Після років жорсткого протистояння з Big Tech Європейський Союз робить крок назад. Під тиском США, великих технологічних компаній та окремих держав-членів Єврокомісія запропонувала найглибше за останнє десятиліття оновлення цифрового законодавства, так званий Digital Omnibus. Пакет передбачає “спрощення” GDPR, відтермінування ключових норм AI Act, пом’якшення правил щодо cookies та переформатування підходів до обробки даних і кібербезпеки.
Хоча в Брюсселі це називають “оптимізацією”, правозахисники попереджають про найбільший відкат цифрових прав в історії ЄС.
GDPR під тиском: від “золотого стандарту” до компромісу?
GDPR – Загальний регламент про захист даних – опинився під тиском як ніколи раніше: від “золотого стандарту” приватності, яким Європа пишалася з 2018 року, регламент поступово рухається до компромісу між правами громадян і потребами індустрії. Центральним елементом реформи стали зміни, які мають «спростити» застосування GDPR. Єврокомісія стверджує, що це лише усунення зайвої бюрократії – зменшення надмірних інформаційних обов’язків, оптимізація процедур звітності, скорочення кількості консультаційних етапів. Водночас бізнес отримає ширші можливості обмінюватися анонімізованими та псевдонімізованими наборами даних і використовувати персональні дані для тренування моделей штучного інтелекту, якщо інше не суперечить регламенту.
Саме ці норми викликають найбільше напруження. Правозахисні організації, зокрема EDRi та BEUC, попереджають: попри формальні обмеження, запропоновані зміни фактично розмивають фундаментальні гарантії GDPR. У відкритому листі, який підписали 127 організацій, вони застерігають, що реформа може стати «прихованим демонтажем» європейської моделі захисту даних. Особливо суперечливою виглядає норма, яка дозволяє технологічним компаніям – від Google і Meta до OpenAI – використовувати персональні дані європейців для тренування AI-моделей на основі “легітимного інтересу”. Теоретично користувач має право заперечити, але на практиці, наголошують експерти, це право буде складно реалізувати: пересічні громадяни не зможуть ані відстежити, як саме їхні дані використовуються, ані довести зловживання.
Таким чином, у спробі «полегшити життя бізнесу» Євросоюз ризикує змінити саму природу GDPR – від суворого захисного механізму до гнучкого інструменту, який радше підтримує розвиток індустрії, ніж гарантує непорушність приватності.
AI Act: сповільнення та розмивання найважливішого регулювання ШІ у світі
Не менш драматичні зміни стосуються AI Act, що набув чинності у 2024 році й мав поступово регулювати застосування ШІ – від чат-ботів до систем біометричної ідентифікації.
ЄС суттєво переглядає графік та умови запровадження ключових положень AI Act, і цей перегляд фактично зміщує акцент від контролю за ризиками до підтримки індустрії. Найпомітнішою зміною стало відтермінування вимог для “високоризикових” систем – від біометрії та кредитного скорингу до медичних алгоритмів, транспортних рішень і правоохоронних інструментів. Замість серпня 2026 року вони запрацюють лише у грудні 2027-го. При цьому правила почнуть діяти тільки тоді, коли ЄС офіційно визнає, що створено необхідні стандарти, інструменти та інституційну інфраструктуру для їхнього виконання.
Паралельно Єврокомісія пропонує пом’якшення для малого та середнього бізнесу, спрощуючи технічну документацію – за оцінками, це дозволить компаніям заощаджувати близько 225 млн євро щороку. З 2028 року має запрацювати загальноєвропейський тестовий майданчик для випробувань штучного інтелекту в реальних умовах, а контроль за системами загального призначення, так званими GPAI, буде централізовано передано Європейському офісу з питань AI.
Показово, що ідея відтермінування виникла не випадково. Її активно лобіював Маріо Драґі, впливовий аналітик і радник ЄС з економічних і технологічних питань, який застерігав, що надто жорстке та поспішне впровадження регулювання створює “регуляторну невизначеність” і може охолодити інвестиції у європейський технологічний сектор. За даними Reuters, на Брюссель тиснули також США та великі технологічні корпорації, наполягаючи, що надмірно суворі правила ставлять ЄС у невигідне становище в глобальній конкуренції.
“Менше cookies” та “бізнес-гаманець ЄС”: що ще змінить Digital Omnibus
У пакеті Digital Omnibus Єврокомісія пропонує низку змін, покликаних спростити цифрове середовище в ЄС і водночас зменшити бюрократичні витрати для бізнесу. Одне з найбільш помітних оновлень – перегляд правил щодо cookies. Частина “неризикових” файлів більше не потребуватиме набридливих банерів, а решту користувачі зможуть налаштовувати централізовано – без переходу на кожен окремий сайт, просто через браузер чи операційну систему.
Ще один ключовий аспект – створення єдиного вікна для повідомлень про кіберінциденти. Замість того, щоб подавати однакові звіти одразу за трьома регламентами – GDPR, NIS2 та DORA – компанії матимуть одну точку входу, що має суттєво скоротити адміністративне навантаження. У ширшому контексті Брюссель прагне вибудувати більш узгоджену політику у сфері даних, тому планує об’єднати чотири чинні цифрові директиви в єдину стратегію Data Union.
