EU:n komission sisäinen luonnos romuttaisi tietosuoja-asetuksen keskeiset periaatteet

• Luonnoksen yleiskatsaustaulukko ja kommentit, jonka on laatinut noyb
• Vuotanut asiakirja jäsenvaltioiden kannoista (ei pääosin pyydä uudistuksia)
• Saksan vuotanut asiakirja (jossa pyydetään massiivista uudistusta, mutta suurelta osin ei nyt)
• Alkuperäisen tekstin vuoto (Netzpolitik.orgin kautta)
• Alkuperäinen raportti MLexiltä (maksullinen), Reutersin raportti ja Netzpolitik.orgin raportti

Salainen "nopeutettu" hyökkäys GDPR:ää vastaan. Euroopan komissio aikoo yksinkertaistaa useita EU:n lakeja niin sanotulla "Omnibus-uudistuksella", joka on väline, jolla yleensä muutetaan horisontaalisesti useiden lakien erilaisia pienempiä osia, jotta lain laatua voidaan parantaa ja paperityövelvoitteita keventää. Toisin kuin perinteisessä lainvalmistelussa, Omnibus-uudistus toteutetaan nopeutetulla menettelyllä, jossa useita prosessin osatekijöitä, kuten vaikutustenarviointeja, hypätään ja oikeudellisille yksiköille ja EU:n toimielinten asianomaisille yksiköille varataan aikaa palautteen antamiseen. Tämä on hyväksyttävää, jos tehdään vain riidattomia, yksinkertaisia parannuksia.

Kuten kuitenkin paljastui, Euroopan komission yksiköt varapuheenjohtaja Henna Virkkusen johdolla (niin sanottu"DG CONNECT") työskentelevät tietosuoja-asetuksen massiivisen uudistuksen parissa, jota kutsutaan "yksinkertaistamiseksi" tai "selventämiseksi".

Max Schrems:"Luonnos on paitsi äärimmäinen myös erittäin huonosti laadittu. Se ei auta 'pienyrityksiä', kuten luvattiin, vaan hyödyttää jälleen kerran pääasiassa 'big tech' -yrityksiä."

Komission alkuperäisen suunnitelman mukaan se aikoi tehdä niin sanotun "digitaalisen kuntotarkastuksen" vuonna 2026, kerätä tarvittavan näytön ja tehdä sitten kohdennetun ja hyvin laaditun päivityksen GDPR:ään ja muihin digitaalilakeihin.

EU "hyppää" Saksan tai Yhdysvaltojen vaatimuksiin? Sekä sidosryhmät että jäsenvaltiot ovat nimenomaisesti pyytäneet, ettei yleistä tietosuoja-asetusta otettaisi uudelleen käsiteltäväksi. Yhteenvedossa jäsenvaltioiden kannoista lähes kaikki palautetta antaneet jäsenvaltiot sanovat, etteivät ne halua muutoksia. Saksa kuitenkin vaati GDPR:ään merkittäviä muutoksia, jotka ylittävät lain alkuperäisen toimeksiannon. Vaikuttaa siltä, että komissio yksinkertaisesti "hyppäsi" viime viikolla vuotaneen saksalaisen epävirallisen asiakirjan kimppuun, sillä monet luonnokseen tehdyt muutokset näyttävät olevan 1:1 kopio Saksan vuotaneen kirjeen vaatimuksista. Saksa ei toimittanut todisteita kyseisten uudistusten tarpeellisuudesta - on epäselvää, mistä nämä vaatimukset ovat peräisin. Toiset viittaavat Politicon äskettäiseen raporttiin, jonka mukaan Virkkunen on sanonut yhdysvaltalaisille yrityksille suorissa tapaamisissa, ettäEU tarkistaa sääntöjään ja muuttuu yritysystävällisemmäksi.

Max Schrems:"On epäselvää, mistä poliittinen paine tulee. Useimmat jäsenvaltiot pyysivät pieniä muutoksia eikä mitään uudelleen avaamista. Saksa on perinteisesti vastustanut tietosuoja-asetusta Euroopassa. Vaikuttaa helpommalta syyttää jotakin EU:n lainsäädäntöä Saksan digitalisaatio-ongelmista kuin korjata asioita kansallisesti. Emme ole yllättyneitä siitä, että tämä viimeisin painostus tulee jälleen Saksasta. On raportoitu, että myös Yhdysvaltojen painostuksella voisi olla merkitystä."

Ensimmäistä sisäistä luonnosta lukiessa on selvää, että GDPR:n (ks. yksityiskohdat alla) mahdollinen vahinko olisi valtava. Suuri osa luonnoksesta rikkoo eurooppalaisia yleissopimuksia, perusoikeuskirjaa tai yhteisöjen tuomioistuimen vakiintunutta oikeuskäytäntöä. Johtuuko tämä tahallisuudesta vai työn nopeasta tahdista ja siitä johtuvasta luonnoksen huonosta laadusta, jää avoimeksi. Brysselin sisäpiiriläiset kertoivat, että tietyillä yksiköillä oli vain viisi (!) työpäivää aikaa kommentoida yli 180-sivuista lakiluonnosta.

