Ako v posledných dňoch postupne preniklo na verejnosť z rôznych spravodajských portálov, Európska komisia tajne pripravila potenciálne rozsiahlu reformu GDPR. Ak sa interné návrhy stanú skutočnosťou, bude to mať významný vplyv na základné právo ľudí na súkromie a ochranu údajov. Reforma by bola súčasťou tzv. digitálneho omnibusu, ktorý mal priniesť len cielené úpravy na zjednodušenie dodržiavania predpisov pre podniky. Teraz Komisia navrhuje zmeny základných prvkov, ako je vymedzenie pojmu "osobné údaje" a všetky práva dotknutých osôb podľa GDPR. V uniknutom návrhu sa tiež navrhuje dať spoločnostiam zaoberajúcim sa umelou inteligenciou (ako Google, Meta alebo OpenAI) bianko šek na vysávanie osobných údajov Európanov. Okrem toho by sa výrazne obmedzila osobitná ochrana citlivých údajov, ako sú údaje o zdraví, politických názoroch alebo sexuálnej orientácii. Taktiež by sa umožnil vzdialený prístup k osobným údajom v počítačoch alebo smartfónoch bez súhlasu používateľa. Mnohé prvky plánovanej reformy by vyvrátili judikatúru Súdneho dvora EÚ, porušili európske dohovory a Chartu základných práv Európskej únie. Či sa tento extrémny návrh stane oficiálnym stanoviskom Európskej komisie, bude jasné až 19. novembra, keď bude "Digital Omnibus" oficiálne predstavený. Schrems: "Desať rokov po prijatí GDPR by to znamenalo masívne zhoršenie ochrany súkromia Európanov."
- Prehľadová tabuľka návrhu & komentáre od noyb
- Uniknutý dokument o pozíciách členských štátov (zväčša nežiadajú reformy)
- Uniknutý dokument Nemecka (žiada rozsiahle reformy, ale zväčša nie teraz)
- Únik pôvodného textu (prostredníctvom Netzpolitik.org)
- Pôvodné spravodajstvo MLex (paywalled), spravodajstvo Reuters a spravodajstvo Netzpolitik.org
Tajný "zrýchlený" útok na GDPR. Európska komisia plánuje zjednodušiť niekoľko právnych predpisov EÚ prostredníctvom takzvanej reformy "Omnibus", čo je nástroj, ktorým sa zvyčajne horizontálne menia rôzne menšie prvky viacerých právnych predpisov s cieľom zlepšiť kvalitu právnych predpisov a zjednodušiť povinnosti v oblasti papierovania. Na rozdiel od tradičného prístupu k tvorbe právnych predpisov sa Omnibus uskutočňuje prostredníctvom "zrýchleného" postupu, ktorý preskočí niekoľko prvkov procesu vrátane posúdenia vplyvu a vytvorenia času na spätnú väzbu právnych služieb a príslušných útvarov v inštitúciách EÚ. Je to prijateľné, ak sa vykonajú len nesporné, jednoduché zlepšenia.
Ako však bolo odhalené, útvary Európskej komisie pod vedením výkonnej podpredsedníčky Henny Virkkunenovej (tzv.GR CONNECT) pracujú na rozsiahlej reforme GDPR pod hlavičkou údajného "zjednodušenia" alebo "objasnenia".
Max Schrems:"Návrh je nielen extrémny, ale aj veľmi zle vypracovaný. Nepomáha "malým podnikom", ako sa sľubovalo, ale opäť prospieva najmä "veľkým technológiám"."
Pôvodný plán Komisie bol urobiť v roku 2026 takzvanú "kontrolu digitálnej spôsobilosti", zhromaždiť potrebné dôkazy a potom urobiť cielenú a dobre vypracovanú aktualizáciu GDPR a ďalších digitálnych zákonov.
