Както постепенно изтече през последните дни от различни информационни агенции, Комисията на ЕС тайно е започнала потенциално мащабна реформа на GDPR. Ако вътрешните проекти се превърнат в реалност, това ще има значително въздействие върху основното право на хората на неприкосновеност на личния живот и защита на данните. Реформата ще бъде част от така наречения "Цифров омнибус", който трябваше да внесе само целенасочени корекции за опростяване на спазването на изискванията от страна на предприятията. Сега Комисията предлага промени в основни елементи като определението за "лични данни" и всички права на субектите на данни съгласно ОРЗД. Изтеклият проект също така предлага да се даде празен чек на компаниите за изкуствен интелект (като Google, Meta или OpenAI) да изсмукват личните данни на европейците. Освен това специалната защита на чувствителни данни като данни за здравословното състояние, политическите възгледи или сексуалната ориентация ще бъде значително намалена. Също така ще се даде възможност за отдалечен достъп до лични данни на персонални компютри или смартфони без съгласието на потребителя. Много от елементите на предвидената реформа ще отменят съдебната практика на Съда на ЕС, ще нарушат европейските конвенции и Европейската харта за основните права. Дали този краен проект ще се превърне в официална позиция на Европейската комисия, ще стане ясно едва на 19 ноември, когато "Цифровият омнибус" ще бъде официално представен. Шремс: "Десет години след приемането на ОРЗД това би било огромно влошаване на неприкосновеността на личния живот на европейците."
- Обзорна таблица на проекта и коментари от noyb
- Изтекъл документ за позициите на държавите членки (в голяма степен без искане за реформи)
- Изтекъл документ от Германия (с искане за мащабна реформа, но до голяма степен не сега)
- Изтичане на оригиналния текст (чрез Netzpolitik.org)
- Оригинален репортаж на MLex (платено), репортаж на Reuters и репортаж на Netzpolitik.org
Тайна "ускорена" атака срещу GDPR. Европейската комисия планира да опрости няколко закона на ЕС чрез така наречената реформа "Омнибус" - инструмент, който обикновено променя хоризонтално различни по-малки елементи на няколко закона, за да подобри качеството на закона и да рационализира задълженията за работа с документи. За разлика от традиционния подход към законотворчеството, "Омнибус" се извършва чрез "ускорена" процедура, която прескача няколко елемента от процеса, включително оценки на въздействието и осигуряване на време за обратна връзка от страна на правните служби и съответните звена в институциите на ЕС. Това е приемливо, ако се внасят само прости подобрения, които не предизвикват спорове.
Въпреки това, както беше разкрито, службите на Европейската комисия под ръководството на изпълнителния заместник-председател Хена Вирккунен (т.нар."ГД CONNECT") работят по мащабна реформа на GDPR под заглавието на предполагаемо "опростяване" или "разяснения".
Макс Шремс:"Проектът е не само краен, но и много лошо изготвен. Той не помага на "малкия бизнес", както беше обещано, а отново облагодетелства главно "големите технологии"."
Първоначалният план на Комисията беше през 2026 г. да направи така наречената "проверка на цифровата годност", да събере необходимите доказателства и след това да направи целенасочена и добре разработена актуализация на GDPR и други закони в областта на цифровите технологии.
ЕС "скача" по исканията на Германия или САЩ? Както заинтересованите страни, така и държавите членки са поискали изрично да не се подновява GDPR. В обобщение на позициите на държавите членки почти всички държави членки, които са дали обратна връзка, заявяват, че не искат промяна. Германия обаче настояваше за значителни промени в GDPR, които надхвърлят първоначалния мандат на този закон. Изглежда, че Комисията просто е "скочила" на германския неофициален документ, който изтече миналата седмица, като се има предвид, че много промени в проекта изглежда са 1:1 копие на исканията в изтеклата германска нота. Германия не представи доказателства за необходимостта от посочените реформи - не е ясно откъде произтичат тези искания. Други гласове посочват неотдавнашния репортаж на Politico, според който посланието на Виркюнен към американския бизнес по време на преките срещи е било, чеЕС ще преразгледа правилата си и ще стане по-благоприятен за бизнеса.
