Цифров омнибус: Комисията на ЕС иска да разруши основните принципи на GDPR

• Пълен текст на предложението на Европейската комисия

Най-голямото орязване на правата на неприкосновеност на личния живот от години насам. Промишлените лобистки групи успешно използваха страха на Европа от глобалния икономически натиск, за да призоват за огромно орязване на цифровите права на европейците. Рязките промени, които бяха предложени днес, могат да подкопаят повече от 40-годишната ясна европейска позиция срещу търговското наблюдение от страна на частни субекти, както е записано и в член 8 от Хартата на основните права на Европейския съюз и широко подкрепено от европейската общественост.

Макс Шремс: "Цифровият омнибус ще облагодетелства основно големите технологични компании, като същевременно няма да осигури никакви осезаеми ползи за средните предприятия в ЕС. Тази предложена реформа е признак на паника около оформянето на цифровото бъдеще на Европа, а не признак на лидерство. Това, от което наистина се нуждаем, е стратегически, добре разработен дългосрочен план, който да придвижи Европа напред."

Слаба политическа подкрепа за промените. Европейската комисия извади тази реформа на GDPR от шапката, въпреки че повечето държави - членки на ЕС, изрично поискаха да не се отваря отново GDPR. Освен това изтеклите миналата седмица текстове предизвикаха силна опозиция от страна на групите на Центъра и Левицата в Европейския парламент (С&Д, Renew и Зелените), които изрично призоваха Комисията да спре тези мащабни съкращения в ОРЗД. Освен това, 127 организации на гражданското общество (включително noyb) остро разкритикуваха неочакваната намеса на Комисията и изтичането на текста.

Въпреки това днес, под ръководството на председателя на Комисията Урсула фон дер Лайен, Заместник-председателя Хена Вирккунен и Майкъл Макграт, комисар по въпросите на правосъдието, комисията реши да продължи с основните съкращения в GDPR. Говори се за масиран политически натиск в Комисията за съкращаване на закони - без подходяща процедура или анализ.

Макс Шремс: "Политическата подкрепа за тези съкращения от страна на обществеността, държавите членки и Европейския парламент е ограничена. Изглежда, че Европейската комисия просто се опитва да изпревари всички останали чрез "ускорена" процедура, която прилича по-скоро на паническа реакция, отколкото на добре обмислено, основано на доказателства законотворчество."

Предистория: Влияние на Германия или САЩ? Една от движещите сили зад реформата, за която "хартиено доказателство" съществува, е Германия. Някои гласове посочват и неотдавнашния репортаж на Politico, че посланието на Виркунен към американските предприятия при преките срещи е било, че ЕС ще стане по-"приятелски настроен към бизнеса". Съществува и съобщения за засилващ се натиск от страна на администрацията на Тръмп към ЕС да намали защитата, за да избегне митата.

Макар да не е ясно откъде точно идва натискът, ясно е, че Европейската комисия изненадващо и тайно е излязла далеч извън рамките на първоначалния план за "Цифров омнибус", който би трябвало да не трябваше да включва промени в GDPR.

Европейската комисия "действа бързо - и счупва нещата". Вместо да се придържа към първоначалния план за "проверка на състоянието на цифровите технологии" през 2026 г., за да намали административната тежест, Европейската комисия изглежда следва мотото на Силициевата долина да "да се движи бързо и да чупи нещата", за да прокара реформи на основните правила в рамките на ускорена процедура. Липсата на каквато и да е оценка на въздействието или събиране на доказателства изхвърля зад борда отдавна установените принципи на минимални стандарти за законотворчеството на ЕС и следва "козлодуйския" тип на хаотични промени . Резултатът е много лошо изготвяне на проекти и закон, който не е подходящ за целта.

Макс Шремс: "Тези промени се случиха без подходящи процедури и не се основават на доказателства, а по-скоро на страх и твърдения на индустрията. 'Движи се бързо и чупи нещата' не е девиз, който работи за прокарване на законодателство, засягащо не само живота на 450 милиона души, но в крайна сметка и правилното функциониране на нашите общества и демокрации."

"Тунелно виждане за ИИ". Предложената реформа на ОРЗД изглежда има за цел преди всичко да премахне всички пречки, които биха могли да ограничат използването на лични данни, като например данни от социалните медии, за ИИ. Много от тези промени обаче биха имали огромни последици за обществото в други области, различни от ИИ, като например онлайн рекламата.

