Za kilka dni Komisja Europejska ma przedstawić projekt Digital Omnibus - pakietu zmian w unijnym prawie cyfrowym, który może na nowo ustawić równowagę między ochroną prywatności a rozwojem sztucznej inteligencji i gospodarki danych. Choć formalnie mowa o „upraszczaniu i doprecyzowaniu” istniejących regulacji, treść roboczych propozycji oraz analizy renomowanych kancelarii, organizacji eksperckich i regulatorów pokazują, że stawką jest coś więcej niż kosmetyka. To próba odpowiedzi na pytanie, czy Europa chce być miejscem, w którym AI realnie da się budować zgodnie z prawem, a nie obok niego.
Czym ma być Digital Omnibus?
Digital Omnibus, określany jako część „Digital Package on Simplification”, to planowany akt, który w jednym ruchu koryguje i scala szereg obowiązujących regulacji: od RODO, przez przepisy dotyczące plików cookies i komunikacji elektronicznej, po wybrane elementy otoczenia prawnego dla sztucznej inteligencji. Według zapowiedzi Komisji celem jest zmniejszenie kosztów zgodności, szczególnie dla małych i średnich firm, oraz usunięcie sprzeczności interpretacyjnych, które od lat paraliżują praktyczne wykorzystanie danych w Europie. Jednocześnie KE deklaruje, że standard ochrony praw podstawowych pozostanie nienaruszony. To właśnie ta obietnica będzie w najbliższych miesiącach weryfikowana przez prawników, regulatorów i organizacje społeczne.
AI i dane osobowe: od fikcyjnego „opt-in” do kontrolowanego „opt-out”?
Najbardziej dyskutowanym elementem projektowanych rozwiązań jest podejście do trenowania modeli AI na danych osobowych. Z przecieków i analiz wynika, że Komisja chce wprost przesądzić możliwość opierania tego procesu na tzw. prawnie uzasadnionym interesie administratora, zamiast na powszechnym, indywidualnym „opt-in”. Oznaczałoby to model, w którym wykorzystywanie danych z legalnych źródeł do trenowania modeli jest co do zasady dopuszczalne, dopóki osoba, której dane dotyczą, skutecznie się temu nie sprzeciwi.
Takie podejście nie powstaje w próżni. Już wcześniejsze opinie Europejskiej Rady Ochrony Danych wskazywały, że prawnie uzasadniony interes może stanowić podstawę przetwarzania także w kontekście systemów AI, pod warunkiem spełnienia rygorystycznego testu równowagi, realnej minimalizacji danych, stosowania środków technicznych ograniczających ryzyko ponownej identyfikacji oraz zagwarantowania skutecznego prawa sprzeciwu. Jednocześnie podkreślano, że fakt wykorzystania zanonimizowanych lub „pseudonimizowanych” danych nie może być fikcją, a modele nie mogą bez kontroli odtwarzać danych osobowych czy wrażliwych.
Projekt Digital Omnibus idzie krok dalej, starając się zalegalizować to, co w praktyce już robią globalni gracze: trenowanie modeli na ogromnych zbiorach danych, w tym pochodzących z otwartych źródeł, gdzie indywidualna zgoda jest technicznie i organizacyjnie nierealna. Zwolennicy podkreślają, że bez takiego urealnienia zasad Europa skazuje swoje firmy na przegraną wobec konkurencji ze Stanów Zjednoczonych czy Azji. Krytycy mówią wprost o ryzyku „pełzającej rewizji RODO”, która może zostać zakwestionowana przed Trybunałem Sprawiedliwości UE jako sprzeczna z Kartą praw podstawowych.
Dane wrażliwe, „resztki” w modelach i spór o realizm
Szczególnie wrażliwy jest wątek danych szczególnych kategorii, takich jak zdrowie, poglądy polityczne czy orientacja seksualna. Projektowane zmiany mają doprecyzować, że ochrona koncentruje się na informacjach jednoznacznie ujawniających te cechy, a nie na każdym śladzie, który potencjalnie może być tak interpretowany. Jednocześnie w propozycjach pojawia się idea kontrolowanej tolerancji dla sytuacji, w których śladowe ilości danych wrażliwych trafiają do zbiorów treningowych mimo stosowania filtrów, o ile organizacja potrafi wykazać, że ryzyko zostało ograniczone, a dalsze „oduczanie” modelu wymagałoby ingerencji niewspółmiernej do celu.
Z punktu widzenia inżynierii modeli to podejście bliższe rzeczywistości: cofnięcie wpływu pojedynczych rekordów bywa trudne lub praktycznie niemożliwe. Jednak z perspektywy klasycznego odczytania RODO jest to wejście na śliski grunt. Pytanie, czy prawo ma dostosować się do ograniczeń technologii, czy raczej technologia ma zostać zmuszona do wyższych standardów, pozostaje otwarte - i będzie jednym z osiowych w debacie nad Digital Omnibus.
