Європейська рада з захисту даних (EDPB) та Європейський наглядач із захисту даних (EDPS) ухвалили спільну думку щодо пропозиції регулювання цифрових омнібусів

Європейська рада з захисту даних (EDPB) та Європейський наглядач із захисту даних (EDPS) ухвалили спільну думку щодо пропозиції Регулювання цифрових омнібусів.* Ця пропозиція має на меті спростити цифрову регуляторну базу ЄС, зменшити адміністративне навантаження та підвищити конкурентоспроможність європейських організацій.

EDPB та EDPS зосереджуються на аспектах, що стосуються GDPR, EUDPR, Директиви про електронну приватність та DataAcquis.** Більш конкретно, вони оцінюють, чи пропозиція 1) веде до реального спрощення та сприяє дотриманню, 2) забезпечує більшу юридичну визначеність і 3) впливає на фундаментальні права окремих осіб.

Зміни до GDPR та EUDPR, що викликають серйозні занепокоєння

Деякі запропоновані зміни викликають серйозні занепокоєння, оскільки вони можуть негативно вплинути на рівень захисту окремих осіб, створювати правову невизначеність і ускладнювати застосування законів про захист даних.

EDPB та EDPS наполегливо закликають співзаконодавців не приймати запропоновані зміни до визначення персональних даних, оскільки вони виходять далеко за межі цільової або технічної поправки до GDPR. Крім того, вони не точно відображають і не виходять за межі юриспруденції ЄС, що призвело б до суттєвого звуження поняття персональних даних. Європейській Комісії не слід довіряти вирішувати за виконавчим актом те, що більше не є персональними даними після псевдонімізації, оскільки це безпосередньо впливає на сферу застосування законодавства ЄС про захист даних.

Кроки у правильному напрямку

EDPB та EDPS виступають за підвищення порогу ризику, що призведе до обов’язку повідомити компетентний орган із захисту даних (DPA) про витік даних, а також за продовження терміну подання такого повідомлення. Це суттєво зменшить адміністративне навантаження для організацій, не впливаючи на захист персональних даних окремих осіб. Крім того, запропоновані спільні шаблони та списки для витоків даних та оцінки впливу на захист даних є позитивними.

EDPB та EDPS також вітають запропоноване запровадження нового відступу для обробки спеціальних категорій даних для біометричної автентифікації, де засоби верифікації перебувають під виключним контролем особи.

Нарешті, вони підтримують гармонізацію поняття «наукових досліджень» та інші пов’язані зміни, оскільки підвищують правову визначеність і сприяють більшій гармонізації.

Зміни, які потребують тонкого налаштування

Як зазначено у Висновку EDPB 28/2024 щодо моделей ШІ, законний інтерес може використовуватися в деяких випадках як юридична основа в контексті розробки та впровадження моделей або систем ШІ. Тому EDPB і EDPS не вважають за потрібне включати конкретне положення з цього питання до GDPR.

EDPB та EDPS вітають мету пропозиції запровадити конкретне відступлення від заборони обробки чутливих даних за умов, що охоплює випадкову та залишкову обробку таких даних у контексті розробки та експлуатації систем або моделей ШІ. Однак вони рекомендують кілька покращень, таких як уточнення обсягу відступу та забезпечення заходів безпеки протягом усього життєвого циклу.

EDPB та EDPS погоджуються з метою Комісії надати контролерам юридичну ясність у випадках зловживань правами з боку суб’єктів даних. Однак вони вважають, що здійснення права на доступ для цілей, відмінних від захисту персональних даних, не повинно визначати, що таке зловживання. Щодо нового відступу для прозорості, EDPB та EDPS підтримують спрощення інформаційних вимог і зменшення адміністративного навантаження, особливо для малих і середніх підприємств, але пропонують уточнення для забезпечення юридичної визначеності та забезпечення того, щоб особи могли отримувати релевантну інформацію про свої дані за потреби.

Нарешті, слід уточнити зміни, внесені до положення про автоматизоване індивідуальне прийняття рішень, щоб зробити ці зміни значущими та юридично обґрунтованими.

Зміни до Директиви ePrivacy

EDPB та EDPS рішуче підтримують мету створення регуляторного рішення для подолання втоми від згоди та поширення банерів cookie. Це, наприклад, стосується запропонованих вимог щодо використання автоматизованих і машинозчитуваних індикаторів вибору людей щодо обробки їхніх даних. Використання технічних засобів може спростити дотримання відповідності контролерами та допомогти людям ефективно приймати онлайн-рішення.

EDPB та EDPS також вітають обмежені додаткові відступи від загальної заборони зберігати або отримувати доступ до персональних даних у термінальному обладнанні та додатково запрошують співзаконодавців стимулювати контекстну рекламу, а не поведінкову рекламу, додаючи спеціальний виняток, оточений певними запобіжниками.

EDPB та EDPS вітають той факт, що нагляд за такими питаннями буде доручено DPA.
Водночас EDPB і EDPS підкреслюють юридичні та технічні труднощі, пов’язані з співіснуванням двох різних режимів щодо персональних і неперсональних даних. Вони також надають додаткові рекомендації для підвищення правової визначеності, мінімізації ризиків і сприяння відповідальним інноваціям.

Зміни в Data Acquis

EDPB та EDPS підтримують спрощення Data Acquis шляхом інтеграції в Закон про дані Закону про управління даними та правил Директиви про відкриті дані щодо повторного використання даних і документів, що зберігаються державними органами.

Щодо доступу, наданого державними органами для повторного використання, вони рекомендують зберігати ясність, яку надає чинна правова база, а саме, що вона не зобов’язує державні органи дозволяти повторне використання, а також не забезпечує юридичної основи для надання доступу.

Щодо надзвичайних ситуацій у сфері державного сектору, EDPB та EDPS рекомендують підтвердити, що персональні дані можуть передаватися лише в псевдонімній формі з державними органами, у випадках, коли анонімних даних недостатньо для реагування на надзвичайну ситуацію.

Щодо послуг посередництва даних та організацій, що підтримують альтруїзм даних, EDPB та EDPS підкреслюють важливість надійного та відповідального обміну даними. Вони рекомендують дотримуватися конкретних заходів безпеки, віддавати перевагу прозорості та нагляду.

EDPB та EDPS рекомендують ще більше спростити положення щодо виконання (наприклад, шляхом забезпечення міжрегуляторного обміну інформацією щодо контролю, зокрема з DPA та уточнення ролі DPA у забезпеченні виконання Закону про дані).

EDPB та EDPS вітають підтвердження пропозицією ролі Європейської ради з інновацій у сфері інновацій у даних (EDIB) у підтримці послідовного застосування Закону про дані. Щодо розробки рекомендацій, вони рекомендують надати Комісії повноваження видавати рекомендації з будь-яких питань, що стосуються Закону про дані, а також уточнити роль EDIB у допомозі Комісії в цьому процесі. Це дозволить Комісії розробити спільні рекомендації з EDPB і дозволить EDIB консультувати та допомагати Комісії у розробці таких рекомендацій.

Читайте також: