Zaprezentowany 19 listopada pakiet obejmuje m.in. zmiany w RODO, które – jak zapowiada KE - ujednolicą, doprecyzują i uproszczą niektóre przepisy. - Spodziewane zmiany dotyczyły ograniczenia obowiązków formalnych. W konsekwencji jednak sprowadzają się do przesądzenia kwestii budzących wątpliwości – komentuje dr Mirosław Gumularz, radca prawny z Kancelarii NTL (NewTechLaw.eu).

Dalej idące zmiany szykują się w Akcie o sztucznej inteligencji (AI Act). KE proponuje m.in., by przepisy o systemach wysokiego ryzyka, które mają wejść w życie 2 sierpnia 2026 r., zostały wprowadzone dopiero po udostępnieniu narzędzi wsparcia dla firm. Może to oznaczać ich odroczenie o maksymalnie 16 miesięcy. Więcej: Prawo goni AI. Ustawa o sztucznej inteligencji na finiszu.

Cyberbezpieczeństwo: mniej raportów

W zakresie cyberbezpieczeństwa KE zapowiedziała uproszczenie raportowania poprzez stworzenie jednolitego punktu zgłoszeniowego (ang. single-entry point).

- Obecnie banki i inne instytucje finansowe w razie incydentu muszą przygotować osobne raporty na podstawie przepisów DORA oraz osobne w związku z NIS-2. W praktyce incydent często wiąże się z naruszeniem danych osobowych, co wymaga również zgłoszenia na podstawie RODO. Wkrótce dojdzie do tego raportowanie zgodnie z przepisami AI Act. Jedno zdarzenie może więc rodzić konieczność zgłoszenia raportów do trzech albo czterech organów. Koncepcja single-entry point zakłada, że jednym raportem zawiadomi się Urząd Ochrony Danych Osobowych, organy właściwe w sprawach DORA i NIS-2 oraz organ wyznaczony ds. AI.  – wyjaśnia Mikołaj Otmianowski, radca prawny z RED INTO GREEN. - Nie zostało to jednak wprost napisane, taką propozycję można wyinterpretować z kontekstu komunikatu Komisji Europejskiej. To dopiero zapowiedź, a nie akt prawa UE – zaznacza.

- Wprowadzenie jednego punktu zgłoszeniowego nie zmienia ani samych obowiązków raportowania incydentów, ani listy organów, które mają je otrzymywać – dodaje Patrycja Kasprowska, adwokat w kancelarii Pilawska Zorski Adwokaci.

Czytaj też w LEX: RODO oraz AI Act – porównanie mechanizmów dotyczących podejścia opartego na ocenie ryzyka >

RODO doprecyzuje, czym są dane

Dr Gumularz uważa, że dobrym kierunkiem jest doprecyzowanie pojęcia danych osobowych. W tym zakresie przepisy uwzględnią wyrok Trybunału Sprawiedliwości w sprawie C-413/23 P, która dotyczyła pseudoanonimizacji danych. - W praktyce łatwiej będzie w pewnych sytuacjach wykazać, że dana informacja nie ma dla nas lub odbiorcy charakteru danych osobowych. Ciągle jednak poruszamy się w bardzo ogólnych kryteriach. Relatywne podejście do danych osobowych kończy fikcję podejścia, że pewne informacje są danymi osobowymi dla każdego. Jednak jest to tak naprawdę odczytanie tego co wynika z motywu 26 RODO i przeniesienie do definicji – mówi Mirosław Gumularz.

Przedsprzedaż

-15%

Przedsprzedaż

AI dla prawników. Sztuczna inteligencja w praktyce zawodów prawniczych [PRZEDSPRZEDAŻ]

Przemysław Chojecki, Andrzej Pałys

Sprawdź  

KE chce też zwiększyć próg wysokiego ryzyka, którego przekroczenie powoduje konieczność zgłoszenia naruszenie do organu nadzorczego.

- To faktycznie może ograniczyć ilość obowiązków formalnych i odciążyć organy nadzorcze. Jednak będzie to zmiana praktyczna raczej dla dużych podmiotów. Bo to one mają wiele tego typu zdarzeń. Ciągle będą musiały być w stanie kwalifikować i oceniać ryzyko. Wydłużono także czas notyfikacji do 96 godzin – mówi dr Gumularz.

Czytaj też w LEX: Systemy wysokiego ryzyka w świetle AI Act >

Mec. Kasprowska zwraca zaś uwagę na proponowane rozszerzenia zwolnienia administratorów z obowiązku przekazywania informacji na sytuację, w której można założyć, że osoba już te informacje posiada.

- Ma to znaczenie zwłaszcza dla małych podmiotów, jak wskazuje KE np. rzemieślników kontaktujących się z klientami, klubów sportowych informujących członków o wydarzeniach – wylicza prawniczka.

Wskazuje też na zmienną dotyczącą plików cookies. Cyfrowy Omnibus, zgodnie z komunikatem KE, ma ograniczyć liczbę wyskakujących banerów cookie i umożliwić użytkownikom wyrażenie zgody jednym kliknięciem. Preferencji użytkownika dotyczące plików cookies będą zapisywane w ustawieniach przeglądarki i systemu operacyjnego.

Czytaj też w LEX: Zakazane praktyki w świetle AI Act >

Dane a AI i biometria

Przed ogłoszeniem pakietu spekulowano, że zliberalizowana zostanie kwestia wykorzystania danych do budowania systemów AI. - W tym zakresie zmiana idzie w kierunku, który już wcześniej wyznaczyła Europejska Rada Ochrony Danych. Brakuje mi tu ograniczenia obowiązków informacyjnych. W praktyce wykorzystanie danych osobowych do trenowania algorytmów moim zdaniem będzie tak samo trudne jak obecnie – mówi dr Gumularz.

KE zaproponowała też zmianę dotyczącą biometrii, która jednak – jak ocenia nasz rozmówca -  jest ciekawa, ale nie wnosi zbyt wiele.

- Wprowadzono wyjątek od zakazu przetwarzania danych biometrycznych (art. 9 RODO). Będzie ono dozwolone w celach weryfikacji tożsamości, pod warunkiem, że dane te pozostają pod wyłączną kontrolą użytkownika (np. weryfikacja FaceID odbywająca się tylko na urządzeniu, bez przesyłania wzorca twarzy na serwer) – wskazuje dr Gumularz.

Jego zdaniem nie wszystkie wątpliwości związane z RODO zostaną jednak wyjaśnione. - Przykładowo ograniczenie obowiązków informacyjnych jest tak napisane, że w praktyce dalej nie będzie wiadomo, kiedy można zrezygnować z przekazywania informacji osobom, których dane są przetwarzane – komentuje.

Zobacz też w LEX: 

Akt w sprawie sztucznej inteligencji (AI Act) i RODO – punkty styku, podobieństwa i różnice >

Identyfikowanie ról na gruncie AI Act i RODO >