Pakiet Cyfrowy Omnibus – część 1

Komisja Europejska zaprezentowała pakiet Cyfrowy Omnibus, kompleksową inicjatywę mającą uprościć i zharmonizować unijne przepisy dotyczące gospodarki cyfrowej. Propozycje obejmują m.in. nowelizację RODO, zmiany w raportowaniu naruszeń, doprecyzowanie definicji danych osobowych oraz nowe zasady przetwarzania danych na potrzeby systemów sztucznej inteligencji. Celem reformy jest lepsze dostosowanie prawa do tempa rozwoju technologii.

Po co Cyfrowy Omnibus?

Komisja Europejska od kilku lat mierzy się z zarzutami, że unijne regulacje stają się coraz bardziej złożone. Doskonale wiedzą o tym współcześni przedsiębiorcy, którzy muszą jednocześnie spełniać wymogi RODO, AI Actu, Data Actu, DSA, NIS2, a także przepisów sektorowych i krajowych wdrożeń, różniących się w zależności od państwa członkowskiego. Mniejsze firmy coraz częściej czują się przytłoczone – zamiast rozwijać swoją działalność, inwestują znaczną część czasu i środków w tworzenie rozbudowanej dokumentacji i procesów compliance.

UWAGA

Cyfrowy Omnibus jest odpowiedzią na tę diagnozę. W oficjalnych materiałach KE podkreśla, że należy:

• zmniejszyć powielające się obowiązki,
• lepiej zsynchronizować RODO z AI Actem, Data Actem i nie tylko,
• obniżyć koszty przestrzegania prawa,
• a jednocześnie utrzymać najwyższy poziom ochrony danych osobowych.

Nowa definicja danych osobowych 

Jedną z najbardziej dyskutowanych zmian jest doprecyzowanie definicji „danych osobowych” znajdującej się w art. 4 RODO. 

WAŻNE

Projekt dodaje wyraźne zastrzeżenie: dana informacja jest danymi osobowymi tylko względem tego podmiotu, który może zidentyfikować osobę, przy użyciu środków pozostających dla niego „w sposób rozsądny prawdopodobnie” do użycia. A zatem to, że ktoś inny (np. duża platforma, organ publiczny) ma możliwość identyfikacji danej osoby, nie oznacza automatycznie, że informacja jest danymi osobowymi dla wszystkich.

W praktyce mamy więc do czynienia z bardziej relatywnym podejściem do pojęcia danych osobowych – zgodnym z dotychczasowym orzecznictwem. Dla mniejszych podmiotów, operujących na ograniczonych, lokalnych zbiorach danych, może to oznaczać większą elastyczność. Przynajmniej teoretycznie łatwiej będzie im uznać, że pewne informacje nie stanowią danych osobowych, jeśli nie dysponują środkami pozwalającymi na identyfikację konkretnej osoby.

Inaczej sytuacja wygląda w przypadku dużych platform czy brokerów danych. Ich „środki, które można rozsądnie wykorzystać” są z natury szersze, dlatego ten sam zestaw informacji prawdopodobnie nadal będzie uznawany za dane osobowe.

Taki model może rodzić ryzyko tzw. „forum shoppingu”. Firmy mogą próbować wykazywać, że z perspektywy ich konkretnych procesów i narzędzi przetwarzane dane nie mają już charakteru osobowego – by tym samym uniknąć stosowania reżimu RODO.

Uwaga
Aby ograniczyć nadmierną dowolność, projekt przewiduje możliwość przyjmowania przez Komisję aktów wykonawczych, które określą środki i kryteria oceny, czy dane po pseudonimizacji przestają być danymi osobowymi dla określonych kategorii administratorów lub odbiorców. Z jednej strony może to usprawnić tworzenie praktycznych wytycznych dotyczących anonimizacji, z drugiej – wprowadza istotną zmianę filozofii: standardy w tej dziedzinie będą powstawać nie tylko w EROD i organach krajowych, lecz także bezpośrednio w ramach działań Komisji.

Termin na zgłoszenie naruszenia 

Cyfrowy Omnibus proponuje dwie kluczowe zmiany:

• zgłoszeniu do organu (w Polsce – UODO) mają podlegać tylko te naruszenia, które są „prawdopodobnie wysokiego ryzyka” dla praw i wolności osób, których dane dotyczą. To oznacza, że drobne, techniczne incydenty bez realnych konsekwencji dla osób nie będą już raportowane do organu, a nacisk przesunie się na jakość i treść zgłoszeń poważnych naruszeń;
• 72 godziny na zgłoszenie naruszenia do organu zamieniają się w 96. Choć to wydłużenie jedynie o dobę, taka zmiana w praktyce dałaby organizacjom dodatkowy dzień na rzetelne zbadanie incydentu i może ograniczyć liczbę zgłoszeń wysyłanych wyłącznie po to, by zmieścić się w 72 godzinach. 

PYTANIE: Jakie działania powinien podjąć pracodawca, aby zgodnie z RODO i przepisami prawa pracy oraz BHP legalnie przetwarzać i przechowywać dane dotyczące oświadczeń o szczepieniu, faktu poddania się szczepieniu albo odmowy?

Zapraszamy do obejrzenia webinaru prowadzonego w konwencji warsztatowej z wykorzystaniem praktycznych przykładów, pytań i odpowiedzi. Szkolenie dedykowane jest zarówno do osób początkujących, rozpoczynających lub pełniących funkcję IOD od niedawna, jak również do osób pragnących ugruntować posiadaną wiedzę w zakresie odpowiedniego nadzoru przestrzegania zasad i przepisów z zakresu ochrony danych osobowych w organizacji. 

Obejrzyj webinar TUTAJ.