Cyfrowy Omnibus. Ochrona danych pójdzie w stronę centralizacji? (wywiad)

Najistotniejszy element reformy wiąże się jednak z projektowanym art. 41a, który upoważnia Komisję do wydawania aktów wykonawczych określających kryteria uznania spseudonimowanych danych za „niepodlegające identyfikacji”. De facto oznacza to przyznanie Komisji kompetencji interpretacyjnych dotyczących kluczowego pojęcia RODO. W świetle Karty Praw Podstawowych UE oraz systemowej roli niezależnych organów nadzorczych powstaje pytanie, czy mechanizm ten nie prowadzi do nadmiernej centralizacji stosowania prawa ochrony danych. Istnieje także ryzyko, że takie akty – mając charakter techniczny, lecz wywołując skutki o ogromnym znaczeniu gospodarczym – będą podlegały presji politycznej, co może prowadzić do stopniowego zawężania zakresu ochrony przewidzianej w RODO poprzez rozszerzanie kategorii danych uznawanych za „nieosobowe”.

W rezultacie proponowana zmiana, choć deklaratywnie służy zwiększeniu precyzji prawa, może w praktyce powodować nowe obszary niepewności prawnej, a w dłuższej perspektywie skutkować sporami co do zgodności aktów wykonawczych Komisji z Kartą Praw Podstawowych. W związku z tym pozostaje otwarte pytanie, czy doprecyzowanie definicji danych osobowych w kształcie postulowanym przez KE faktycznie zbliży system ochrony danych do większej spójności, czy też przeciwnie – doprowadzi do zwiększenia napięć interpretacyjnych oraz konieczności rozstrzygania kolejnych pytań prejudycjalnych sądów przez TSUE.

Mateusz Kupiec: Projektowany art. 88c RODO stanowi próbę systematyzacji zasad przetwarzania danych na potrzeby trenowania systemów i modeli AI, potwierdzając, że tego rodzaju operacje nie funkcjonują poza reżimem RODO. Administrator będzie zobowiązany oprzeć przetwarzanie na jednej z istniejących podstaw prawnych, w szczególności na przesłance prawnie uzasadnionego interesu, przy czym analiza równowagi musi uwzględniać potencjalne ryzyka wynikające z natury modeli uczenia maszynowego, w tym możliwość utrwalenia w ich parametrach informacji umożliwiających rekonstrukcję danych.

Projekt nakłada również obowiązek minimalizacji danych na etapie selekcji zbiorów treningowych oraz zastosowania środków technicznych ograniczających zapisywanie informacji, które zostaną po treningu modelu. Przewidziano także wzmocniony obowiązek informacyjny oraz bezwzględne prawo sprzeciwu wobec wykorzystywania danych do treningu. Warto podkreślić zatem, że projektowany przepis nie jest „blankietowym zezwoleniem” dla administratorów na trenowanie AI za pomocą publicznie dostępnych zbiorów danych.

Mateusz Kupiec: Projekt KE „rezygnuje z pierwotnie rozważanej zmiany zakresu „szczególnych kategorii danych osobowych”, lecz jednocześnie przewiduje dopuszczalność przetwarzania tego rodzaju danych wrażliwych w kontekście rozwijania i funkcjonowania systemów AI – pod warunkiem spełnienia rygorystycznych wymogów technicznych i organizacyjnych. Administrator będzie zobowiązany zapobiegać pozyskiwaniu takich danych, natomiast ich wykrycie będzie rodziło obowiązek natychmiastowego usunięcia lub, w wyjątkowych sytuacjach, zastosowania adekwatnych zabezpieczeń. Ponadto projekt dopuszcza przetwarzanie danych biometrycznych wyłącznie do celów weryfikacji tożsamości, przy czym proces ten musi pozostawać pod pełną kontrolą osoby, której dane dotyczą.

Projekt „Digital Omnibus” przewiduje nową przesłankę przetwarzania danych szczególnych kategorii w art. 9 ust. 2 lit. (k) RODO, obejmującą rozwój i funkcjonowanie systemów AI, pod warunkiem wdrożenia środków określonych w art. 9 ust. 5. Administrator ma obowiązek zapobiegania pozyskiwaniu danych wrażliwych, a w przypadku ich wykrycia – ich usunięcia lub, gdy wymaga to niewspółmiernego wysiłku, skutecznego zabezpieczenia przed wykorzystaniem lub ujawnieniem. Dodatkowo dopuszcza się przetwarzanie danych biometrycznych w celu weryfikacji tożsamości, o ile proces odbywa się pod kontrolą osoby, której dane dotyczą.

