Europejska Rada Ochrony Danych (EROD) oraz Europejski Inspektor Ochrony Danych (EIOD) wydały wspólną opinię dotyczącą projektu rozporządzenia znanego jako Cyfrowy Omnibus. Inicjatywa ta, mająca na celu uproszczenie unijnych ram regulacyjnych i zwiększenie konkurencyjności europejskich firm, spotkała się z mieszanym przyjęciem organów nadzorczych. Choć doceniają one dążenie do redukcji obciążeń administracyjnych, wskazują na krytyczne zagrożenia dla ochrony prywatności i pewności prawnej.
Kontrowersje wokół definicji danych osobowych
Największy sprzeciw ekspertów budzi propozycja zmiany definicji danych osobowych w ramach RODO oraz EUDPR. EROD i EIOD alarmują, że planowane modyfikacje wykraczają poza korekty techniczne i nie uwzględniają dotychczasowego orzecznictwa Trybunału Sprawiedliwości UE (TSUE). Przewodnicząca EROD, Anu Talus, podkreśla, że uproszczenie przepisów nie może odbywać się kosztem praw podstawowych. Organy nadzorcze szczególnie negatywnie oceniają pomysł przyznania Komisji Europejskiej uprawnień do decydowania w drodze aktów wykonawczych, które dane po pseudonimizacji tracą status danych osobowych. Takie rozwiązanie mogłoby drastycznie zawęzić zakres ochrony obywateli i wprowadzić chaos interpretacyjny.
Usprawnienia w procesach operacyjnych Customer Care
W kontekście zarządzania operacyjnego działami obsługi klienta, opinia przynosi również szereg pozytywnych rekomendacji. Organy popierają podwyższenie progu ryzyka warunkującego obowiązek zgłaszania naruszeń oraz wydłużenie terminów na takie zgłoszenia. Wprowadzenie ujednoliconych szablonów naruszeń oraz ocen skutków dla ochrony danych (DPIA) jest postrzegane jako krok w stronę realnej optymalizacji procesów compliance. Managerowie Customer Care mogą również liczyć na uproszczenia w obszarze biometrii – zaproponowano nowe odstępstwo dla uwierzytelniania biometrycznego w sytuacjach, gdy proces ten pozostaje pod wyłączną kontrolą użytkownika.
Sztuczna inteligencja i wyzwania AI
Wspólna opinia odnosi się także do dynamicznie rozwijającego się sektora AI. EROD i EIOD popierają wprowadzenie odstępstw umożliwiających przetwarzanie danych wrażliwych w procesie trenowania i eksploatacji systemów sztucznej inteligencji, pod warunkiem zachowania odpowiednich zabezpieczeń w całym cyklu życia produktu. Jednocześnie eksperci uznają, że obecna konstrukcja „uzasadnionego interesu” jako podstawy prawnej jest wystarczająca i nie wymaga wprowadzania dedykowanych przepisów w RODO specjalnie dla modeli AI.
Koniec ery „consent fatigue” i zmiany w e-prywatności
Dla branży cyfrowej istotne są propozycje dotyczące walki z tzw. zmęczeniem zgodami (consent fatigue). Organy popierają wdrożenie technicznych, zautomatyzowanych rozwiązań odczytywalnych maszynowo, które pozwolą użytkownikom na trwałe zdefiniowanie preferencji dotyczących plików cookie bez konieczności ciągłego wchodzenia w interakcję z banerami. W obszarze marketingu cyfrowego EROD i EIOD promują przejście na reklamę kontekstową jako bezpieczniejszą alternatywę dla reklamy behawioralnej, co może wymusić rewizję strategii komunikacji i targetowania w kanałach online.
Integracja przepisów w ramach Data Acquis
Projekt Cyfrowego Omnibusa zakłada również głęboką integrację przepisów o danych (Data Acquis), łącząc Akt o danych, Akt o zarządzaniu danymi oraz dyrektywę o otwartych danych. Organy nadzorcze wspierają tę konsolidację, zaznaczając jednak potrzebę precyzyjnego rozdzielenia reżimów prawnych dla danych osobowych i nieosobowych. Podkreślono, że w sytuacjach nadzwyczajnych udostępnianie danych organom publicznym powinno opierać się na anonimizacji lub – w ostateczności – na pseudonimizacji, przy zachowaniu pełnej przejrzystości i nadzoru nad organizacjami społecznymi np. NGO