2025 m. lapkričio 19 d. Europos Komisija (EK) pristatė plataus užmojo teisėkūros paketą „Digital Omnibus“, kuriuo siūloma atnaujinti Bendrąjį duomenų apsaugos reglamentą (BDAR) ir kitus skaitmeninių technologijų teisės aktus.

Šie pakeitimai – neoficialiai vadinami „BDAR 2.0“ – siekia supaprastinti skaitmeninį teisinį reglamentavimą, sumažinti administracinę naštą verslui ir panaikinti teisinį neapibrėžtumą, kartu išlaikant aukštus ES duomenų apsaugos standartus. Kaip teigia advokatų kontoros TEGOS asocijuotoji partnerė Raminta Stravinskaitė, svarbiausi pasiūlyti pakeitimai susiję su BDAR patobulinimu – nuo sąvokų patikslinimo iki naujų išimčių įvedimo.

Tikslesnė asmens duomenų sąvoka

Pirmiausia, siūloma patikslinti asmens duomenų apibrėžtį. BDAR būtų aiškiai nurodyta, kad informacija nelaikoma asmens duomenimis konkrečiam duomenų valdytojui, jei tas valdytojas neturi priemonių, leidžiančių identifikuoti fizinį asmenį. Tai reiškia, kad, pavyzdžiui, įmonei gavus pseudonimizuotus duomenis (kai tiesiogiai identifikuojanti informacija pakeista), tie duomenys galėtų būti laikomi ne asmens duomenimis, jei įmonė neturi galimybių atskleisti asmens tapatybės. Šis pakeitimas užpildytų iki šiol buvusias pilkąsias zonas ir sumažintų teisinį neapibrėžtumą verslui.

Aiškesnė asmens duomenų apibrėžtis ypač svarbi situacijose, kai naudojami techniniai identifikatoriai, kurie gali, bet nebūtinai turi, būti susieti su konkrečiu žmogumi. Vienas iš tokių pavyzdžių – automobilio VIN numeris. Šiandien dažnai kyla ginčų, ar VIN visada yra asmens duomenys. Pagal siūlomą BDAR pakeitimą atsakymas būtų: tai priklauso nuo konkretaus duomenų valdytojo galimybių identifikuoti asmenį.

Įsivaizduokime, kad automobilių gamintojas perduoda servisų tinklui techninių duomenų rinkinį apie tam tikro modelio dažniausiai pasitaikančius gedimus. Duomenyse yra ir konkrečių automobilių VIN numeriai, tačiau servisas neturi prieigos prie valstybinių transporto priemonių registrų, todėl nėra pajėgus VIN susieti su realiu savininku ar vairuotoju. Servisui VIN numeris tėra techninis identifikatorius, reikalingas nustatyti, ar konkrečiam automobiliui taikomas, pavyzdžiui, gamintojo atšaukimas dėl saugumo. Nors gamintojas ar draudimo bendrovė galėtų VIN lengvai susieti su asmens tapatybe, servisui tai neįmanoma, nes jis neturi nei teisinių, nei techninių priemonių atkurti kliento tapatybės.

Pagal siūlomą BDAR formuluotę tokioje situacijoje VIN numeriai servisui nebūtų laikomi asmens duomenimis, nes šis subjektas neturi realios galimybės identifikuoti automobilio savininko. Tačiau tiems duomenų valdytojams, kurie turi tokią galimybę – pavyzdžiui, draudikams, policijai ar registrų tvarkytojams – tas pats VIN ir toliau būtų laikomas asmens duomenimis. Tai iliustruoja, kaip naujoji BDAR nuostata leistų atskirti realią identifikavimo riziką nuo hipotetinės ir sumažintų nereikalingą administracinę naštą ten, kur jos faktiškai nereikia.

Naujos išimtys specialių kategorijų asmens duomenims

Į BDAR įtraukiamos naujos išimtys specialių kategorijų asmens duomenų tvarkymui. Pasiūlyme numatyta leisti tvarkyti biometrinius duomenis asmens tapatybei patvirtinti (pvz., prisijungimui naudojant piršto antspaudą ar veido atpažinimą), jei tie duomenys ir priemonės yra tik paties duomenų subjekto kontrolėje. Taip pat numatyta išimtis, leidžianti dirbtinio intelekto sistemų kūrimo ir veikimo tikslais tvarkyti specialių kategorijų „duomenų likučius“, kai imamasi tinkamų techninių ir organizacinių priemonių tokių duomenų nerenkanti ir juos pašalinanti. Šios nuostatos leis naudoti duomenis AI mokymui saugiau ir aiškiau apibrėžtomis sąlygomis, nepažeidžiant privatumo.

