EDPB og EDPS (EUs personvernråd og EUs datatilsyn) har avgitt felles uttalelse om Digital Omnibus-forslaget som ble omtalt i forrige nyhetsbrev. De støtter forenkling og konkurransekraft, men ønsker ikke at definisjonen av personopplysninger endres.
Kommisjonen vil snevre inn personopplysningsbegrepet og gi seg selv myndighet til å bestemme gjennom gjennomføringsrettsakter hva som ikke lenger er personopplysninger etter pseudonymisering. EDPB og EDPS mener dette går langt utover EU-domstolens praksis og anbefaler sterkt at endringen droppes. Datatilsynet deler denne bekymringen.
Men det er andre ting som støttes i Omnibus-forslaget som:
- Høyere terskel og lengre frist (96 timer) for avviksmeldinger – med felles maler og DPIA-maler på kjøpet
- Nytt unntak for biometrisk autentisering der verifiseringsmiddelet er under den enkeltes kontroll
- Harmonisert definisjon av «vitenskapelig forskning»
- Nye cookie-regler som skal redusere samtykketretthet, med tilsynsansvar til datatilsynsmyndighetene (Datatilsynet har i dag bare delvis tilsynsmyndighet over cookies i Norge)
Når det gjelder AI, mener EDPB at det ikke trengs en egen bestemmelse om berettiget interesse – det er allerede dekket. Unntaket for tilfeldig behandling av sensitive data i AI-systemer støttes i prinsippet, men trenger tydeligere avgrensning. Endringene i artikkel 22 om automatiserte beslutninger må også klargjøres.
Uttalelsen er stort sett i tråd med det vi har ventet, men den klare advarselen mot å endre personopplysningsbegrepet er viktig å merke seg. Spørsmålet er om Kommisjonen lytter.