Evropska komisija predstavila je Digital Omnibus, zakonodavni paket osmišljen da pojednostavi i modernizuje složena digitalna pravila EU. Obuhvata dva važna predloga. Jedan se fokusira na racionalizaciju regulative o podacima, sajber-bezbednosti i privatnosti. Drugi precizira primenu Zakona o veštačkoj inteligenciji (EU AI Act). Komisija očekuje da će ova reforma do 2029. doneti više od 4 milijarde evra ušteda za kompanije, javne organe i građane.
U vezi sa AI Act-om, predviđene su ciljane prilagodbe radi olakšane primene propisa. Time se obezbeđuje da se obaveze usklade sa dostupnošću tehničkih standarda. Istovremeno, ključni element paketa jeste objedinjavanje regulatornog okvira EU za podatke, pri čemu će se postojeći propisi spojiti u dva osnovna instrumenta: Zakon o podacima (Data Act) i GDPR.
Digital Omnibus uvodi i jedinstveni kanal za prijavu incidenata u oblasti sajber-bezbednosti. Korišćenjem pristupa „prijavi jednom, podeli dalje“, kompanije će moći da ispune više obaveza iz NIS2, GDPR-a, DORA-e, CER-a i Uredbe o digitalnom identitetu EU putem jedne platforme.
Odložene obaveze za visokorizične AI sisteme:
Jedna od najznačajnijih izmena jeste odlaganje primene pravila za visokorizične AI sisteme u oblastima kao što su biometrija, zapošljavanje, obrazovanje, zdravstvo, sprovođenje zakona i procena kreditne sposobnosti. Umesto od avgusta 2026., zahtevi bi se primenjivali od decembra 2027. godine za sisteme iz Aneksa III. Za sisteme iz Aneksa I primena bi počela u avgustu 2028. godine. Ipak, Komisija može aktivirati primenu šest do dvanaest meseci ranije, ukoliko utvrdi da postoje odgovarajući standardi i alati. Kritičari tvrde da ovaj mehanizam daje Komisiji široku diskreciju u određivanju konačnog roka.
Dodatno vreme za obaveze označavanja AI sadržaja:
Provajderi će dobiti dodatnu godinu za ispunjenje novih obaveza označavanja AI-generisanog sadržaja, što industriji daje više vremena za prilagođavanje tehnologije.
Jača uloga Evropske kancelarije za AI:
Omnibus proširuje nadležnosti AI Office-a, koji će nadzirati sve AI sisteme zasnovane na modelima opšte namene i sprovoditi ocene usklađenosti za određene visokorizične sisteme.
Podrška MSP-ovima i srednjim preduzećima:
Olakšice u pogledu usklađenosti, koje su ranije važile samo za MSP-ove, proširuju se i na manja srednja preduzeća, smanjujući teret dokumentacije i nadzora za širi krug organizacija.
Pojednostavljeni procesi prema pravilima zaštite podataka:
Digital Omnibus pojašnjava kako AI razvijači mogu da obrađuju lične podatke, uključujući posebne kategorije, radi otkrivanja i ispravljanja pristrasnosti, uz primenu odgovarajućih zaštitnih mera. Takođe se proširuje pristup regulatornim sandbox-ovima i mogućnostima testiranja u realnim uslovima. Planirano je uspostavljanje regulatornog sandbox-a na nivou EU od 2028. godine.
Uža definicija ličnih podataka:
Predlog precizira definiciju ličnih podataka fokusiranjem na to da li određeni subjekt ima „razumno verovatna“ sredstva da identifikuje pojedinca. Ovaj pristup po subjektu odražava noviju sudsku praksu, ali otvara praktična pitanja: informacije koje jedan subjekt ne može povezati sa osobom možda drugi može. U današnjim ekosistemima podataka, identifikatori poput ad ID-jeva, kolačića ili otiska uređaja široko cirkulišu. Ova promena bi zato mogla uticati na to koliko podataka ostaje u dometu GDPR-a.
