Совет ЕС отклонил изменения в определении «персональных данных» GDPR в утекшем черновике Digital Omnibus
В результате значительного поворота в европейской цифровой политике, утекший компромиссный текст Совета Европейского союза свидетельствует о том, что государства-члены намерены заблокировать предлагаемые изменения в определении «персональных данных» в рамках Общего регламента по защите данных (GDPR). Документ, датированный 20 февраля 2026 года и распространенный кипрским председательством, указывает на твердое предпочтение сохранения статус-кво вместо более широких — и спорных — поправок Европейской комиссии.
Проект, появившийся накануне дипломатических встреч высокого уровня в Брюсселе, знаменует собой критический момент для так называемого «Цифрового омнибуса» (Digital Omnibus). Этот законодательный пакет был призван оптимизировать свод цифровых правил ЕС и адаптировать его к эпохе передового искусственного интеллекта и повсеместных граничных вычислений. Однако решение исключить пересмотренное определение персональных данных говорит о том, что государства-члены опасаются вновь открывать «ящик Пандоры» фундаментальных определений конфиденциальности.
Стабильность статус-кво
На протяжении почти десятилетия определение персональных данных служило фундаментом европейского права в области конфиденциальности. Согласно действующему GDPR, персональные данные определяются как любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Первоначальное предложение Европейской комиссии по Digital Omnibus было направлено на уточнение этого понятия, потенциально расширяя сферу охвата за счет включения более тонких категорий метаданных и поведенческих идентификаторов, которые все чаще генерируются системами ИИ.
Решение Совета исключить эти поправки отражает подход «безопасность прежде всего». Придерживаясь существующего текста, государства-члены избегают масштабной правовой неопределенности, которую вызвало бы новое определение. Для бизнеса изменение определения означало бы переоценку каждой базы данных, каждой формы согласия и каждого действующего соглашения об обработке данных. Похоже, Совет отдал приоритет регуляторной стабильности перед стремлением Комиссии к технической точности.
Почему определение имеет значение
Чтобы понять, почему этот шаг столь значим, можно представить определение персональных данных как «юрисдикционный крючок» GDPR. Если фрагмент информации подпадает под это определение, применяется весь вес закона ЕС о конфиденциальности. Если же нет — данные можно перемещать, продавать или анализировать с гораздо меньшим количеством ограничений.
Критики предлагаемого расширения утверждали, что более широкое определение непреднамеренно охватило бы «анонимизированные» данные, которые в настоящее время используются для медицинских исследований и планирования инфраструктуры. С другой стороны, защитники конфиденциальности обеспокоены тем, что, сохраняя старое определение, ЕС не решает риски «повторной идентификации», создаваемые современным машинным обучением, когда казалось бы анонимные точки данных могут быть сшиты вместе для разоблачения личности.
Балансирование кипрского председательства
Кипр, в настоящее время занимающий пост председателя Совета на ротационной основе, стоит перед непростой задачей поиска компромисса между двадцатью семью государствами-членами с расходящимися цифровыми приоритетами. Утекший компромиссный текст предполагает, что кипрская команда фокусируется на «процедурной гармонии», а не на «пересмотре определений».
Удаляя спорные правки о персональных данных, председательство, вероятно, пытается расчистить путь для остальной части Digital Omnibus. Этот пакет включает важные обновления по трансграничному правоприменению и сотрудничеству между национальными органами по защите данных (DPA). Если бы определение персональных данных осталось на повестке дня, это могло бы затормозить весь законодательный процесс на годы.
Последствия для технологической индустрии
Для технологического сектора эта утечка в значительной степени рассматривается как передышка. Индустрия давно утверждает, что GDPR и без того достаточно сложен для навигации. Смена определения его самого фундаментального термина создала бы ситуацию «движущейся мишени» для комплаенса.
| Аспект | Текущее определение GDPR | Предложенное (ныне исключенное) изменение |
|---|---|---|
| Охват | Информация, относящаяся к идентифицируемому лицу. | Явное включение высокоинференционных метаданных ИИ. |
| Правовая определенность | Высокая (установлена годами судебной практики). | Низкая (потребует новых судебных толкований). |
| Влияние на комплаенс | Стабильное; процессы уже выстроены. | Высокое; потребует масштабного аудита данных. |
| Инновации | Сбалансированные; четкие границы использования данных. | Потенциально ограничительные для аналитики «Big Data». |
Что дальше?
Сообщается, что проект обсуждался дипломатами государств-членов 27 февраля. Если Совет сохранит эту позицию, следующим этапом станут переговоры в формате «трилога» между Советом, Европейским парламентом и Европейской комиссией. Парламент исторически более активно защищал права субъектов данных и может попытаться вернуть некоторые из более широких мер защиты, которые изначально планировала Комиссия.
Тем не менее, единый фронт Совета по этому вопросу посылает четкий сигнал: национальные правительства Европы в настоящее время не настроены на радикальный пересмотр основ конфиденциальности. Они хотят, чтобы правила работали лучше, а не обязательно шире.
Практические выводы для организаций
Хотя определение персональных данных может остаться прежним, ландшафт правоприменения продолжает меняться. Вот на чем организациям следует сосредоточиться по мере продвижения Digital Omnibus:
- Проведите аудит картирования данных: Даже если определение не изменится, интерпретация судами (такими как CJEU) продолжает развиваться. Убедитесь, что ваш реестр данных актуален.
- Сосредоточьтесь на процедурном соответствии: Digital Omnibus, вероятно, введет более строгие сроки для ответов на запросы DPA. Пересмотрите свои внутренние рабочие процессы отчетности.
- Следите за трилогом: Окончательный текст еще не утвержден. Внимательно следите за реакцией Европейского парламента на этот проект Совета в ближайшие месяцы.
- Инвестируйте в анонимизацию: Независимо от юридического определения, лучший способ снизить риск — обеспечить подлинную анонимизацию данных с использованием современных методов, устойчивых к повторной идентификации.
Источники
- European Council: Council of the European Union Overview
- Euractiv: Digital & Media Policy Reports
- Politico Europe: Tech and Data Protection Coverage
- European Commission: GDPR Procedural Rules and Digital Omnibus Documentation
- Official Journal of the European Union: GDPR Text and Definitions
До встречи на другой стороне.
Наше решение для электронной почты и облачного хранения данных со сквозным шифрованием обеспечивает наиболее мощные средства безопасного обмена данными, гарантируя их сохранность и конфиденциальность.
/ Создать бесплатный аккаунт
