Отворено писмо на BusinessEurope
ОТВОРЕНО ПИСМО ДО СЪЗАКОНОДАТЕЛИТЕ НА ЕС, КОМИСИЯТА, НАЦИОНАЛНИТЕ ПРАВИТЕЛСТВА И ПО-ШИРОКАТА ОБЩНОСТ, ЗАНИМАВАЩА СЕ С ПОЛИТИКИ В ЕС, С ЦЕЛ DIGITAL OMNIBUS ДА СЕ ПРЕВЪРНЕ В ЕТАЛОН ЗА ДЕМОКРАТИЧЕН ОТГОВОР НА НЕЯСНИТЕ ПРАВИЛА
В продължение на почти десетилетие GDPR беше повече от регламент; той беше глобален знак за качество, сигурност и надеждност. Като генерален директор на BusinessEurope говоря от името на общност от над 20 милиона предприятия от различни сектори, която вярва, че защитата на данните и свободата за извършване на стопанска дейност не са конкуриращи се цели. Ние вярваме, че доверието е основата на икономиката, а доверие се изгражда, когато правилата се спазват и границите са ясни.
Трябва обаче да бъдем честни относно настоящата ситуация. Днес сме изправени пред цифрово законодателство, което често е твърде сложно, за да се прилага последователно. Правила, които са трудни за тълкуване, неизбежно са трудни и за прилагане, което в крайна сметка води до неравномерна защита и отслабване на основните права и свободи. Ние разглеждаме предложението Digital Omnibus не като отстъпление от защитата, а като стъпка напред към ефективно регулиране. Когато правилата не са ясни, несигурност изпитват не само компаниите; гражданите също се сблъскват с непоследователни резултати.
Освен това тежестта на регулаторната сложност е най-съкрушителна за местните предприятия: книжарница или местна ферма, която анализира продажбите си и персонализирания маркетинг; местна фитнес зала, която следи посещаемостта и предоставя персонализирани тренировъчни препоръки; малък изследователски институт, който провежда социологически проучвания; местен доставчик на охранителни услуги и т.н.
Третирането на местно МСП така, сякаш разполага със същия капацитет като мултинационална компания, въвежда непропорционални очаквания и тежести за съответствие, без съответни ползи за неприкосновеността на личния живот. Според доклада на Драги за конкурентоспособността от 2024 г. разходите за съответствие с GDPR могат да достигнат 500 000 евро за МСП и 10 милиона евро за по-големи организации.
Затова предложението на Европейската комисия беше демократичен отговор на многобройните призиви, че GDPR не постига правилния баланс по отношение на пропорционалността спрямо риска. За съжаление компромисните текстове на Съвета свеждат omnibus до символична промяна, която е несъвместима с призивите в редица заключения на Европейския съвет за подобряване на бизнес средата и стимулиране на цифровата трансформация в ЕС. В подхода на Съвета има и логическа непоследователност: премахват се определени части с аргумента, че липсва оценка на въздействието — например дефиницията за лични данни и легитимният интерес за обучение и разработване на ИИ — докато други се запазват, въпреки че за тях също липсва оценка на въздействието — например автоматизираните индикации за съгласие.
Правната кодификация като предпоставка за върховенството на правото
Изричното обвързване на личните данни с относителен[1] практически тест за идентифицируемост е ясно признание, че абсолютният теоретичен стандарт за идентифицируемост никога не е бил подкрепян от Съда на Европейския съюз, поради което не следва да има място за други тълкувания от страна на националните органи за защита на данните или националните съдилища.
Ако идентифицируемостта се оценява спрямо която и да било хипотетична трета страна, как една компания изобщо би могла да постигне правна сигурност? И как един гражданин би могъл да разчита на правата си, ако техният обхват зависи от абстрактни възможности, а не от реалистични рискове?
Яснотата е по-важна от обема на правилата. Ако правната яснота не бъде кодифицирана, тогава от едно МСП или едноличен предприемач ще се очаква да прегледа всички съдебни решения, свързани с GDPR. Включването на промените директно в правния текст е начинът, по който законодателите запазват справедливостта за предприятия от всякакъв мащаб и предвидимостта за гражданите.
Свеждането на дебата до бинарно противопоставяне между граждани и големи корпорации крие риск от прекомерно опростяване на сложна политическа дискусия. GDPR е хоризонтален регламент, който се прилага в различни сектори, бизнес модели и организации от всякакъв размер, като заинтересованите страни имат широк спектър от възгледи в целия политически спектър. Необходима е балансирана, основана на доказателства и конструктивна дискусия, за да се гарантира, че резултатите работят ефективно за гражданите, бизнеса и регулаторите. Без такъв подход усилията на Digital Omnibus за намаляване на тежестта рискуват да останат до голяма степен декларативни, като в крайна сметка подкопаят доверието на бизнеса в способността на ЕС да осигури ясна, приложима и стимулираща регулаторна рамка за цялата икономика.
Способността на Европа за иновации зависи от рамка, която да подпомага научните изследвания, като същевременно защитава основните права. Според Евростат разходите за научноизследователска и развойна дейност в ЕС през 2023 г. по източник на финансиране идват от бизнес сектора — над 56%. Освен това EU Industrial R&D Investment Scoreboard показва, че само компаниите със седалище в ЕС инвестират значително над 200 милиарда евро годишно в НИРД.
Като потвърждава по-ясно разбиране за научните изследвания, Omnibus VII, или Digital Omnibus, цели да премахне излишните оценки за съвместимост. Следователно тази стъпка изравнява условията, позволявайки на по-малките участници да се движат със същата скорост като по-големите. Това може само да бъде от полза, докато икономиката се стреми да постигне целите на Цифровото десетилетие.
Digital Omnibus е от значение за цялата икономика
Във всички области, и особено в киберсигурността, здравеопазването и изкуствения интелект, правната яснота има пряко отражение върху устойчивостта на обществото. Изследванията в областта на сигурността зависят от реални условия, способността да се идентифицират и анализират заплахи, да се споделя информация и т.н. По подобен начин надеждното разработване на ИИ изисква мащабно използване на данни, тестване, валидиране и откриване на пристрастия. Когато правната рамка е неясна, тези дейности могат да бъдат забавени, ограничени или фрагментирани, а в резултат на това да се повлияе върху равнището на защита или възможностите, които отделните лица получават на практика.
Накрая, трябва да обърнем внимание на взаимодействието между нашите закони. Законодателният акт за данните надгражда върху правата за преносимост съгласно GDPR, но ако данните, получени на тези основания, останат заключени в силози поради строги ограничения на целите или абсолютни оценки за идентифицируемост, цифровият правилник ще се превърне в пречка за развитието на европейския ИИ и икономиката на данните през XXI век.
Европа с право беше пионер в цифровото регулиране. Сега Европа трябва да бъде пионер в регулаторната зрялост — да преодолее изкуствено създаденото противопоставяне „иновации срещу защита“ и да изгради рамка, която позволява на всички европейски компании да правят иновации, да се конкурират и най-вече да печелят и поддържат доверието на гражданите в Европа и извън нея.
***
[1] По дело C-413/23 P (SRB) Съдът потвърждава, че въпросът дали дадено лице е идентифицируемо зависи от действителните технически, организационни и правни възможности на съответния субект. Това е в съответствие с критерия за „средства, за които е разумно вероятно да бъдат използвани“, утвърден по дело C-582/14.