Важливою інновацією стане й запуск European Business Wallet – цифрового гаманця для компаній, державних установ і неприбуткових організацій. Він дозволятиме зберігати документи, обмінюватися перевіреними даними, підписувати угоди та отримувати доступ до послуг у різних країнах ЄС без додаткових бюрократичних процедур.
Загалом Єврокомісія оцінює, що комплекс цих реформ може забезпечити бізнесу до 5 млрд євро економії до 2029 року.
Cookies: невидима інфраструктура сучасного інтернету
Cookies – це невеликі текстові файли, які вебсайти зберігають у браузері користувача. Вони дозволяють сайту “пам’ятати” певну інформацію про відвідувача та його дії. Найпростіші приклади: коли ви заходите на сайт і він одразу знає вашу мову або тему оформлення; коли інтернет-магазин “пам’ятає” ваш кошик; коли після перегляду товарів ви бачите відповідну рекламу на інших сайтах.
Умовно cookies ділять на кілька типів:
-технічні (необхідні) – без них сайт просто не працюватиме належним чином;
-аналітичні – допомагають власникам сайту зрозуміти, як користувачі з ним взаємодіють;
-маркетингові / трекінгові – відстежують поведінку користувача, щоб показувати персоналізовану рекламу.
Саме з маркетинговими cookies в ЄС пов’язана велика кількість попапів “Прийняти / Відхилити”. GDPR і ePrivacy зобов’язують сайти отримувати згоду на їхнє використання, оскільки такі файли можуть збирати чутливу інформацію про людину.
У межах реформи Digital Omnibus ЄС хоче зменшити кількість таких попапів – частину “безпечних” cookies дозволять встановлювати без згоди, а керування іншими перенесуть до налаштувань браузера.
Політичний вимір: чому Європа “підморгує” індустрії саме зараз
Рішення оголосити Digital Omnibus – не лише економічний, а й політичний жест. Після серії зауважень з боку США, а також тиску зі сторони великих компаній, у Брюсселі посилився страх, що ЄС безнадійно програє глобальну гонку ШІ.
У матеріалах The Verge прямо говориться: Європа “піддалась тиску” й намагається зробити крок назустріч технологічним гігантам, щоб стимулювати інновації й не перетворитись на ринок, залежний від американських і китайських моделей на кшталт DeepSeek, OpenAI чи Google.
Показово, що ще до презентації ініціативи її різко розкритикували ліберали та соціал-демократи у Європарламенті, а також низка національних регуляторів. Проте окремі уряди, насамперед Німеччина та Франція, активно лобіювали спрощення, намагаючись перетворити Європу на “дружній до інновацій” ринок.
Далі почнуться тривалі переговори між трьома ключовими інституціями ЄС: Єврокомісією, Європарламентом і Радою ЄС. Цей процес, відомий як тріалог, може затягнутися на кілька місяців, а іноді й до року, оскільки зміни зачіпають основні закони – GDPR, e-Privacy, AI Act і Data Act. Навіть якщо пакет Digital Omnibus буде схвалений, Європарламент має право внести значні поправки, тож остаточний варіант закону ще може суттєво відрізнятися від початкових пропозицій.
Опір громадянського суспільства: де проходить межа між “спрощенням” і демонтажем прав?
Громадські організації і правозахисники активно виступають проти пакета Digital Omnibus, наголошуючи на трьох ключових ризиках. По-перше, послаблення захисту персональних даних: зміни до GDPR дозволяють ширше використовувати інформацію про громадян, зокрема для тренування штучного інтелекту, навіть без повної поінформованої згоди. По-друге, відтермінування норм для “високоризикових” AI-систем створює регуляторний вакуум у найчутливіших сферах – від біометрії та охорони здоров’я до фінансових послуг і працевлаштування. По-третє, існує загроза послаблення контролю над персональними пристроями: ослаблення правил e-Privacy може спростити доступ влади та корпорацій до даних з телефонів, автомобілів та “розумних” домів. Особливу актуальність ця загроза набула після розслідування, яке показало, що за допомогою комерційних datasets можна було відстежувати місця проживання, пересування та відвідування лікарень європейськими чиновниками. Таким чином, громадські активісти попереджають, що під виглядом “спрощення” може відбуватися фактичний демонтаж цифрових прав і гарантій.
ЄС шукає нову рівновагу, але чи не заплатять за це громадяни?
Digital Omnibus відкриває шлях до наймасштабнішої трансформації цифрової регуляції Європи за останні 10 років. Для одних це – шанс оживити економіку, зменшити бюрократію й дозволити ШІ розвиватися без надмірних перепон. Для інших – спроба під тиском Big Tech “підпиляти стовп цифрових прав”, на яких тримається європейська модель.
Фінальна відповідь залежатиме від політичної волі європейських інституцій. Але одне вже очевидно: Європа увійшла в нову епоху цифрової політики, де баланс між правами людини та інноваціями більше не є стабільною константою, він предмет запеклої боротьби.