Макс Шремс: "Изкуственият интелект може да се окаже една от най-влиятелните и опасни технологии за нашата демокрация и общество. Въпреки това разказът за "надпреварата за ИИ" накара политиците дори да изхвърлят през прозореца защити, които би трябвало точно да ни предпазят от това всичките ни данни да отидат в един голям непрозрачен алгоритъм."

Никакви ползи за европейските малки и средни предприятия - но отваряне на портите за "големите". Въпреки честите обещания за облекчаване най-вече на тежестта върху малките европейски предприятия, предложените промени са всичко а не опростяване. Повечето членове стават по-сложни, неясни и нелогични. Вместо да работи за намаляване на нуждата от документация (което е основният проблем за европейските предприятия), Комисията въвежда правни вратички, от които ще могат да се възползват само големите корпорации и големите адвокатски кантори.

Макс Шремс: "Макар че Комисията постоянно твърди, че тази реформа ще бъде полезна за малките предприятия, в тези промени има много малко за тях. Промените в утвърденото законодателство само ще увеличат пазарната концентрация, ще предизвикат повече правна несигурност, ще доведат до нови съдебни дела и ще изискват по-скъпи правни консултации. Единственият реален бенефициент тук са големите технологични и правни кантори."

Смъртта на 1000 съкращения. Според обществената консултация на Комисията през октомври аспектите на предложението, свързани със защитата на данните, трябваше да се съсредоточат главно върху преодоляването на умората от "банера с бисквитки". Днес обаче Комисията представи задълбочени съкращения на ОРЗД. Много от тези съкращения изглежда нарушават или поне са в противоречие с правото на защита на данните в член 8 от Хартата на основните права на ЕС.

Ето и първи преглед на основните проблеми:

(1) Нова вратичка в GDPR чрез "псевдоними" или "идентификатори". Комисията предлага значително стесняване на определението за "лични данни" - в резултат на което GDPR няма да се прилага за много дружества в различни сектори. Например секторите, които понастоящем работят чрез "псевдоними" или произволни идентификационни номера, като брокерите на данни или рекламната индустрия, вече няма да бъдат (напълно) обхванати. Това ще стане чрез добавяне на "субективен подход" в текста на ОРЗД.

Вместо да има обективно определение на личните данни (напр. данни, които са свързани с лице, което може да бъде идентифицирано пряко или непряко), субективното определение би означавало, че ако определено дружество твърди, че (все още) не може или няма за цел да (понастоящем) да идентифицира лице, ОРЗД престава да се прилага. Подобно решение за всеки отделен случай е по същество по-сложно и всичко друго, но не и "опростяване". То също така означава, че данните могат да бъдат "лични" или не в зависимост от вътрешното мислене на дружеството или предвид обстоятелствата, с които то разполага към настоящия момент. Това може да усложни и сътрудничеството между дружествата, тъй като някои от тях ще попадат в обхвата на GDPR, а други - не.

Освен това такъв "субективен" определение прави невъзможно за потребителите или органите да разберат дали GDPR се прилага във всеки отделен случай. На практика това може да направи GDPR трудно приложим поради безкрайни дебати и разногласия относно истинските намерения и планове на дадено дружество.

Макс Шремс: "Това е като закон за оръжията, който се прилага само за оръжия, когато собственикът потвърди, че може да борави с оръжие, и възнамерява да застреля някого. Очевидно е колко абсурдни са подобни субективни определения."

(2) Извличане на лични данни от вашето устройство? Досега член 5, параграф 3 от Закона за защита на личните данни в областта на електронните комуникации защитаваше потребителите от отдалечен достъп до данни, съхранявани на "крайни устройства", като например персонални компютри или смартфони. Това се основава на правото на защита на комуникациите съгласно член 7 от Хартата на основните права на ЕС и гарантира, че дружествата не могат да "претърсват" устройствата от разстояние.

Сега Комисията добавя "бели списъци" на операциите по обработване за достъп до терминално оборудване, които ще включват "обобщени статистически данни" и "цели за сигурност". Макар че общата посока на промените е разбираема, формулировката е изключително либерална и би позволила и прекомерно "търсене" в устройствата на потребителите за (нищожни) цели на сигурността.

