Europa chce uprościć przepisy: RODO, AI Act. Komisja Europejska ogłosiła plan modyfikacji ogólnego rozporządzenia o ochronie danych (RODO). Niektóre zmiany wprowadzają sensowne porządki i usuwają zbędne rzeczy, inne sięgają bardzo głęboko. W grę wchodzi m.in. zmiana rozumienia „danych osobowych”, które od dekad stanowiły fundament europejskiej ochrony danych. Poniżej przedstawiam ocenę techniczną, regulacyjną i polityczną.

Zmiana definicji danych osobowych

Art. 4 ust. 1 – ujęcie relatywne względem podmiotu
„Informacje dotyczące osoby fizycznej nie muszą być danymi osobowymi dla wszystkich innego podmiotu wyłącznie dlatego, iż jakiś inny podmiot może zidentyfikować tę osobę. Informacje nie stanowią danych osobowych dla danego podmiotu, o ile ten podmiot nie może zidentyfikować osoby, której dane dotyczą, biorąc pod uwagę środki, których wykorzystanie jest przez ten podmiot rozsądnie prawdopodobne. Takie informacje nie stają się danymi osobowymi dla tego podmiotu tylko dlatego, iż potencjalny kolejny odbiorca dysponuje środkami, których wykorzystanie jest rozsądnie prawdopodobne, aby zidentyfikować osobę, której dane dotyczą”.

To doprecyzowuje, iż np. mały sklep nie musi reagować na skrajne, pozostające poza jego wpływem hipotezy dotyczące możliwych scenariuszy wydarzeń mogących zakończyć się np. wyciekiem danych. Jednocześnie nie jest to podejście znane z orzecznictwa TSUE, które ocenia identyfikowalność przez pryzmat środków „których użycie jest rozsądnie prawdopodobne”, także „z pomocą innych osób”, przez administratora lub inną osobę. Ujęcie relatywne zawęża zakres ochrony, bo pomija środki dostępne osobom trzecim. W praktyce administrator może twierdzić, iż „nie ma środków”, które w istocie mógłby pozyskać lub wykorzystać.

Przykład. Platforma adtech otrzymuje zhashowane adresy e-mail, które brokerzy danych mogą łatwo dopasować. Dziś takie hashe są danymi osobowymi, jeżeli identyfikacja jest rozsądnie prawdopodobna przy użyciu środków dostępnych administratorowi lub innym podmiotom. A często jest. W nowym ujęciu platforma może próbować uznać je za „nieosobowe”, powołując się na rzekomy brak własnych środków, choć dopasowanie jest łatwe dla partnerów albo choćby dla niej samej, przy rozsądnym wysiłku. choćby przy unikalnych solach (salt) dane pozostają danymi osobowymi jeżeli podmiot może użyć tablic odwzorowań (lookup tables) lub ponownie przetworzyć posiadane gdzie indziej surowe e-maile by wygenerować ten sam hash i go w ten sposób dopasować. w tej chwili identyfikowalność w RODO i w orzecznictwie TSUE uwzględnia także środki osób trzecich. Propozycja czyni ją relatywną dla danego podmiotu. To zasadnicza różnica.

Kategorie szczególne a AI

Art. 9 ust. 2 lit. k + ust. 5 - odstępstwo „resztkowe”
W kontekście rozwoju i działania systemu lub modelu AI dopuszcza się przetwarzanie danych szczególnie wrażliwych wyłącznie wtedy, gdy ich obecność jest resztkowa (incydentalna). Administrator ma obowiązek unikać zbierania i innego przetwarzania takich danych w możliwie największym zakresie, po wykryciu usuwać je ze zbiorów lub systemu/modelu, a gdy usunięcie wymagałoby nieproporcjonalnego wysiłku, skutecznie chronić je przed wykorzystaniem do generowania wyników oraz przed ujawnieniem lub udostępnieniem. o ile dane takie są konieczne do realizacji celu, trzeba oprzeć się na innej podstawie prawnej

Art. 9 ust. 2 lit. l - weryfikacja biometryczna dozwolona

Dopuszcza się weryfikację tożsamości danymi biometrycznymi, gdy same dane lub środki potrzebne do weryfikacji są pod wyłączną kontrolą osoby, której dane dotyczą. To w praktyce zielone światło dla przetwarzania on-device, na urządzeniu użytkownika. I dobrze.

Pseudonimizacja, wreszcie użyteczna

Art. 41a - akty wykonawcze z kryteriami
Komisja przyjmie akty wykonawcze określające środki i kryteria, kiedy dane powstałe w wyniku pseudonimizacji nie stanowią danych osobowych dla określonych podmiotów, z uwzględnieniem stanu techniki oraz ryzyka ponownej identyfikacji względem typowych odbiorców. Zastosowanie tych środków i kryteriów może być elementem wykazania, iż dane nie prowadzą do re-identyfikacji. Ten status jest warunkowy i może się zmienić wraz ze wzrostem możliwości podmiotu lub zmianą kontekstu udostępnienia.

