Projekt proponuje zmianę definicji danych osobowych, dość znacznie ją liberalizując. W praktyce oznacza to, że dane nie będą postrzegane za osobowe dla tych, którzy nie dysponują realnymi środkami do identyfikacji imienia i nazwiska konkretnej osoby. To dość radykalne podejście i mocno krytykowane, bo z perspektywy innego użytkownika, który dysponuje środkami umożliwiającymi identyfikację osoby, np. odpowiednimi programami, ustalenie naszego imienia i nazwiska w sieci nie będzie stanowiło żadnego problemu. Na ten fakt mizernej ochrony naszej prywatności zwróciła uwagę Europejska Rada Ochrony Danych i Europejski Inspektor Ochrony Danych. Opinii tej nie zmienia zastrzeżenie Komisji, że akty wykonawcze będą pomocne w ustaleniu, kiedy dane powstałe w wyniku pseudonimizacji nie będą już stanowiły danych osobowych. Takie przepisy mają pozwolić administratorom i odbiorcom danych na oszacowanie ryzyka identyfikacji tożsamości. Kwestia zawężenia definicji danych osobowych w praktyce nie jest zwykłą poprawką techniczną, ale daleko idącą modyfikacją, bo pozwala firmom na omijanie przepisów RODO.
Coraz częściej spotykamy się z weryfikacją naszej tożsamości poprzez urządzenia biometryczne. Pozostawiamy swój ślad na lotniskach, przy uzyskiwaniu dokumentów itp. Nasz dostęp do tych danych ma być łatwiejszy, co umożliwi nam kontrolę, gdzie się one znajdują, czy są w lokalnej pamięci lub pozostają w formie zaszyfrowanej. Ale wyjątkiem będzie możliwość wykorzystywania naszych danych w trenowaniu systemów sztucznej inteligencji. Tu prawo europejskie ma dozwalać taką możliwość, ale pod warunkiem wdrożenia pseudonimizacji, filtrowania, czy usuwania danych wrażliwych z modeli.
Te środki techniczne mają nam zapewnić bezpieczeństwo w sieci, bo całe ryzyko i odpowiedzialność oraz koszty związane z ochroną i usuwaniem danych osobowych mają spoczywać na administratorach. Ponieważ nie unikniemy coraz szerszego wkraczania AI do życia codziennego i gospodarki, to nasze dane, niestety, będą mogły być wykorzystywane do rozwoju tych systemów w oparciu o uzasadniony interes jako podstawę prawną. Tu administratorzy będą zobowiązani do wprowadzenia szczególnych zabezpieczeń, a nam ma być zapewnione prawo do wyrażenia sprzeciwu.
Liberalizacja RODO idzie dalej, bo administratorzy danych nie będą nas informować, jeśli takie przetwarzanie ma być wykorzystywane do celów naukowych, ale nie będzie ono ryzykowane ze względu na nasze prawa lub wolności albo jeśli wymagałoby od administratora nieproporcjonalnego wysiłku. To dobrze, że projektowane prawo upraszcza wymogi informacyjne i obciążenia administracyjne, ale potrzebne są większe gwarancje, że my, jako osoby fizyczne, nadal będziemy mogli uzyskiwać informacje na o miejscu i zasobie naszych danych.
Pozytywnie ocenianie jest przedłużenie terminu powiadamiania organów nadzorczych o naruszeniu prawa z 72 do 96 godzin. Cyfrowy Omnibus zakłada zmiany zasad korzystania z plików cookie, aby ograniczyć uciążliwe banery dominujące w internecie. Pliki o niskim ryzyku nie będą już wymagały wyraźnej zgody użytkownika. Naszą prywatnością będziemy mogli zarządzać już z poziomu przeglądarki lub systemu operacyjnego.
Scentralizowanie raportowania w razie naruszeń bezpieczeństwa w sieci oznacza, że incydenty będą zgłaszane do jednego systemu, który ma objąć RODO, DORA i NIS2. To dobra zmiana, bo upraszcza ten kłopotliwy proces, zapewnia spójność zgłoszeń i ułatwia kontrolę nad bezpieczeństwem danych. Podobnie jak propozycja wprowadzenia cyfrowego portfela dla firm. Przedsiębiorcy zyskają możliwość podpisywania dokumentów, bezpieczną komunikację z kontrahentami i administracją oraz zarządzanie podatkami.
To oczywiście nie wszystkie proponowane zmiany, ale konieczne ze względu na palącą potrzebę uproszczenia prawa i sforsowania barier dla innowacji w Europie. Nowe prawo musi jednak pogodzić nasze bezpieczeństwo w internecie z potrzebami biznesu.
*zastępca redaktora naczelnego „Wspólnoty”
