Neki od relevantnih i prepoznatih pratitelja zbivanja u Europskoj komisiji ovih su dana objavili postove vezane za draft verziju dokumenta izmjena i dopuna teksta GDPR-a, koji se priprema u okviru Omnibus Simplification paketa pojednostavljenja regulatornog okvira, smanjenja troškova tvrtkama, posebice malim i srednjim te modernizacije regulatornog okvira EU, iz kojeg posebno pratimo razvoj na području izmjena GDPR-a i AI Akta.
Globalno poznati Max Schrems je ovih dana objavio draft dokument Europske komisije od 38 stranica
https://www.linkedin.com/feed/update/urn:li:activity:7392589194885365760/
i moramo izraziti ozbiljnu zabrinutost predloženim izmjenama unatoč tome što smo svjesni da se radi o inicijalnom prijedlogu koji će se na raznim EU tijelim i javnim savjetovanjima još umnogome mijenjati.
Najbitnije prijedloge promjena u tekstu GDPR-a ovdje izdvajamo:
⇒ Uvodi se proširenje definicije osobnog podatka temeljem ovogodišnjih presuda CJEU kojima se pseudonimizirani podaci ne smatraju uvijek identifikacijskim podacima, ovisno o razumnim načinima kako neka strana može identificirati osobu. Ovo nije simplifikacija, ovo je po nama uvođenje prilike velikim tehnološkim gigantima na zaobilaženje GDPR-a i nama je neprihvatljivo.
⇒ Značajno se sužava definicija posebnih kategorija osobnih podataka iz članka 9(1) čije obrade su po defaultu zabranjene, na način da u uvodnoj izjavi (15) podatke koji se odnose na zdravlje pojedinca definira posebnom kategorijom samo ako se njima specificira zdravstveno stanje. A Facebooku bi odgovaralo da se iz posebnih kategorija izuzmu podaci osoba koje nisu jasno otkrile svoje političke stavove, pa bi time mogli lakše provoditi poznate nam kampanje.
⇒ Visokorizični AI sustavi ulaze u članak 9. GDPR-a na način da se definira korištenje osjetljivih osobnih podataka za treniranje AI modela, ali uz uporabu riječi „to the greatest possible extent“ u vezi osiguranja sigurnosnih mjera zaštite podataka. Zaista, što znači „to the greatest possible extent“ u području najvišeg rizika za fundamentalna prava pojedinaca? Ovim terminom zaštita posebnih kategorija osobnih podataka postaje labavija u odnosu na „obične“ osobne podatke.
⇒ Kriteriji za prijavu povrede podataka nadzornom tijelu se značajno smanjuju, rok prijave produljuje se sa 72 na 96 sati i prijava je obvezna samo u slučaju nastanka visokog rizika na prava i slobode pojedinaca. Ovo je zaista velika promjena i but će puno manje slučajeva prijava povreda podataka. I uvodi se jedinstvena EU platforma i obrazac za prijavu povreda.
⇒ Izraditi će se novi popis obrada osobnih podataka za koje će voditelji obrada biti obvezni provesti Procjenu učinka na zaštitu podataka (DPIA), neke obrade će ispasti iz sadašnjih popisa.
⇒ Članak 5(3) ePrivacy Direktive, kojim se od davnina regulira instalacija i korištenje kolačića i ostalih vrsta datoteka u terminalnoj opremu krajnjih korisnika, sada ulazi u tekst GDPR-a u člancima 88.a i 88.b. No, ono što nas brine je da bi zbog predloženih promjena u tumačenju pseudonimizacije i definicije osobnih podataka veliki tehnološki giganti mogli zaobići obveze dobivanja privole za korištenje marketinških i analitičkih kolačića i brojnih trackera koje koriste u aplikacijama i pametnim uređajima.
⇒ Uvođenje legitimnog interesa kao pravnog temelja za razvoj i upravljanje AI sustavima, ne samo za treniranje AI modela, uvodi se novim člankom 88.c. Jel time Europska komisija daje zeleno svjetlo za opće skrejpanje sadržaja s interneta, ne samo za treniranje AI modela?
Max Schrems je već najavio ovih dana novu analizu kako će dolaziti u posjed dokumentima koje razvija ekipa u Briselu.
Dodatno ćemo se osvrnuti i na ideju, koja je već dugo javno najavljena od strane Europske komisije, da bi se obveza vođenja Evidencija aktivnosti obrada iz članka 30. bitno omekšala, na način da bi postojala za pravne subjekte s više od 750 zaposlenih, umjesto dosadašnjih 250 zaposlenih, uz zadržavanje obveze i manjim pravnim subjektima ako provode visokorizične obrade. Čvrstog smo uvjerenja da ova promjena neće biti olakšanje manjim pravnim subjektima, jer je Evidencija aktivnosti obrada po nama temeljni alat kojim pravni subjekt analizira i prati tijek kolanja osobnih podataka, bilježi sustave kojima ih obrađuje i sigurnosne mjere na njima, bilježi strane s kojima dijeli osobne podatke, rokove na koje ih zadržava i prije sve pravne temelje na kojima temelji svoje obrade podataka. Mi ćemo za sve svoje klijente, a svi su ispod 750 zaposlenih, i dalje voditi Evidencije aktivnosti obrada, bez obzira što obveza izgledno neće biti.
Image from Freepik
#gdprcroatia
