Jak stopniowo ujawniały w ostatnich dniach różne serwisy informacyjne, Komisja Europejska potajemnie uruchomiła potencjalnie masową reformę RODO. Jeśli wewnętrzne projekty staną się rzeczywistością, będzie to miało znaczący wpływ na podstawowe prawo ludzi do prywatności i ochrony danych. Reforma byłaby częścią tak zwanego "cyfrowego omnibusa", który miał przynieść jedynie ukierunkowane dostosowania w celu uproszczenia zgodności dla przedsiębiorstw. Teraz Komisja proponuje zmiany w podstawowych elementach, takich jak definicja "danych osobowych" i wszystkie prawa osób, których dane dotyczą, wynikające z RODO. Wyciekły projekt sugeruje również przyznanie firmom zajmującym się sztuczną inteligencją (takim jak Google, Meta czy OpenAI) czeku in blanco na zasysanie danych osobowych Europejczyków. Ponadto, szczególna ochrona danych wrażliwych, takich jak dane zdrowotne, poglądy polityczne czy orientacja seksualna, zostałaby znacznie ograniczona. Umożliwiono by również zdalny dostęp do danych osobowych na komputerach lub smartfonach bez zgody użytkownika. Wiele elementów planowanej reformy obaliłoby orzecznictwo TSUE, naruszyłoby europejskie konwencje i Europejską Kartę Praw Podstawowych. Czy ten skrajny projekt stanie się oficjalnym stanowiskiem Komisji Europejskiej, okaże się dopiero 19 listopada, kiedy "Cyfrowy Omnibus" zostanie oficjalnie zaprezentowany. Schrems: "Byłoby to masowe obniżenie poziomu prywatności Europejczyków dziesięć lat po przyjęciu RODO."
- Tabela przeglądowa projektu i komentarze noyb
- Wyciekły dokument na temat stanowisk państw członkowskich (w dużej mierze nie proszący o reformy)
- Wyciekły dokument Niemiec (proszący o masową reformę, ale w dużej mierze nie teraz)
- Wyciek oryginalnego tekstu (za pośrednictwem Netzpolitik.org)
- Oryginalne doniesienia MLex (płatne), doniesienia Reuters i doniesienia Netzpolitik.org
Tajny "przyspieszony" atak na RODO. Komisja Europejska planuje uprościć kilka przepisów UE za pomocą tak zwanej reformy "Omnibus", narzędzia, które zwykle zmienia różne mniejsze elementy kilku przepisów w sposób horyzontalny, aby poprawić jakość prawa i usprawnić obowiązki związane z papierkową robotą. W przeciwieństwie do tradycyjnego podejścia do stanowienia prawa, Omnibus jest przeprowadzany w ramach "szybkiej ścieżki", która przeskakuje kilka elementów procesu, w tym oceny skutków i daje czas na informacje zwrotne od służb prawnych i odpowiednich jednostek w instytucjach UE. Jest to akceptowalne, jeśli wprowadzane są tylko niesporne, proste ulepszenia.
Jak jednak ujawniono, służby Komisji Europejskiej pod kierownictwem wiceprzewodniczącej wykonawczej Henny Virkkunen (tzw."DG CONNECT") pracują nad masową reformą RODO pod hasłem rzekomego "uproszczenia" lub "wyjaśnienia".
Max Schrems:"Projekt jest nie tylko ekstremalny, ale także bardzo źle zredagowany. Nie pomaga "małym firmom", jak obiecano, ale ponownie przynosi korzyści głównie "wielkim technologiom""
Pierwotny plan Komisji zakładał przeprowadzenie tzw. "Digital Fitness Check" w 2026 r., zebranie niezbędnych dowodów, a następnie przeprowadzenie ukierunkowanej i dobrze opracowanej aktualizacji RODO i innych przepisów cyfrowych.
