Informativni pregled Izjave (Statement on the Digital Services Package and Data Strategy) EDPB (Europski odbor za zaštitu podataka) od 18. studenog 2021. godine vezano za zabrinutost u svezi prijedloga digitalnih i podatkovnih strategija te preporuke za zaštitu podataka u skladu s Općom uredbom (GDPR).
Posljednjih godinu dana
Europska komisija predstavila je nekoliko prijedloga kao dio svojih digitalnih i podatkovnih strategija (prijedlozi: Akt o digitalnim uslugama – DSA, Akt o digitalnim tržištima – DMA, Akt o upravljanju podacima – DGA, Akt o umjetnoj inteligenciji (AIR). Posebnu pažnju privukao je Prijedlog uredbe o utvrđivanju usklađenih pravila o umjetnoj inteligenciji (Akt o umjetnoj inteligenciji) u travnju ove godine. Tom Prijedlogu je prethodilo više aktivnosti, prije svega Smjernice o pouzdanoj umjetnoj inteligenciji u travnju 2019. godine te u veljači 2020. Bijela knjiga o umjetnoj inteligenciji kojom je Europska komisija predstavila osnovni koncept regulacije umjetne inteligencije.
1) Nedostatak zaštite temeljnih prava i sloboda pojedinaca
Prijedlog AIR omogućio bi korištenje AI sustava koji kategorizira pojedinca iz biometrije (kao što je prepoznavanje lice) prema etničkoj pripadnosti, spolu, političkoj ili seksualnoj orijentaciji i drugim osobnim obilježjima u određenim okolnostima. EDPB predlaže da se svaka obrada s povezanim osnovama diskriminacije u potpunosti zabrani kao i sustavi čija znanstvena vrijednost nije dokazana ili je u sukobu s temeljnim vrijednostima. Prepoznavanje emocija trebalo bi biti dozvoljeno samo u specifičnim slučajevima u zdravstvene ili istraživačke svrhe te uz primjenu odgovarajućih zaštitnih mjera.
Prijedlog AIR dozvoljava u određenim slučajevima automatsko prepoznavanje ljudskih obilježja (kao što su prepoznavanje lica, hoda, otiska prsta, glasa i dr. biometrijskih ili bihevioralnih signala) u javno dostupnim prostorima u svrhu provođenja zakona dok EDPB predlaže zabranu takve upotrebe u potpunosti.
EDPB također smatra da bi ciljano online oglašavanje trebalo strože regulirati u korist manje nametljivih oblika oglašavanja dok bi profiliranje djece općenito trebalo biti zabranjeno.
2) Fragmentirani nadzor
Prijedlog uredbe o upravljanju podacima (Data Governance Act – DGA) definira nove vrste pružatelja usluga i organizacija koje bi obrađivale velike količine potencijalno osjetljivih podataka, posebice usluge posredovanja podataka i organizacije za altruizam podataka. Međutim, režim 'provjere' za te subjekte gotovo je načelan i kao takav ne pruža dovoljnu zaštitu ispitanicima. Predloženi Akt o umjetnoj inteligenciji utvrđuje okvir certificiranja i kodekse ponašanja za visokorizične sustave umjetne inteligencije, ali nije jasno mogu li i na koji način ti certifikati biti povezani sa zahtjevima prema GDPR što bi moglo dovesti do situacije da bez obzira što su sustavi certificirani (oznaka CE) nisu u skladu s Općom uredbom.
Prijedlog Akta o digitalnim tržištima (Digital Markets Act – DMA) zahtjeva da se olakša prijenos osobnih podataka u skladu s GDPR i pod određenim uvjetima omogući pristup podacima bez jasne zakonite osnove ili obveze savjetovanja nadzornog tijela za zaštitu podataka.
EDPB predlaže da se u svakom Prijedlogu jasno daju odredbe koje će odrediti i definirati obvezu suradnje s nadzornim tijelima za zaštitu podataka. Prijedlozi bi također trebali omogućiti nadzornim tijelima u okviru svakog Prijedloga da s nadležnim tijelima za zaštitu podataka, podijele informacije dobivene u kontekstu bilo kakvih revizija i istraga koje se odnose na obradu osobnih podataka.
3) Rizici nedosljednosti
EDPB ističe da svi prijedlozi imaju za cilj regulirati tehnologije ili aktivnosti koje uključuju obradu osobnih podataka te da je postojeći okvir zaštite podataka kao takav u potpunosti primjenjiv. Međutim, tekstovi postojećih prijedloga, mogu stvoriti određene nejasnoće u pogledu primjenjivosti okvira za zaštitu podataka u pojedinim slučajevima. U svakom slučaju, u prijedlozima bi zato trebalo jasno biti navedeno da odredbe neće utjecati, niti ugroziti primjenu postojećih pravila o zaštiti podataka i osigurati da odredbe Opće Uredbe prevladavaju kad god se osobni podaci obrađuju. Pri tome se ističe da se često koristi ista terminologija kao u GDPR (i Direktivi o privatnosti i elektroničkim komunikacijama) bez eksplicitnog pozivanja što stvara rizik da bi se neke odredbe mogle protumačiti kao određena odstupanja a što sve može dovesti do pravne nesigurnosti.
Primjer: u mnogim slučajevima iz prijedloga teksta nije razvidan zakoniti temelj za obradu osobnih podataka. Primjerice, Akt o digitalnim tržištima ne pruža dovoljnu jasnoću u pitanju ponovne upotrebe podataka u javnom sektoru dok predloženi Akt o umjetnoj inteligenciji ne daje opće odobrenje za obradu osobnih podataka ali navodi da pružatelji visokorizičnih AI sustava „mogu obrađivati posebne kategorije osobnih podataka“ kako bi osigurali praćenje, otkrivanje pristranosti i ispravak te zahtijeva dodatne zaštitne mjere za tu obradu.
EDPB stoga poziva Komisiju da izbjegne nejasnoće u novim prijedlozima kako bi se osigurala pravna sigurnost i usklađenost s postojećim okvirom zaštite podataka kako bi se osigurala njegova učinkovita primjena. U svakom slučaju, u prijedlozima bi trebalo jasno biti navedeno da neće utjecati, niti ugroziti primjenu postojećih pravila o zaštiti podataka i osigurati da pravila zaštite podataka prevladavaju kad god se osobni podaci obrađuju.
EDPB u Izjavi naglašava:
- neotuđiva priroda prava na zaštitu osobnih podataka kao prava koje se odnosi na svaku fizičku osobu;
- potrebu za posebnim zaštitnim mjerama kako bi se osigurala usklađenost sa svim načelima zaštite podataka a posebice s načelom minimiziranja podataka, ograničenja svrhe i transparentnosti;
- nužnost određivanja vrsta podataka koji se mogu obraditi, svrhe za koje se podaci mogu obraditi, subjekte podataka, strane s kojima se osobni podaci mogu dijeliti i razdoblja pohrane.
- posebnu pozornost koju treba posvetiti zaštitnim mjerama za obradu u svrhu znanstvenog istraživanja, osiguravajući zakonito, odgovorno i etičko upravljanje podacima;
- važnost zaštite podataka „by design and by default“.
EDPB: Statement on the Digital Services Package and Data Strategy
