Unia Europejska szykuje przełomowe zmiany w przepisach o ochronie danych osobowych. Projekt Digital Omnibus zakłada m.in. uproszczenie zasad dotyczących plików cookie, nowe regulacje dla sztucznej inteligencji oraz mniejszą biurokrację dla firm. Sprawdź, jak nadchodząca nowelizacja RODO wpłynie na Twoje codzienne korzystanie z Internetu!
- Dlaczego RODO zdaniem Unii Europejskiej wymaga pilnej aktualizacji ?
- Będą i plusy RODO 2.0 - czy to wreszcie koniec z męczącymi banerami cookie?
- Obowiązki dla producentów przeglądarek po Digital Omnibus
- Sztuczna inteligencja (AI) pod lupą – nowe zasady przetwarzania danych
- Obowiązki twórców systemów AI
- Dane szczególnych kategorii w kontekście AI w RODO 2.0
- Dane biometryczne – nowe ramy prawne dla weryfikacji tożsamości
- Uproszczenia dla przedsiębiorców i administratorów danych
- Pseudonimizacja – jasne kryteria oceny
- Uproszczony obowiązek informacyjny
- Ochrona przed nadużyciami ze strony osób fizycznych
- Rewolucja w zgłaszaniu naruszeń danych osobowych
- Harmonizacja oceny skutków dla ochrony danych (DPIA)
- Ułatwienia dla badań naukowych i projektów archiwalnych
- Zautomatyzowane decyzje – dostosowanie do realiów cyfrowych
- Co te zmiany oznaczają dla przeciętnego użytkownika Internetu?
Dlaczego RODO zdaniem Unii Europejskiej wymaga pilnej aktualizacji ?
Rozporządzenie o ochronie danych osobowych, powszechnie znane jako RODO, obowiązuje w Unii Europejskiej od 2018 roku. Przez siedem lat technologia poszła jednak znacząco do przodu. Rozwój sztucznej inteligencji, ekspansja usług chmurowych oraz coraz bardziej zaawansowane metody przetwarzania danych sprawiły, że obecne przepisy zaczęły odstawać od rzeczywistości cyfrowej gospodarki. Właśnie dlatego Komisja Europejska przygotowała projekt rozporządzenia zwanego "Digital Omnibus", który stanowi jedną z najbardziej kompleksowych prób dostosowania europejskich regulacji do współczesnego świata technologii. Zakres proponowanych zmian jest imponujący – od redefinicji podstawowych pojęć, przez zasady przetwarzania danych w kontekście sztucznej inteligencji, aż po całkowicie nowe podejście do zgód użytkowników i oceny ryzyka przetwarzania.
Projekt przewiduje modyfikację kluczowych artykułów RODO, a także wprowadzenie zupełnie nowych regulacji w postaci art. 41a oraz art. 88a–88c. To nie kosmetyczne poprawki, lecz fundamentalna przebudowa architektury ochrony danych osobowych w Europie.
Będą i plusy RODO 2.0 - czy to wreszcie koniec z męczącymi banerami cookie?
Jedną z najbardziej wyczekiwanych zmian jest przeniesienie regulacji dotyczących plików cookie i danych z urządzeń końcowych bezpośrednio do RODO. Nowe artykuły 88a i 88b mają zrewolucjonizować sposób, w jaki użytkownicy zarządzają swoimi zgodami w Internecie. UE chce w ten sposób wyeliminować problem tzw. „cookie fatigue".
Każdy użytkownik internetu zna irytującą sytuację, gdy przy wejściu na niemal każdą stronę wyskakuje baner z pytaniem o zgodę na pliki cookie. Badania pokazują, że większość osób rutynowo klika „akceptuję wszystkie", nawet nie czytając, na co właściwie się zgadza.
To zjawisko nazywane jest „cookie fatigue" – zmęczeniem ciągłymi prośbami o zgodę.
Projekt Digital Omnibus proponuje eleganckie rozwiązanie tego problemu. Artykuł 88b wprowadza koncepcję maszynowo czytelnych sygnałów zgody i sprzeciwu. W praktyce oznacza to, że użytkownik będzie mógł raz ustawić swoje preferencje w przeglądarce internetowej, a wszystkie odwiedzane strony będą zobowiązane te preferencje respektować!
