Pisali smo više puta o tzv. digitalnom Omnibusu, odnosno, paketu novih propisa EU kojima Europska komisija želi pojednostaviti regulatorni okvir, između ostalog i u području zaštite osobnih podataka (GDPR) i regulacije AI tehnologija.
Pojednostavljenje itekako ima smisla, ali ne na način koji smo mogli uočiti proučavanjem teksta prijedloga Europske komisije, a kojim bi se išlo na ruku prvenstveno tehnološkim gigantima sa sjedištem izvan EU uz značajno relativiziranje i zaobilaženje temeljnih načela zaštite osobnih podataka pa i temeljnih ljudskih prava građana EU.
AZOP je objavio sažetak stajališta EDPB-a i EDPS-a u čije donođenje je bio aktivno uključen:
https://azop.hr/edpb-edps-misljenje-digital-omnibus/
Izdvajamo:
֍ Neke predložene izmjene izazivaju značajne zabrinutosti jer mogu negativno utjecati na razinu zaštite koju uživaju pojedinci, stvoriti pravnu nesigurnost i otežati primjenu prava zaštite podataka.
֍ EDPB i EDPS snažno pozivaju suzakonodavce da ne usvoje predložene izmjene definicije osobnih podataka, jer one daleko nadilaze ciljanu ili tehničku izmjenu GDPR-a.
֍ Osim toga, ne odražavaju točno sudsku praksu Suda EU-a (CJEU) te je jasno nadilaze, a rezultirale bi značajnim sužavanjem pojma osobnih podataka. Europskoj komisiji ne bi trebalo povjeriti da provedbenim aktom odlučuje koji podaci nakon pseudonimizacije više nisu osobni podaci, jer to izravno utječe na područje primjene prava EU-a o zaštiti podataka.
֍ EDPB i EDPS podržavaju povećanje praga rizika koji dovodi do obveze prijave povrede osobnih podataka nadležnom tijelu za zaštitu podataka (DPA) te produljenje roka za podnošenje takve prijave. To bi značajno smanjilo administrativno opterećenje organizacija, bez utjecaja na zaštitu osobnih podataka pojedinaca. Također, pozitivni su predloženi zajednički predlošci i popisi za povrede osobnih podataka i procjene učinka na zaštitu podataka.
֍ EDPB i EDPS pozdravljaju i predloženo uvođenje nove iznimke za obradu posebnih kategorija podataka radi biometrijske autentifikacije, kada su sredstva provjere pod isključivom kontrolom pojedinca.
֍ Kako je navedeno u Mišljenju EDPB-a 28/2024 o AI modelima, legitimni interes može se u određenim slučajevima koristiti kao pravna osnova u kontekstu razvoja i primjene AI modela ili sustava. Stoga EDPB i EDPS ne smatraju nužnim uvrstiti posebnu odredbu o tome u GDPR.
֍ EDPB i EDPS snažno podupiru cilj pronalaska regulatornog rješenja za „privole” i „cookie” bannere. To se, primjerice, odnosi na predložene zahtjeve za korištenje automatiziranih i strojno čitljivih indikacija izbora pojedinaca u vezi s obradom njihovih podataka. Korištenje tehničkih sredstava može pojednostaviti usklađenost voditelja obrade i pomoći pojedincima da njihove online odluke budu učinkovite.
Stajalište EDPB i EDPS je ovdje:
