Interní návrh Evropské komise by narušil základní zásady GDPR

• Přehledová tabulka návrhu a komentáře od noyb
• Uniklý dokument o postojích členských států (většinou nežádají reformy)
• Uniklý dokument Německa (požaduje rozsáhlé reformy, ale z velké části ne nyní)
• Únik původního textu (prostřednictvím Netzpolitik.org)
• Původní zprávy MLex (paywalled), zprávy Reuters a zprávy Netzpolitik.org

Tajný "urychlený" útok na GDPR. Evropská komise plánuje zjednodušit několik zákonů EU prostřednictvím tzv. reformy "Omnibus", což je nástroj, který obvykle horizontálně mění různé menší prvky několika zákonů, aby se zlepšila kvalita práva a zjednodušily se povinnosti v oblasti papírování. Na rozdíl od tradičního přístupu k tvorbě právních předpisů se Omnibus provádí prostřednictvím "zrychleného" postupu, který přeskakuje několik prvků procesu, včetně posouzení dopadů a poskytnutí času na zpětnou vazbu ze strany právních služeb a příslušných útvarů v institucích EU. To je přijatelné, pokud se jedná pouze o nesporná, jednoduchá zlepšení.

Jak však bylo odhaleno, útvary Evropské komise pod vedením výkonné místopředsedkyně Henny Virkkunen (tzv."DG CONNECT") pracují na rozsáhlé reformě GDPR pod hlavičkou údajného "zjednodušení" či "vyjasnění".

Max Schrems:"Návrh je nejen extrémní, ale také velmi špatně vypracovaný. Nepomáhá "malým podnikům", jak bylo slibováno, ale opět prospívá především "velkým technologiím"."

Původní plán Komise byl provést v roce 2026 takzvanou "kontrolu digitální způsobilosti", shromáždit potřebné důkazy a poté provést cílenou a dobře propracovanou aktualizaci GDPR a dalších digitálních zákonů.

EU "skočí" na německé nebo americké požadavky? Zúčastněné strany i členské státy výslovně požádaly, aby se GDPR znovu neotevíralo . V přehledu stanovisek členských států téměř všechny členské státy, které poskytly zpětnou vazbu, uvedly, že nechtějí žádnou změnu. Německo však prosazovalo významné změny GDPR, které jdou nad rámec původního zadání tohoto zákona. Zdá se, že Komise jednoduše "skočila" na německý neoficiální dokument, který unikl minulý týden, vzhledem k tomu, že mnohé změny v návrhu se zdají být 1:1 kopií požadavků v uniklém německém dopise. Německo neposkytlo důkazy o potřebě zmíněných reforem - není jasné, odkud tyto požadavky pocházejí. Jiné hlasy poukazují na nedávnou zprávu serveru Politico, že Virkkunenova zpráva americkým podnikům při přímých jednáních zněla, žeEU přezkoumá svá pravidla a stane se přívětivější k podnikům.

Max Schrems:"Není jasné, odkud pochází politický tlak. Většina členských států požadovala drobné změny a žádné znovuotevření. Německo v Evropě tradičně zaujímá postoj proti GDPR. Zdá se, že je jednodušší obvinit z německých problémů s digitalizací nějaký zákon EU, než věci napravit na národní úrovni. Nepřekvapuje nás, že tento poslední nátlak přichází opět z Německa. Objevují se zprávy, že svou roli by mohl sehrát i tlak ze strany USA."

Při čtení prvního interního návrhu je zřejmé, že potenciální škody na GDPR (viz podrobnosti níže) by byly obrovské. Velké části návrhu porušují evropské úmluvy, Listinu základních práv nebo ustálenou judikaturu Soudního dvora. Zda je to záměr nebo důsledek rychlého tempa prací a z toho vyplývající nízké kvality návrhu, zůstává otevřené. Zasvěcení bruselští pracovníci informovali, že některé útvary měly na připomínky k více než 180stránkovému návrhu zákona pouhých pět (!) pracovních dnů.

