ES ketina keisti BDAR: lengvinti mažų verslų ataskaitų prievoles ir taisyti esmines spragas
Europos Sąjungos garsiausias technologijų įstatymas, Bendrasis duomenų apsaugos reglamentas (GDPR), ilgai buvo laikomas nepakeičiamu. Tačiau šios dienos baigėsi.
Trečiadienį ES vykdomoji valdžia pristatys planą keisti BDAR, siekdama palengvinti ataskaitų teikimo reikalavimus mažoms ir finansinių sunkumų turinčioms įmonėms. Tą pačią dieną Briuselyje vyks derybos dėl atskiro įstatymo, kurio tikslas yra taisyti kai kurias pirminio dizaino spragas.
Tai naujausias Komisijos žingsnis, norint mažinti biurokratiją ir „supaprastinti“ ES teisės aktus verslo ir augimo naudai. Buvusio Italijos premjero Mario Draghi vadovaujama ES ekonominė ataskaita rugsėjį įspėjo, kad Europą stabdo sudėtinga teisinė aplinka, trukdanti ekonomikai vytis JAV ir Kiniją. M. Draghi ypač išskyrė BDAR, kaip inovacijų stabdį.
Trečiadienio vakarą vyks paskutiniai derybų raundai dėl papildomų taisyklių, kurios pagreitintų GDPR tyrimų procedūras. Naujos taisyklės skirtos skatinti lėtai vykstančius tarptautinius duomenų apsaugos tyrimus, kurie dažnai užtrunka metus ir susiję su didžiosiomis technologijų įmonėmis.
Tikslas yra nustatyti aiškesnes taisykles, kaip nacionaliniai duomenų apsaugos reguliuotojai bendradarbiauja, aiškinti skundžiančiųjų ir tiriamųjų teises bei svarbiausia: nustatyti konkrečius tyrimų terminus. Keturi su derybomis susipažinusios asmenys teigia, kad didžioji dalis teksto jau suderinta, o pagrindiniai klausimai, liekantys spręsti trečiadienio vakarą: tyrimų terminų trukmė ir teisinės priemonės.
Verslui BDAR yra brangių, sudėtingų ES taisyklių simbolis
Skaitmeninių teisių grupės ir ES viduje BDAR dažnai giria už pasaulinį privatumo apsaugos standartą. Tačiau daugeliui verslų BDAR reiškia brangių, sudėtingų ES taisyklių paketą
BDAR keitimas gali sugriauti sudėtingą pusiausvyrą tarp privatumo aktyvistų ir verslo lobistų Briuselyje. Derybos dėl BDAR 2012–2016 m. buvo viena didžiausių lobistinių kampanijų ES istorijoje. Nuo 2018 m. įsigaliojimo ES vengė jį keisti, bijodama atnaujintos lobistų kovos.
Komisija tikina, kad siūlomi supaprastinimai apsiribos ataskaitų reikalavimų palengvinimu, nekeis pagrindinių BDAR principų. Praėjusių metų vasarą atliktas reglamento vertinimas parodė „didėjantį poreikį remti ypač mažas ir vidutines įmones jų atitikties pastangose“, sakė teisingumo komisaro pavaduotojas Michaelas McGrathas.
Šių metų gegužę vieši dokumentai parodė, kad siūloma išplėsti ataskaitų pateikimo išimtis, kurios dabar taikomos mažosioms įmonėms (iki 250 darbuotojų), ir vidutinio dydžio įmonėms (iki 500 darbuotojų). Taip pat planuojama sukurti daugiau išimčių šiems mažiesiems verslams, atleisti juos nuo įrašų tvarkymo ar privatumo poveikio vertinimų rengimo.
ES planai neapsiribos tik BDAR „lengvinimu“
Konsultacijose su ekspertais ir verslu paminėta galimybė ateityje peržiūrėti BDAR taikymą ir netgi svarstyti reglamento konsolidavimą platesniame duomenų apsaugos strategijos kontekste. Be to, ES valstybės narės ragina aiškiai nustatyti naujojo Dirbtinio intelekto įstatymo ir BDAR santykį.
108 civilinės visuomenės organizacijos, akademikai, įmonės ir ekspertai, tarp jų IFEX, kreipėsi į Europos Komisiją ragindami saugoti BDAR kaip ES skaitmeninės teisės pamato statusą ir stiprinti jo taikymą. Jų pareiškime, paskelbtame 2025 m. gegužės 20 d., pabrėžiama, kad BDAR nėra tik dar vienas reglamentas.
Tai, pasak jų, yra svarbiausias ES skaitmeninės teisės pasiekimas, užtikrinantis asmens orumą ir privatumo apsaugą globalioje duomenų eroje. Pasiūlymai remti mažas ir vidutines įmones yra gerai, tačiau siūlomi pakeitimai kelia grėsmę pagrindinių atsakomybės principų griūčiai.
Ypač kritikuojamas planas leisti kai kurioms įmonėms atsisakyti duomenų tvarkymo įrašų, net kai jos tvarko jautrius duomenis, remiantis tik darbuotojų skaičiumi ar apyvarta. Tai prieštarauja BDAR „rizikos vertinimo“ principui, kuris grindžiamas galimu poveikiu žmonių teisėms, o ne įmonės dydžiu.
BDAR silpninimas reikštų žingsnį atgal į praeitį
Svarbiausia, kad BDAR yra žmogaus teisių instrumentas, kuris neturėtų būti silpninamas dėl konkurencingumo ar ekonominių interesų. Žmonių teisės nėra mažesnės mažesnių įmonių atžvilgiu.
Dėl to daugelis duomenų apsaugos specialistų griežtai priešinasi BDAR atvėrimui peržiūrai. Be to, atnaujinimas atvertų duris platesniems reguliavimo silpninimo reikalavimams, įskaitant naudotojų sutikimo reikalavimų sumažinimą ar asmens duomenų invazinį naudojimą dirbtinio intelekto mokymui.
Visi šie iššūkiai vyksta geopolitiniame kontekste, kai užsienio interesai siekia mažinti ES skaitmeninės teisės standartus, pradedant BDAR, ir toliau ir DSA, DMA bei DI įstatymu. Silpninant BDAR, tai pakenktų ES patikimumui ir lyderystei skaitmeninių teisių apsaugoje.
BDAR, nors ir vertinamas kaip kliūtis kai kuriems agresyviems duomenų išgavimų modeliams, iš tikrųjų užtikrina skaidrumą, atsakomybę ir sąžiningumą skaitmeninėje ekonomikoje.
Komisijai siūloma:
- Neperžiūrėti BDAR ir išlaikyti jo integralumą kaip ES skaitmeninės teisės pagrindą;
- Sutelkti dėmesį į teisės aktų vykdymą ir paramą atitikties užtikrinimui, o ne reguliavimo mažinimą;
- Tęsti pagalbą mažoms ir vidutinėms įmonėms, nekuriant naujų įstatymo išimčių;
- Atsispirti spaudimui aukoti žmonių teises ekonominių interesų labui.
BDAR saugo žmones nuo didėjančių skaitmeninių galios disproporcijų, ypač pažeidžiamas bendruomenes. Jį silpninti reikštų atsisakyti svarbių, sunkiai iškovotų teisių.
