Европейская комиссия готовит масштабный пакет поправок к Общему регламенту по защите данных (GDPR), который может значительно изменить правила работы с персональными данными в ЕС — от интернет-трекинга до обучения систем искусственного интеллекта. Согласно проекту, опубликованному немецкой правозащитной организацией Netzpolitik, инициативы объединены в пакет "Digital Omnibus", официальная презентация которого ожидается 19 ноября.
Ключевое предложение — новая статья 88a GDPR об «обработке персональных данных на и с терминального оборудования». Это означает перенос регулирования cookies из Директивы о конфиденциальности и электронных коммуникациях (ePrivacy) напрямую в GDPR. Сейчас статья 5(3) ePrivacy требует предварительного явного согласия пользователя на установку несущественных cookies. Еврокомиссия считает, что параллельное действие ePrivacy и GDPR приводит к юридической неопределённости, разным надзорным режимам и росту затрат на соблюдение требований.
В проекте предлагается разрешить обработку данных, собираемых через cookies и аналогичные технологии, либо для закрытого перечня «низкорисковых» целей, либо на любой законной основе GDPR, включая «законный интерес» компании. Это меняет модель с opt-in на фактический opt-out: отслеживание пользователя может происходить по умолчанию, а обязанность остановить его переносится на самого пользователя, который должен выразить возражение.
Поправки содержат и техническую перестройку механизма согласий. Новая статья 88b предусматривает, что после разработки стандартов браузеры или операционные системы будут автоматически передавать предпочтения пользователя о согласии на обработку данных, что со временем может заменить нынешние всплывающие баннеры. При этом для медиа-компаний предлагается исключение: новостные ресурсы смогут продолжать требовать явного согласия, что Еврокомиссия обосновывает защитой «экономической основы» журналистики.