AI obuka kao legitimni interes:
Predlog uvodi odredbu da razvoj i rad AI sistema ili modela predstavlja „legitimni interes“ rukovaoca prema članu 6(1)(f) GDPR-a. To bi obezbedilo izričitu pravnu osnovu za obradu ličnih podataka u svrhe obuke AI, pod uslovom da je obrada neophodna i da ne nadjačava prava i slobode pojedinaca.
Jedinstvena EU pravila o DPIA:
Predlog zahteva harmonizovane kriterijume na nivou EU za to kada je potrebno sprovesti procenu uticaja na zaštitu podataka (DPIA). Jedinstvene liste i šabloni zamenili bi različite nacionalne pristupe, nudeći doslednost, ali umanjujući lokalnu fleksibilnost.
Ažurirana pravila o automatizovanom odlučivanju:
Izmene člana 22 razjašnjavaju da odluke neophodne za zaključenje ili izvršenje ugovora mogu biti zasnovane na automatizaciji čak i kad postoji neautomatizovana alternativa. To bi moglo proširiti upotrebu automatizovanih alata u svakodnevnim komercijalnim odnosima.
Viši prag za prijavu povreda podataka:
Obaveza prijavljivanja povrede postojala bi samo kada je verovatan visok rizik po pojedince, ujednačavajući obavezu obaveštavanja organa sa postojećom obavezom obaveštavanja lica na koja se podaci odnose. Rok za prijavu produžio bi se sa 72 na 96 sati. Uspostavio bi se jedinstveni EU kanal za podnošenje prijava.
Promene u pravilima o kolačićima i praćenju:
Premošćavanjem ePrivacy pravila u GDPR kao član 88a, veb-lokacije bi mogle da se oslone na šire pravne osnove (uključujući legitimni interes) umesto na saglasnost u većini slučajeva. Time se model pomera sa opt-in na opt-out, pri čemu je praćenje uključeno, osim ako se korisnik izričito ne usprotivi. Novi član 88b uvodi standardizovane, automatizovane signale privatnosti podešene na nivou pregledača ili sistema, koje će sajtovi morati da poštuju kada budu usvojeni odgovarajući tehnički standardi. Određeni medijski servisi bili bi izuzeti od obaveze poštovanja ovih signala dve godine nakon stupanja standarda na snagu.
Umanjene obaveze transparentnosti:
Rukovaoci više ne bi morali da dostavljaju obaveštenja o privatnosti kada je razumno pretpostaviti da su pojedincima već poznate relevantne informacije, osim u posebnim situacijama sa povećanim rizikom. Cilj je smanjenje ponavljajućih obaveštenja, iako bi ova promena mogla značiti da će pojedinci dobijati manje direktnih informacija o obradi svojih podataka.
Digital Omnibus teži da pozicionira Evropu kao agilnije digitalno tržište, smanjujući fragmentaciju i olakšavajući usaglašenost. Ipak, zbirni efekat predloženih izmena postavlja dublje pitanje: dokle pojednostavljenje može ići kada dotiče same temelje zaštite podataka?
Uvođenje legitimnog interesa za razvoj AI rešilo bi dugogodišnju debatu u EU. Potvrdilo bi da se lični podaci mogu koristiti za obuku i rad AI modela. Uža interpretacija osetljivih podataka ograničila bi pojačanu zaštitu na informacije koje direktno otkrivaju zaštićene karakteristike. Veliki deo današnjih bihejvioralnih i inferiranih podataka ostao bi izvan pojačanog režima zaštite.
Digital Omnibus stoga predstavlja više od tehničke korekcije. On odražava šire preusmeravanje regulatornih prioriteta, upravo u trenutku kada je sposobnost izvlačenja osetljivih uvida iz naizgled običnih podataka jača nego ikada. Da li će konačna ravnoteža naginjati ka ekonomskoj efikasnosti ili individualnim zaštitama zavisiće od konačnog teksta propisa, ali i od toga kako će se novi koncepti tumačiti i primenjivati u praksi.