EÚ "skočí" na nemecké alebo americké požiadavky? Zainteresované strany aj členské štáty výslovne požiadali, aby sa GDPR znovu neotváralo . V súhrne stanovísk členských štátov sa uvádza, že takmer všetky členské štáty, ktoré poskytli spätnú väzbu, nechcú žiadne zmeny. Nemecko však presadzovalo významné zmeny GDPR, ktoré presahujú pôvodný mandát tohto zákona. Zdá sa, že Komisia jednoducho "skočila" na nemecký neoficiálny dokument, ktorý unikol minulý týždeň, vzhľadom na to, že mnohé zmeny v návrhu sa zdajú byť 1:1 kópiou požiadaviek v uniknutom nemeckom liste. Nemecko neposkytlo dôkazy o potrebe uvedených reforiem - nie je jasné, odkiaľ tieto požiadavky pochádzajú. Iné hlasy poukazujú na nedávnu správu denníka Politico, podľa ktorej Virkkunenová na priamych stretnutiach americkým podnikom odkázala, žeEÚ prehodnotí svoje pravidlá a stane sa ústretovejšou voči podnikom.
Max Schrems:"Nie je jasné, odkiaľ pochádza politický tlak. Väčšina členských štátov žiadala drobné zmeny a žiadne opätovné otvorenie. Nemecko v Európe tradične zastáva pozíciu proti GDPR. Zdá sa, že je jednoduchšie obviniť niektoré právne predpisy EÚ z nemeckých problémov s digitalizáciou, než riešiť veci na vnútroštátnej úrovni. Neprekvapuje nás, že tento najnovší tlak prichádza opäť z Nemecka. Objavili sa správy, že svoju úlohu by mohol zohrať aj tlak zo strany USA."
Pri čítaní prvého interného návrhu je jasné, že potenciálne škody na GDPR (pozri podrobnosti nižšie) by boli obrovské. Veľké časti návrhu porušujú európske dohovory, Chartu základných práv alebo ustálenú judikatúru Súdneho dvora. Zostáva otvorené, či je to úmyselné, alebo je to spôsobené rýchlym tempom práce a z toho vyplývajúcou nízkou kvalitou návrhu. Bruselskí informátori uviedli, že niektoré útvary mali na pripomienkovanie viac ako 180-stranového návrhu zákona len päť (!) pracovných dní.
Max Schrems: "Zdá sa, že jedna časť Komisie EÚ sa snaží predbehnúť všetky ostatné v Bruseli a nerešpektuje pravidlá dobrej tvorby zákonov, čo môže mať hrozné následky. Je veľmi znepokojujúce vidieť, ako sa v Bruseli udomácňujú trumpovské zákonodarné praktiky."
Tunelové videnie v súvislosti s "pretekmi o umelú inteligenciu"? Hoci by sa dalo nájsť niekoľko dobrých spôsobov, ako zlepšiť a zjednodušiť GDPR, zdá sa, že navrhované zmeny trpia "tunelovým videním", pokiaľ ide o umožnenie výcviku a používania umelej inteligencie - dokonca aj na osobné údaje. V nedávnej štúdii však len 7 % Nemcov uviedlo, že chcú, aby Meta používala ich osobné údaje na trénovanie AI. Napriek tomu sa reforma zameriava na každý prvok GDPR, ktorý by mohol obmedziť používanie AI.
Max Schrems: "Zdá sa, že tieto zmeny prehliadajú skutočnosť, že väčšina spracúvania údajov nie je založená na AI. Potenciálna zmena, ktorá by "oslobodila" AI, by mala obrovské nezamýšľané dôsledky pre mnohé iné oblasti GDPR. V tomto návrhu by sa zabila aj ochrana údajov o zdraví, menšinách alebo zamestnancoch. Veľká časť podnikania v oblasti online reklamy by mohla byť schopná obísť povinnosti GDPR, a to z dôvodu zvažovaných zmien."