UE "podskakuje" na niemieckich czy amerykańskich żądaniach? Zarówno zainteresowane strony, jak i państwa członkowskie wyraźnie zażądały, aby nie otwierać ponownie RODO. W podsumowaniu stanowisk państw członkowskich prawie wszystkie państwa członkowskie, które przekazały informacje zwrotne, stwierdziły, że nie chcą żadnych zmian. Niemcy naciskały jednak na wprowadzenie znaczących zmian w RODO, które wykraczają poza pierwotny mandat tego prawa. Wydaje się, że Komisja po prostu "wskoczyła" na niemiecki dokument, który wyciekł w zeszłym tygodniu, biorąc pod uwagę, że wiele zmian w projekcie wydaje się być kopią 1: 1 żądań zawartych w wyciekającym niemieckim piśmie. Niemcy nie przedstawiły dowodów na potrzebę wspomnianych reform - nie jest jasne, skąd pochodzą te żądania. Inne głosy wskazują na niedawne doniesienia Politico, że przesłanie Virkkunena do amerykańskich firm podczas bezpośrednich spotkań było takie, żeUE dokona przeglądu swoich zasad i stanie się bardziej przyjazna dla biznesu.
Max Schrems:"Nie jest jasne, skąd pochodzi presja polityczna. Większość państw członkowskich poprosiła o niewielkie zmiany i brak ponownego otwarcia. Niemcy tradycyjnie zajmują w Europie stanowisko anty-GDPR. Wydaje się, że łatwiej jest obwiniać niektóre przepisy UE za niemieckie problemy z cyfryzacją, niż naprawiać sprawy na szczeblu krajowym. Nie jesteśmy zaskoczeni, że najnowsze naciski ponownie pochodzą z Niemiec. Pojawiają się doniesienia, że również presja ze strony USA może odegrać pewną rolę"
Czytając pierwszy wewnętrzny projekt, jasne jest, że potencjalne szkody dla RODO (szczegóły poniżej) byłyby ogromne. Duża część projektu narusza europejskie konwencje, Kartę Praw Podstawowych lub utrwalone orzecznictwo Trybunału Sprawiedliwości. Nie wiadomo, czy jest to zamierzone , czy też wynika z szybkiego tempa prac i wynikającej z tego niskiej jakości projektu. Brukselscy informatorzy donoszą, że niektóre jednostki miały tylko pięć (!) dni roboczych na skomentowanie ponad 180-stronicowego projektu ustawy.
Max Schrems: "Wydaje się, że jedna część Komisji Europejskiej próbuje wyprzedzić wszystkich innych w Brukseli, lekceważąc zasady dobrego stanowienia prawa, z potencjalnie fatalnymi skutkami. To bardzo niepokojące, że Trumpowskie praktyki stanowienia prawa przyjmują się w Brukseli"
Tunelowa wizja "wyścigu AI"? Chociaż może istnieć kilka dobrych sposobów na ulepszenie i uproszczenie RODO, proponowane zmiany wydają się cierpieć z powodu "wizji tunelowej" w zakresie umożliwienia szkolenia i wykorzystywania sztucznej inteligencji - nawet w odniesieniu do danych osobowych. Jednak w niedawnym badaniu tylko 7% Niemców stwierdziło, że chce, aby Meta wykorzystywała ich dane osobowe do szkolenia sztucznej inteligencji. Niemniej jednak reforma ma na celu każdy element RODO, który mógłby ograniczyć wykorzystanie sztucznej inteligencji.
Max Schrems: "To, co te zmiany wydają się pomijać, to fakt, że większość przetwarzania danych nie jest oparta na sztucznej inteligencji. Potencjalna zmiana, która "uwolniłaby" sztuczną inteligencję, miałaby ogromne niezamierzone konsekwencje dla wielu innych obszarów RODO. Ochrona danych zdrowotnych, mniejszości czy pracowników również zostałaby w tym projekcie zlikwidowana. Duża część branży reklamy internetowej może być w stanie ominąć obowiązki RODO z powodu rozważanych zmian"
Śmierć przez 1000 cięć. Chociaż wiele zmian brzmi technicznie, za każdą "definicją" w RODO kryją się prawa ludzi. Zmiany sięgają od ograniczenia tego, co w ogóle jest uważane za "dane osobowe", a zatem chronione, aż po ograniczenie "prawa dostępu", tak aby pracownicy, dziennikarze lub naukowcy nie mogli już uzyskać dostępu do własnych danych. Zmiany umożliwiają również łagodniejszy dostęp do "wyciągania" danych ze smartfonów, komputerów PC lub podłączonych urządzeń lub w dużej mierze pozwalają firmom na wykorzystywanie danych osobowych Europejczyków do (komercyjnego) szkolenia AI. Podczas gdy firmy często argumentują, że RODO będzie "obciążeniem", w rzeczywistości nawet 1,3% wszystkich skarg dotyczących RODO nie prowadzi do nałożenia grzywny. W Irlandii do tej pory zapłacono tylko 0,6% grzywien.