Koniec ery banerów? Centralne preferencje zamiast klikania na oślep
Drugim głośnym filarem przygotowywanych zmian jest podejście do plików cookie i śledzenia online. Komisja od lat słyszy zarzuty, że obecny system masowych banerów z „dobrowolną” zgodą w praktyce wypaczył ideę świadomego wyboru, zamieniając ochronę prywatności w irytujący rytuał klikania. Digital Omnibus ma otworzyć drogę do scentralizowanego systemu preferencji, w którym użytkownik raz, w zaufanym środowisku - na przykład w przeglądarce lub systemowym panelu – określa swoje ustawienia, a serwisy są zobowiązane do ich respektowania.
To rozwiązanie od dawna postuluje wielu regulatorów i ekspertów zajmujących się tzw. dark patterns. Ma ograniczyć nadużywanie banerów, ujednolicić standardy i przywrócić sens pojęciu „zgody”. Jednocześnie przesuwa istotną część władzy regulacyjnej na poziom przeglądarek i dużych dostawców technologii, co budzi pytania o konkurencję i o to, jak skutecznie egzekwować europejskie standardy wobec globalnych graczy i podmiotów spoza UE.
Czy to naprawdę równowaga między prywatnością a innowacją?
Oficjalna narracja wokół Digital Omnibus jest jasna: chodzi o uproszczenie i doprecyzowanie prawa, żeby firmy nie musiały tonąć w sprzecznych interpretacjach, a jednocześnie o stworzenie stabilnych warunków rozwoju dla europejskich technologii AI. W praktyce widać jednak wyraźnie dwie linie interpretacyjne.
Z jednej strony część biznesu i część środowisk eksperckich podkreśla, że dotychczasowy model w obszarze AI był fikcją: wymóg zgody dla każdego rekordu z internetu zablokowałby rozwój jakichkolwiek konkurencyjnych modeli w UE. Uporządkowanie podstawy „prawnie uzasadnionego interesu”, wzmocnione klarownymi wymogami minimalizacji, dokumentacji, ocen skutków i łatwego sprzeciwu, ma być uczciwym kompromisem między ochroną praw jednostki a możliwością budowania nowoczesnych systemów.
Z drugiej strony organizacje pozarządowe, część akademików i część regulatorów ostrzegają, że „techniczna korekta” może w praktyce osłabić pozycję obywatela wobec podmiotów przetwarzających dane. Ich zdaniem przesunięcie ciężaru z dobrowolnej zgody na sprzeciw, w połączeniu z trudnością realnego „wyjęcia” danych z modelu, może prowadzić do sytuacji, w której kontrola nad własnymi danymi stanie się iluzoryczna. Spór nie jest więc wyłącznie prawniczy - dotyka zaufania do całej architektury europejskich regulacji cyfrowych.
Co powinni zrobić teraz przedsiębiorcy i instytucje?
Choć Digital Omnibus pozostaje na etapie projektu i będzie jeszcze przedmiotem negocjacji w Parlamencie Europejskim i Radzie, już dziś wyznacza kierunek, do którego będą dostosowywać się regulatorzy i rynek. Dla organizacji wykorzystujących AI oznacza to konieczność przejrzystego opisania, gdzie i jak dane osobowe są używane do trenowania, testowania i doskonalenia modeli, a także przygotowania rzetelnej analizy prawnie uzasadnionego interesu wraz z oceną skutków dla ochrony danych. Dla zespołów odpowiedzialnych za prywatność i bezpieczeństwo to moment na uporządkowanie dokumentacji, przegląd mechanizmów opt-out oraz wdrożenie praktycznych środków minimalizacji ryzyka, takich jak filtrowanie danych, ograniczanie „regurgitacji” modeli czy jasne komunikaty dla użytkowników.
Dla wydawców, sklepów internetowych i właścicieli serwisów cyfrowych zapowiadane zmiany w obszarze cookies są sygnałem, że era agresywnych banerów i nieprzejrzystych mechanizmów zgody dobiega końca. Już teraz warto myśleć o infrastrukturze, która będzie potrafiła respektować centralne preferencje użytkownika, oraz o ograniczeniu liczby zewnętrznych narzędzi śledzących do tych, które da się uczciwie uzasadnić.
Digital Omnibus może okazać się jednym z najważniejszych testów dla europejskiego modelu regulacji cyfrowych. Jeśli uda się pogodzić wysoki standard ochrony danych z realnymi potrzebami rozwoju AI, będzie to silny argument, że „europejska droga” jest czymś więcej niż tylko deklaracją. Jeśli jednak projekt zostanie odebrany jako rozszczelnienie fundamentów RODO albo okaże się niewykonalny technicznie, spór o przyszłość prywatności i innowacji w Europie tylko przyspieszy. Teraz piłka jest po stronie ustawodawców - ale biznes, sektor publiczny i obywatele już dziś powinni czytać ten projekt jak zapowiedź nowego porządku, a nie chwilową ciekawostkę legislacyjną.