Smrť tisíckou rezov. Hoci mnohé zmeny znejú technicky, za každou "definíciou" v GDPR sa skrývajú práva ľudí. Zmeny siahajú od obmedzenia toho, čo sa vôbec považuje za "osobné údaje", a teda je chránené, až po obmedzenie "práva na prístup", takže zamestnanci, novinári alebo výskumníci by už nemali prístup k vlastným údajom. Zmeny tiež umožňujú zhovievavý prístup k "vyťahovaniu" údajov zo smartfónov, osobných počítačov alebo pripojených zariadení alebo do veľkej miery umožňujú spoločnostiam používať osobné údaje Európanov na (komerčné) školenia v oblasti umelej inteligencie. Hoci spoločnosti často argumentujú, že GDPR by bolo "záťažou", skutočnosť je taká, že ani 1,3 % všetkých sťažností na GDPR nevedie k pokute. V Írsku bolo doteraz zaplatených len 0,6 % pokút.
Max Schrems:"Návrh by v zákone vyškrtal mnoho malých dier, čo by ho celkovo urobilo nepoužiteľným pre väčšinu prípadov. Už teraz sa stretávame s takmer nulovým presadzovaním zákonov EÚ o ochrane osobných údajov, s týmito zmenami by sme väčšinu prípadov, ktoré v súčasnosti vyhrávame - pravdepodobne prehrali alebo by sme čelili ešte zložitejším postupom."
V podstate žiadny prínos pre MSP a podniky v EÚ. Oficiálnym dôvodom "objasnení" a "zjednodušení" prostredníctvom Omnibusu bolo obmedziť administratívnu záťaž malých a stredných podnikov (MSP) v EÚ. noyb tento cieľ plne podporuje. Navrhované zmeny sa však týkajú najmä spoločností, ktoré sa zaoberajú vzdelávaním v oblasti umelej inteligencie - teda spoločností, ktorých hodnota sa dnes pohybuje v biliónoch (ako napríklad OpenAI, Google, Meta, Amazon alebo Microsoft). Hoci existujú určité objasnenia, ktoré by mohli byť prospešné pre malé a stredné podniky, napríklad pravidlá o tom, kedy sa musí vykonať takzvané "posúdenie vplyvu na ochranu údajov", nebudú mať väčší vplyv na európsku konkurencieschopnosť.
Max Schrems:"Ak bude tento návrh konečný, potom sú všetky reči o "malých podnikoch" a "administratívnej záťaži" zjavne len vedľajšou úlohou na získanie podpory verejnosti. Vosvojej podstate ide o pokus o masívnu dereguláciu, ktorá zvrháva 40 rokov európskej doktríny základných práv."
Výzva na urýchlené zastavenie a riadnu tvorbu zákonov. Vzhľadom na to, že tento návrh je plný problémov a vyvolal by aj veľkú právnu neistotu, ktorá spôsobí, že mnohé zmeny budú náchylné na (úspešné) právne útoky pred Súdnym dvorom, tento "zrýchlený" prístup nemusí byť užitočný pre nikoho - či už pre malé a stredné podniky, orgány na ochranu údajov alebo používateľov. Prvé náznaky z Európskeho parlamentu tiež poukazujú na to, že ďalekosiahle zmeny by "Omnibus" v Parlamente jednoznačne zdržali. Vzhľadom na to, že Komisia má v úmysle čo najrýchlejšie schváliť ostatné prvky digitálneho Omnibusu, myslíme si, že neexistuje iná cesta, ako z návrhu odstrániť väčšinu zmien GDPR.
Max Schrems: "Vystrelenie zle pripraveného "rýchleho výstrelu" vo veľmi zložitej a citlivej oblasti nielenže poškodí používateľov, ale nepomôže ani podnikom v EÚ. Zároveň spochybňuje, či tento Omnibus môže rýchlo prejsť cez Európsky parlament a Radu. Komisia má ešte týždeň na to, aby rozhodla, čo sa dostane do konečného návrhu."
Prehľad zmien
V návrhu Digital Omnibus sa navrhuje nespočetné množstvo zmien v mnohých rôznych článkoch GDPR. V kombinácii sa to rovná "smrti tisíckrát opakovaným zásahom". Urobili sme všeobecný prehľad niektorých kľúčových zmien. Najpodrobnejšiu právnu analýzu si môžete stiahnuť z nášho prehľadu vo formáte PDF tu. Všetky zmeny uvedené nižšie vychádzajú z našej najlepšej snahy o pochopenie interných návrhov Komisie. Niektoré prvky sú v návrhu textu nejasné a protichodné a sú takej nízkej kvality, že skutočný význam a zámer textov nie je vždy jasný.
