Digitálny Omnibus: Komisia EÚ chce zničiť základné zásady GDPR

• Úplné znenie návrhu Komisie EÚ

Najväčšie obmedzenie práv na súkromie za posledné roky. Priemyselné lobistické skupiny úspešne využili európsky strach z globálneho ekonomického tlaku na to, aby požadovali masívne obmedzenie digitálnych práv Európanov. Náhle zmeny, ktoré boli dnes navrhnuté, môžu narušiť viac ako 40 rokov jasného európskeho postoja proti komerčnému sledovaniu súkromnými subjektmi, ktorý je zakotvený aj v článku 8 Charty základných práv Európskej únie a ktorý má širokú podporu európskej verejnosti.

Max Schrems: "Digitálny omnibus by priniesol výhody najmä veľkým technologickým spoločnostiam, pričom priemerným spoločnostiam v EÚ by nepriniesol žiadne hmatateľné výhody. Táto navrhovaná reforma je prejavom paniky v súvislosti s formovaním digitálnej budúcnosti Európy, nie prejavom vodcovstva. To, čo skutočne potrebujeme, je strategický, dobre navrhnutý dlhodobý plán na posun Európy vpred."

Malá politická podpora pre zmeny. Európska komisia vytiahla túto reformu GDPR z klobúka napriek tomu, že väčšina členských štátov EÚ výslovne žiadala, aby sa GDPR znovu neotváralo. Okrem toho uniknuté texty minulý týždeň vyvolali silný odpor stredových a ľavicových skupín Európskeho parlamentu (S&D, Renew a Zelení), ktoré výslovne vyzvali Komisiu, aby zastavila tieto rozsiahle škrty v GDPR. Okrem toho, 127 organizácií občianskej spoločnosti (vrátane noyb) ostro kritizovalo neočakávaný zásah Komisie a únik textu.

Napriek tomu dnes pod vedením predsedníčky Komisie Ursuly von der Leyenovej, Podpredsedníčky Henny Virkkunenovej a Michaela McGratha, komisára pre spravodlivosť, sa Komisia rozhodla pokračovať v rozsiahlych zmenách v GDPR. Hovorí sa o masívnom politickom tlaku v rámci Komisie na zníženie počtu zákonov - bez riadneho procesu alebo analýzy.

Max Schrems: "Politická podpora týchto škrtov zo strany verejnosti, členských štátov a Európskeho parlamentu je obmedzená. Zdá sa, že Európska komisia sa jednoducho snaží všetkých ostatných prevalcovať prostredníctvom "zrýchleného" postupu, ktorý vyzerá skôr ako panická reakcia než ako dobre premyslená, na dôkazoch založená tvorba právnych predpisov."

Súvislosti: Vplyv Nemecka alebo USA? Jednou z hnacích síl reformy, pre ktorú "papierový dôkaz" existuje, je Nemecko. Niektoré hlasy poukazujú aj na nedávnu správu portálu Politico, podľa ktorej Virkkunenová na priamych stretnutiach americkým podnikom odkázala, že EÚ bude "priateľskejšia k podnikom". Existuje aj správy o zvyšujúcom sa tlaku zo strany Trumpovej administratívy aby EÚ obmedzila ochranu s cieľom vyhnúť sa clám.

Hoci nie je jasné, odkiaľ presne tento tlak pochádza, je jasné, že Európska komisia prekvapivo a tajne vykročila ďaleko za hranice pôvodného plánu "Digital Omnibus", ktorý by mal nie mal zahŕňať zmeny nariadenia GDPR.

Európska komisia "postupuje rýchlo - a porušuje veci". Zdá sa, že namiesto toho, aby sa Európska komisia držala pôvodného plánu "kontroly digitálnej kondície" v roku 2026 s cieľom znížiť administratívnu záťaž, riadi sa heslom Silicon Valley, aby "rýchlo sa hýbať a rozbíjať veci", aby presadila reformy základných pravidiel v zrýchlenom konaní. Absencia akéhokoľvek posúdenia vplyvu alebo zhromažďovania dôkazov hádže cez palubu dlhodobo zavedené zásady minimálnych noriem pre tvorbu právnych predpisov EÚ a nasleduje "trumpovský" typ nepravidelných zmien . Dôsledkom je veľmi zlá príprava a právo, ktoré nie je vhodné na daný účel.

Max Schrems: "Tieto zmeny sa udiali bez riadnych postupov a nie sú založené na dôkazoch, ale skôr na strachu a tvrdeniach priemyslu. 'Rýchlo konať a ničiť veci' nie je heslo, ktoré funguje pri presadzovaní právnych predpisov ovplyvňujúcich nielen životy 450 miliónov ľudí, ale v konečnom dôsledku aj riadne fungovanie našich spoločností a demokracií."

"Tunelové videnie umelej inteligencie". Zdá sa, že cieľom navrhovanej reformy GDPR je predovšetkým odstrániť všetky prekážky, ktoré by mohli obmedziť využívanie osobných údajov, ako sú údaje zo sociálnych médií, na účely umelej inteligencie. Mnohé z týchto zmien by však mali obrovské dôsledky pre spoločnosť v iných oblastiach, než je UI, napríklad v oblasti online reklamy.

