ЕК планира промени в GDPR за нуждите на изкуствения интелект 11.11 | 15:00

Европейската комисия подготвя мащабен пакет от изменения на Общия регламент относно защитата на данните (ОРЗД, GDPR), които биха могли значително да променят правилата за обработка на лични данни в ЕС, от проследяване в интернет до обучение на системи за изкуствен интелект.

Според проект, публикуван от германската организация за правата на човека Netzpolitik, инициативите са групирани в пакет "Цифров омнибус”, чието официално представяне се очаква на 19 ноември.

Проследяване по подразбиране

Ключовото предложение е новият член 88а от GDPR ​​относно "обработването на лични данни на и от крайни устройства”. Това означава, че регулирането на "бисквитките” ще бъде прехвърлено директно от Директивата за неприкосновеност на личния живот и електронните комуникации (ePrivacy) към GDPR.

В момента член 5(3) от ePrivacy изисква предварително изрично съгласие от потребителя за инсталирането на несъществени "бисквитки”. Европейската комисия смята, че паралелното действие на електронната поверителност и GDPR води до правна несигурност, различни надзорни режими и увеличени разходи за съответствие, пише technews.bg.

Проектът предлага да се позволи обработката на данни, събрани чрез "бисквитки” и подобни технологии или за затворен списък с "нискорискови” цели, или на всяко правно основание, посочено в GDPR, включително "законен интерес” на компанията. 

Това променя модела на съгласие в де факто отказ от съгласие: проследяването на потребителите може да се извършва по подразбиране и задължението за спирането му се прехвърля върху потребителя, който трябва да възрази.

Без изскачащи банери

Измененията включват и технически преглед на механизма за съгласие. Новият член 88б постановява, че след като бъдат разработени стандарти, браузърите или операционните системи автоматично ще предават предпочитанията на потребителите за съгласие за обработка на данни, което в крайна сметка би могло да замени настоящите изскачащи банери. 

Предлага се изключение за медийните компании: новинарските издания ще могат да продължат да изискват изрично съгласие, което Европейската комисия обосновава със защитата на "икономическата основа” на журналистиката.

Лични данни за обучение на AI

Отделен раздел от проекта се отнася до обучението на системи за изкуствен интелект. Авторите на документа изрично заявяват, че обучението, тестването и валидирането на системи с изкуствен интелект могат да се провеждат въз основа на "легитимен интерес” при спазване на редица условия: минимизиране на данните, прозрачност и безусловното право на лицата да възразяват срещу такава обработка. 

Документът подчертава, че обработката за обучение та AI трябва да бъде "полезна за субекта на данните и обществото като цяло” и цитира примери като идентифициране на алгоритмични пристрастия и гарантиране на точността на резултатите. 

Адвокатите по защита на данните обаче предупреждават, че разчитането на "легитимен интерес” за такива цели може да проправи пътя за мащабно събиране и анализ на лични данни без изрично съгласие, нещо, което първоначалният GDPR имаше за цел да предотврати.

Проектът включва и ограничено облекчение за обработката на специални категории чувствителни данни, ако те случайно попаднат в комплекти за обучение на AI. В случаите, когато изтриването на тези фрагменти би изисквало "непропорционални усилия”, на компаниите е разрешено да запазват такива данни, при условие, че прилагат предпазни мерки, които предотвратяват използването или разкриването на тази информация.

Същевременно се предлага да се стесни определението за чувствителни данни в член 9 от GDPR: засилената защита ще се прилага само за информация, която директно разкрива, например, здравословно състояние, религия или раса. Данните, от които тези характеристики могат да бъдат изведени само чрез анализ или профилиране, няма да попадат под по-строгите правила.

Критики на подготвяните промени

В изявление от октомври Европейската мрежа за цифрови права (EDRi) обвини Европейската комисия, че се опитва да отслаби стандартите под претекст за борба с "умора от бисквитките”, припомняйки, че GDPR, ePrivacy и Регламентът за изкуствения интелект формират основата на "човекоцентриран дигитален модел за Европа”.

В становище от 14 октомври Европейският правен институт призна, че ограничена актуализация на GDPR може да бъде оправдана, но предупреди, че всякакви подобрения не трябва да идват за сметка на понижаване на нивото на защита на основните права. 

EDRi също така критикува процеса на консултации, наричайки го "изключващ по своята същност” и фокусиран почти изключително върху изискванията на индустрията.

Ако пакетът "Цифров омнибус” бъде приет в сегашния си вид, той ще преструктурира радикално практиките за управление на данни в европейските компании: ще намали необходимостта от сложни системи за съгласие за проследяване,ще регулира официално обучението на AI, използващо лични данни, но същевременно ще отслаби някои от съществуващите гаранции.