ES Taryba atmeta BDAR „asmens duomenų“ apibrėžties pakeitimus nutekintame Skaitmeninio omnibuso projekte

Nutekintas Europos Sąjungos Tarybos kompromisinis tekstas rodo reikšmingą posūkį Europos skaitmeninėje politikoje: valstybės narės siekia blokuoti siūlomus Bendrojo duomenų apsaugos reglamento (BDAR) „asmens duomenų“ apibrėžties pakeitimus. 2026 m. vasario 20 d. dokumentas, kurį išplatino Kipras, pirmininkaujantis ES Tarybai, rodo tvirtą pirmenybę status quo išlaikymui, o ne Europos Komisijos siūlomoms platesnėms ir prieštaringai vertinamoms revizijoms.

Projektas, pasirodęs prieš pat aukšto lygio diplomatinius susitikimus Briuselyje, žymi kritinį etapą vadinamajam „Skaitmeniniam omnibusui“. Šis teisės aktų rinkinys buvo skirtas supaprastinti ES skaitmeninių taisyklių sąvadą ir pritaikyti jį pažangaus dirbtinio intelekto bei visuotinės krašto skaičiavimo (angl. edge computing) erai. Tačiau sprendimas atsisakyti patikslintos asmens duomenų apibrėžties rodo, kad valstybės narės baiminasi vėl atverti „Pandoros skrynią“ dėl pamatinių privatumo apibrėžimų.

Status Quo stabilumas

Beveik dešimtmetį asmens duomenų apibrėžtis buvo Europos privatumo teisės pagrindas. Pagal dabartinį BDAR asmens duomenys apibrėžiami kaip bet kokia informacija, susijusi su identifikuotu arba identifikuojamu fiziniu asmeniu. Pradiniame Europos Komisijos pasiūlyme dėl Skaitmeninio omnibuso buvo siekiama tai patikslinti, potencialiai išplečiant taikymo sritį, įtraukiant detalesnes metaduomenų kategorijas ir elgsenos identifikatorius, kuriuos vis dažniau generuoja DI sistemos.

Tarybos sprendimas pašalinti šias revizijas atspindi „saugumas pirmiausia“ požiūrį. Laikydamosi esamo teksto, valstybės narės vengia didžiulio teisinio neapibrėžtumo, kurį sukeltų nauja apibrėžtis. Verslui apibrėžties pakeitimas būtų reiškęs būtinybę iš naujo įvertinti kiekvieną duomenų bazę, kiekvieną sutikimo formą ir kiekvieną šiuo metu galiojančią duomenų tvarkymo sutartį. Panašu, kad Taryba pirmenybę teikė reguliavimo stabilumui, o ne Komisijos trokštamam techniniam tikslumui.

Kodėl ši apibrėžtis svarbi

Norint suprasti, kodėl šis žingsnis toks reikšmingas, asmens duomenų apibrėžtį galima laikyti BDAR „jurisdikciniu kabliuku“. Jei informacija patenka į šią apibrėžtį, taikoma visa ES privatumo teisės galia. Jei ji nepatenka, duomenys gali būti perkeliami, parduodami ar analizuojami su kur kas mažesniais apribojimais.

Siūlomo išplėtimo kritikai teigė, kad platesnė apibrėžtis būtų netyčia apėmusi „anonimizuotus“ duomenis, kurie šiuo metu naudojami medicininiams tyrimams ir infrastruktūros planavimui. Kita vertus, privatumo gynėjai nerimauja, kad išlaikydama senąją apibrėžtį ES nesugeba spręsti „pakartotinio identifikavimo“ rizikos, kurią kelia šiuolaikinis mašininis mokymasis, kai iš pažiūros anoniminiai duomenų taškai gali būti sujungti siekiant atskleisti asmens tapatybę.

Kipro pirmininkavimo pusiausvyros paieškos

Kipras, šiuo metu rotacijos tvarka pirmininkaujantis Tarybai, turi nepavydėtiną užduotį rasti vidurį tarp dvidešimt septynių valstybių narių, turinčių skirtingus skaitmeninius prioritetus. Nutekintas kompromisinis tekstas rodo, kad Kipro komanda sutelkia dėmesį į „procedūrinę harmoniją“, o ne į „apibrėžčių peržiūrą“.

Pašalindama ginčytinus asmens duomenų pakeitimus, pirmininkaujanti valstybė tikriausiai bando atlaisvinti kelią likusiai Skaitmeninio omnibuso daliai. Šis rinkinys apima gyvybiškai svarbius atnaujinimus dėl tarpvalstybinio vykdymo užtikrinimo ir nacionalinių duomenų apsaugos institucijų (DAI) bendradarbiavimo. Jei asmens duomenų apibrėžtis būtų likusi darbotvarkėje, tai galėjo keleriems metams sustabdyti visą teisėkūros procesą.

Pasekmės technologijų pramonei

Technologijų sektoriuje šis nutekinimas iš esmės vertinamas kaip atokvėpis. Pramonė jau seniai teigia, kad BDAR ir taip yra pakankamai sudėtingas. Kintanti pagrindinio termino apibrėžtis būtų sukūrusi „nuolat kintantį atitikties tikslą“.

Kas toliau?

Pranešama, kad valstybių narių diplomatai projektą aptarė vasario 27 d. Jei Taryba laikysis šios pozicijos, kitas etapas bus „trišalio dialogo“ derybos tarp Tarybos, Europos Parlamento ir Europos Komisijos. Parlamentas istoriškai labiau gynė duomenų subjektų teises ir gali kovoti už tai, kad būtų vėl įtrauktos kai kurios platesnės apsaugos priemonės, kurias iš pradžių numatė Komisija.

Tačiau vieninga Tarybos pozicija šiuo klausimu siunčia stiprų signalą: Europos nacionalinės vyriausybės šiuo metu nėra nusiteikusios radikaliam privatumo pagrindų pertvarkymui. Jos nori, kad taisyklės veiktų geriau, bet nebūtinai būtų platesnės.

Praktinės įžvalgos organizacijoms

Nors asmens duomenų apibrėžtis gali likti nepakitusi, vykdymo užtikrinimo aplinka vis tiek keičiasi. Štai į ką organizacijos turėtų sutelkti dėmesį judant Skaitmeniniam omnibusui į priekį:

• Audituokite savo duomenų žemėlapius: Net jei apibrėžtis nesikeičia, teismų (pavyzdžiui, ESTT) interpretacija toliau evoliucionuoja. Užtikrinkite, kad jūsų duomenų inventorius būtų atnaujintas.
• Susikoncentruokite į procedūrinę atitiktį: Skaitmeninis omnibusas tikriausiai nustatys griežtesnius terminus atsakymams į DAI paklausimus. Peržiūrėkite savo vidinius ataskaitų teikimo procesus.
• Stebėkite trišalį dialogą: Galutinis tekstas dar nėra galutinai patvirtintas. Artimiausiais mėnesiais atidžiai stebėkite Europos Parlamento reakciją į šį Tarybos projektą.
• Investuokite į anonimizavimą: Nepriklausomai nuo teisinės apibrėžties, geriausias būdas sumažinti riziką yra užtikrinti, kad duomenys būtų tikrai anonimizuoti naudojant pažangiausius metodus, apsaugančius nuo pakartotinio identifikavimo.

Šaltiniai

• European Council: Council of the European Union Overview
• Euractiv: Digital & Media Policy Reports
• Politico Europe: Tech and Data Protection Coverage
• European Commission: GDPR Procedural Rules and Digital Omnibus Documentation
• Official Journal of the European Union: GDPR Text and Definitions