(1) Nová medzera v GDPR prostredníctvom "pseudonymov" alebo "ID"? Zdá sa, že Komisia plánuje výrazne zúžiť definíciu "osobných údajov" - čo by viedlo k tomu, že GDPR by sa v mnohých prípadoch neuplatňovalo. V pláne je doplniť do textu GDPR "subjektívny prístup". To by znamenalo, že ak konkrétna spoločnosť nemôže identifikovať osobu, údaje nie sú pre ňu "osobné" - a GDPR sa prestane uplatňovať.
Okrem toho sa v návrhu odkazuje na nástroje na identifikáciu, ktoré pravdepodobne používa každý konkrétny prevádzkovateľ. To by si vyžadovalo ďalšie skúmanie a predpovede o vnútornom fungovaní a budúcich krokoch konkrétnej spoločnosti, aby bolo možné zistiť, či osoba stále požíva svoje práva podľa GDPR. V praxi by to spôsobilo, že nariadenie GDPR by už bolo len ťažko vymožiteľné a viedlo by to k nekonečným diskusiám a bojom o skutočných zámeroch a plánoch spoločnosti.
Návrh možno čítať aspoň tak, že sa upúšťa od predstavy, že techniky na "vyčlenenie" osoby sú stále pokryté zákonom. Namiesto toho znenie návrhu naznačuje všeobecnú výnimku z GDPR, ak správcovia namiesto mien používajú len "pseudonymy" (ako napríklad "user12473" alebo údaje zo sledovacieho súboru cookie). To by znamenalo, že celé priemyselné odvetvia, na ktoré sa doteraz vzťahuje nariadenie GDPR a ktoré fungujú prostredníctvom "pseudonymov" alebo náhodných identifikačných čísel, by už neboli (plne) pokryté. Mohlo by sa to týkať takmer všetkého online sledovania, online reklamy a väčšiny sprostredkovateľov údajov.
Táto zmena by sa tiež masívne odchýlila od pomerne širokého výkladu Súdneho dvora (SDEÚ). Existuje viac ako 20 rokov trvajúca judikatúra, ktorá podporuje široké chápanie toho, čo sa považuje za "osobné údaje".
Vzhľadom na to, že pojem "osobné údaje" pochádza z článku 8 charty, je veľmi pravdepodobné, že takáto hlboká zmena by neprežila kontrolu zo strany SDEÚ.
(2) Právo na prístup, vymazanie alebo opravu získať "účelové obmedzenie". Jednou z masívnych zmien (na nemeckú požiadavku) je obmedzenie používania práv dotknutých osôb (ako je prístup k údajom, oprava alebo vymazanie) len na "účely ochrany údajov". Naopak to znamená, že ak zamestnanec použije žiadosť o prístup v pracovnom spore o neplatené hodiny - napríklad na získanie záznamu o odpracovaných hodinách - zamestnávateľ by ju mohol zamietnuť ako "zneužívajúcu". To isté by platilo pre novinárov alebo výskumných pracovníkov.
Pri širšom výklade by to mohlo ísť ešte ďalej. Ak osoba požiada o vymazanie nepravdivých údajov o úverovom rebríčku, aby získala lacnejší úver v banke, takéto "právo na opravu" nepravdivých finančných informácií sa nemusí uplatniť výlučne na "účel ochrany údajov", ale z hospodárskeho záujmu. Dokonca ani prípady, ako je známe "právo byť zabudnutý", sa nemusia považovať za "záujem na ochrane údajov", ak osoba požadujúca vymazanie verejných údajov tak robí v obchodnom záujme.