Zasadniczym problemem nie jest sama intencja doprecyzowania ram prawnych dla systemów AI, lecz spójność projektowanych przepisów z konstrukcją ochrony danych wrażliwych w RODO. Nowa przesłanka ma charakter wyjątku o bardzo szerokim zakresie i nie odwołuje się do wymogu niezbędności, który jest kluczowy w art. 5 ust. 1 lit. c oraz art. 6 ust. 1 RODO. Wątpliwości praktyczne budzi także wykonalność i egzekwowalność art. 9 ust. 5. Ocena, czy administrator wdrożył „odpowiednie środki” i czy „usunięcie danych wymagałoby niewspółmiernego wysiłku”, będzie niezwykle trudna w kontekście złożonych i częściowo nieprzejrzystych procesów trenowania modeli, często objętych tajemnicą przedsiębiorstwa. Ryzykuje to przekształceniem przepisu w normę o charakterze deklaratywnym, trudną do skutecznego stosowania przez organy nadzorcze i osoby, których dane dotyczą.

Grzegorz Sibiga: Proponowana nowelizacja art. 22 RODO w istotny sposób zmienia jego funkcję normatywną. Przepis ten przestaje pełnić rolę prawa podmiotu danych do „niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych”, a staje się przede wszystkim regulacją określającą przesłanki dopuszczalności takich decyzji. Przepis przestaje zatem pełnić funkcję zakazu podejmowania takich decyzji. Natomiast prawa użytkownika skoncentrowane zostały tylko w ust. 3 i polegają na żądaniu interwencji człowieka, przedstawieniu własnego stanowiska oraz zakwestionowaniu decyzji, a nie na generalnym zakazie automatyzacji. Dodatkowo projekt doprecyzowuje przesłankę „niezbędności do zawarcia lub wykonania umowy”, wskazując, że może ona wystąpić nawet wtedy, gdy decyzja mogłaby zostać podjęta w sposób inny niż automatyczny. W praktyce oznacza to rozszerzenie katalogu sytuacji, w których podmioty świadczące usługi cyfrowe, finansowe czy telekomunikacyjne będą mogły stosować profilowanie i automatyczne mechanizmy oceny ryzyka jako standardowe narzędzie obsługi klienta.

Mateusz Kupiec: Tak, ale pośrednio. Projektowany art. 88a przenosi zasady dotyczące zapisywania i odczytywania informacji na urządzeniach końcowych (w tym cookies marketingowych, analitycznych i śledzących) do RODO i wprowadza maszynowo odczytywalne sygnały zgody i sprzeciwu. Administratorzy będą musieli je respektować, a dostawcy przeglądarek (którzy nie są małymi i średnimi przedsiębiorstwami) – w ciągu czterech lat – umożliwiać użytkownikom ustawienie takich preferencji systemowo.

Trzeba jednak jasno powiedzieć: cookie banery raczej nie znikną. Projektowany art. 88a RODO w jego obecnym brzmieniu nie zmienia podstawowej zasady, zgodnie z którą większość operacji marketingowych – nawet tych, które nie obejmują danych osobowych – wymaga zgody użytkownika. Wynika to w szczególności z wieloletniej, bardzo restrykcyjnej wykładni dyrektywy ePrivacy przez organy nadzorcze i Europejską Radę Ochrony Danych (EROD). Projekt przewiduje wprawdzie dwa nowe wyjątki (m.in. dla statystyk zagregowanych), ale praktycznie można założyć, że będą one interpretowane wąsko. Dlatego banery – choć być może mniej uciążliwe – w naszej ocenie pewnie pozostaną jako mechanizm zarządzania ustawieniami dot. prywatności użytkowników. Nowością będzie za to dużo bardziej egzekwowalny mechanizm sprzeciwu, który w dłuższej perspektywie może zmienić sposób funkcjonowania reklamy opartej na śledzeniu zachowania i aktywności użytkowników.

Grzegorz Sibiga: Na obecnym etapie procesu legislacyjnego nie jest możliwe jednoznaczne przesądzenie, czy projekt prowadzi do osłabienia ochrony danych. Wiele proponowanych zmian ma charakter doprecyzowujący i porządkujący, odpowiadający problemom obserwowanym w praktyce stosowania RODO. Jednocześnie projekt wskazuje na wyraźną tendencję do rozszerzenia kompetencji Komisji Europejskiej w zakresie przyjmowania aktów wykonawczych dotyczących kluczowych elementów systemu, takich jak kryteria uznawania danych za nieidentyfikowalne, metodologia DPIA (ocena skutków ochrony danych – red.) czy zasady zgłaszania naruszeń. Komisja Europejska proponuje znaczące wzmocnienie swojej roli interpretacyjnej. To wyraźny sygnał odejścia od modelu, w którym praktykę stosowania RODO determinowały przede wszystkim krajowe organy i działania EROD. Tego rodzaju przesunięcie i centralizacja kompetencji po stronie KE rodzi pytania o przyszły model stosowania RODO – czy wzmocni ono jednolitość praktyki w UE, czy też doprowadzi do nadmiernej centralizacji i ograniczenia roli niezależnych organów nadzorczych. Skala tych zmian zależy jednak od ostatecznego kształtu przepisów, dlatego ocena wpływu reformy na rzeczywisty poziom ochrony danych pozostaje na tym etapie otwarta. ©℗