Max Schrems: "Zdá se, že jedna část Evropské komise se snaží předběhnout všechny ostatní v Bruselu a nerespektuje pravidla dobré tvorby zákonů, což může mít hrozivé výsledky. Je velmi znepokojující, že se v Bruselu prosazují trumpovské zákonodárné praktiky."

Tunelové vidění v "závodě o umělou inteligenci"? Ačkoli by se dalo najít několik dobrých způsobů, jak GDPR zlepšit a zjednodušit, zdá se, že navrhované změny trpí "tunelovým viděním" ohledně umožnění výcviku a využívání umělé inteligence - a to i v oblasti osobních údajů. V nedávné studii však pouze 7 % Němců uvedlo, že chtějí, aby Meta používala jejich osobní údaje k tréninku AI. Reforma nicméně cílí na všechny prvky GDPR, které by mohly omezit používání AI.

Max Schrems: "Zdá se, že tyto změny přehlížejí, že většina zpracování dat není založena na AI. Případná změna, která by "osvobodila" AI, by měla obrovské nezamýšlené důsledky pro mnoho dalších oblastí GDPR. Ochrana zdravotních údajů, menšin nebo zaměstnanců by byla v tomto návrhu také zabita. Velká část online reklamního byznysu by mohla díky zvažovaným změnám obejít povinnosti vyplývající z GDPR."

Smrt tisícem řezů. Ačkoli mnohé změny znějí technicky, za každou "definicí" v GDPR se skrývají práva lidí. Změny sahají od omezení toho, co je vůbec považováno za "osobní údaje", a tudíž chráněno, až po omezení "práva na přístup", takže zaměstnanci, novináři nebo výzkumní pracovníci by již neměli přístup ke svým vlastním údajům. Změny také umožňují shovívavý přístup k "vytahování" dat z chytrých telefonů, počítačů či připojených zařízení nebo do značné míry umožňují společnostem využívat osobní údaje Evropanů pro (komerční) trénink umělé inteligence. Ačkoli společnosti často argumentují tím, že GDPR by bylo "zátěží", skutečnost je taková, že ani 1,3 % všech stížností na GDPR nevede k pokutě. V Irsku bylo dosud zaplaceno pouze 0,6 % pokut.

Max Schrems:"Návrh by v zákoně vyškrtal mnoho malých děr, což by ho celkově učinilo nepoužitelným pro většinu případů. Již nyní se setkáváme s téměř nulovou vymahatelností práva EU v oblasti ochrany osobních údajů, s těmito změnami bychom většinu případů, které v současnosti vyhráváme - pravděpodobně prohráli nebo čelili ještě složitějším řízením."

V podstatě žádný přínos pro malé a střední podniky a podniky v EU. Oficiálním důvodem pro "vyjasnění" a "zjednodušení" prostřednictvím Omnibusu bylo omezení administrativní zátěže malých a středních podniků (MSP) v EU. noyb tento cíl plně podporuje. Navrhované změny se však týkají především společností, které se zabývají školením v oblasti umělé inteligence - tedy společností, jejichž hodnota se dnes pohybuje v bilionech (jako OpenAI, Google, Meta, Amazon nebo Microsoft). Existují sice některá upřesnění, která by mohla prospět malým a středním podnikům, například pravidla, kdy je třeba provést takzvané "posouzení vlivu na ochranu osobních údajů", ale ta nebudou mít žádný větší dopad na evropskou konkurenceschopnost.

Max Schrems:"Pokud bude tento návrh konečný, pak jsou veškeré řeči o "malých podnicích" a "administrativní zátěži" zjevně jen vedlejší akcí, která má získat podporu veřejnosti. Ve své podstatě se jedná o masivní pokus o deregulaci, který převrací 40 let trvající evropskou doktrínu základních práv."

Výzva k urychlenému zastavení a řádnému přijetí zákona. Vzhledem k tomu, že tento návrh je plný problémů a vyvolal by také velkou právní nejistotu, která způsobí, že mnohé změny budou náchylné k (úspěšným) právním útokům u Soudního dvora, nemusí být tento "zrychlený" přístup užitečný pro nikoho - ať už jde o malé a střední podniky, orgány pro ochranu údajů nebo uživatele. První náznaky z Evropského parlamentu rovněž zdůrazňují, že dalekosáhlé změny by "Omnibus" v Parlamentu zjevně zdržely. Vzhledem k tomu, že Komise má v úmyslu co nejrychleji schválit další prvky "Digital Omnibus", domníváme se, že není jiné cesty než většinu změn GDPR z návrhu odstranit.