Pavyzdžiui, bankas savo klientams suteikia galimybę prisijungti prie mobiliųjų paslaugų veido atpažinimu. Pagal siūlomą BDAR pakeitimą bankas gali be papildomų teisinių komplikacijų naudoti biometrinius duomenis tapatybės patvirtinimui, jeigu duomenys lieka tik kliento įrenginyje. Tai reiškia, kad veido skenavimo duomenys saugomi tik telefone, o bankas jų nemato, nekuria jų kopijų ir neturi galimybės jų analizuoti ar naudoti kitiems tikslams. Tokia situacija tampa teisiškai paprastesnė: nors veido atvaizdas yra specialių kategorijų asmens duomuo, BDAR leistų jį naudoti tapatybės patvirtinimui tada, kai kontrolė yra visiškai vartotojo rankose.

Piktnaudžiavimo prevencija

Daugiau aiškumo ir balanso atsirastų ir duomenų subjektų teisių srityje. BDAR 12 straipsnyje siūloma numatyti galimybę atsisakyti tenkinti asmens prašymus arba imti pagrįstą mokestį, jei nustatoma, kad duomenų subjekto prašymas suteikti prieigą prie duomenų yra piktnaudžiaujantis ar nesusijęs su asmens duomenų apsauga. Tai apsaugotų organizacijas nuo piktavalių ar nepagrįstai dažnų prašymų, kurie gaišina laiką. Kartu būtų patikslintos sąlygos, kada prašymas laikomas nepagrįstu ar pertekliniu, suteikiant aiškų teisinį pagrindą tokius prašymus riboti.

Tarkime, darbuotojas, palikęs įmonę po konfliktinės situacijos, pradeda teikti buvusiam darbdaviui gausybę BDAR prašymų: prašo visų savo duomenų kopijų, visų el. laiškų, susirašinėjimų, personalo skyriaus užrašų, susitikimų protokolų, vadovų pastabų, vaizdo kamerų įrašų ir net įvairiausių IT žurnalų. Vos tik įmonė į prašymą atsako, jis pateikia dar vieną – tokį pat arba dar platesnės apimties. Netrukus tampa aišku, kad tokia veikla nebeturi jokio realaus ryšio su jo duomenų apsauga ar teisėtu tikslu. Prašymai tampa priemone apsunkinti buvusio darbdavio darbą, atitraukti resursus ir kelti administracinę naštą.

Pagal siūlomus BDAR pakeitimus tokiose situacijose atsirastų daugiau balanso ir aiškumo. Jei įmonė pagrįstai nustato, kad prašymai yra pertekliniai, piktnaudžiaujantys ar akivaizdžiai nesusiję su duomenų apsauga, ji galėtų atsisakyti juos tenkinti arba taikyti pagrįstą mokestį, padengiantį administracines išlaidas.

Mažiau perteklinių pranešimų

Supaprastinama informavimo pareiga tais atvejais, kai asmuo jau turi reikiamą informaciją. Šiuo metu BDAR reikalauja pateikti išsamią informaciją duomenų subjektui apie jo duomenų tvarkymą. Pakeitimai leistų šios prievolės netaikyti, jei yra pagrįstų priežasčių manyti, kad žmogus jau žino, kaip tvarkomi jo duomenys. Vis dėlto ši lengvata nebūtų taikoma, jei duomenys perduodami tretiesiems asmenims ar į trečiąsias šalis, jei vykdomas automatizuotas sprendimų priėmimas ar tvarkymas gali kelti didelę riziką duomenų subjekto teisėms.

Lankstesnis požiūris į automatizuotus sprendimus

Planuojama patikslinti automatizuoto sprendimų priėmimo taisykles. Aiškiai įtvirtinama, jog kai automatizuotas sprendimas daromas vykdant sutartį su asmeniu ar ketinant ją sudaryti, reikalavimas, kad toks sprendimas būtų „būtinas“ sutarčiai vykdyti, gali būti taikomas net jei teoriškai tokį sprendimą galėtų priimti ir žmogus. Kitaip tariant, įmonėms neturėtų būti trukdoma naudoti automatizuotus sprendimus vien todėl, kad yra alternatyva žmogaus rankomis – svarbu, kad tai būtų tikslinga sutarties vykdymo dalis.

Incidentų pranešimai – nuo 72 iki 96 valandų

Reikšmingai keičiasi duomenų saugumo pažeidimų (incidentų) pranešimo tvarka. Šiuo metu BDAR reikalauja apie bet kokį asmens duomenų saugumo pažeidimą pranešti priežiūros institucijai per 72 valandas, nepriklausomai nuo rizikos lygio, o jei pažeidimas gali smarkiai pakenkti asmens teisėms – informuoti ir patį asmenį.

