BDAR 1.5?
Ką ES „Skaitmeninis omnibusas" reiškia privatumui, AI ir slapukams?

Naują pokyčių krypti verta suprasti jau dabar, nors šiuo metu tai tik pasiūlymas.

Šiame trumpame blog'e pabandysime apibendrinti kelis esminius klausimus: ko bandoma pasiekti planuojamais pakeitimai? Kas tikrai nauja ir svarbu? Ir kaip tai paveikia BDAR taikymo praktiką?

Kas yra „Skaitmeninis omnibusas"?

Du pagrindiniai dokumentai yra COM(2025) 837 - reglamento projektas, kuriuo keičiamas BDAR, ePrivacy sistema, NIS2 direktyva ir kiti skaitmeniniai dokumentai – ir SWD(2025) 836, darbo grupės dokumentas, kuriame paaiškinama problemos, galimybės ir numatomi pasiūlymo poveikiai.

Komisijos diagnozė paprasta: BDAR, ePrivacy, NIS2, Duomenų akto, AI akto ir kitų reglamentų persidengimai bei nenuoseklumas sukūrė per didelę administracinę naštą mažos rizikos situacijose, ypač nedidelėms įmonėms. Ši kritika reikšta ilgą laiką, dėl to džiugu matyti Komisija pereinančią prie seniai keliamų klausimų.

Taip pat pabrėžtina teisinė neapibrėžtis dėl AI sistemų apmokymo, mokslinių tyrimų, pseudonimizacijos ir anonimizavimo bei slapukų. Tikslas, supaprastinti esamą skaitmenię tvarka, neapribojant pagrindinių teisių. Sąvotiškas „BDAR 1.5" ta pati pagrindinė architektūra, bet su svarbiais patikslinimais ir švelnesniomis briaunomis.

Kas faktiškai yra „asmens duomenys"?

Pasiūlymas tiesiogiai į BDAR įrašo tai, ką teismų praktika jau yra įvardinusi: ar kažkas yra „asmens duomenys" gali priklausyti nuo to, kas juos tvarko ir kokias priemones valdytojas turi asmeniui identifikuoti. Duomenys gali būti asmens duomenys pradiniam valdytojui, turinčiam tiesioginius identifikatorius ir sąsajas, bet ne asmens duomenys trečiajai šaliai, kuri gauna stipriai pseudonimizuotus arba anonimizuotus duomenis ir neturi būdo asmenims identifikuoti.

Kodėl tai svarbu? Šiandien daugelis organizacijų iš atsargumo traktuoja beveik viską kaip asmens duomenis, ypač pseudonimizuotus duomenų rinkinius. Pataisos į patį BDAR tekstą, o ne tik preambules ir teismų sprendimus, įtraukia kontekstu grįstą testą. Identifikavimo iš naujo draudimas neišnyksta, bet teisė tampa artimesnė praktikai.

Omnibusas taip pat įgalioja Komisiją priimti įgyvendinimo aktus, nustačiančius priemones ir kriterijus, kaip įvertinti, kada konkretus valdytojas gali traktuoti pseudonimizuotus duomenis kaip ne asmens duomenis. Įgyvendinus aktus galime tikėtis labiau suderintos ES pozicijos, kas laikoma patikima pseudonimizacija ir anonimizavimu, mažiau skaidymosi tarp valstybių narių ir priežiūros institucijų. Organizacijoms tai turėtų palengvinti duomenų analitikos ir duomenų dalijimosi projektų kūrimą be begalinių debatų dėl asmens duomenų sąvokos traktavimo.

Moksliniai tyrimai ir AI

Vienas iš nusiskundimų nuo 2018 metų buvo, kad BDAR per griežtas moksliniams tyrimams ir AI mokymui.

Pasiūlymas įtraukia „mokslinių tyrimų" apibrėžimą, apimantį veiklą, skirtą moksliniams tyrimams ir inovacijoms - neapsiribojant vien akademiniu darbu ir pripažįstant komercinius tyrimus. Pasiūlymas patikslina, kad tolesnis tvarkymas mokslinių tyrimų tikslais visada laikomas suderinamu su pradiniu tikslu ir apsaugos priemonėmis. Taip pat pripažįsta mokslinius tyrimus kaip teisėtą interesą kai pasitelkiamos tinkamos ir subalansuotos apsaugos priemonės.

Kas keičiasi praktikoje? Nebereikia sukti sudėtingų suderinamumo analizių kiekvieną kartą perkeliant duomenis iš veiklos konteksto į MTEP projektą, nes tyrimai pagal aiškiau suderinami iš pat pradžių. Turite realistiškesnių alternatyvų sutikimui, ypač kai sutikimą sunku gauti arba tai iškreiptų tyrimus (pavyzdžiui, retrospektyvinės studijos). Tam tikras informavimo pareigas galima sušvelninti, kai individualių pranešimų pateikimas būtų neįmanomas arba rimtai pakenktu tyrimams.

Pasiūlymas taip pat sprendžia kaip mokyti ir valdyti AI sistemas su asmens duomenimis pagal BDAR. Išsiskiriamos dvi pagrindinės naujovės. Pirma, BDAR aiškiai pripažins, kad asmens duomenų tvarkymas AI sistemų kūrimui ir veikimui gali remtis teisėtu interesu, nebent kiti ES ar nacionaliniai teisės aktai reikalauja griežtesnio pagrindo, pavyzdžiui, aiškaus sutikimo. Antra, BDAR įgauna naują išimtį likutiniam specialios kategorijos duomenų tvarkymui AI kūrime ir veikime. Tai taikoma tik kai valdytojas nesiekia tvarkyti tokių duomenų, bet jie neišvengiamai atsiranda dideliame duomenų rinkinyje. Tačiau taikomos griežtos sąlygos: turite stengtis išvengti tokių duomenų rinkimo, pašalinti juos, kai tai yra įmanoma, ir užtikrinti, kad jie negalėtų būti naudojami jautrios informacijos išvedimui ar atskleidžiami trečiosioms šalims.