Макс Шремс:"Не е ясно откъде идва политическият натиск. Повечето държави членки поискаха малки промени и никакво повторно отваряне. Германия традиционно заема позиция против GDPR в Европа. Изглежда по-лесно да се обвини някакъв закон на ЕС за германските проблеми с цифровизацията, отколкото да се поправят нещата на национално ниво. Не сме изненадани, че последният натиск отново идва от Германия. Съобщава се, че и натискът от страна на САЩ може да изиграе роля."
Четейки първия вътрешен проект, става ясно, че потенциалните щети за GDPR (вж. подробности по-долу) ще бъдат огромни. Големи части от проекта нарушават европейските конвенции, Хартата на основните права или установената съдебна практика на Съда на Европейския съюз. Дали това е умишлено, или се дължи на бързия темп на работа и произтичащото от това лошо качество на проекта, остава отворено. Вътрешни лица от Брюксел съобщиха, че някои звена са разполагали само с пет (!) работни дни, за да коментират над 180 страници проектозакон.
Макс Шремс: "Изглежда, че една част от Европейската комисия се опитва да надвие всички останали в Брюксел, пренебрегвайки правилата за добро законотворчество, с потенциално ужасни резултати. Много е обезпокоително да се види, че в Брюксел се налагат Тръмп'иански законодателни практики"
Тунелна визия по отношение на "състезанието за изкуствен интелект"? Макар че може да има няколко добри начина за подобряване и опростяване на ОРЗД, предложените промени изглежда страдат от "тунелно виждане" относно даването на възможност за обучение и използване на ИИ - дори по отношение на личните данни. В неотдавнашно проучване обаче само 7 % от германците заявяват, че искат Мета да използва личните им данни за обучение на ИИ. Въпреки това реформата е насочена към всеки елемент от GDPR, който би могъл да ограничи използването на ИИ.
Макс Шремс: "Това, което тези промени сякаш пренебрегват, е, че по-голямата част от обработката на данни не се основава на ИИ. Потенциалната промяна, която би "освободила" ИИ, би имала огромни непредвидени последици за много други области на GDPR. Защитата на здравните данни, на малцинствата или на служителите също би била убита в този проект. Голяма част от бизнеса с онлайн реклами може да успее да заобиколи задълженията по GDPR, поради разглежданите промени."
Смърт от 1000 разфасовки. Макар че много от промените звучат технически, зад всяко "определение" в GDPR се крият правата на хората. Промените варират от съкращаване на това, което изобщо се счита за "лични данни" и следователно е защитено, чак до ограничаване на "правото на достъп", така че служители, журналисти или изследователи вече няма да могат да имат достъп до собствените си данни. Промените също така позволяват облекчен достъп за "извличане" на данни от смартфони, персонални компютри или свързани устройства или до голяма степен позволяват на дружествата да използват лични данни на европейци за (търговско) обучение по изкуствен интелект. Въпреки че компаниите често твърдят, че GDPR ще бъде "бреме", реалността е, че дори 1,3 % от всички жалби по GDPR не водят до глоба. В Ирландия досега са платени само 0,6 % от глобите.
Макс Шремс:"Проектът ще изреже много малки дупки в закона, което като цяло ще го направи неизползваем за повечето случаи. Вече не наблюдаваме почти никакво прилагане на законите на ЕС за защита на личните данни, с тези промени повечето дела, които в момента печелим - вероятно ще загубим или ще се сблъскаме с още по-сложни процедури."
По същество никаква полза за МСП и предприятията от ЕС. Официалната причина за "разясненията" и "опростяването" чрез "Омнибус" беше да се ограничи административната тежест за малките и средните предприятия (МСП) в ЕС. noyb напълно подкрепя тази цел. Въпреки това предложените промени засягат предимно дружества, които се занимават с обучение по ИИ - т.е. дружества, които сега се оценяват в трилиони (като OpenAI, Google, Meta, Amazon или Microsoft). Въпреки че има някои разяснения, които биха могли да бъдат от полза за МСП, като например правилата за това кога трябва да се правят така наречените "оценки на въздействието върху защитата на данните", те няма да имат по-голямо въздействие върху европейската конкурентоспособност.