(3) Обучение на изкуствен интелект на Meta или Google с лични данни на ЕС? Когато Meta или LinkedIn започнаха да използват данни от социалните мрежи, това беше широко непопулярно. В едно неотдавнашно проучване например само 7% от германците казват, че искат Мета да използва личните им данни за обучение на ИИ. Въпреки това сега Комисията иска да разреши използването на изключително лични данни (като съдържанието на профил в социална медия от над 15 години) за обучение на ИИ от големите технологии.

Макс Шремс: "Няма абсолютно никаква обществена подкрепа за това Meta или Google да включват личните данни на европейците в своите алгоритми. Години наред ни се казваше, че хората не трябва да се притесняват, защото личните ни данни ще бъдат използвани, за да ни "свържат", или в най-добрия случай ще бъдат използвани за насочване на някоя реклама. Сега всички ваши данни са вкарани в алгоритмите на Meta, Google или Amazon. Това улеснява системите с изкуствен интелект да знаят и най-интимните подробности - и съответно да манипулират хората. Това е от полза най-вече за американската индустрия, която струва трилиони долари и изгражда базирани модели на базата на нашите лични данни."

Европейската комисия предвижда, че потребителите могат да се откажат, но компаниите и потребителите обикновено не знаят чии данни са в набора от данни за обучение. Дори и да знаят, потребителите ще трябва да се отказват хиляди пъти годишно, когато друга компания обучава алгоритъм с техните данни.

Макс Шремс: "Подходът на отказване не работи на практика. Компаниите не разполагат с данните от договорите на потребителите, а те не знаят кой се обучава въз основа на техните данни. Този подход на неучастие е опит на Комисията да постави смокинов лист над тази очевидно незаконна дейност по обработване."

Комисията иска да привилегирова не само обучението на системи с изкуствен интелект, но и "експлоатацията" на такива системи. Това би било равносилно на "уайлдкард", при който иначе незаконното обработване би станало законно, само защото се извършва с помощта на ИИ.

Макс Шремс: "Обикновено по-рисковите технологии трябва да отговарят на по-висок стандарт. Предложението на Комисията сега отваря шлюза, щом се използва ИИ - докато традиционната обработка на данни все още ще попада в обхвата на действащите закони. Това е безумно."

(4) Правата на потребителите са намалени почти до нула - по искане на Германия? Въз основа на национален дебат, че правата за достъп по GDPR могат да се използват за доказване на напр. неплащане по трудови договори, Комисията Германското правителство поиска масово ограничаване на тези права - като определи подобно използване като "злоупотреба", въпреки че GDPR вече съдържа клауза за "злоупотреба". Комисията последва това германско искане и предлага използването на правото на достъп на субекта на данни да се ограничи само до "целите за защита на данните".

Обратно, това означава, че ако служител използва искане за достъп в трудов спор относно неплатени часове - например за получаване на запис на отработените от него часове - работодателят може да го отхвърли като "злоупотреба". Същото важи и за журналисти или изследователи. В по-широк смисъл това може да стигне и по-далеч. Ако дадено лице поиска достъп до данните си, за да изтрие впоследствие фалшиви данни за кредитния си рейтинг, за да получи по-евтин кредит в банката, тези права не могат да бъдат упражнени единствено с цел "защита на данните", а от икономически интерес.

Това ограничение е явно нарушение на съдебната практика на Съда на ЕС и на член 8, параграф 2 от Хартата. Правото на информационно самоопределение изрично има за цел да изравни информационната пропаст между потребителите и дружествата, които съхраняват информацията, тъй като все повече информация се крие на сървърите на дружествата (напр. копие от листове за работно време). Съдът на ЕС многократно е постановявал, че човек може да упражнява тези права за всякакви цели - включително за водене на съдебни дела или за събиране на доказателства.

Макс Шремс: "Тази промяна е явно нарушение на Хартата и на съдебната практика на Съда на ЕС. Тя ще бъде използвана от администраторите в цяла Европа за по-нататъшно накърняване на правата на потребителите. Реалността е, че нямаме широко разпространена злоупотреба с правата по GDPR от страна на гражданите, а че имаме широко разпространено неспазване от страна на дружествата. Орязването на правата на потребителите още повече показва колко е откъсната Комисията от ежедневния опит на потребителите."