Max Schrems:"Projekt wyciąłby wiele małych dziur w prawie, co uczyniłoby go ogólnie bezużytecznym w większości przypadków. Już teraz prawie nie egzekwujemy unijnych przepisów dotyczących prywatności, a po wprowadzeniu tych zmian większość spraw, które obecnie wygrywamy, prawdopodobnie przegramy lub będziemy musieli zmierzyć się z jeszcze bardziej złożonymi procedurami"
Zasadniczo brak korzyści dla MŚP i przedsiębiorstw z UE. Oficjalnym powodem "wyjaśnień" i "uproszczeń" w ramach Omnibusa było ograniczenie obciążeń administracyjnych dla małych i średnich przedsiębiorstw (MŚP) w UE. noyb w pełni popiera ten cel. Proponowane zmiany dotyczą jednak głównie firm, które angażują się w szkolenia w zakresie sztucznej inteligencji - a więc firm, które są obecnie wyceniane w bilionach (takich jak OpenAI, Google, Meta, Amazon czy Microsoft). Chociaż istnieją pewne wyjaśnienia, które mogłyby przynieść korzyści MŚP, takie jak zasady dotyczące tego, kiedy należy przeprowadzić tak zwaną "ocenę skutków dla ochrony danych", nie będą one miały większego wpływu na konkurencyjność Europy.
Max Schrems:"Jeśli ten projekt zostanie sfinalizowany, to wszelkie rozmowy o "małych przedsiębiorstwach" i "obciążeniach administracyjnych" będą tylko pokazem, mającym na celu uzyskanie poparcia opinii publicznej. W swej istocie jest to próba masowej deregulacji, obalająca 40 lat europejskiej doktryny praw podstawowych"
Wzywamy do pilnego zatrzymania i właściwego stanowienia prawa. Biorąc pod uwagę, że propozycja ta jest pełna problemów, a także spowodowałaby dużą niepewność prawną, która sprawiłaby, że wiele zmian byłoby podatnych na (skuteczne) ataki prawne przed Trybunałem Sprawiedliwości, to podejście "szybkiej ścieżki" może nie być pomocne dla nikogo - czy to MŚP, organów ochrony danych czy użytkowników. Pierwsze sygnały z Parlamentu Europejskiego podkreślają również, że daleko idące zmiany wyraźnie wstrzymałyby "Omnibus" w Parlamencie. Biorąc pod uwagę, że Komisja zamierza jak najszybciej przyjąć inne elementy cyfrowego Omnibusa, uważamy, że nie ma innego sposobu niż usunięcie większości zmian w RODO z projektu.
Max Schrems: "Oddanie słabo przygotowanego "szybkiego strzału" w bardzo złożonym i wrażliwym obszarze nie tylko zaszkodzi użytkownikom, ale także nie pomoże unijnym firmom. Stawia to również pod znakiem zapytania, czy Omnibus może szybko przejść przez Parlament Europejski i Radę. Komisja ma jeszcze tydzień na podjęcie decyzji, co znajdzie się w ostatecznym wniosku"
Przegląd zmian
Projekt Digital Omnibus proponuje niezliczone zmiany w wielu różnych artykułach RODO. W połączeniu oznacza to "śmierć przez 1000 cięć". Dokonaliśmy ogólnego przeglądu niektórych kluczowych zmian. Aby uzyskać najbardziej szczegółową analizę prawną, pobierz nasz przegląd PDF tutaj. Wszystkie wymienione poniżej zmiany opierają się na naszych najlepszych staraniach, aby zrozumieć wewnętrzne projekty Komisji. Niektóre elementy są niejasne i sprzeczne w projekcie tekstu i są tak niskiej jakości, że prawdziwe znaczenie i intencje tekstów nie zawsze są jasne.