Nauju siūlymu priežiūros institucijai reikėtų pranešti tik apie tuos saugumo incidentus, kurie gali sukelti didelę riziką asmens teisėms. Be to, pranešimo terminas pailginamas iki 96 valandų, suteikiant organizacijoms daugiau laiko tinkamai įvertinti incidentą ir pasiruošti informavimui. Taip pat planuojama sukurti vieno langelio principu veikiantį pranešimų portalą: visi pažeidimai būtų teikiami per vieningą ES kibernetinių incidentų registravimo sistemą (ją administruotų ES kibernetinio saugumo agentūra ENISA). Priežiūros institucijos ES lygiu parengtų vieningą pranešimų formą, kurią patvirtintų Komisija – tai padės standartizuoti procesą visose šalyse.

Vienodi DPIA kriterijai

BDAR pakeitimais siekiama vienodinti poveikio duomenų apsaugai vertinimo (DPIA) taisykles. Šiuo metu skirtingos ES šalys turi savo sąrašus, kokie tvarkymo veiksmai reikalauja privalomo poveikio vertinimo. Komisija siūlo parengti vieningą ES lygmens sąrašą, kokios tvarkymo operacijos reikalauja (arba nereikalauja) atlikti poveikio vertinimą. Europos duomenų apsaugos valdyba (EDAV) būtų įpareigota pateikti tokių sąrašų projektus, taip pat parengti bendrą DPIA atlikimo metodiką ir šabloną. Tai padėtų visur vienodai suprasti, kas laikoma didelės rizikos tvarkymu, ir sumažintų verslų administracinę naštą vykdant BDAR reikalavimus skirtingose šalyse.

Aiškesnės ribos pseudonimizuotiems duomenims

Siekiant padėti verslui naudoti duomenis inovacijoms, bus teikiamos konkrečios gairės pseudonimizuotų duomenų naudojimui. Komisija kartu su EDAV žada nustatyti kriterijus ir metodus, kaip įvertinti, ar pseudonimizuoti duomenys nebeatpažįsta asmens. Bus atsižvelgiama į naujausias technines priemones ir rizikos reidentifikuoti vertinimo metodus. Šios gairės leis duomenų valdytojams drąsiau naudoti pseudonimizuotus duomenis, žinant aiškias ribas, kada jie krinta už BDAR taikymo ribų – tai ypač aktualu dirbtinio intelekto mokymo, duomenų analitikos srityse.

Duomenys mokslui

Pataisos galiausiai palies ir mokslinių tyrimų duomenų apsaugą – srityje, kur iki šiol netrūko neaiškumų. Siūloma BDAR aiškiai apibrėžti „mokslinių tyrimų“ sąvoką bei įtvirtinti, kad duomenų tolesnis tvarkymas mokslo tikslais visada suderinamas su pirminiu rinkimo tikslu. Be to, būtų pripažinta, jog moksliniai tyrimai gali būti teisėtas duomenų tvarkymo interesas. Tai reiškia, kad tyrėjai (pvz., visuomenės sveikatos, akademinių studijų srityse) galėtų lengviau pasinaudoti esamais duomenimis nepažeisdami BDAR, o verslui – aiškiau, kokiomis sąlygomis galima dalytis duomenimis su mokslininkais. Šios nuostatos skatins mokslinius ir inovacijų projektus, pašalindamos abejones dėl BDAR reikalavimų taikymo šioje srityje.

Apibendrinant galima teigti, kad „BDAR 2.0“ žymi svarbų poslinkį Europos duomenų apsaugos politikoje: vietoje perteklinės biurokratijos ir teisinio neaiškumo siūlomas aiškesnis, praktiškesnis ir technologijų realybę atitinkantis reguliavimas.

Pataisos negriauna BDAR pamato – jos jį sustiprina, pašalindamos pilkąsias zonas ir suteikdamos daugiau aiškumo tiek verslui, tiek visuomenei. Jei šiems siūlymams bus pritarta, artimiausiais metais ES galėtų turėti duomenų apsaugos sistemą, kuri saugo žmogų, neriboja inovacijų ir leidžia skaitmeninei ekonomikai augti be perteklinių kliūčių. Tai reikštų ne tik mažesnę administracinę naštą įmonėms, bet ir patogesnę, skaidresnę ir labiau vartotoją gerbiančią skaitmeninę aplinką visiems.