Komisja Europejska opublikowała projekt Digital Package – nowelizacji RODO, Data Act i AI Act, mającej na celu ograniczenie wymogów administracyjnych nałożonych na przedsiębiorców.

1. EU Digital Package

Na zaproponowany przez Komisję Europejską Digital Package składają się:

• Digital Omnibus &Digital Omnibus dotyczący AI, które upraszczają przepisy dotyczące sztucznej inteligencji, cyberbezpieczeństwa i danych osobowych;

• Strategia w zakresie unii danych, mająca na celu odblokowanie dostępu do wysokiej jakości danych dla rozwoju AI;

• Rozporządzenie w sprawie Europejskich Portfeli Biznesowych.

2. Digital Omnibus Package

Digital Omnibus Package jest głównym elementem pakietu. Poniżej przedstawiamy najważniejsze zmiany przewidziane w Digital Omnibus Package:

1. RODO

1) zmiana definicji danych osobowych polegająca na doprecyzowaniu, że informacje nie są danymi osobowymi, jeśli niemożliwa jest identyfikacja osoby przez dany podmiot, biorąc pod uwagę środki, jakie taki podmiot najprawdopodobniej mógłby zastosować w celu identyfikacji. Informacje nie stają się danymi osobowymi dla podmiotu tylko dlatego, że potencjalny kolejny odbiorca danych dysponuje środkami, które najprawdopodobniej mogą zostać użyte do zidentyfikowania osoby fizycznej;

2) rozszerzenie pojęcia „badań naukowych” i związane z tym rozszerzenie podstawy przetwarzania danych w celu prowadzenia badań naukowych;

3) jednoznaczne wskazanie, że dalsze przetwarzanie danych w celu prowadzenia badań naukowych jest zgodne z pierwotnym celem przetwarzania danych;

4) dodanie wyjątków umożliwiających przetwarzanie szczególnych kategorii danych osobowych – w kontekście (i) opracowywania i eksploatacji wszelkich systemów AI w rozumieniu AI Act oraz (ii) weryfikacji tożsamości za pomocą danych biometrycznych;

5) wprowadzenie nowych wyjątków wobec obowiązków informacyjnych (np. gdy dane są przetwarzane w celu prowadzenia badań naukowych, albo gdy dane są pozyskiwane w związku z jasną i zdefiniowaną relacją między administratorem a osobą, której dane dotyczą, a działanie administratora nie wiąże się z istotnym przetwarzaniem danych);

6) istotne rozszerzenie dopuszczalnych przypadków automatycznego podejmowania decyzji (ADM) – ADM będzie dopuszczalny jeżeli jest niezbędny do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem, niezależnie od tego, że decyzja mogłaby zostać podjęta bez użycia ADM;

7) zmiana w zakresie zgłaszania naruszeń ochrony danych – zamiast zgłaszania wszystkich naruszeń, obowiązkowe będzie zgłaszanie tylko naruszeń, które najprawdopodobniej mogą skutkować wysokim ryzykiem naruszenia praw i wolności podmiotów danych;

8) termin zgłoszenia naruszeń danych zostanie wydłużony z 72 godzin do 96 godzin;

9) zmniejszenie liczby pojawiających się banerów dot. plików cookie poprzez mechanizm zgody jednym kliknięciem oraz scentralizowane ustawienia preferencji dotyczących udostępniania i przetwarzania danych;

10)wprowadzony zostanie jeden punkt kompleksowej obsługi, gdzie zgłaszane będą incydenty na podstawie RODO, NIS2, DORA, który zapewni, że dzięki dokonaniu jednego zgłoszenia zostaną poinformowane wszystkie konieczne organy.

2. AI Act

1) zniesienie obowiązku zapewnienia AI literacy, spoczywającego na producentach i użytkownikach systemów AI. Zamiast tego, na Komisji Europejskiej oraz państwach członkowskich spoczywał będzie obowiązek, aby rozwijać AI literacy;

2) stosowanie wymogów AI Act dotyczących systemów AI wysokiego ryzyka zostanie powiązane z decyzją Komisji potwierdzającą dostępność standardów i wytycznych mających zastosowanie do takich systemów. Przepisy AI Act dotyczące high-risk AI zaczną obowiązywać po odpowiednim okresie przejściowym:

(i) 6 miesięcy po przyjęciu decyzji KE w odniesieniu do systemów AI sklasyfikowanych jako wysokiego ryzyka zgodnie z załącznikiem III;

(ii) 12 miesięcy po przyjęciu decyzji KE w odniesieniu do systemów AI sklasyfikowanych jako wysokiego ryzyka zgodnie z załącznikiem I.

Ale w żadnym wypadku nie później niż:

(i) 2 grudnia 2027 r. w odniesieniu do systemów AI sklasyfikowanych jako wysokiego ryzyka zgodnie z Załącznikiem III;

(ii) 2 sierpnia 2028 r. w odniesieniu do systemów AI sklasyfikowanych jako wysokiego ryzyka zgodnie z Załącznikiem I.

