Komisja Europejska ma przedstawić dzisiaj pakiet uproszczeń w unijnych przepisach pt. Cyfrowy Omnibus. Planowane zmiany mają dotyczyć m.in. RODO oraz aktu w sprawie sztucznej inteligencji (AI Act).

W zeszłym tygodniu do sieci wyciekł szkic tego pakietu, który wzbudził wiele kontrowersji. Powstał nawet list otwarty do Komisji Europejskiej. 127 organizacji apeluje w nim o to, aby KE nie pozwoliła na – zdaniem sygnatariuszy listu – naruszenie bezpieczeństwa naszych danych.

Nowe definicje RODO

Wśród najbardziej kontrowersyjnych zapisów, o których dowiedzieliśmy się ze szkicu Cyfrowego Omnibusa, są:

  • zmiana definicji danych osobowych,
  • zmiana definicji danych wrażliwych,
  • trenowanie modeli AI na danych osobowych,
  • zmiana dotycząca wykorzystania danych z naszych urządzeń bez konieczności wyrażenia zgody przez użytkowników.

Obecnie, według przepisów RODO, dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, której dotyczą. Nowa propozycja jest taka, aby za dane osobowe można było uznać tylko te informacje, które można bezpośrednio połączyć z osobą.

Prezes Fundacji Panoptykon Katarzyna Szymielewicz zwraca uwagę, że obecna definicja nie podoba się wielu przedsiębiorcom, bo podnosi cenę gromadzenia danych, które trzeba chronić (np. przed wyciekiem). Stąd pomysł, żeby definicję danych osobowych zrelatywizować – przyjąć, że dana informacja to dane osobowe tylko wówczas, gdy jej administrator może ją połączyć z możliwą do zidentyfikowania osobą. Prezes Panoptykonu ocenia, że taka zmiana byłaby dramatyczna w skutkach.

Jeżeli zaczniemy relatywizować to, kiedy dane są uznawane za osobowe, a kiedy nie, skończymy w dziurawym systemie, który nie będzie dawał przewidywalności ani biznesowi, ani ludziom, których dane są przetwarzane – mówi Katarzyna Szymielewicz.

Radca prawny Izabela Kowalczuk-Pakula, partner z kancelarii Bird & Bird, zwraca uwagę, że planowane zmiany mają związek pośrednio z orzeczeniem TSUE w sprawie firmy SRB. W wyroku tym trybunał odszedł od absolutystycznego postrzegania danych osobowych na rzecz teorii subiektywnej. A zatem już sam TSUE uznał, że nasze dane powinny być wystarczająco chronione przez zastosowanie subiektywnej teorii danych osobowych. Teraz rozpocznie się dyskusja, jak daleko sięga teoria subiektywna.

Jak wynika ze szkicu Cyfrowego Omnibusa, możliwa jest również zmiana podejścia do danych szczególnie chronionych. Według RODO są to dane, które bezpośrednio ujawniają takie informacje o człowieku, jak m.in. pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania, dane o zdrowiu. KE, według nieoficjalnych informacji, rozważa ograniczenie kategorii danych wrażliwych do tych wprost ujawniających dane chronione.

– Takiej ochronie podlegałyby wyniki badań połączone z numerem PESEL. Ale już nie ślady cyfrowe, które pośrednio ujawniają stan zdrowia, np. regularne odwiedzanie grupy wsparcia dla osób cierpiących na przewlekłą chorobę – wyjaśnia Szymielewicz.

Prawniczka zwraca uwagę, że wiedza o naszych słabościach i ukrytych przekonaniach najczęściej bierze się z obserwacji tego, co robimy w sieci.

– Niewielu z nas wchodzi do internetu, żeby ogłosić zamiar głosowania na taką, a nie inną partię albo to, że właśnie odkryło swoją orientację seksualną. Natomiast wzorzec naszego zachowania w sieci zdradza tego typu dane. Jeżeli uznamy, że tylko dane bezpośrednio ujawniające cechy wrażliwe powinny podlegać specjalnej ochronie, wystawiamy się na cel nieetycznych reklamodawców, politycznych spin doktorów, ubezpieczycieli, a nawet organów państwa. To szalone ryzyko – przestrzega.

