Еврокомиссия официально представила свой проект изменений цифрового законодательства ЕС, направленный на упрощение GDPR, e-Privacy и развитие инноваций. Проект почти полностью повторяет более раннюю утечку. Кардинальных сюрпризов почти нет – кроме определения спецкатегории данных (убрали идею, что они только «прямые», а не дедуцируемые / выводимые косвенно).
Ключевые изменения
1. ПД = «относительная» логика
Позиция из дела SRB v. EDPS кодифицируется: статус псевдонимизированных (обезличенных) данных как ПД зависит от «разумных средств идентификации» конкретного лица. Комиссия сможет через акт признавать псевдонимизированные данные «не ПД» для отдельных случаев.
2. DSAR: платно или отказ
Запрос можно отклонить или взять плату, если цели заявителя явно не связаны с защитой данных, например, при увольнениях и служебных расследованиях. Да, сейчас так тоже можно, если запрос manifestly unfounded, но уточнение можно приветствовать, как минимум, в части HR-запросов.
3. Утечки: пороги и сроки
Предлагается уведомлять только об инцидентах с высоким риском (сейчас такая планка только для уведомлений субъектов). Срок – 96 часов, не 72. Отчётность – через единую точку (ENISA).
4. Чувствительные данные для ИИ
Можно обрабатывать спецкатегории для разработки/эксплуатации модели, но:
5. Биометрия для верификации
Еще одно новое исключение – можно обрабатывать биометрию, если данные и средства находятся под полным контролем пользователя (on-device). Формулировка пока вызывает вопросы, но направление мысли понятно и можно приветствовать.
6. Законный интерес для ИИ
Прямо разрешен при надлежащих гарантиях и отсутствии высокорисковой обработки. Если локальное право требует согласие или обработка несет высокий риск (например, данные детей) – законный интерес, увы, не спасет.
7. DPIA: единые списки
На уровне ЕС появятся списки EDPB:
8. Cookie → под GDPR
Правила «хранения или доступа к данным на устройстве», если речь о ПД, перейдут из ePrivacy в GDPR.
9. Согласие: отказ в один клик
Отказ должен быть одним кликом (в принципе, что и сейчас требуют надзорные органы, но, как мы видим, соблюдают до сих пор не все). При отказе нельзя повторно просить согласие 6 месяцев. Планируется принять единые технические стандарты отказа от трекеров на уровне браузера / устройства.
Пока это только предложение. Дальше – борьба в Парламенте и Совете. Очевидно, и как заявили европолитики на ежегодной конференции IAPP в Брюсселе, без правок не обойдется, но направление очень явно: ЕС берет курс на упрощение цифрового комплаенса. Безусловно не все насущные проблемы операторов могут быть решены представленным омнибусом и многие из правок и так вытекают из фактического текста GDPR, но дело начато
Ключевые изменения
1. ПД = «относительная» логика
Позиция из дела SRB v. EDPS кодифицируется: статус псевдонимизированных (обезличенных) данных как ПД зависит от «разумных средств идентификации» конкретного лица. Комиссия сможет через акт признавать псевдонимизированные данные «не ПД» для отдельных случаев.
2. DSAR: платно или отказ
Запрос можно отклонить или взять плату, если цели заявителя явно не связаны с защитой данных, например, при увольнениях и служебных расследованиях. Да, сейчас так тоже можно, если запрос manifestly unfounded, но уточнение можно приветствовать, как минимум, в части HR-запросов.
3. Утечки: пороги и сроки
Предлагается уведомлять только об инцидентах с высоким риском (сейчас такая планка только для уведомлений субъектов). Срок – 96 часов, не 72. Отчётность – через единую точку (ENISA).
4. Чувствительные данные для ИИ
Можно обрабатывать спецкатегории для разработки/эксплуатации модели, но:
- нужно доказать, что принимались меры по недопущению их обработки на уровне разработки и уничтожать обнаруженные данные;
- если удалить невозможно – не выводить данные в outputs или иным образом предоставлять третьим лицам.
5. Биометрия для верификации
Еще одно новое исключение – можно обрабатывать биометрию, если данные и средства находятся под полным контролем пользователя (on-device). Формулировка пока вызывает вопросы, но направление мысли понятно и можно приветствовать.
6. Законный интерес для ИИ
Прямо разрешен при надлежащих гарантиях и отсутствии высокорисковой обработки. Если локальное право требует согласие или обработка несет высокий риск (например, данные детей) – законный интерес, увы, не спасет.
7. DPIA: единые списки
На уровне ЕС появятся списки EDPB:
- что требует DPIA;
- что не требует DPIA.
8. Cookie → под GDPR
Правила «хранения или доступа к данным на устройстве», если речь о ПД, перейдут из ePrivacy в GDPR.
- Новые исключения (без согласия): агрегированная first-party аналитика и безопасность (примерно как в недавно принятом UK DUAA). А потенциально и иные основания из ст. 6 кроме согласия – законный интерес?! Справедливо заметить, что и сейчас некоторые надзорные органы уже применяли аналогичные исключения (например, CNIL).
- Если нет ПД вообще, будет применяться ePrivacy в более строгой версии. Довольно странная логика, но скорее всего это пофиксят в ходе обсуждения законопроекта.
9. Согласие: отказ в один клик
Отказ должен быть одним кликом (в принципе, что и сейчас требуют надзорные органы, но, как мы видим, соблюдают до сих пор не все). При отказе нельзя повторно просить согласие 6 месяцев. Планируется принять единые технические стандарты отказа от трекеров на уровне браузера / устройства.
Пока это только предложение. Дальше – борьба в Парламенте и Совете. Очевидно, и как заявили европолитики на ежегодной конференции IAPP в Брюсселе, без правок не обойдется, но направление очень явно: ЕС берет курс на упрощение цифрового комплаенса. Безусловно не все насущные проблемы операторов могут быть решены представленным омнибусом и многие из правок и так вытекают из фактического текста GDPR, но дело начато