Макс Шремс:"Ако този проект е окончателен, тогава всяко говорене за "малкия бизнес" и "административната тежест" очевидно е само странично шоу, за да се получи обществена подкрепа. В същността си това е мащабен опит за дерегулация, който преобръща 40-годишната европейска доктрина за основните права."
Призив за спешно спиране и правилно законотворчество. Като се има предвид, че това предложение е изпълнено с проблеми и също така ще предизвика голяма правна несигурност, която ще направи много промени податливи на (успешни) правни атаки пред Съда на ЕС, този "ускорен" подход може да не е полезен за никого - било то за МСП, органите за защита на данните или потребителите. Първите индикации от Европейския парламент също така подчертават, че мащабните промени очевидно ще задържат "Омнибус" в Парламента. Като се има предвид, че Комисията възнамерява да приеме другите елементи на "Цифровия омнибус" възможно най-бързо, смятаме, че няма друг начин, освен да премахне повечето промени в ОРЗД от проекта.
Макс Шремс: "Изстрелването на лошо изготвен "бърз изстрел" в една изключително сложна и чувствителна област не само ще навреди на потребителите, но и няма да помогне на предприятията в ЕС. То също така поставя под въпрос дали този омнибус може бързо да премине през Европейския парламент и Съвета. Комисията все още разполага със седмица, за да реши какво ще влезе в окончателното предложение."
Преглед на промените
Проектът за "Цифров омнибус" предлага безброй промени в много различни членове на ОРЗД. В комбинация това се равнява на "смърт от 1000 съкращения". Направихме общ преглед на някои от ключовите промени. За най-подробен правен анализ изтеглете нашия обзорен PDF тук. Всички изброени по-долу промени се основават на нашите най-добри усилия да разберем вътрешните проекти на Комисията. Някои елементи са неясни и противоречиви в проектотекста и са с толкова лошо качество, че истинският смисъл и намерение на текстовете не винаги са ясни.
(1) Нова вратичка в GDPR чрез "псевдоними" или "идентификатори"? Изглежда, че Комисията планира значително да стесни определението за "лични данни" - което би довело до неприлагане на GDPR в много случаи. Планът е да се добави "субективен подход" в текста на GDPR. Това би означавало, че ако определено дружество не може да идентифицира дадено лице, данните не са "лични" за това дружество - и GDPR престава да се прилага.
Освен това в проекта се споменават инструменти за идентификация, които вероятно ще се използват от всеки конкретен администратор. Това би изисквало допълнителни проучвания и прогнози за вътрешната работа и бъдещите действия на конкретното дружество, за да се разбере дали дадено лице все още се ползва от правата си съгласно ОРЗД. На практика това прави GDPR вече трудно приложим и би довело до безкрайни дебати и битки относно истинските намерения и планове на дадено дружество.
Проектът поне може да се тълкува като отказ от схващането, че техниките за "отделяне" на дадено лице все още са обхванати от закона. Вместо това формулировката на проекта намеква за общо освобождаване от GDPR, ако администраторите просто използват "псевдоними" (като "user12473" или данните от проследяваща бисквитка) вместо имена. Това би означавало, че цели промишлени сектори, които досега са обхванати от GDPR и работят чрез "псевдоними" или случайни идентификационни номера, вече няма да бъдат (напълно) обхванати. Това би могло да се отнася за почти цялото онлайн проследяване, онлайн рекламата и повечето брокери на данни.
Тази промяна също така би се отклонила масово от доста широкото тълкуване на Съда на ЕС (СЕС). Съществува съдебна практика от повече от 20 години, която подкрепя широкото разбиране за това какво представляват "личните данни".
Като се има предвид, че терминът "лични данни" идва от член 8 от Хартата, много е вероятно такава дълбока промяна да не издържи проверката на Съда на ЕС.