Natomiast w ocenie Izabeli Kowalczuk-Pakuli zmiana podejścia do danych wrażliwych jest odpowiedzią na zbyt daleką interpretację ich definicji przez TSUE w orzeczeniu Lindenapotheke.

– Orzeczenie to wskazuje, że zakupienie środka przeciwbólowego to dane wrażliwe. Nawet jeśli nie wiemy, czy użytkownik apteki online kupuje lek dla siebie, czy dla innych, i czy bierze lek w związku z bólem głowy, nogi czy palca i czy ma grypę, covid, RSV czy migrenę. Rzecznik Generalny Trybunału Sprawiedliwości prof. Maciej Szpunar w swojej opinii do tej sprawy był przeciwnego zdania co TSUE i uważał, że zakup leku bez recepty raczej nie wskazuje na dane dotyczące zdrowia. Komisja widzi tę sprawę podobnie – mówi mecenas.

Trening AI na naszych danych

Kolejna zmiana, którą zapisano w szkicu aktu, dotyczy trenowania modeli AI na danych osobowych. Chodzi o to, by wykorzystać zapisany w RODO uzasadniony interes administratora do zalegalizowania trenowania modeli AI na naszych danych.

– Zgodnie z RODO administrator, który zbiera dane osobowe, ma prawo je wykorzystać w swoim interesie tak długo, jak jego klient czy użytkownik nie zgłosi sprzeciwu. Ale dziś trzeba ocenić, czy takie przetwarzanie mieści się w oczekiwaniach racjonalnego konsumenta i czy nie ingeruje za bardzo w prywatność oraz inne prawa podmiotów danych – tłumaczy Szymielewicz.

Jak dodaje, przyjęło się, że zwykły marketing można wykonywać, opierając się na uzasadnionym interesie administratora. Ale wielkie platformy internetowe idą o wiele dalej, bardzo inwazyjnie targetując swoich użytkowników, i to na podstawie danych wywnioskowanych z ich zachowania.

Zdaniem prezes Panoptykonu ustawodawca nie powinien z góry przesądzać, że trenowanie AI mieści się w uzasadnionym interesie administratora. Byłby to naprawdę niebezpieczny wyłom w RODO. Platformy internetowe nie musiałyby w ogóle pytać nas o zgodę na trenowanie swoich modeli AI. Po prostu wpisałyby taką możliwość do warunków świadczenia usługi – przestrzega Katarzyna Szymielewicz.

Mecenas Kowalczuk-Pakula zwraca uwagę, że wielu przedsiębiorców, także z sektora ochrony zdrowia, zmaga się ze znalezieniem właściwej podstawy prawnej dla trenowania modeli AI na podstawie szczególnych kategorii danych.

– Komisja zauważa ten problem. Podobnie jak w przypadku uzasadnionego interesu proponuje przepis, który zezwala na przetwarzanie danych szczególnej kategorii w celu trenowania modeli AI, pod warunkiem że administrator wdroży odpowiednie gwarancje, tj. podejmie próby identyfikacji i usunięcia tych danych, a w przypadku gdy byłoby to nieproporcjonalne – zastosuje metody zapobiegania ujawnianiu danych szczególnej kategorii innym podmiotom jako danych wyjściowych – mówi.

W szkicu Cyfrowego Omnibusa przewidziano też, że nie będziemy już każdorazowo akceptować zgody na pliki cookies, ale swoje preferencje ustawimy w przeglądarce. Zdaniem Komisji obecne podejście polegające na konieczności wyrażania zgody na cookies na każdej stronie jest postrzegane jako uciążliwe i nakłada znaczne koszty na przedsiębiorstwa. ©℗

Na co skarżymy się do UODO?
ikona lupy />
Na co skarżymy się do UODO? / Dziennik Gazeta Prawna - wydanie cyfrowe