(1) Nowa luka w RODO poprzez "pseudonimy" lub "identyfikatory"? Wygląda na to, że Komisja planuje znacznie zawęzić definicję "danych osobowych" - co spowodowałoby, że RODO nie miałoby zastosowania w wielu przypadkach. Plan zakłada dodanie "subiektywnego podejścia" w tekście RODO. Oznaczałoby to, że jeśli konkretna firma nie może zidentyfikować osoby, dane nie są "osobowe" dla tej firmy - a RODO przestaje mieć zastosowanie.
Ponadto projekt odnosi się do narzędzi identyfikacji, które mogą być używane przez każdego konkretnego administratora danych. Wymagałoby to dalszych badań i przewidywań dotyczących wewnętrznego funkcjonowania i przyszłych działań konkretnej firmy, aby wiedzieć, czy dana osoba nadal korzysta ze swoich praw wynikających z RODO. W praktyce sprawia to, że RODO nie jest już egzekwowalne i prowadziłoby do niekończących się debat i walk na temat prawdziwych intencji i planów firmy.
Projekt można przynajmniej odczytać jako porzucenie poglądu, że techniki "wyodrębniania" osoby są nadal objęte prawem. Zamiast tego brzmienie projektu wskazuje na ogólne zwolnienie z RODO, jeśli administratorzy używają po prostu "pseudonimów" (takich jak "user12473" lub dane ze śledzącego pliku cookie) zamiast nazwisk. Oznaczałoby to, że całe sektory przemysłu, które do tej pory są objęte RODO i działają za pomocą "pseudonimów" lub losowych numerów identyfikacyjnych, nie byłyby już (w pełni) objęte. Mogłoby to dotyczyć niemal wszystkich systemów śledzenia online, reklam internetowych i większości brokerów danych.
Zmiana ta znacznie odbiegałaby również od dość szerokiej interpretacji Trybunału Sprawiedliwości (TSUE). Od ponad 20 lat istnieje orzecznictwo, które wspiera szerokie rozumienie tego, co stanowi "dane osobowe".
Biorąc pod uwagę, że termin "dane osobowe" pochodzi z art. 8 Karty, jest bardzo prawdopodobne, że tak głęboka zmiana nie przetrwałaby kontroli TSUE.
(2) Prawo do dostępu, usunięcia lub korekty uzyskuje "ograniczenie celów". Jedną z ogromnych zmian (na żądanie Niemiec) jest ograniczenie korzystania z praw osób, których dane dotyczą (takich jak dostęp do danych, sprostowanie lub usunięcie) wyłącznie do "celów ochrony danych". I odwrotnie, oznacza to, że jeśli pracownik wykorzysta wniosek o dostęp do danych w sporze pracowniczym dotyczącym bezpłatnych godzin pracy - na przykład w celu uzyskania rejestru przepracowanych godzin - pracodawca może go odrzucić jako "nadużycie". To samo dotyczyłoby dziennikarzy lub badaczy.
W szerokim rozumieniu może to pójść jeszcze dalej. Jeśli dana osoba prosi o usunięcie fałszywych danych z rankingu kredytowego, aby uzyskać tańszą pożyczkę w banku, takie "prawo do sprostowania" fałszywych informacji finansowych może nie być wykonywane wyłącznie w celu "ochrony danych", ale z interesu gospodarczego. Nawet przypadki takie jak słynne "prawo do bycia zapomnianym" mogą nie być postrzegane jako "interes ochrony danych", jeśli osoba żądająca usunięcia danych publicznych robi to w interesie biznesowym.
Pomysł ten stanowi wyraźne naruszenie orzecznictwa TSUE i art. 8 ust. 2 Karty. Prawo do informacyjnego samostanowienia ma wyraźnie na celu zniwelowanie luki informacyjnej między użytkownikami a firmami, które przechowują informacje, ponieważ coraz więcej informacji jest ukrytych na serwerach firm (np. kopie kart czasu pracy). TSUE wielokrotnie orzekał, że Europejczycy mogą korzystać z tych praw w dowolnym celu - w tym w celu prowadzenia sporów sądowych lub generowania dowodów.