Obowiązki dla producentów przeglądarek po Digital Omnibus
Co istotne, producenci przeglądarek internetowych zostaną zobowiązani do zapewnienia obsługi standaryzowanych sygnałów zgody. Rozwiązanie ma być ujednolicone w skali całej Unii Europejskiej, co znacząco poprawi komfort korzystania z internetu i pozwoli użytkownikom odzyskać realną kontrolę nad swoimi danymi.
Nowy artykuł 88a ustanawia przy tym generalną zasadę, że do przechowywania i uzyskiwania dostępu do danych na urządzeniach końcowych potrzebna jest zgoda użytkownika. Przewiduje jednak katalog wyjątków obejmujących sytuacje takie jak transmisja komunikacji, realizacja usługi na wyraźne żądanie użytkownika czy działania związane z bezpieczeństwem. Przepis nakłada również ograniczenia dotyczące ponawiania próśb o udzielenie zgody w krótkich odstępach czasu – co dodatkowo chroni przed natarczywym nachodzeniem użytkowników.
Sztuczna inteligencja (AI) pod lupą – nowe zasady przetwarzania danych
Rozwój technologii AI to jeden z głównych motorów stojących za projektem Digital Omnibus. Dotychczasowe przepisy RODO nie uwzględniały specyfiki przetwarzania danych na potrzeby trenowania i działania systemów sztucznej inteligencji. Nowa regulacja ma to zmienić.
Jedną z najbardziej znaczących zmian całej nowelizacji jest wprowadzenie artykułu 88c. Przepis ten szczegółowo reguluje możliwość przetwarzania danych osobowych na potrzeby rozwoju i działania systemów sztucznej inteligencji w oparciu o uzasadniony interes administratora.
Przetwarzanie takie musi jednak spełniać rygorystyczne warunki – być konieczne, proporcjonalne oraz nie może naruszać innych przepisów wymagających zgody. Projekt przewiduje wzmocnioną ochronę osób, których dane dotyczą, ze szczególnym uwzględnieniem ochrony dzieci.
Obowiązki twórców systemów AI
Na administratorów nałożone zostaną liczne obowiązki o charakterze technicznym i organizacyjnym. Przede wszystkim będą zobowiązani do minimalizowania zakresu danych już na etapie ich pozyskiwania. Muszą także stosować zabezpieczenia chroniące dane pozostające w modelach AI oraz zapewnić przejrzystą komunikację wobec osób, których dane są przetwarzane.
Szczególnie istotne jest wprowadzenie bezwarunkowego prawa sprzeciwu, które stanowi realne narzędzie kontroli dla użytkowników nad wykorzystaniem ich danych w rozwoju systemów sztucznej inteligencji. To ważny krok w kierunku zachowania równowagi między innowacjami technologicznymi a prawami jednostki.
Dane szczególnych kategorii w kontekście AI w RODO 2.0
Projekt rozbudowuje również katalog wyjątków przewidzianych w artykule 9 ust. 2 RODO, dotyczącym przetwarzania danych szczególnych kategorii (np. danych o stanie zdrowia, przekonaniach religijnych czy orientacji seksualnej). Nowa litera k) umożliwia przetwarzanie takich wrażliwych danych w kontekście tworzenia, trenowania i działania systemów lub modeli AI.
Jednocześnie administratorzy otrzymują obowiązek wdrożenia mechanizmów zapobiegających nieuzasadnionemu pozyskiwaniu takich danych oraz ich usuwania ze zbiorów treningowych lub testowych bez zbędnej zwłoki. Jeżeli usunięcie nie jest możliwe bez poniesienia nieproporcjonalnego wysiłku, administrator musi zapewnić skuteczną ochronę danych przed ujawnieniem i jakimkolwiek ponownym wykorzystaniem.
Dane biometryczne – nowe ramy prawne dla weryfikacji tożsamości
W dobie powszechnych skanerów linii papilarnych w smartfonach i systemów rozpoznawania twarzy szczególnego znaczenia nabierają przepisy dotyczące danych biometrycznych. Projekt Digital Omnibus wprowadza w tej materii jasne zasady. Nowa przesłanka zawarta w literze l) artykułu 9 ust. 2 pozwala na wykorzystanie danych biometrycznych wyłącznie do weryfikacji tożsamości osoby, pod warunkiem że dane lub klucze kryptograficzne pozostają pod wyłączną kontrolą tej osoby. Przepis ten tworzy wyraźne ramy dla rozwiązań biometrycznych, które minimalizują ingerencję w prywatność.
