Европейские надзорные органы предупреждают Еврокомиссию о недопустимости сужения защиты конфиденциальности персональных данных в рамках реформы законодательства о защите данных. — computerweekly.com
Европейские надзорные органы по защите данных предупредили, что предложения Европейской комиссии по реформированию законодательства о конфиденциальности путем сужения определения персональных данных могут подорвать права граждан ЕС на неприкосновенность частной жизни. Регуляторы заявили в совместном ответе с Европейским советом по защите данных, что предложенные изменения вызывают «серьезную озабоченность» и могут негативно сказаться на уровне защиты персональных данных физических лиц. Предупреждение прозвучало на фоне того, как Европейская комиссия продвигает предложения по реформированию ряда законов ЕС о защите данных посредством регулирования «Цифрового омнибуса», которое, по ее словам, упростит соблюдение требований для бизнеса и повысит конкурентоспособность ЕС. Европейский совет по защите данных и национальные надзорные органы по защите данных Европы в совместном заключении предупредили, что некоторые из предложенных мер могут нанести ущерб правам личности на конфиденциальность, создать правовую неопределенность и затруднить применение законодательства о защите данных. Оспариваемые предложения включают изменения в определении персональных данных, которые ослабят права на конфиденциальность, позволяя организациям рассматривать персональные данные как неперсональные, если они обрабатываются таким образом, что не идентифицируют лиц.
Предложения «выходят за рамки» европейского законодательства
Хотя предложения были встречены с одобрением многих специалистов по защите данных как способ упростить соблюдение нормативных актов о защите данных и конфиденциальности, регуляторы подали сигнал тревоги. Они «настоятельно призывают» законодателей не принимать предложенные изменения к персональным данным, утверждая, что они «значительно выходят за рамки целенаправленного или технического поправки» и далеко превосходят прецедентное право ЕС, «существенно сужая понятие персональных данных». Регуляторы также выражают обеспокоенность по поводу предложений, которые могут ослабить права физических лиц не подвергаться автоматизированному принятию решений с помощью ИИ или программного обеспечения посредством предлагаемого «исчерпывающего перечня» случаев, когда автоматизированное принятие решений будет разрешено. Еще одно предложение, которое предоставит Европейской комиссии новые полномочия определять, должны ли псевдонимизированные данные больше не классифицироваться как персональные данные, также вызвало призывы к разъяснениям. Регуляторы предупреждают, что предложения ограничить право людей подавать запросы на доступ к данным, мотивированные опасениями «защиты данных», несовместимы с законодательством ЕС. В случае реализации это предложение, вероятно, исключит запросы на доступ, сделанные журналистами, учеными или политиками, для целей, не связанных с защитой данных, таких как журналистские или академические исследования. Они также призывают Комиссию доработать предложения, которые позволят организациям использовать специальные категории данных, включая данные о политических мнениях, религиозных убеждениях, членстве в профсоюзах, состоянии здоровья и сексуальной ориентации, когда они используются «случайным» и «остаточным» образом для обучения наших систем ИИ.
Упрощено сообщение об утечках данных
ЕСПЗД и надзорные органы по защите данных поддерживают многие предложения ЕС, включая планы сделать сообщение об утечках данных менее болезненным для компаний. Европейская комиссия предлагает повысить порог риска, прежде чем компании должны будут уведомить, и продлить срок подачи уведомления с 72 до 96 часов. «Ожидается, что это изменение не окажет существенного влияния на уровень защиты субъектов данных, но значительно снизит административную нагрузку на контролеров, учитывая, что им придется уведомлять только об утечках данных, которые, вероятно, приведут к высокому риску для прав и свобод субъектов данных», — заявили они. Другое предложение предложить альтернативные способы получения согласия людей на использование файлов cookie, чтобы избежать «усталости от согласия» и «распространения баннеров cookie», например, путем получения согласия на использование файлов cookie один раз на конкретном компьютере, также было встречено с одобрением. Однако регуляторы по-прежнему обеспокоены предложенными изменениями в определении персональных данных. Европейский надзорный орган по защите данных Войцех Вевюровски заявил: «Эти изменения не соответствуют прецедентному праву Суда и существенно сужают понятие персональных данных». Ану Талус, председатель Европейского совета по защите данных, заявила, что любые изменения в законодательстве ЕС о защите данных должны обеспечивать правовую определенность при сохранении высокого уровня защиты прав и свобод личности. «Мы настоятельно призываем созаконодателей не принимать предложенные изменения в определении персональных данных. Эти изменения не соответствуют прецедентному праву Суда и существенно сужают понятие персональных данных», — добавила она. Изабель Роччиа, управляющий директор по Европе IAPP, профессиональной ассоциации с 90 000 членов, заявила, что специалисты по конфиденциальности и защите данных поддерживают предложения ЕС. «Предложение Комиссии сузить сферу определения персональных данных было встречено многими практиками как признак прагматизма в толковании GDPR. В случае принятия оно будет иметь значительные последствия в облегчении многих точек трения в договорных обязательствах и правилах передачи данных, среди прочего», — сказала она. «Этим совместным заключением EDPS и EDPB сигнализируют о том, что они хотят сохранить консервативный подход, ориентированный на субъекта данных, который они установили за последнее десятилетие», — добавила она. Она отметила, что руководители бизнеса также приветствовали бы правовую определенность в отношении правовых оснований для использования разработчиками «законного интереса» для обработки персональных данных для обучения моделей ИИ.
Предложения Комиссии выгодны американским технологическим гигантам
Кампанейская группа noyb заявила, что «Цифровой омнибус» предлагает радикальные изменения в GDPR и Директиве об электронных коммуникациях, замаскированные под меры по упрощению. Группа утверждает, что эти изменения не помогут европейскому бизнесу, которому приходится заполнять «бесполезную» документацию для соблюдения законов о защите данных, но будут в основном полезны крупным американским технологическим компаниям. Макс Шремс, юрист по вопросам конфиденциальности и почетный председатель noyb, заявил: «независимые органы назвали ключевые изменения тем, чем они являются: ни «техническим изменением», ни «упрощением», а ограничением права на защиту данных для жителей ЕС».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Goodwin