Max Schrems: "Vystřelení špatně připraveného "rychlého výstřelu" ve velmi složité a citlivé oblasti nejenže poškodí uživatele, ale nepomůže ani podnikům v EU. Zpochybňuje také, zda tento omnibus může rychle projít Evropským parlamentem a Radou. Komise má ještě týden na to, aby rozhodla, co bude součástí konečného návrhu."

Přehled změn

Návrh Digital Omnibus navrhuje nespočet změn v mnoha různých článcích GDPR. Ve své kombinaci se jedná o "smrt tisícem škrtů". Sestavili jsme obecný přehled některých klíčových změn. Nejpodrobnější právní analýzu si můžete stáhnout z našeho přehledového PDF souboru zde. Všechny níže uvedené změny vycházejí z naší nejlepší snahy porozumět interním návrhům Komise. Některé prvky jsou v návrhu textu nejasné a rozporuplné a jsou natolik nekvalitní, že skutečný význam a záměr textů není vždy jasný.

(1) Nová mezera v GDPR prostřednictvím "pseudonymů" nebo "ID"? Zdá se, že Komise plánuje výrazně zúžit definici "osobních údajů" - což by vedlo k tomu, že by se GDPR v mnoha případech neuplatnilo. V plánu je doplnit do textu GDPR "subjektivní přístup". To by znamenalo, že pokud určitá společnost nemůže identifikovat osobu, údaje pro ni nejsou "osobní" - a GDPR se přestane uplatňovat.

Kromě toho návrh odkazuje na nástroje pro identifikaci, které bude pravděpodobně používat každý konkrétní správce. To by vyžadovalo další šetření a předpovědi o vnitřním fungování a budoucích krocích konkrétní společnosti, aby bylo možné zjistit, zda osoba stále požívá svých práv podle GDPR. V praxi by se tak GDPR stalo již stěží vymahatelným a vedlo by to k nekonečným debatám a bojům o skutečných záměrech a plánech společnosti.

Z návrhu lze alespoň vyčíst, že se opouští představa, že techniky k "vyčlenění" osoby jsou stále pokryty zákonem. Místo toho znění návrhu naznačuje obecnou výjimku z GDPR, pokud správci místo jmen používají pouze "pseudonymy" (jako je "user12473" nebo údaje ze sledovacího souboru cookie). To by znamenalo, že celá průmyslová odvětví, na která se dosud vztahuje GDPR a která fungují prostřednictvím "pseudonymů" nebo náhodných identifikačních čísel, by již nebyla (plně) pokryta. To by se mohlo týkat téměř veškerého online sledování, online reklamy a většiny zprostředkovatelů údajů.

Tato změna by se také masivně odchýlila od poměrně širokého výkladu Soudního dvora (SDEU). Již více než 20 let existuje judikatura, která podporuje široké chápání toho, co se považuje za "osobní údaje".

Vzhledem k tomu, že pojem "osobní údaje" pochází z článku 8 Listiny, je velmi pravděpodobné, že by takto hluboká změna neprošla kontrolou Soudního dvora EU.

(2) Právo na přístup, výmaz nebo opravu získat "účelové omezení". Jednou z masivních změn (na německou žádost) je omezení využívání práv subjektu údajů (jako je přístup k údajům, oprava nebo výmaz) pouze na "účely ochrany údajů". To naopak znamená, že pokud zaměstnanec využije žádost o přístup v pracovním sporu o neproplacené hodiny - například k získání záznamu o odpracovaných hodinách - mohl by ji zaměstnavatel odmítnout jako "zneužívající". Totéž by platilo pro novináře nebo výzkumné pracovníky.