To podejście doskonale wpisuje się w trend projektowania technologii zgodnie z zasadą „privacy by design" – czyli uwzględniania ochrony prywatności już na etapie tworzenia rozwiązań technologicznych, a nie dopiero jako dodatku.
Uproszczenia dla przedsiębiorców i administratorów danych
Projekt Digital Omnibus to nie tylko nowe obowiązki, ale także znaczące uproszczenia dla firm przetwarzających dane osobowe. Prawodawca europejski dostrzegł, że niektóre wymogi obecnego RODO bywają nieproporcjonalne do rzeczywistego ryzyka.
Wśród najważniejszych propozycji znajduje się doprecyzowanie definicji danych osobowych, która jest kluczowa dla całego systemu ochrony danych. Projekt wzmacnia podejście zorientowane na kontekst – status danych ma być ustalany z punktu widzenia konkretnego administratora, z uwzględnieniem środków identyfikacji, które są dla niego rozsądnie prawdopodobne do użycia.
W praktyce oznacza to, że jeżeli administrator nie posiada środków umożliwiających identyfikację konkretnej osoby, informacje nie powinny być dla niego traktowane jako dane osobowe, nawet jeśli inne podmioty mogłyby taką identyfikację przeprowadzić. Ma to ograniczyć stosowanie RODO w sytuacjach, w których ryzyko dla osób fizycznych jest znikome lub czysto teoretyczne.
Pseudonimizacja – jasne kryteria oceny
Bardzo istotny jest nowy artykuł 41a, który umożliwia Komisji Europejskiej wydawanie aktów wykonawczych określających kryteria oceny, kiedy dane pseudonimizowane mogą zostać uznane za dane nieosobowe w relacji do określonych kategorii odbiorców. Rozwiązanie ma służyć ujednoliceniu praktyki stosowania pseudonimizacji w całej Unii Europejskiej i ograniczeniu sporów interpretacyjnych dotyczących realnego ryzyka ponownej identyfikacji osób.
Uproszczony obowiązek informacyjny
Nowe brzmienie artykułu 13 umożliwia stosowanie uproszczonego obowiązku informacyjnego w przypadkach nieskomplikowanego i nieintensywnego przetwarzania danych, odbywającego się w kontekście zrozumiałej i powszechnie przyjętej relacji. Zwolnienie to nie ma jednak zastosowania, gdy przetwarzanie wiąże się z przekazywaniem danych do państw trzecich, automatycznym podejmowaniem decyzji lub podwyższonym ryzykiem dla praw i wolności osób.
Ochrona przed nadużyciami ze strony osób fizycznych
Zmiana artykułu 12 ust. 5 RODO wzmacnia możliwości administratora w sytuacjach, gdy wnioski podmiotów danych mają charakter oczywiście bezzasadny lub nadmierny. Prawodawca unijny wprost wskazuje, że nadmierność może polegać na instrumentalnym wykorzystywaniu prawa w sposób prowadzący do nadużywania prawa wobec administratora lub generowania nieuzasadnionych obciążeń. To ważna zmiana przywracająca równowagę między prawami jednostki a możliwościami organizacyjnymi firm.
Rewolucja w zgłaszaniu naruszeń danych osobowych
Projekt znacząco modyfikuje obowiązki notyfikacyjne wynikające z artykułu 33 RODO. Zmiany idą w trzech kluczowych kierunkach:
- Po pierwsze, zgłoszenia do organu nadzorczego wymagać będą wyłącznie naruszenia, które prawdopodobnie doprowadzą do wysokiego ryzyka dla praw i wolności osób fizycznych. To podniesienie progu zgłoszeniowego ma ograniczyć liczbę notyfikacji o marginalnym znaczeniu.
- Po drugie, termin zgłoszenia naruszenia zostaje wydłużony z obecnych 72 godzin do 96 godzin. Daje to administratorom więcej czasu na rzetelną ocenę incydentu i przygotowanie kompletnego zgłoszenia.