Pagaliau pripažįstama, kad dideliuose, realiojo pasaulio duomenų rinkiniuose kartais neįmanoma visiškai išvengti jautrių duomenų.

Dito - tik šaltiniais paremta sistema. Kiekvienas atsakymas susietas su egzistuojančiomis nutartimis, dėl to galite patikrinti informaciją vienu paspaudimu.

Slapukų perkrova: mažiau iššokančiųjų langų, daugiau naršyklės galios

Slapukai yra sritis, kur BDAR ir ePrivacy jau seniai nepatogiai persidengia.

Šiuo metu ePrivacy direktyva reglamentuoja informacijos įrenginiuose talpinimą ir skaitymą - slapukus, SDK, pikselius - su savo sutikimo taisyklėmis. BDAR reglamentuoja, kas vyksta su asmens duomenimis vėliau. Rezultatas: nesuderinta priežiūra ir „slapukų nuovargis". Pasiūlymas perkelia taisykles asmens duomenų prieigai ir tvarkymui iš ar terminalo įrangoje į BDAR sistemą, išsaugodamas pagrindinį principą, kad tokiai prieigai paprastai reikia sutikimo. Tai išimtis formuoja rizika grįstu, su BDAR suderintu būdu: būtinai reikalingi slapukai, saugumas, kai kurie matavimai. Priežiūra tampa paprastesnė: priežiūros institucijos ir BDAR mechanizmai tampa centriniai asmens duomenų aspektams slapukų ir panašių technologijų srityje.

Pažangi dalis yra apie tai, kaip vartotojai išreiškia savo pasirinkimus. Omnibusas numato standartus mašininiu būdu skaitomiems vartotojų nuostatoms dėl stebėjimo, profiliavimo ir panašios veiklos, nustatytiems ES standartizavimo procesais. Kai standartai egzistuoja ir praeina trumpas įgyvendinimo laikotarpis, valdytojai turi gerbti šiuos signalus svetainėse ir programėlėse. Teisingas įgyvendinimas suteikia atitikties sutikimo reikalavimams prezumpciją.

Praktiškai tai reiškia, kad vartotojai galėtų nustatyti privatumo nuostatas naršyklėje ar įrenginyje vieną kartą, o svetainės tai skaitytų ir gerbtų - kas turėtų dramatiškai sumažinti iššokančiųjų reklamjuosčių skaičių.

Ką visa tai reiškia organizacijoms?

Jei bus priimtas, Omnibusas nereikalaus visiško BDAR perkrovimo. Bet greičiausiai reikės peržiūrėti duomenų klasifikaciją - iš naujo įvertinti, kurie duomenų rinkiniai tikrai yra asmens duomenys jūsų organizacijai pagal patikslintą testą, ir suderinti anonimizavimo bei pseudonimizavimo praktiką su būsimais ES kriterijais. Turėtumėte peržiūrėti savo AI ir analitikos projektus, išsiaiškinant, kur pasikliaujate dideliais duomenų rinkiniais, ypač AI mokymui ir modelio veikimui. Patikrinti, ar teisėtas interesas yra realistinis teisinis pagrindas ir kokias apsaugos priemones turite pridėti. Nustatyti ir tvarkyti bet kokius liekančius specialios kategorijos duomenis mokymo grandinėse.

Taip pat bus rekomenduotina pakoreguoti savo atitikties procesus: atnaujinti prieigos prie duomenų prašymų tvarkymo politiką, atnaujinti savo incidentų reagavimo planą, kad sutelktumėte dėmesį į „didelės rizikos" pažeidimus ir pasiruoštumėte vienam pranešimo taškui. Ir pasiruošti slapukų bei nuostatų pokyčiui stebint ES lygio standartus mašininiu būdu skaitomiems sutikimo signalams, planuodami, kaip jūsų svetainės ir programėlės skaitys ir gerbs naršyklės ar OS lygio nuostatas.

Komisija aiškiai taiko MVĮ ir mažoms vidutinėms įmonėms naštos mažinimo priemones. Galima tikėtis mažiau biurokratijos, mažos rizikos tvarkymui, tam tikros lengvatos nuo prieigos prašymų ir labiau nuspėjamų DPIA pareigų bei pažeidimų pranešimų. Tuo pačiu, jei kuriate ar naudojate AI, turėsite rimtai imtis naujų apsaugos priemonių.

BDAR keičiasi, bet neišnyksta

Skaitmeninis omnibusas neardо BDAR. Pagrindinės teisės, pagrindiniai principai ir duomenų subjektų teisės lieka. Kas keičiasi, yra veikimo būdai: mažiau prieštaravimų tarp BDAR, ePrivacy, AI akto ir kitų režimų, realistiškesnės priemonės tyrimams ir AI, aiškesnės ribos, kas iš tikrųjų yra „asmens duomenys" tam tikrai organizacijai, ir mažiau administracinio triukšmo dėl prieigos piktnaudžiavimo, banalių pažeidimų ir begalinių slapukų reklamjuosčių.

Organizacijoms šiuo metu tinkamas žingsnis yra stebėti teisėkūros procesą - detalės dar gali pasikeisti Taryboje ir Parlamente - pradėti galvoti, kur šie pakeitimai labiausiai paveiktų jūsų dabartinę praktiką, ar tai būtų AI, slapukai, pažeidimų tvarkymas ar tyrimai, ir kurti ateities politiką, kuri gali prisitaikyti prie galutinio teksto su minimaliomis problemomis.