Při širším výkladu by to mohlo jít ještě dál. Pokud osoba požádá o vymazání nepravdivých údajů o úvěrovém ratingu, aby získala levnější úvěr v bance, nemusí být takové "právo na opravu" nepravdivých finančních informací uplatněno čistě z důvodu "ochrany údajů", ale z ekonomického zájmu. Dokonce ani případy jako známé "právo být zapomenut" nemusí být považovány za "zájem na ochraně údajů", pokud osoba požadující výmaz veřejných údajů tak činí v hospodářském zájmu.

Tato myšlenka je jasným porušením judikatury Soudního dvora EU a čl. 8 odst. 2 Listiny. Právo na informační sebeurčení je výslovně určeno k vyrovnání informační propasti mezi uživateli a společnostmi, které informace uchovávají, neboť na serverech společností se skrývá stále více informací (např. kopie výkazů pracovní doby). Soudní dvůr EU již několikrát rozhodl, že Evropané mohou tato práva uplatňovat za jakýmkoli účelem - včetně vedení soudních sporů nebo vytváření důkazů.

GDPR již obsahuje omezení pro "zneužití" práv GDPR (např. odepření přístupu k údajům nebo nutnost zaplatit poplatek), ale Komise chce nyní omezit i důvody, pro které lze tato práva uplatnit.

(3) Společnosti Google, Meta a OpenAI mohou nyní trénovat umělou inteligenci s vašimi údaji. Návrh Komise rovněž počítá se změnami čl. 6 odst. 1 a čl. 9 odst. 2 GDPR, aby bylo možné zpracovávat osobní údaje pro AI. To znamená, že vysoce riziková technologie, poháněná nejosobnějšími myšlenkami a citlivými údaji lidí, dostává podle GDPR obecné "OK". Zároveň však každá tradiční databáze nebo průmyslová kamera zůstává přísně regulována.

Návrh Komise zdůrazňuje potřebu "minimalizace údajů" (zásada, která již tak jako tak platí podle čl. 5 odst. 1 písm. b) GDPR) a požaduje, aby byla zavedena nedefinovaná "ochranná opatření". Pro tato "ochranná opatření" však neexistují žádná technická měřítka ani standardy. Jedinou konkrétní údajnou ochranou je "právo vznést námitku". Tato myšlenka však ve většině případů nutně selže:

1. To by znamenalo, že uživatelé v EU by museli být nejprve informováni o tom, že jejich údaje jsou skutečně používány k výcviku umělé inteligence, což je do značné míry nemožné. Společnosti, jako je OpenAI, netuší, které osobní údaje komu patří, natož jaké kontaktní údaje mají. Lidé se tedy v první řadě nikdy nedozvědí, že jsou jejich osobní údaje využívány.
   
2. Pokud by se to lidé přesto dozvěděli, museli by u všech těchto společností neustále vznášet námitky. To znamená vyhledat stovky správců, vyplnit formuláře a opakovat toto cvičení pro každého, kdo provádí školení AI individuálně
   
3. Nakonec by bylo nutné "sladit" námitku a příslušné údaje, přestože uživatelé nevědí, zda jsou jejich údaje vůbec použity - a pokud ano, které údaje jsou použity. Správce zase většinou nebude schopen námitku provést, když je celý internet seškrábán.

Sečteno a podtrženo: Google, Meta, Microsoft nebo OpenAI mohou i nadále vydělávat biliony (!) na údajích, které byly vytvořeny evropskými společnostmi, umělci nebo soukromými osobami, a zároveň dostanou od evropského zákonodárce "volnou ruku".

(4) Provoz systémů umělé inteligence dostane "divokou kartu" GDPR? Změny čl. 6 odst. 1 a čl. 9 odst. 2 GDPR jdou ještě dále, než se očekávalo. Privilegován by byl nejen vývoj systémů UI, ale i provoz systému UI. Pojem "provoz" není definován, ale bude pravděpodobně zahrnovat jakýkoli typ zpracování údajů.