Max Schrems: "Umelá inteligencia môže byť jednou z najvplyvnejších a najnebezpečnejších technológií pre našu demokraciu a spoločnosť. Napriek tomu naratív o "pretekoch v umelej inteligencii" viedol politikov dokonca k tomu, že vyhodili z okna ochranu, ktorá nás mala presne chrániť pred tým, aby všetky naše údaje putovali do veľkého neprehľadného algoritmu."

Žiadne výhody pre európske malé a stredné podniky - ale otvárajú sa brány pre "veľkých". Napriek častým sľubom, že sa zníži najmä záťaž malých európskych podnikov, navrhované zmeny sú všetko len nie zjednodušením. Väčšina článkov sa stáva zložitejšou, nejasnou a nelogickou. Namiesto toho, aby sa Komisia snažila znížiť potrebu papierovania (čo je hlavný problém európskych podnikov), zavádza právne medzery, ktoré budú môcť využívať len veľké korporácie a veľké advokátske kancelárie.

Max Schrems: "Hoci Komisia neustále tvrdí, že táto reforma bude dobrá pre malé podniky, v týchto zmenách je pre ne len veľmi málo. Zmeny v zaužívaných právnych predpisoch len zvýšia koncentráciu na trhu, vyvolajú väčšiu právnu neistotu, vyvolajú nové súdne spory a budú vyžadovať drahšie právne poradenstvo. Jediným skutočným príjemcom sú tu veľké technologické a právne firmy."

Smrť po 1000 rezoch. Podľa októbrovej verejnej konzultácie Komisie sa aspekty návrhu týkajúce sa ochrany údajov mali zamerať najmä na riešenie únavy z "cookie bannerov". Komisia však dnes predložila hĺbkové škrty v GDPR. Zdá sa, že mnohé z týchto škrtov porušujú právo na ochranu údajov uvedené v článku 8 Charty základných práv EÚ alebo sú s ním prinajmenšom v rozpore.

Tu je prvý prehľad hlavných problémov:

(1) Nová medzera v GDPR prostredníctvom "pseudonymov" alebo "ID". Komisia navrhuje výrazne zúžiť definíciu "osobných údajov" - čo by viedlo k tomu, že GDPR by sa nevzťahovalo na mnohé spoločnosti v rôznych odvetviach. Napríklad odvetvia, ktoré v súčasnosti fungujú prostredníctvom "pseudonymov" alebo náhodných identifikačných čísel, ako sú sprostredkovatelia údajov alebo reklamný priemysel, by už neboli (plne) pokryté. Urobilo by sa to pridaním tzvsubjektívneho prístupu" do textu GDPR.

Namiesto objektívnej definície osobných údajov (napr. údajov, ktoré sú spojené s priamo alebo nepriamo identifikovateľnou osobou) by subjektívna definícia znamenala, že ak konkrétna spoločnosť tvrdí, že (zatiaľ) nemôže alebo sa o to neusiluje (v súčasnosti) identifikovať osobu, GDPR sa prestane uplatňovať. Takéto individuálne rozhodovanie je vo svojej podstate zložitejšie a všetko, len nie "zjednodušenie". Znamená to tiež, že údaje môžu byť "osobné" alebo nie v závislosti od vnútorného zmýšľania spoločnosti alebo vzhľadom na okolnosti, ktoré v danom okamihu má. To môže tiež skomplikovať spoluprácu medzi spoločnosťami, keďže niektoré by spadali pod nariadenie GDPR a iné nie.

Okrem toho by sa takýto "subjektívne" definícia znemožňuje používateľom alebo orgánom zistiť, či sa nariadenie GDPR v každom prípade uplatňuje. V praxi to môže spôsobiť, že nariadenie GDPR bude ťažko vymožiteľné z dôvodu nekonečných diskusií a nezhôd o skutočných zámeroch a plánoch spoločnosti.

Max Schrems: "Je to ako zákon o zbraniach, ktorý sa vzťahuje len na zbrane, keď majiteľ potvrdí, že je schopný so zbraňou zaobchádzať a má v úmysle niekoho zastreliť. Je zrejmé, aké absurdné sú takéto subjektívne definície."

(2) Vyťahovanie osobných údajov z vášho zariadenia? Článok 5 ods. 3 ePrivacy doteraz chránil používateľov pred vzdialeným prístupom k údajom uloženým v "koncových zariadeniach", ako sú počítače alebo smartfóny. Vychádzalo to z práva na ochranu komunikácie podľa článku 7 Charty základných práv EÚ a zabezpečilo, aby spoločnosti nemohli "diaľkovo prehľadávať" zariadenia.

Komisia teraz pridáva "biele zoznamy" spracovateľských operácií pre prístup ku koncovým zariadeniam, ktoré by zahŕňali "súhrnné štatistiky" a "bezpečnostné účely". Hoci je všeobecné smerovanie zmien pochopiteľné, formulácia je mimoriadne liberálna a umožnila by aj nadmerné "prehľadávanie" používateľských zariadení na (nepatrné) bezpečnostné účely.