3) wyjaśnienie, że obowiązki wynikające z AI Act dotyczące systemów high-risk AI stosować się będzie do systemów wprowadzonych do obrotu lub oddanych do użytku przed datą rozpoczęcia stosowania tych obowiązków tylko, jeżeli po tej dacie podlegać będą istotnym zmianom;

4) wzmocnienie uprawnień AI Office polegające na sprawowaniu nadzoru i egzekwowaniu zgodności systemów AI osadzonych w bardzo dużych platformach internetowych i wyszukiwarkach oraz systemów AI opartych na modelu AI ogólnego przeznaczenia w sytuacji gdy model i system są dostarczane przez tego samego dostawcę;

5) dodatkowy okres przejściowy dla dostosowania do wymogów AI Act systemów generative AI, które zostały wprowadzone do obrotu przed 2 sierpnia 2026 – dostawcy mają czas do 2 lutego 2027 na dostosowanie;

6) przepis pozwalający przetwarzać szczególne kategorie danych osobowych w celu zapewnienia jakości AI, który dotyczy obecnie tylko producentów systemów high-risk AI, ma być rozszerzony na wszystkie systemy i modele AI, a nawet na użytkowników (podmioty stosujące) systemy AI;

7) zniesienie obowiązku rejestracji w unijnej bazie danych systemów AI, które pomimo spełnienia definicji high-risk AI ze względu na Załącznik III AI Act, korzystają z wyjątku określonego w art. 6 ust. 3 AI Act;

8) rozszerzenie możliwości testowania w warunkach rzeczywistych na systemy high-risk AI sklasyfikowane jako high-risk zgodnie z Załącznikiem I część A;

9) dodatkowe ułatwienia dla MŚP – oprócz dokumentacji technicznej w uproszczonej formie, będą mogły również prowadzić QMS w uproszczonej formie (zgodnie z wytycznymi Komisji Europejskiej w zakresie tego jak ma wyglądać uproszczony QMS).

3. Data Act

1) Posiadacze danych będą mogli odmówić ujawnienia danych stanowiących tajemnicę przedsiębiorstwa użytkownikowi, gdy istnieje wysokie ryzyko ich bezprawnego pozyskania, wykorzystania lub ujawnienia państwom trzecim lub podmiotom przez nie kontrolowanym, które zapewniają słabszą ochronę tajemnicy przedsiębiorstwa niż UE;

2) uchylone zostają obowiązki sprawozdawcze i dotyczące przejrzystości dla organizacji altruizmu danych;

3) system dla dostawców usług pośrednictwa danych stanie się systemem dobrowolnym;

4) wprowadzone zostaną nowe zasady wykorzystywania danych i dokumentów przechowywanych przez organy publiczne, min. zasada niedyskryminacji mająca zastosowanie do udostępniania otwartych danych publicznych (niektórych kategorii danych chronionych), zakaz zawierania umów przewidujących wyłączność;

5) obowiązek utrzymywania usług pośrednictwa danych w odrębności prawnej od innych usług oferowanych przez firmę zostanie zastąpiony obowiązkiem utrzymywania odrębności funkcjonalnej, uzupełnionym o dodatkowy zestaw warunków;

6) dostawcy usług przetwarzania danych będą mogli zawierać w umowach postanowienia dotyczące proporcjonalnych kar za wcześniejsze rozwiązanie, pod warunkiem że nie stanowią one przeszkody w dokonaniu zmiany dostawcy.

3. Strategia w zakresie unii danych

Strategia w zakresie Unii Danych wprowadza dodatkowe środki mające na celu zwiększenie dostępu do wysokiej jakości danych na potrzeby rozwoju sztucznej inteligencji. W ramach strategii UE będzie działać w 3 głównych obszarach:

1) Zwiększenia dostępu do danych dla AI –poprzez tworzenie laboratoriów danych oferujących zaufane usługi pseudonimizacji i łączenie zasobów danych podmiotów publicznych i prywatnych zapewniających przedsiębiorcom oraz naukowcom wysokiej jakości zbiory danych, a także skalowanie i powiązanie europejskich przestrzeni danych z infrastrukturą AI oraz open-source’ową infrastrukturą Simpl, które umożliwi interoperacyjność między inicjatywami dzięki otwartemu, modułowemu i bezpiecznemu zestawowi komponentów typu open source;

2) Uproszenia zasad dotyczących danych – m.in. reforma zgód na pliki cookie, uruchomienie punktu pomocy prawnej w zakresie Data Act;

3) Wzmocnienia globalnej pozycji UE w zakresie międzynarodowych przepływów danych poprzez eliminowanie nieuzasadnionych barier handlowych przy jednoczesnym zapewnieniu bezpiecznych przepływów danych osobowych.

adw. Michał Chodorek
michal.chodorek @krk.legal

Wiktoria Winiarska
wiktoria.winiarska@krk.legal