Táto myšlienka je jasným porušením judikatúry SDEÚ a článku 8 ods. 2 charty. Právo na informačné sebaurčenie je výslovne určené na vyrovnanie informačnej priepasti medzi používateľmi a spoločnosťami, ktoré majú informácie, keďže čoraz viac informácií sa ukrýva na serveroch spoločností (napr. kópia časových výkazov). SDEÚ viackrát rozhodol, že Európania môžu tieto práva uplatňovať na akýkoľvek účel - vrátane súdnych sporov alebo vytvárania dôkazov.
Nariadenie GDPR už obsahuje obmedzenia pre "zneužívanie" práv GDPR (napr. odmietnutie prístupu k údajom alebo povinnosť zaplatiť poplatok), ale Komisia chce teraz obmedziť aj dôvody, pre ktoré možno tieto práva uplatniť.
(3) Spoločnosti Google, Meta a OpenAI môžu teraz trénovať umelú inteligenciu pomocou vašich údajov. Návrh Komisie počíta aj so zmenami článku 6 ods. 1 a článku 9 ods. 2 GDPR, aby sa umožnilo spracúvanie osobných údajov na účely AI. To znamená, že vysoko riziková technológia, poháňaná najosobnejšími myšlienkami a citlivými údajmi ľudí, dostáva podľa GDPR všeobecné "OK". Zároveň každá tradičná databáza alebo priemyselná kamera zostáva prísne regulovaná.
V návrhu Komisie sa zdôrazňuje potreba "minimalizácie údajov" (zásada, ktorá sa už aj tak uplatňuje podľa článku 5 ods. 1 písm. b) GDPR) a vyžaduje sa zavedenie nedefinovaných "záruk". Neexistujú však žiadne technické kritériá alebo normy pre takéto "záruky". Jedinou údajnou špecifickou ochranou je "právo namietať". Táto myšlienka však vo väčšine prípadov určite zlyhá:
- Znamenalo by to, že používatelia v EÚ by museli byť najprv informovaní o tom, že ich údaje sa skutočne používajú na výcvik umelej inteligencie, čo je zväčša nemožné. Spoločnosti ako OpenAI netušia, ktoré osobné údaje komu patria, nehovoriac o tom, aké kontaktné údaje majú. Ľudia sa preto v prvom rade nikdy nedozvedia, že sa ich osobné údaje používajú
- Ak by sa to ľudia aj tak dozvedeli, museli by neustále namietať voči všetkým týmto spoločnostiam. Znamená to nájsť stovky prevádzkovateľov, vyplniť formuláre a opakovať tento úkon pre každého, kto vykonáva školenie o umelej inteligencii individuálne
- Nakoniec by sa námietka a príslušné údaje museli "zosúladiť", a to napriek tomu, že používatelia nevedia, či sa ich údaje vôbec používajú - a ak áno, ktoré údaje sa používajú. Na druhej strane, prevádzkovateľ väčšinou nebude môcť vykonať námietku, keď sa bude škrtať celý internet.
Záver: Google, Meta, Microsoft alebo OpenAI môžu naďalej zarábať bilióny (!) pomocou údajov, ktoré vygenerovali európske spoločnosti, umelci alebo súkromné osoby, pričom európsky zákonodarca im dáva "voľnú ruku".
(4) Prevádzka systémov umelej inteligencie dostane "divokú kartu" GDPR? Zmeny článku 6 ods. 1 a článku 9 ods. 2 GDPR idú ešte ďalej, než sa očakávalo. Privilegovaný by bol nielen vývoj systémov UI, ale aj prevádzka systému UI. Pojem "prevádzka" nie je definovaný, ale pravdepodobne sa bude vzťahovať na akýkoľvek typ spracovania údajov.
To by viedlo ku grotesknej situácii: Ak sa osobné údaje spracúvajú prostredníctvom tradičnej databázy, excelovskej tabuľky alebo softvéru, spoločnosť musí nájsť právny základ podľa článku 6 ods. 1 GDPR. Ak sa však to isté spracúvanie vykonáva prostredníctvom systému umelej inteligencie, môže sa kvalifikovať ako "oprávnený záujem" podľa článku 6 ods. 1 písm. f) GDPR. Tým by sa uprednostnila jedna (riziková) technológia pred všetkými ostatnými formami spracúvania údajov a bolo by to v rozpore s "technologicky neutrálnym" prístupom GDPR.