(2) Правото на достъп, изтриване или коригиране да получи "ограничение на целите". Една от масовите промени (по искане на Германия) е да се ограничи използването на правата на субектите на данни (като достъп до данни, коригиране или заличаване) само до "целите за защита на данните". Обратно, това означава, че ако служител използва искане за достъп в трудов спор за неплатени часове - например за получаване на запис на отработените от него часове - работодателят може да го отхвърли като "злоупотреба". Същото би важало и за журналисти или изследователи.
В един по-широк смисъл това може да стигне и по-далеч. Ако дадено лице поиска да изтрие неверни данни за кредитен рейтинг, за да получи по-евтин заем в банката, такова "право на коригиране" на невярна финансова информация може да не се упражнява единствено с цел "защита на данните", а от икономически интерес. Дори случаи като известното "право да бъдеш забравен" може да не се разглеждат като "интерес за защита на данните", ако лицето, което иска заличаване на публични данни, го прави в стопански интерес.
Тази идея е явно нарушение на съдебната практика на Съда на ЕС и на член 8, параграф 2 от Хартата. Правото на информационно самоопределение изрично има за цел да изравни информационната пропаст между потребителите и дружествата, които съхраняват информацията, тъй като все повече информация се крие на сървърите на дружествата (напр. копие от листове за работно време). Съдът на ЕС многократно е постановявал, че европейците могат да упражняват тези права за всякакви цели - включително за водене на съдебни дела или генериране на доказателства.
В ОРЗД вече има ограничения за "злоупотреба" с правата по ОРЗД (като например да се откаже достъп до данни или да се наложи да се плати такса), но сега Комисията иска да ограничи и причините, поради които тези права могат да бъдат упражнявани.
(3) Google, Meta и OpenAI вече могат да обучават изкуствен интелект с вашите данни. Проектът на Комисията предвижда и промени в член 6, параграф 1 и член 9, параграф 2 от ОРЗД, за да се позволи обработването на лични данни за ИИ. Това означава, че една високорискова технология, задвижвана от най-личните мисли и чувствителни данни на хората, получава общо "ОК" съгласно ОРЗД. В същото време всяка традиционна база данни или камера за видеонаблюдение остават строго регулирани.
В проекта на Комисията се подчертава необходимостта от "свеждане на данните до минимум" (принцип, който така или иначе вече се прилага съгласно член 5, параграф 1, буква б) от ОРЗД) и се изисква да се въведат неопределени "предпазни мерки". Въпреки това не са предвидени технически критерии или стандарти за такива "предпазни мерки". Единствената конкретна предполагаема защита е "правото на възражение". Но тази идея е обречена на неуспех в повечето случаи:
- Това би означавало, че потребителите в ЕС ще трябва първо да бъдат информирани, че техните данни действително се използват за обучение на ИИ, което до голяма степен е невъзможно. Дружества като OpenAI нямат представа кои лични данни на кого принадлежат, да не говорим за това какви данни за контакт имат. Следователно хората никога няма да разберат, че техните лични данни се използват на първо място
- Ако хората все пак разберат, ще трябва постоянно да възразяват на всички тези компании. Това означава да се намерят стотици администратори, да се попълнят формуляри и да се повтори упражнението за всеки, който провежда обучение по изкуствен интелект поотделно
- И накрая, възражението и съответните данни ще трябва да бъдат "съпоставени", въпреки че потребителите не знаят дали техните данни изобщо се използват - и ако да, кои данни се използват. На свой ред администраторът на данни в повечето случаи няма да може да изпълни възражение, когато целият интернет е остърган.
В крайна сметка: Google, Meta, Microsoft или OpenAI могат да продължат да печелят трилиони (!) от данни, генерирани от европейски компании, артисти или частни лица, като получават "безплатна пропуск" от европейския законодател.
(4) Експлоатацията на системите с изкуствен интелект получава "уайлдкард" по GDPR? Промените в член 6, параграф 1 и член 9, параграф 2 от ОРЗД отиват дори по-далеч от очакваното. Не само разработването на системи с ИИ ще бъде привилегировано, но и експлоатацията на система с ИИ. Терминът "експлоатация" не е дефиниран, но вероятно ще обхваща всеки вид обработка на данни.