RODO ma już ograniczenia dotyczące "nadużywania" praw wynikających z RODO (takich jak odmowa dostępu do danych lub konieczność uiszczenia opłaty), ale Komisja chce teraz również ograniczyć powody, dla których można korzystać z tych praw.
(3) Google, Meta i OpenAI mogą teraz szkolić sztuczną inteligencję z wykorzystaniem danych użytkownika. Projekt Komisji przewiduje również zmiany w art. 6 ust. 1 i art. 9 ust. 2 RODO, aby umożliwić przetwarzanie danych osobowych na potrzeby sztucznej inteligencji. Oznacza to, że technologia wysokiego ryzyka, napędzana najbardziej osobistymi myślami ludzi i wrażliwymi danymi, otrzymuje ogólne "OK" na mocy RODO. Jednocześnie każda tradycyjna baza danych lub kamera CCTV pozostaje ściśle regulowana.
Projekt Komisji podkreśla potrzebę "minimalizacji danych" (zasada, która i tak ma już zastosowanie na mocy art. 5 ust. 1 lit. b) RODO) i wymaga wprowadzenia niezdefiniowanych "zabezpieczeń". Nie ma jednak technicznych punktów odniesienia ani standardów dla takich "zabezpieczeń". Jedyną konkretną domniemaną ochroną jest "prawo do sprzeciwu". Pomysł ten jest jednak w większości przypadków skazany na porażkę:
- Oznaczałoby to, że użytkownicy w UE musieliby najpierw zostać poinformowani, że ich dane są faktycznie wykorzystywane do szkolenia AI, co jest w dużej mierze niemożliwe. Firmy takie jak OpenAI nie mają pojęcia, które dane osobowe należą do kogo, nie mówiąc już o tym, jakie dane kontaktowe posiadają. Dlatego ludzie nigdy nie dowiedzą się, że ich dane osobowe są wykorzystywane w pierwszej kolejności
- Jeśli ludzie i tak się dowiedzą, będą musieli stale sprzeciwiać się wszystkim tym firmom. Oznacza to konieczność znalezienia setek administratorów, wypełnienia formularzy i powtórzenia tego ćwiczenia dla każdego, kto prowadzi szkolenie AI indywidualnie
- Wreszcie, sprzeciw i odpowiednie dane musiałyby zostać "dopasowane", mimo że użytkownicy nie wiedzieliby, czy ich dane są w ogóle wykorzystywane - a jeśli tak, to które dane są wykorzystywane. Z kolei administrator danych w większości przypadków nie będzie w stanie wykonać sprzeciwu, gdy cały internet zostanie zeskrobany.
Konkluzja: Google, Meta, Microsoft czy OpenAI mogą nadal zarabiać biliony (!) na danych, które zostały wygenerowane przez europejskie firmy, artystów lub osoby prywatne, jednocześnie otrzymując "darmową przepustkę" od europejskiego ustawodawcy.
(4) Działanie systemów AI otrzyma "dziką kartę" RODO? Zmiany w art. 6(1) i 9(2) RODO idą nawet dalej niż oczekiwano. Nie tylko rozwój systemów AI będzie uprzywilejowany, ale także działanie systemu AI. Termin "działanie" nie został zdefiniowany, ale prawdopodobnie obejmie każdy rodzaj przetwarzania danych.
Doprowadziłoby to do groteskowej sytuacji: Jeśli dane osobowe są przetwarzane za pośrednictwem tradycyjnej bazy danych, arkusza Excel lub oprogramowania, firma musi znaleźć podstawę prawną zgodnie z art. 6 ust. 1 RODO. Jeśli jednak to samo przetwarzanie odbywa się za pośrednictwem systemu sztucznej inteligencji, może kwalifikować się jako "uzasadniony interes" zgodnie z art. 6 ust. 1 lit. f) RODO. Uprzywilejowałoby to jedną (ryzykowną) technologię w stosunku do wszystkich innych form przetwarzania danych i byłoby sprzeczne z "neutralnym technologicznie" podejściem RODO.