(5) Citlivé údaje ako zdravie, politika alebo sexuálny život sú zahrnuté len vtedy, ak sú "priamo odhalené"? Článok 9 GDPR osobitne chráni "citlivé" údaje týkajúce sa zdravia, politického presvedčenia, sexuálneho života, sexuálnej orientácie alebo členstva v odboroch. Súdny dvor EÚ doteraz rozhodol, že takéto informácie sú chránené aj vtedy, ak ich možno vyčítať len z iných informácií. Komisia sa teraz pokúša tento zákon zvrátiť a chce obmedziť ochranu podľa článku 9 len v prípade, ak sa takéto citlivé informácie "priamo odhalia".
Osoby, ktoré "priamo prezradia", že sú tehotné, majú rakovinu alebo sú homosexuáli, však zvyčajne potrebujú túto ochranu menej ako osoby, o ktorých možno takéto citlivé informácie len "odvodiť" z iných informácií. Klasickým príkladom sú zamestnávatelia, ktorí používajú "veľké údaje" na to, aby vydedukovali, že žena je tehotná - aby potom takúto osobu rýchlo prepustili a vyhli sa tak sociálnym platbám a podobne. Práve teraz by to spadalo pod článok 9 GDPR. V budúcnosti by sa to obmedzilo na ochranu podľa článku 6 GDPR - zatiaľ čo osoba, ktorá verejne oznámi svoje tehotenstvo, by spadala pod článok 9 GDPR.
Z pohľadu jednotlivcov takéto obmedzenie nedáva zmysel, ale zdá sa, že Komisia sa zaoberá najmä spoločnosťami, ktoré chcú takéto údaje používať na tréning umelej inteligencie. Filtrovanie pre "som tehotná" je jednoduchšie ako filtrovanie 1000 signálov, ktoré umožňujú Meta alebo Google zistiť, že osoba je tehotná.
Táto zmena by porušila článok 6 Dohovoru Rady Európy č. 108, ktorý používa súčasné znenie GDPR ("odhaľovanie") a ktorý ratifikovalo 55 krajín.
(6) Vyťahovanie osobných údajov zo zariadenia? Článok 5 ods. 3 ePrivacy doteraz chránil používateľov pred vzdialeným prístupom k údajom uloženým v "koncových zariadeniach", ako sú počítače alebo smartfóny. Vychádzalo to z práva na ochranu komunikácie podľa článku 7 charty a zabezpečilo, aby spoločnosti nemohli "na diaľku prehľadávať" zariadenia.
Návrh Komisie však teraz umožňuje - v závislosti od čítania návrhu - až 10 (!) právnych základov na získanie informácií z osobného zariadenia - alebo umiestnenie sledovacej technológie do zariadenia (ako sú "cookies"). Štyri "biele zoznamy" spracovateľských operácií pre prístup ku koncovým zariadeniam by teraz zahŕňali "súhrnné štatistiky" a "bezpečnostné účely". Hoci je všeobecné smerovanie zmien pochopiteľné, znenie je mimoriadne liberálne a umožnilo by aj nadmerné "vyhľadávanie" v zariadeniach používateľov na (nepatrné) bezpečnostné účely.
Okrem toho by boli k dispozícii všetky právne základy podľa článku 6 ods. 1 GDPR. V kombinácii by to mohlo viesť k absurdným výsledkom: Tréning umelej inteligencie by bol "oprávneným záujmom" a spoločnosti by teraz mohli na diaľku pristupovať k osobným údajom vo vašom zariadení z dôvodu takéhoto "oprávneného záujmu". V dôsledku toho by bolo možné vykladať zákon tak, že spoločnosti ako Google môžu používať údaje z akýchkoľvek aplikácií pre Android na trénovanie svojej umelej inteligencie Gemini. Najmä "Big Tech" spoločnosti by veľmi pravdepodobne mali ešte extenzívnejší výklad návrhu textu. Je otázne, či autori tohto návrhu zákona niekedy uvažovali o týchto kombináciách.