Това би довело до гротескна ситуация: Ако личните данни се обработват чрез традиционна база данни, таблица в Excel или софтуер, дружеството трябва да намери правно основание съгласно член 6, параграф 1 от ОРЗД. Ако обаче същото обработване се извършва чрез система с изкуствен интелект, то може да се квалифицира като "законен интерес" съгласно член 6, параграф 1, буква е) от ОРЗД. Това би дало предимство на една (рискова) технология пред всички други форми на обработване на данни и би било в противоречие с "технологично неутралния" подход на GDPR.
(5) Чувствителни данни като данни за здравето, политиката или сексуалния живот са обхванати само ако са "пряко разкрити"? Член 9 от ОРЗД изрично защитава "чувствителни" данни относно здравето, политическите убеждения, сексуалния живот, сексуалната ориентация или членството в синдикати на хората. Досега Съдът на ЕС постановяваше, че такава информация е защитена и ако може да бъде извлечена само от друга информация. Сега Комисията се опитва да преобърне закона и иска да ограничи защитата по член 9 само ако такава чувствителна информация е "пряко разкрита".
Въпреки това хората, които "пряко разкриват", че са бременни, имат рак или са хомосексуалисти, обикновено се нуждаят от тази защита в по-малка степен, отколкото хората, за които такава чувствителна информация може да бъде само "извлечена" от друга информация. Класически пример за това са работодателите, които използват "големи данни", за да направят извод, че дадена жена е бременна - за да уволнят след това бързо това лице, за да избегнат социални плащания и други подобни. В момента това попада в обхвата на член 9 от ОРЗД. В бъдеще то ще бъде сведено до защитата по член 6 от ОРЗД - докато лице, което публично обяви бременността си, ще попадне в обхвата на член 9 от ОРЗД.
От гледна точка на физическите лица подобно ограничение е безсмислено, но Комисията изглежда е загрижена главно за дружествата, които искат да използват такива данни за обучение на изкуствен интелект. Филтрирането за "бременна съм" е по-лесно от филтрирането на 1000 сигнала, които позволяват на Meta или Google да разберат, че човек е бременна.
Тази промяна би нарушила член 6 от Конвенция № 108 на Съвета на Европа, в която се използва настоящата формулировка на GDPR ("разкриване") и която е ратифицирана от 55 държави.
(6) Извличане на лични данни от вашето устройство? Досега член 5, параграф 3 от ОРЗД защитаваше потребителите срещу отдалечен достъп до данни, съхранявани на "крайни устройства", като компютри или смартфони. Това се основава на правото на защита на комуникациите съгласно член 7 от Хартата и гарантира, че дружествата не могат да "претърсват" устройствата от разстояние.
Сега обаче предложението на Комисията позволява - в зависимост от прочита на проекта - до 10 (!) правни основания за извличане на информация от лично устройство - или поставяне на технология за проследяване на вашето устройство (като "бисквитки"). Четирите "бели списъци" на операциите по обработване на данни за достъп до крайни устройства сега ще включват "обобщени статистически данни" и "цели на сигурността". Въпреки че общата посока на промените е разбираема, формулировката е изключително либерална и би позволила и прекомерно "търсене" в устройствата на потребителите за (малки) цели на сигурността.
Освен това ще бъдат налични всички правни основания по член 6, параграф 1 от ОРЗД. В комбинация това би могло да доведе до абсурдни резултати: Обучението с изкуствен интелект би било "законен интерес", а компаниите вече могат да имат дистанционен достъп до личните данни на вашето устройство за такъв "законен интерес". Следователно би било възможно законът да се тълкува така, че компании като Google да могат да използват данни от всякакви приложения за Android, за да обучават своя изкуствен интелект Gemini. Особено компаниите от сектора на "големите технологии" много вероятно биха имали още по-разширен прочит на проектотекста. Съмнително е дали авторите на проектозакона някога са мислили за тези комбинации.