(5) Dane wrażliwe, takie jak zdrowie, polityka lub życie seksualne, są objęte ochroną tylko wtedy, gdy są "bezpośrednio ujawniane"? Artykuł 9 RODO wyraźnie chroni "wrażliwe" dane dotyczące zdrowia, przekonań politycznych, życia seksualnego, orientacji seksualnej lub przynależności do związków zawodowych. Do tej pory TSUE orzekł, że takie informacje są również chronione, jeśli można je wywnioskować z innych informacji. Komisja próbuje teraz obalić to prawo i chce ograniczyć ochronę wynikającą z art. 9 tylko wtedy, gdy takie wrażliwe informacje są "bezpośrednio ujawniane".
Jednak osoby, które "bezpośrednio ujawniają", że są w ciąży, mają raka lub są gejami, zwykle potrzebują tej ochrony w mniejszym stopniu niż osoby, o których takie wrażliwe informacje można jedynie "wywnioskować" z innych informacji. Klasycznym tego przykładem są pracodawcy, którzy wykorzystują "duże zbiory danych", aby wywnioskować, że kobieta jest w ciąży - a następnie szybko zwolnić taką osobę, aby uniknąć płatności socjalnych i tym podobnych. Obecnie podpadałoby to pod art. 9 RODO. W przyszłości zostałoby to ograniczone do ochrony na mocy art. 6 RODO - podczas gdy osoba publicznie ogłaszająca swoją ciążę podlegałaby art. 9 RODO.
Z perspektywy osób fizycznych takie ograniczenie nie ma sensu, ale Komisja wydaje się być głównie zainteresowana firmami, które chcą wykorzystywać takie dane do szkolenia AI. Filtrowanie pod kątem "jestem w ciąży" jest łatwiejsze niż filtrowanie 1000 sygnałów, które pozwalają Meta lub Google dowiedzieć się, że dana osoba jest w ciąży.
Zmiana ta naruszyłaby art. 6 Konwencji Rady Europy nr 108, która wykorzystuje obecne sformułowanie RODO ("ujawniające") i została ratyfikowana przez 55 krajów.
(6) Wyciąganie danych osobowych z urządzenia? Do tej pory art. 5(3) ePrivacy chronił użytkowników przed zdalnym dostępem do danych przechowywanych na "urządzeniach końcowych", takich jak komputery lub smartfony. Opiera się to na prawie do ochrony komunikacji na mocy art. 7 Karty i zapewnia, że firmy nie mogą "zdalnie przeszukiwać" urządzeń.
Jednakże wniosek Komisji dopuszcza obecnie - w zależności od odczytania projektu - do 10 (!) podstaw prawnych do pobierania informacji z urządzenia osobistego - lub umieszczania technologii śledzenia na urządzeniu (takich jak "pliki cookie"). Cztery operacje przetwarzania z "białej listy" dotyczące dostępu do urządzeń końcowych będą teraz obejmować "zagregowane statystyki" i "cele bezpieczeństwa". Chociaż ogólny kierunek zmian jest zrozumiały, sformułowanie jest niezwykle liberalne i pozwoliłoby również na nadmierne "przeszukiwanie" urządzeń użytkowników w (niewielkich) celach bezpieczeństwa.
Ponadto dostępne byłyby wszystkie podstawy prawne wynikające z art. 6 ust. 1 RODO. W połączeniu mogłoby to prowadzić do absurdalnych rezultatów: Szkolenie AI byłoby "uzasadnionym interesem", a firmy mogą teraz zdalnie uzyskiwać dostęp do danych osobowych na urządzeniu użytkownika dla takiego "uzasadnionego interesu". W związku z tym możliwe byłoby odczytanie prawa, że firmy takie jak Google mogą wykorzystywać dane z dowolnych aplikacji na Androida do szkolenia swojej sztucznej inteligencji Gemini. Zwłaszcza firmy "Big Tech" najprawdopodobniej jeszcze szerzej odczytałyby projekt tekstu. Wątpliwe jest, czy autorzy projektu ustawy kiedykolwiek pomyśleli o takich kombinacjach.
