości pojawiają się niejasne reguły, które zwiększą niepewność prawną i mogą zmusić firmy do zatrudniania dodatkowych prawników. Na tym etapie za wcześnie mówić o szczegółach wdrożenia. Polskie instytucje, podobnie jak organizacje społeczne, czekają na ostateczny kształt przepisów. Obecnie najważniejsze jest to, aby same regulacje miały sens – chodzi o to, by realnie chroniły prawa jednostek, a nie wyłącznie interesy wielkich firm technologicznych. Dopiero wtedy będzie można mówić o ich wdrożeniu na poziomie krajowym – podsumowuje Mateusz Wrotny.

Główne wnioski

1. Cyfrowy Omnibus to – zdaniem ekspertów – w dużej mierze deregulacja istniejących obecnie przepisów o ochronie danych osobowych. Jej słabym punktem może okazać się uznaniowość decyzji administratorów.
2. Krytycy uważają, iż nowe przepisy są ukłonem w stronę big techów. Cyfrowi giganci będą mogli zyskać łatwiejszy dostęp do danych osobowych dzięki zmniejszeniu skali formalności w procesie administrowania danymi użytkowników.
3. Poluzowanie przepisów, w tym np. zmiana definicji danych osobowych i nowe zasady zgłaszania naruszeń, może osłabić RODO. Obniżenie poziomu ochrony danych wiąże się także z możliwością wykorzystywania ich do tzw. trenowania modeli AI.