- 1. Objasnenie definície osobných údajov (Článok 4 GDPR)
- 2. Spracovanie osobitných kategórií údajov a AI (Článok 9 GDPR)
- 3. Vedecký výskum a Oprávnený záujem
- 4. Práva dotknutých osôb a administratívna záťaž
- 5. Automatizované rozhodovanie (Článok 22 GDPR)
- 6. Nahlasovanie porušení a DPIA (Články 33 a 35 GDPR)
- 7. Integrácia ePrivacy a Riešenie „Cookie Banners“ (Nové Články 88a a 88b GDPR)
Európska únia pripravuje legislatívny balík označovaný ako „Digital Omnibus“, ktorého cieľom je spresniť a zjednodušiť niektoré pravidlá aj v oblasti ochrany osobných údajov. Nejde o zásadnú zmenu GDPR ani o prepis kľúčových princípov. Samotná definícia osobného údaja zostáva nezmenená – nemení sa podstata, čo osobným údajom je. Návrh dopĺňa najmä to, ako si majú organizácie v praxi vykladať určité situácie, napríklad pri spracúvaní pseudonymizovaných údajov alebo pri moderných technológiách. Cieľom je zvýšiť právnu istotu a znížiť administratívnu záťaž tam, kde je riziko pre dotknuté osoby nízke.
V tejto chvíli ide o návrhy, ktoré ešte nie sú finálne a môžu sa v priebehu legislatívneho procesu zmeniť.
Digital Omnibus prináša najmä technické úpravy a objasnenia v oblastiach, ako sú práca s pseudonymizovanými údajmi, biometrické overovanie identity, vývoj a používanie umelej inteligencie, práva dotknutých osôb, nahlasovanie incidentov a presun niektorých pravidiel o cookies zo smernice ePrivacy priamo do GDPR.
Poďme sa bližšie pozrieť na navrhované zmeny.
1. Objasnenie definície osobných údajov (Článok 4 GDPR)
Navrhovaná zmena: Objasňuje sa, že informácia sa nepovažuje za osobný údaj pre daný subjekt (entitu), ak táto entita nemá prostriedky, ktoré by bolo primerane pravdepodobné použiť na identifikáciu dotknutej fyzickej osoby.
Vysvetlenie: Ak subjekt spracúva dáta, ku ktorým mu chýba “kľúč” na identifikáciu, nemusí na ne aplikovať pravidlá GDPR. Informácia sa nestáva osobným údajom pre danú entitu len preto, že iný potenciálny príjemca má prostriedky na reidentifikáciu (napr. krížové porovnanie s inými údajmi). Táto zmena má zvýšiť právnu istotu a podporiť používanie pseudonymizácie.
Podpora implementácie: Komisia môže v spolupráci s EDPB prijať vykonávacie akty, ktoré špecifikujú prostriedky a kritériá na posúdenie rizika reidentifikácie a určenie, kedy údaje vyplývajúce z pseudonymizácie už nepredstavujú osobné údaje pre určité subjekty.
2. Spracovanie osobitných kategórií údajov a AI (Článok 9 GDPR)
Navrhujú sa dve nové výnimky zo všeobecného zákazu spracovania osobitných kategórií údajov:
- 1. Biometrické údaje pre overenie (Verification): Spracovanie biometrických údajov bude povolené, ak je nevyhnutné na potvrdenie (overenie) identity dotknutej osoby a ak sú biometrické údaje alebo prostriedky na overenie pod jej výhradnou kontrolou. (Napríklad, ak sú dáta bezpečne uložené výhradne na zariadení dotknutej osoby alebo u prevádzkovateľa v šifrovanej forme, ku ktorej má kľúč len dotknutá osoba).
- 2. Reziduálne spracovanie v kontexte AI: Ustanovuje sa výnimka pre reziduálne spracovanie osobitných kategórií údajov (t. j. neúmyselné spracovanie) pri vývoji a prevádzke AI systémov/modelov. Prevádzkovateľ musí prijať primerané technické a organizačné opatrenia, aby sa zhromažďovaniu vyhlo. Ak sa údaje identifikujú, musia byť účinne odstránené alebo chránené pred použitím na tvorbu výstupov alebo sprístupnením tretím stranám (ak by odstránenie vyžadovalo neprimerané úsilie, napr. rekonštrukciu modelu).