Evropská komise představila reformní balíček EU Digital Omnibus, který předznamenává největší úpravu pravidel ochrany osobních údajů od zavedení GDPR. Návrh počítá se zjednodušením řady povinností pro firmy, včetně využívání osobních i citlivých údajů při trénování umělé inteligence, zároveň však může podle odborníků oslabit právo občanů na informace o zpracování jejich dat. Podle advokáta Michala Nulíčka z ROWAN LEGAL návrh posouvá rovnováhu mezi ochranou soukromí a podnikatelskými zájmy výrazně ve prospěch firem.
Reformní balíček EU Digital Omnibus, který představila Evropská komise, zahrnuje řadu zásadních změn pravidel ochrany osobních údajů (GDPR), přestože se původně předpokládalo, že půjde pouze o dílčí úpravy. Výsledný návrh je oproti očekávání podstatně ambicióznější a bohužel i méně příznivý pro běžné občany. Proklamovaným cílem digitálního balíčku je deregulace a legislativně přívětivější podnikatelské prostředí, již nyní je však evidentní, že obsahuje některé problematické pasáže.
„Zdá se, že některé z navrhovaných změn jdou správným směrem, jiné však působí jako šité horkou jehlou a mohou znamenat výrazné oslabení stávající ochrany soukromí podle GDPR. Zatímco pro firmy může Omnibus znamenat méně byrokracie a širší možnosti například v oblasti vývoje a užívání umělé inteligence, pro občany by se mohl mimo jiné ztížit přístup k informacím o zpracování jejich osobních údajů, a tím i výkon jejich práv,“ hodnotí navrhované změny Michal Nulíček, partner advokátní kanceláře ROWAN LEGAL, který se problematice ochrany osobních údajů dlouhodobě věnuje.
Citelnou proměnou projde už samotná definice toho, co přesně je osobní údaj. Dnes jde prakticky o každou informaci, která se týká konkrétního identifikovatelného člověka, aniž by pro firmu bylo možné na základě této informace danou osobu identifikovat. Podle pravidel v Digital Omnibus se to ale změní – pokud firma nebude mít reálnou možnost poznat, o koho jde, nebude s daty muset zacházet jako s osobními údaji. Zjednodušeně to znamená méně povinností pro firmy, i když jiné subjekty by mohly z těch samých dat konkrétní osobu rozpoznat.
Rozvolněna budou také pravidla protrénování generativní umělé inteligence. Firmy využívající citlivé údaje pro tyto účely nadále nebudou potřebovat aktivní souhlas ani splňovat dosavadní přísné podmínky. AI bude naopak možné trénovat na základě oprávněného zájmu, tedy v režimu opt-out (subjekt údajů bude muset projevit explicitní nesouhlas).Stejná pravidla se uplatní i při užívání existujících AI nástrojů. Pro firmy tak bude jednodušší využívat data pro různé účely v rámci AI, a to za zachování pouze minimálního standardu ochrany soukromí běžných občanů.
„Tato nová výjimka umožňující široké zpracování osobních údajů pro trénování a využívání AI modelů a nástrojů bez souhlasu dotčených osob je obzvlášť kontroverzní. Dopady této výjimky na ochranu soukromí mohou být významné i proto, že se současně otevírá možnost využít pro trénování také citlivé údaje, jako jsou údaje o zdravotním stavu či sexuální orientaci (pokud je jednoduše není možné z dat určených pro trénink odstranit),“vysvětluje Michal Nulíček a připomíná i další nedostatky návrhu.
Podle Nulíčka se firmám nadále uleví, protože pro ně bude snazší odmítat žádosti subjektů osobních údajů o jejich smazání či vyřazení z databází. To bude možné i na základě pouhého konstatování, že se firma domnívá, že žadatel požaduje data z jiného důvodu než je ochrana soukromí. Doteď přitom mohly takovou žádost odmítnout jen ve výjimečných případech. Stejně tak již nebudou mít povinnost bezpodmínečně informovat o tom, jak osobní údaje zpracovávají. Omnibus totiž obsahuje ustanovení, že tak činit nemusí, pokud se dá očekávat, že by to lidé již mohli vědět.
V důsledku výše popsaných změn tak reálně hrozí, že firmy nebudou v běžných obchodních vztazích, například při realizaci nákupů či při poskytování služeb, muset zákazníky informovat o zpracování dat, i když tito dané informace nikdy neobdrželi. Pozitivní změnou je podle Nulíčka úprava hlášení o únicích dat. Subjektům bude nově poskytnuto více času na oznámení incidentu (96 hodin místo 72) a hlásit se budou muset pouze vážné případy, o kterých firmy již nyní musí informovat dotčené občany. To znamená méně byrokracie jak pro firmy, tak pro úřady.
EU Digital Omnibus znamená výrazné zjednodušení a méně povinností pro firmy a zároveň slabší ochranu soukromí a méně informací pro občany. Zatímco některé změny, například úprava hlášení incidentů či sjednocení pravidel, dávají smysl, řada navrhovaných úprav výrazně posouvá rovnováhu od ochrany občanů směrem k zájmům firem, včetně technologických. Podle Nulíčka by bylo dobré prioritně řešit zejména téměř neomezené využití citlivých údajů pro AI, snížení požadavků na informování o zpracování osobních údajů a snazší odmítání žádostí občanů týkajících se jejich dat.
„Původní snahy Evropské komise zjednodušit GDPR byly spíše kosmetické a naznačovaly, že Komise nemá odvahu k výraznějším změnám nebo dostatečně nechápe potřeby praxe. Návrh Omnibus jde však mnohem dál a může být skutečným přínosem pro racionalizaci regulace v oblasti ochrany soukromí. Bude nicméně důležité zajistit, aby se s vaničkou nevylilo i dítě,“ uzavírá Nulíček z ROWAN LEGAL.
Budete mít přehled o HR akcích i novinkách v oblasti HR. Vyzkoušejte a uvidíte.
Nevíte si rady, jaká služba je pro vás
ideální? Dejte nám vědět, rádi vám poradíme.
HR FORUM s.r.o.
Kodaňská 1441/46– 101 00 Praha 10, Vršovice
IČ: 26752921, DIČ: CZ26752921
Copyright © 2023 HR FORUM s.r.o., Všechna práva vyhrazena.
