Kybernetická Bezpečnost & Růst
Publikováno dne
Legislativa

Digital Omnibus přináší největší regulaci GDPR od doby vzniku

Autor

Evropská komise 19. listopadu představila balík zásadních změn digitální legislativy známý jako Digital Omnibus.
Jde o nejrozsáhlejší revizi pravidel pro ochranu dat, umělou inteligenci a kybernetickou bezpečnost od přijetí GDPR v roce 2016.

Evropská Komise prezentuje odstranění administrativních bariér a zvýšení konkurenceschopnosti EU v AI. Návrh přináší oslabení některých ochran, na které byli občané zvyklí pod GDPR, a vyvolává obavy bezpečnostních expertů i organizací pro ochranu soukromí.

1. GDPR a ochrana dat: 7 změn, které zásadně mění praxi

1) Užší definice osobních údajů

Digital Omnibus přepracovává samotný základ GDPR: co je a není osobní údaj.

Co to znamená v praxi?

  • Větší část pseudonymizovaných, odvozených nebo technických dat (telemetrie, logy, embeddingy, statistiky) může spadat mimo GDPR.
  • Přestože je často možné zpětně identitu odvodit, pro firmy to nebude představovat povinnosti dle GDPR.
  • Zvýší se riziko profilování, sledování chování a kombinování dat z různých zdrojů.

Jde o zásadní posun proti dosavadní praxi, kde i pseudonymizovaná data byla brána jako osobní.

2) Silnější pozice firem při sporech v oblasti GDPR

Digital Omnibus rozšiřuje situace, kdy mohou firmy odmítnout žádosti subjektů údajů. Odmítnutí bude možné například tehdy, pokud je žádost:

  • zjevně zneužívána,
  • pro firmu nepřiměřeně zatěžující,
  • opakovaná, aniž by přinášela nový obsah nebo smysl.

Praktický dopad

Firmy nově snáze odmítnou požadavky, které jsou:

  • opakované žádosti o výmaz bez nových důvodů,
  • velmi široké či náročné žádosti o přístup k datům,
  • žádosti podávané účelově, například jako forma tlaku při reklamaci nebo sporu.

Tato úprava posouvá rovnováhu mezi jednotlivci a správci dat. Dává firmám podstatně více prostoru bránit se neefektivním nebo zneužívaným žádostem.

3) Povolení zpracování dat pro trénování AI

Trénování modelů má získat samostatný, volnější právní režim.

Firmy budou moci data využívat na základě:

  • legitimního zájmu,
  • povoleného účelu vývoje modelů,
  • „kompatibilního účelu“.

Dopad na firmy

  • Snazší použití existujících datových toků (logy, interakce, telemetrie) pro vývoj modelů.
  • Nižší riziko regulatorních sporů nebo sankcí.
  • Méně administrativní nejistoty.

Pro průmysl jde o zásadní uvolnění.

4) Speciální právní režim pro AI systémy

AI systémy dostávají flexibilnější právní rámec než běžné analytické nástroje.

  • Stejná data mohou mít jiný právní režim podle toho, zda jsou zpracována AI.
  • U běžných nástrojů (Excel, CRM, BI) se nadále aplikuje klasické GDPR.
  • U AI systémů návrh počítá se širšími „kompatibilními účely“ a méně restriktivním přístupem k opakovanému použití dat.

AI se tak stává privilegovanou kategorií zpracování, která některé limity GDPR částečně obchází nebo oslabuje.

5) Citlivá data chráněná jen při explicitním sdělení

Citlivá data budou chráněna jen tehdy, když je osoba výslovně sdělí.

Odvozená data či predikce (odhad orientace, zdraví, politických preferencí) už nemusí být považovány za citlivé.

Praktický rozdíl

  • Pokud člověk explicitně sdělí citlivý údaj (například chatbotu své těhotenství), jde o citlivý údaj.
  • Pokud firma tuto informaci odvodí (například z chování), nemusí být chráněna jako citlivá.

Tím se odvozené informace přesouvají do méně chráněného režimu, což výrazně usnadňuje profilování.

6) Snazší sběr dat z osobních zařízení

Provozovatelé budou moci častěji sbírat data pro:

  • bezpečnost,
  • stabilitu,
  • diagnostiku,
  • statistické účely.

To umožní:

  • hlubší telemetrii operačních systémů,
  • více dat o používání zařízení,
  • širší analytiku a monitoring.

Hranice mezi diagnostikou a marketingem se tím dále rozmazává.

7) Reforma cookies: konec bannerů

Cookies se budou řídit jednotným nastavením v prohlížeči (GPC, „consent mode“).

Namísto bannerů se zavádí:

  • jednotné nastavení v prohlížeči,
  • automatické přenášení preferencí na všechny weby.

Co to znamená?

  • Weby již nebudou potřebovat bannery, což zlepší uživatelskou zkušenost.
  • Pokud si uživatel nenastaví prohlížeč restriktivně, weby získají větší volnost.

Závěr

Digital Omnibus představuje zásadní přesměrování evropské digitální politiky.

Po letech, kdy EU stavěla ochranu soukromí na piedestal, nastává okamžik, kdy se regulační kyvadlo výrazně posouvá směrem k podpoře podniků a technologického rozvoje.

Pro podniky jde o největší deregulaci digitálního rámce za posledních osm let.
Snadněji mohou:

  • trénovat interní AI modely,
  • využívat pseudonymizovaná data bez rozsáhlé administrativy,
  • personalizovat služby,
  • odstranit část regulatorních bariér.

Pro jednotlivce však návrh znamená oslabení záruk:

  • pseudonymizovaná a odvozená data ztrácejí ochranu,
  • profilování je snáze proveditelné,
  • telemetrie proudí ve větším rozsahu,
  • AI systémy mají privilegovaný režim.

Digital Omnibus tak nepředstavuje jen technickou novelu, ale nové nastavení rovnováhy.
To, jak se Evropa s touto změnou vyrovná, bude určovat digitální prostředí na mnoho let dopředu.

Související příspěvky