- Po trzecie, system zgłaszania naruszeń ma być obsługiwany przez unijny jednolity punkt wejścia, co ma zapewnić większą spójność z regulacjami dotyczącymi cyberbezpieczeństwa i uprościć procedury dla firm działających w wielu państwach członkowskich UE.
Harmonizacja oceny skutków dla ochrony danych (DPIA)
W artykule 35 przewidziano harmonizację zasad przeprowadzania oceny skutków dla ochrony danych (DPIA) w całej Unii Europejskiej. Dotychczas każdy organ nadzorczy mógł tworzyć własne listy operacji wymagających DPIA, co prowadziło do niespójności między państwami członkowskimi. Projekt zakłada utworzenie wspólnych, unijnych list operacji przetwarzania wymagających i niewymagających przeprowadzenia oceny skutków. Ma zostać również opracowana ujednolicona metodologia DPIA. Zadania te przypadną Europejskiej Radzie Ochrony Danych, a ostateczne akty zostaną przyjęte przez Komisję Europejską.
Ułatwienia dla badań naukowych i projektów archiwalnych
Projekt Digital Omnibus zawiera również dobre wiadomości dla środowiska naukowego. W artykule 5 znalazło się wyraźne potwierdzenie, że dalsze przetwarzanie danych na cele archiwalne, naukowe, statystyczne lub historyczne jest zgodne z celem pierwotnym, dla którego dane zostały zebrane.
Rozwinięciem tej zasady jest nowe rozwiązanie w artykule 13, umożliwiające ograniczenie obowiązków informacyjnych w projektach badawczych, gdy ich realizacja byłaby niewspółmiernie trudna lub wręcz niemożliwa. Wymaga to jednak zastosowania przejrzystych form informowania publicznego oraz wdrożenia odpowiednich zabezpieczeń wynikających z artykułu 89 ust. 1 RODO.
Zautomatyzowane decyzje – dostosowanie do realiów cyfrowych
Przekształcony artykuł 22 ust. 1-2 doprecyzowuje warunki, w jakich decyzje wywołujące skutki prawne lub w podobny sposób istotnie wpływające na osobę mogą być oparte wyłącznie na zautomatyzowanym przetwarzaniu.
Przepis potwierdza, że nawet jeżeli dana decyzja mogłaby zostać podjęta przez człowieka, nie wyklucza to spełnienia przesłanki „konieczności" dla celów realizacji umowy. Zmiana ta odzwierciedla realia nowoczesnych procesów decyzyjnych, w których automatyzacja nie jest już wyjątkiem, lecz powszechnym i funkcjonalnie uzasadnionym narzędziem działania przedsiębiorstw.
Co te zmiany oznaczają dla przeciętnego użytkownika Internetu?
Podsumowując projektowane zmiany z perspektywy zwykłego użytkownika Internetu, można wskazać kilka kluczowych korzyści:
- Mniej irytujących banerów cookie – dzięki możliwości jednorazowego ustawienia preferencji w przeglądarce.
- Większa kontrola nad danymi wykorzystywanymi przez AI – bezwarunkowe prawo sprzeciwu wobec przetwarzania danych na potrzeby sztucznej inteligencji.
- Lepsza ochrona danych biometrycznych – jasne zasady dotyczące skanerów odcisków palców i rozpoznawania twarzy.
- Bardziej przejrzysta komunikacja – uproszczone obowiązki informacyjne w prostych relacjach z przedsiębiorcami.
- Ujednolicona reakcja na naruszenia – ujednolicony system zgłaszania incydentów w całej UE.
Projekt Digital Omnibus można traktować jako próbę znalezienia równowagi między ochroną prywatności a potrzebami rozwijającej się gospodarki cyfrowej. Ostateczny kształt reformy pozostaje przedmiotem prac legislacyjnych w instytucjach unijnych, jednak już dziś wiele wskazuje na to, że nowelizacja będzie miała istotny wpływ na sposób stosowania przepisów o ochronie danych osobowych w najbliższych latach. RODO 2.0 stanie się faktem, pytanie tylko kiedy organy UE ustalą ostateczny kształt przepisów.