To ma głęboki sens. Dzisiaj poleganie na pseudonimizacji adekwatnie kilka daje podmiotowi przetwarzającymi dane, te dane i tak są traktowane jako osobowe.

Przetwarzanie AI na podstawie uzasadnionego interesu

Nowy art. 88c, ścieżka "uzasadnionego interesu" dla zwykłych danych, z bezpiecznikami.
Jeśli przetwarzanie jest konieczne do rozwoju lub działania systemu/modelu AI, można oprzeć je na uzasadnionym interesie pod warunkiem pozytywnego wyniku testu równowagi (balance test) i wdrożenia dodatkowych zabezpieczeń: wzmocnionej transparentności, bezwzględnego prawa sprzeciwu, minimalizacji już na etapie doboru źródeł oraz szkolenia i testów, a także środków przeciwko „wyciekom” danych resztkowo zapamiętanych przez model.

Urządzenie końcowe, „ciasteczka” i sygnały maszynowe

Nowy art. 88a, zamknięty katalog czterech celów bez zgody
Przechowywanie lub uzyskiwanie dostępu do danych osobowych na lub z urządzenia końcowego jest dopuszczalne bez zgody gdy jest to ściśle konieczne wyłącznie do jednego z czterech celów: transmisji danych, świadczenia usługi wyraźnie żądanej przez użytkownika, własnego zagregowanego pomiaru użytkowników na cele statystyczne przez administratora, utrzymania albo przywrócenia bezpieczeństwa usługi lub urządzenia.

Danych zebranych wyłącznie w tych celach nie wolno użyć do innego celu, chyba iż zezwala na to prawo UE lub krajowe.

Nowy art. 88b – sygnały maszynowe "zgody"

Użyttkownik powinien móc udzielać lub odmawiać zgody oraz wnosić sprzeciw wobec marketingu bezpośredniego w sposób zautomatyzowany i "odczytywalny maszynowo". Administratorzy muszą takie sygnały interpretować i respektować. Sygnały mogą być ustawiane w przeglądarce, w systemie operacyjnym urządzenia końcowego lub w Portfelu Tożsamości Cyfrowej UE, a także innymi adekwatnymi środkami. Przewidziano wyjątek dla dostawców usług medialnych w czasie świadczenia usługi medialnej.

Jeśli to przejdzie, to europejski koszmar wszędobylskich okienek na "zgodę na ciasteczka" zniknie, co będzie oznaczało wielomiliardowe oszczędności każdego roku.

Interfejs użytkownika
Gdy zgoda jest potrzebna, interfejs musi umożliwiać udzielenie lub odmowę w prosty i zrozumiały sposób, jednym kliknięciem lub podobnie. Odmowa musi być respektowana przez minimum sześć miesięcy bez ponownego pytania o zgodę na ten sam cel. o ile obowiązuje istotny sygnał maszynowy, nie powinno pojawiać się kolejne żądanie zgody.

Konsekwencje praktyczne

Koszyk w sklepie internetowym oparty na cookie sesyjnym nie wymaga zgody, jeżeli identyfikator służy wyłącznie temu celowi. Własny, zagregowany pomiar na potrzeby administratora nie wymaga zgody. Zewnętrzna analityka lub technologie reklamowe budujące profile między usługami co do zasady wykraczają poza ten katalog i mogą wymagać zgody. Po publikacji standardów serwisy będą musiały honorować maszynowe sygnały zgody/odmowy. Prawdopodobny jest rozwój europejskiego standardu sygnałów na poziomie przeglądarek i systemów, a rozwiązania będą konkurować rynkowo. Zignorowanie ważnego sygnału może skutkować sankcjami w ramach reżimu kar RODO (do 20 mln euro lub 4% całkowitego rocznego obrotu – zależnie od naruszenia).

Podsumowanie

Propozycja przesuwa RODO z podejścia jednolitego na kontekstowe. Status danych osobowych zależałby od kontrolera danych i jego realnych możliwości identyfikacji. Uproszcza też udzielanie zgody na cookies, ułatwia przetwarzanie danych dla AI, wprowadza operacyjne kryteria dla pseudonimizacji.

Jednocześnie obniża ochronę poprzez relatywizację identyfikowalności, dlatego najważniejsze stają się dowody braku możliwości identyfikacji, kontrola udostępnień i stałe monitorowanie ryzyka.

Pytania, komentarze, a może oferty? Email: me@lukaszolejnik.com