Firmy mohou získat bianko šek k využití osobních údajů. Umělá inteligence se na nich začne trénovat
- Evropská komise představila deregulaci pravidel GDPR a aktu o umělé inteligenci.
- Jednou z nejpodstatnějších změn je výjimka pro trénování a využívání AI modelů bez souhlasu dotčených osob.
- Návrh zvýhodňuje nejen klasické soukromé firmy, ale i skupinu těch, které bývají označovány mediální zkratkou Big Tech.
Evropská komise zveřejnila svůj balíček takzvaného digitálního omnibusu, tedy revize pravidel GDPR, který obsahuje navrhované změny v rámci regulačního rámce EU pro digitální oblast jako součást širší iniciativy na zjednodušení a zajištění konkurenceschopnosti. Ačkoliv budou návrhy ještě upřesněny v průběhu jednání s Evropským parlamentem a Radou EU, balíček – pokud bude přijat v současné podobě – přinese významné změny v pravidlech ochrany osobních údajů, požadavcích na soubory cookies a sledování, kybernetické bezpečnosti a v aktu o umělé inteligenci EU.
Tomu, že Evropská komise přistoupí k tak výrazné revizi pravidel GDPR, původně nic nenasvědčovalo. Návrh, který máme před sebou – EU Digital Omnibus – ale jde výrazně nad rámec minimalistického přístupu. Je chvályhodné, že se do něj stávající Evropská komise pustila, protože zde určitě existuje prostor pro zlepšení. Sice v řadě ohledů zlepšuje postavení firem, ale zároveň se zdá v některých ohledech legislativně nedotažený.
Záměrem většiny změn je deregulace a snaha o zlepšení podnikatelského prostředí. To nelze než kvitovat. Některé pasáže návrhu však působí, jako by byly psány horkou jehlou, a naopak mohou oslabit dosavadní vysoký standard ochrany soukromí. Je tak trochu zvláštní, že se Evropská komise rozhodla vydat cestou, která tak výrazně zvýhodňuje nejen klasické soukromé firmy, ale i skupinu těch, které bývají označovány mediální zkratkou Big Tech. Přesně k tomu totiž směřují širší možnosti využívání osobních údajů při vývoji a trénování umělé inteligence. Zdá se, že občan bude mít naopak složitější přístup ke svým údajům.
Méně povinností pro firmy
Už to, že je balíček uvozen změnou definice toho, co je a co není osobním údajem, mnohé naznačuje. Dosud byl osobním údajem jakýkoliv údaj, který teoreticky mohl identifikovat konkrétního člověka. Nově to bude jen informace, na jejímž základě je konkrétní firma skutečně schopna daného člověka identifikovat. V praxi to znamená méně povinností pro firmy, navzdory tomu, že jiný subjekt může být na základě těch samých dat schopen člověka poznat. Podobné je to u umělé inteligence, kde režim opt-in nahradí opt-out. Firmy tak dostanou jakýsi bianko šek využívat osobní údaje, dokud se občan aktivně nerozhodne jinak.
A mohl bych pokračovat. Lidé mají dnes relativně široké oprávnění požadovat kopii osobních údajů po firmách, které jejich údaje zpracovávají, a společnosti nemají mnoho nástrojů, jak takovou žádost odmítnout. Omnibus však nově umožňuje odmítnutí na základě poměrně vágní formulace, že se firma „domnívá“, že žadatel uvádí jiný důvod než ochranu soukromí.
Další ústupek směrem k firmám představuje omezení povinnosti transparentně informovat veřejnost o tom, jak s daty nakládají – opět na základě nejasné fráze, že informovat nemusí „pokud se dá očekávat, že by to lidé již mohli vědět“. V běžném obchodním styku tedy hrozí, že firmy nebudou zákazníky informovat o zpracování dat vůbec, což považuji z hlediska ochrany soukromí za zásadní problém.
Občan vlastně nic nového nezíská
Za pozitivní naopak považuji změnu v oblasti hlášení úniků dat: lhůta se prodlužuje ze 72 na 96 hodin a povinnost se vztahuje pouze na vážné incidenty, o kterých již nyní musejí firmy občany informovat. Znamená to méně byrokracie pro firmy i úřady, přičemž ochrana občanů zůstává nedotčena. I zde ale platí, že firmy získají, ale občan vlastně nic nového nezíská.
A tak je EU Digital Omnibus nastaven v podstatě celý. Nejvíce kritická mi přijde zejména výjimka pro trénování a využívání AI modelů bez souhlasu dotčených osob. Dopady této výjimky mohou být významné i proto, že se současně otevírá možnost využít pro trénování i citlivé údaje, jako jsou údaje o zdravotním stavu nebo sexuální orientaci.
Firmy tedy získávají výrazné zjednodušení procesů, větší volnost a úlevu v podobě méně povinností. Občanům naopak hrozí slabší ochrana soukromí, ztížený přístup k informacím a více prostoru pro využívání citlivých dat i pro trénování a použití umělé inteligence. Dá se to číst jako špatná zpráva a výrazný nepoměr, nebo jako identifikace oblastí, které je potřeba v návrhu ještě dopracovat. Já osobně preferuji ten druhý pohled a věřím, že i Evropská komise nakonec uzná, že svůj Omnibus zatím uzavírat nemá.
Autor je advokát kanceláře Rowan Legal specializující se na ochranu osobních údajů.
