Mjesecima su se od strane Europske komisije najavljivale izmjene teksta GDPR-a s ciljem olakšanja postizanja usklađenosti mikro, malih i srednjih poduzetnika, ali i s ciljem uklanjanja prepreka za razvoj AI tehnologija u EU.

Izvrsni ciljevi.

No, ovo što sad čitamo u prijedlogu nije nimalo pojednostavljenje, već stvaranje nepreciznog i tendencioznog regulatornog okvira.

 

Konkretan pregled izmjena teksta GDPR-a ide od stranice 78/153 ovog dokumenta:

https://ec.europa.eu/newsroom/dae/redirection/document/121742

iz kojeg izdvajamo:

 

  • Članak 4.: Mijenja se definicija osobnog podatka, koji više nije osobni podatak ako određeni subjekt nema „reasonably likely“ načina identificirati osobu. Ovo je odličan scenario za Google i ostale tehnološke gigante da tvrde da putem kolačića i ostalih trackera ne mogu identificirati osobu i samim time ne potpadaju po GDPR režim. Ili snimka videonadzora s nama nepoznatim provalnikom više ne spada u GDPR?

 

  • Članak 12.: Pravo pristupa podacima, kao jedno od ključnih prava svih nas fizičkih osoba da saznamo zašto i kako netko obrađuje naše osobne podatke i da pri tom dobijemo kopiju naših osobnih podataka se bitno ograničava. Nećemo moći tražiti to pravo ako nam cilj nije isključivo zaštita naših osobnih podataka. Ako pak imamo neki sudski postupak i trebaju nam dokumenti s našim osobnim podacima, bit ćemo odbijeni. Do sada ni na koji način nismo trebali davati obrazloženje zašto tražimo pristup svojim osobnim podacima. Ovo je jako loše za sve nas.

 

  • Članak 13.: Jedna od izvrsnih stvari koju je GDPR donio jest transparentnost, odnosno, obveza informiranja fizičkih osoba kako se njihovi osobni podaci obrađuju, odakle su prikupljeni, s kojim pravnim temeljem, s kime se dijele, na koji rok se obrađuju i zadržavaju, koja su naša prava. Ovim prijedlogom se bitno umanjuje takva obveza voditelja obrade. Zašto se ovo želi promijeniti, zaista ne razumijemo.

 

  • Članak 33: Prijava povrede podataka bi bila obvezna u 96 sati po saznanju umjesto dosadašnjih 72 sata, što je korektno. Prijava povrede bi bila obvezna samo u slučaju nastanka visokog rizika putem jedinstvenog obrasca na razini EU, što je vrlo dvojbeno s obzirom na definiciju što će spadati pod visoki rizik. Stoga će biti jako važno pričekati popis visokorizičnih obrada osobnih podataka i hoće li tu spadati kopije osobnih dokumenata, isplatne liste, doznake o bolovanju, fotografije pacijenata i sve ono što sad zaista spada u posebne kategorije osobnih podataka i u osjetljive osobne podatke.

 

  • Članak 41a.: Pseudonimizirani podaci u određenoj mjeri više neće biti kategorizirani kao osobni podaci niti će biti u režimu GDPR-a, ovo ima smisla i potiče veću uporabu pseudonimizacije.

 

  • Članak 88a.: Uvodi se naše pravo da kolačiće na web stranicama odbijemo jednim klikom. Ali ako damo pristanak na kolačiće, web stranica nas ne bi smjela pitati isto kad ponovno posjetimo stranicu na neodređeno vrijeme. A ako smo odbili dati pristanak na kolačiće, slijedećih 6 mjeseci nas ta web stranica ne smije isto pitati. Drgum riječima, uvodi se dodatno praćenje posjetitelja web stranice i trajna identifikacija posjetitelja. Nije dobro.

 

  •  Članak 88c.: Za potrebe razvoja i upravljanja AI sustavima omogućuje se legitimni interes kao pravni temelj. Na prvi pogled zvuči sjajno. Na drugi pogled to predstavlja ogroman rizik za zaštitu osobnih podataka, web scraping i web crawling bi se time ozakonili, sve što objavljujemo bi se bez našeg pristanka moglo koristiti za treniranje AI modela i za kasnije upravljanje AI sustavom bez definicije što sve spada pod „operation of an AI system“.

 

Image from Freepik

#gdprcroatia