Evropska unija planira da sprovede značajne izmene Opšte uredbe o zaštiti podataka (GDPR) u okviru napora da se smanji regulatorno opterećenje za privredne subjekte, a da se istovremeno zadrže visoki standardi zaštite podataka. Predložene izmene, kao deo četvrtog „Omnibus“ paketa Evropske komisije, predstavljaju najznačajniju reviziju GDPR-a od njegovog uvođenja 2018. godine.
U središtu reformi nalazi se proširenje izuzeća od obaveze vođenja evidencije iz člana 30. GDPR-a. Trenutno su organizacije sa manje od 250 zaposlenih izuzete od vođenja detaljne evidencije o svojim aktivnostima obrade podataka, osim ako se ne primenjuju specifični uslovi visokog rizika.
Novi predlog podiže taj prag na 750 zaposlenih i pojednostavljuje kriterijume za izuzeće uvođenjem nove kategorije privrednih subjekata: „mala i srednja akcionarska društva“ (SMCs), definisana kao firme sa manje od 750 zaposlenih i do 150 miliona evra prihoda ili do 129 miliona evra ukupne aktive. Oko 38.000 kompanija širom EU imaće koristi od ovih pojednostavljenih obaveza, a Komisija procenjuje da će godišnje uštede samo zbog ovih izmena iznositi oko 400 miliona evra.
U sklopu novog okvira, kompanije će morati da vode evidenciju samo ako njihova obrada uključuje „visok rizik“ (npr. veštačka inteligencija, profilisanje, genetski podaci), a ne kao do sada, kada je dovoljan bio bilo kakav „rizik“ za prava i slobode lica. Ova promena ima za cilj da eliminiše situacije u kojima mala i srednja preduzeća moraju da vode obimnu dokumentaciju za rutinske, niskorizične aktivnosti obrade. Paket takođe predviđa pojednostavljenje procesa imenovanja službenika za zaštitu podataka (DPO) putem standardizovanog EU sistema, kao i digitalizaciju obrazaca za komunikaciju sa nadzornim telima.
Reforma je delimično podstaknuta rastućom zabrinutošću u vezi sa konkurentnošću Evrope na globalnom tehnološkom tržištu, posebno u oblasti veštačke inteligencije. Brz razvoj AI-a otkrio je nedostatke u postojećem GDPR-u, naročito kada je reč o automatizovanom donošenju odluka i profilisanju. Predložene izmene imaju za cilj da pojasne zahteve za transparentnost u algoritamskoj obradi i da ojačaju zaštitne mehanizme za međunarodni prenos podataka koji uključuju AI sisteme.
Predlog se oslanja i na preporuke iz izveštaja Marija Dragija o konkurentnosti Evrope, koji je ukazao na to da složeni EU propisi, uključujući GDPR, ometaju inovacije i rast.
Poslovna zajednica uglavnom podržava predlog, smatrajući ga potrebnim smanjenjem administrativnog opterećenja, posebno za manje firme koja se suočavaju sa tzv. „liticom usklađenosti“ kada pređu prag od 250 zaposlenih. Ipak, postoje i zabrinutosti.
Zagovornici privatnosti upozoravaju da bi reforme mogle da oslabe zaštitu podataka u ime ekonomske konkurentnosti. Kritičari strahuju da bi mogao nastati dvostruki sistem, u kojem bi prava lica na zaštitu podataka zavisila od veličine firme koja njihove podatke obrađuje.
S druge strane, Evropski odbor za zaštitu podataka (EDPB) i Evropski nadzornik za zaštitu podataka (EDPS) dali su preliminarnu podršku ciljanim pojednostavljenjima, naglašavajući da izmene neće uticati na ostale GDPR obaveze.
U narednom periodu konsultacija, biće važno pronaći ravnotežu između ekonomske konkurentnosti i osnovnih prava na privatnost. Ishod ovog procesa verovatno će oblikovati ne samo evropsko pravo o zaštiti podataka već i globalne standarde, imajući u vidu uticaj GDPR-a širom sveta. Ove izmene predstavljaju šansu za modernizaciju regulative za digitalno doba, ali i test da li regulatorni okvir može da se menja bez ugrožavanja svojih osnovnih zaštitnih ciljeva.
Author: Uroš Rajić