To by vedlo ke groteskní situaci: Pokud jsou osobní údaje zpracovávány prostřednictvím tradiční databáze, excelové tabulky nebo softwaru, musí společnost najít právní základ podle čl. 6 odst. 1 GDPR. Pokud je však stejné zpracování prováděno prostřednictvím systému umělé inteligence, může být kvalifikováno jako "oprávněný zájem" podle čl. 6 odst. 1 písm. f) GDPR. To by upřednostňovalo jednu (rizikovou) technologii před všemi ostatními formami zpracování údajů a bylo by to v rozporu s "technologicky neutrálním" přístupem GDPR.

(5) Citlivé údaje, jako je zdraví, politika nebo sexuální život, jsou zahrnuty pouze tehdy, pokud jsou "přímo odhaleny"? Článek 9 GDPR výslovně chrání "citlivé" údaje týkající se zdraví, politického přesvědčení, sexuálního života, sexuální orientace nebo členství v odborech. Soudní dvůr EU dosud rozhodoval, že tyto informace jsou chráněny také tehdy, pokud je lze odvodit pouze z jiných informací. Komise se nyní snaží tento zákon zvrátit a chce omezit ochranu podle článku 9 pouze v případě, že jsou takové citlivé informace "přímo odhaleny".

Lidé, kteří "přímo odhalí", že jsou těhotní, mají rakovinu nebo jsou homosexuálové, však tuto ochranu obvykle potřebují méně než lidé, o nichž lze takové citlivé informace pouze "odvodit" z jiných informací. Klasickým příkladem jsou zaměstnavatelé, kteří z "velkých dat" vyvodí, že je žena těhotná - aby pak takovou osobu rychle propustili a vyhnuli se tak sociální výplatě a podobně. Právě nyní by to spadalo pod článek 9 GDPR. V budoucnu by se to omezilo na ochranu podle článku 6 GDPR - zatímco osoba veřejně oznamující své těhotenství by spadala pod článek 9 GDPR.

Z pohledu jednotlivců takové omezení nedává smysl, ale zdá se, že Komisi jde hlavně o společnosti, které chtějí takové údaje využívat pro trénink umělé inteligence. Filtrování pro "jsem těhotná" je jednodušší než filtrování 1000 signálů, díky nimž Meta nebo Google zjistí, že je osoba těhotná.

Tato změna by byla v rozporu s článkem 6 Úmluvy Rady Evropy č. 108, která používá současné znění GDPR ("odhalování") a kterou ratifikovalo 55 zemí.

(6) Stahování osobních údajů ze zařízení? Ustanovení čl. 5 odst. 3 nařízení ePrivacy dosud chránilo uživatele před dálkovým přístupem k údajům uloženým v "koncových zařízeních", jako jsou počítače nebo chytré telefony. To vycházelo z práva na ochranu komunikace podle článku 7 Listiny a zajistilo, že společnosti nemohou "na dálku prohledávat" zařízení.

Návrh Komise však nyní umožňuje - v závislosti na čtení návrhu - až 10 (!) právních základů pro stahování informací z osobního zařízení - nebo umístění sledovací technologie do zařízení (např. "cookies"). Mezi čtyři "bíle vyjmenované" operace zpracování pro přístup ke koncovým zařízením by nyní patřily "souhrnné statistiky" a "bezpečnostní účely". Zatímco obecný směr změn je pochopitelný, formulace je extrémně liberální a umožnila by i nadměrné "vyhledávání" v zařízeních uživatelů pro (nepatrné) bezpečnostní účely.

Kromě toho by byly k dispozici všechny právní základy podle čl. 6 odst. 1 GDPR. V kombinaci by to mohlo vést k absurdním výsledkům: Školení umělé inteligence by bylo "oprávněným zájmem" a společnosti by nyní mohly za tímto "oprávněným zájmem" přistupovat k osobním údajům v zařízení na dálku. V důsledku toho by bylo možné vykládat zákon tak, že společnosti, jako je Google, mohou používat údaje z jakýchkoli aplikací pro Android k trénování své umělé inteligence Gemini. Zejména "Big Tech" společnosti by velmi pravděpodobně měly ještě expanzivnější výklad návrhu textu. Je otázkou, zda autoři návrhu zákona o těchto kombinacích vůbec uvažovali.