(3) Školenie umelej inteligencie Meta alebo Google s osobnými údajmi EÚ? Keď Meta alebo LinkedIn začali používať údaje zo sociálnych sietí, bolo to všeobecne nepopulárne. V nedávnej štúdii napr len 7 % Nemcov uviedlo, že chcú, aby Meta používala ich osobné údaje na trénovanie AI. Napriek tomu chce teraz Komisia povoliť používanie vysoko osobných údajov (ako je obsah viac ako 15-ročného profilu na sociálnych sieťach) na trénovanie AI veľkými technológiami.

Max Schrems: "Meta ani Google nemajú absolútne žiadnu verejnú podporu na to, aby do svojich algoritmov zahrnuli osobné údaje Európanov. Roky nám hovorili, že ľudia sa nemajú obávať, pretože naše osobné údaje sa použijú na to, aby nás "spojili", alebo v lepšom prípade sa použijú na cielenie nejakej reklamy. Teraz sú všetky vaše údaje strčené do algoritmov Meta, Google alebo Amazon. Vďaka tomu môžu systémy umelej inteligencie ľahšie poznať aj tie najintímnejšie detaily - a následne manipulovať s ľuďmi. Z toho profituje predovšetkým biliónový americký priemysel, ktorý na základe našich osobných údajov vytvára modely založené na týchto údajoch."

Európska komisia predpokladá, že používatelia sa môžu odhlásiť, ale spoločnosti a používatelia zvyčajne nevedia, čie údaje sú v tréningovom súbore údajov. Aj keby to vedeli, používatelia by sa museli odhlásiť tisíckrát ročne, vždy keď iná spoločnosť trénuje algoritmus s ich údajmi.

Max Schrems: "Prístup opt-out v praxi nefunguje. Spoločnosti nemajú zmluvné údaje používateľov a používatelia nevedia, kto trénuje na základe ich údajov. Tento prístup opt-out je snahou Komisie položiť figový list nad túto zjavne nezákonnú činnosť spracovania."

Komisia nechce uprednostniť len školenie systémov umelej inteligencie, ale aj "prevádzku" takýchto systémov. To by znamenalo "divokú kartu", pri ktorej by sa inak nezákonné spracúvanie stalo zákonným len preto, že sa vykonáva pomocou umelej inteligencie.

Max Schrems: "Zvyčajne rizikovejšie technológie musia spĺňať vyšší štandard. Návrh Komisie teraz otvára brány, akonáhle sa použije umelá inteligencia - zatiaľ čo tradičné spracovanie údajov by stále podliehalo súčasným zákonom. To je šialené."

(4) Práva používateľov skrátené takmer na nulu - na nemeckú žiadosť? Na základe vnútroštátnej diskusie o tom, že prístupové práva podľa GDPR možno využiť na preukázanie napr. neplatenia v pracovných zmluvách, sa Nemecká vláda požadovala masívne obmedzenie týchto práv - pričom takéto použitie zarámovala ako "zneužitie", hoci GDPR už obsahuje klauzulu o "zneužití". Komisia nasledovala túto nemeckú požiadavku a navrhuje obmedziť používanie práva na prístup k údajom len na "účely ochrany údajov".

To naopak znamená, že ak zamestnanec využije žiadosť o prístup v pracovnom spore o neplatené hodiny - napríklad na získanie záznamu o odpracovaných hodinách -, zamestnávateľ by ju mohol odmietnuť ako "zneužitie". To isté by platilo pre novinárov alebo výskumných pracovníkov. Pri širšom výklade by to mohlo ísť ešte ďalej. Ak osoba požiada o prístup k svojim údajom, aby následne vymazala nepravdivé údaje o úverovom ratingu s cieľom získať lacnejší úver v banke, takéto práva sa nemusia uplatňovať výlučne na "účel ochrany údajov", ale z ekonomického záujmu.

Toto obmedzenie je jasným porušením judikatúry SDEÚ a článku 8 ods. 2 charty. Právo na informačné sebaurčenie je výslovne určené na vyrovnanie informačnej priepasti medzi používateľmi a spoločnosťami, ktoré majú informácie, keďže čoraz viac informácií sa ukrýva na serveroch spoločností (napr. kópia výkazov pracovného času). SDEÚ viackrát rozhodol, že tieto práva možno uplatniť na akýkoľvek účel - vrátane súdneho sporu alebo na získanie dôkazov.

Max Schrems: "Táto zmena je jasným porušením charty a judikatúry SDEÚ. Budú ju využívať správcovia v celej Európe na ďalšie oslabovanie práv používateľov. Skutočnosť je taká, že nemáme rozšírené zneužívanie práv vyplývajúcich z GDPR zo strany občanov, ale že máme rozšírené nedodržiavanie zo strany spoločností. Ešte väčšie obmedzenie práv používateľov ukazuje, ako je Komisia odtrhnutá od každodennej skúsenosti používateľov."