Max Schrems: "Yksi osa EU:n komissiota näyttää yrittävän ohittaa kaikki muut Brysselissä ja jättää huomiotta hyvää lainvalmistelua koskevat säännöt, millä voi olla hirvittäviä seurauksia. On hyvin huolestuttavaa nähdä, että trumppilaiset lainvalmistelukäytännöt saavat jalansijaa Brysselissä."

Tunnelinäkökulma "tekoälykilpailussa"? Vaikka tietosuoja-asetusta voitaisiin parantaa ja yksinkertaistaa useilla hyvillä tavoilla, ehdotetut muutokset näyttävät kärsivän "tunnelinäkökulmasta" tekoälyn kouluttamisen ja käytön mahdollistamisen suhteen - myös henkilötietojen osalta. Tuoreessa tutkimuksessa kuitenkin vain 7 prosenttia saksalaisista sanoo haluavansa, että Meta käyttää heidän henkilötietojaan tekoälyn kouluttamiseen. Uudistuksella pyritään kuitenkin puuttumaan kaikkiin GDPR:n elementteihin, jotka voivat rajoittaa tekoälyn käyttöä.

Max Schrems: "Näissä muutoksissa näyttää jäävän huomiotta se, että suurin osa tietojenkäsittelystä ei perustu tekoälyyn. Mahdollisella muutoksella, joka "vapauttaisi" tekoälyn, olisi massiivisia tahattomia seurauksia monille muille yleisen tietosuoja-asetuksen osa-alueille. Myös terveystietojen, vähemmistöjen tai työntekijöiden suojelu kuolisi tässä luonnoksessa. Suuri osa verkkomainosbisneksestä saattaa pystyä kiertämään GDPR:n velvoitteet harkittujen muutosten vuoksi."

Kuolema tuhannella leikkauksella. Vaikka monet muutokset kuulostavat teknisiltä, GDPR:n jokaisen "määritelmän" takana ovat ihmisten oikeudet. Muutokset vaihtelevat sen karsimisesta, mitä edes pidetään "henkilötietona" ja siten suojattuna, aina "tiedonsaantioikeuden" rajoittamiseen niin, että työntekijät, toimittajat tai tutkijat eivät enää voisi päästä käsiksi omiin tietoihinsa. Muutokset mahdollistavat myös lievemmän pääsyn "vetää" tietoja älypuhelimista, tietokoneista tai liitetyistä laitteista tai antavat yrityksille mahdollisuuden käyttää eurooppalaisten henkilötietoja (kaupalliseen) tekoälykoulutukseen. Vaikka yritykset väittävät usein, että GDPR olisi "taakka", todellisuudessa edes 1,3 prosenttia kaikista GDPR:n valituksista ei johda sakkoihin. Irlannissa vain 0,6 prosenttia sakoista on tähän mennessä maksettu.

Max Schrems:"Luonnos leikkaisi lakiin monia pieniä aukkoja, mikä tekisi siitä kokonaisuudessaan käyttökelvottoman useimmissa tapauksissa. EU:n tietosuojalainsäädäntöä ei jo nyt panna täytäntöön juuri lainkaan, ja näiden muutosten myötä useimmat tapaukset, jotka tällä hetkellä voitamme, todennäköisesti häviämme tai joudumme kohtaamaan entistä monimutkaisempia menettelyjä."

Periaatteessa ei mitään hyötyä pk-yrityksille ja EU:n yrityksille. Virallinen syy "selvennyksille" ja "yksinkertaistuksille" Omnibuksen kautta oli rajoittaa pienten ja keskisuurten yritysten (pk-yritysten) hallinnollista taakkaa EU:ssa. noyb tukee täysin tätä tavoitetta. Ehdotetut muutokset koskevat kuitenkin enimmäkseen tekoälykoulutusta harjoittavia yrityksiä - siis yrityksiä, joiden arvo on nyt triljoonissa (kuten OpenAI, Google, Meta, Amazon tai Microsoft). Vaikka on joitakin selvennyksiä, jotka voisivat hyödyttää pk-yrityksiä, kuten säännöt siitä, milloin niin sanotut "tietosuojaa koskevat vaikutustenarvioinnit" on tehtävä, näillä ei ole suurempaa vaikutusta Euroopan kilpailukykyyn.

Max Schrems:"Jos tämä luonnos on lopullinen, kaikki puheet 'pienyrityksistä' ja 'hallinnollisesta taakasta' ovat selvästi vain sivuseikka, jolla pyritään saamaan julkista tukea. Pohjimmiltaan kyse on massiivisesta sääntelyn purkamisyrityksestä, jolla kumotaan 40 vuotta kestänyt eurooppalainen perusoikeusoppi."

Vaaditaan kiireellistä pysäyttämistä ja asianmukaista lainsäätämistä. Kun otetaan huomioon, että tämä ehdotus on täynnä ongelmia ja aiheuttaisi myös suurta oikeudellista epävarmuutta, joka altistaa monet muutokset (menestyksekkäille) oikeudellisille hyökkäyksille Euroopan yhteisöjen tuomioistuimessa, tämä "nopeutettu" lähestymistapa ei ehkä auta ketään - olipa kyse pk-yrityksistä, tietosuojaviranomaisista tai käyttäjistä. Ensimmäiset Euroopan parlamentista saadut merkit osoittavat myös, että kauaskantoiset muutokset estäisivät selvästi omnibussin käsittelyn parlamentissa. Kun otetaan huomioon, että komissio aikoo hyväksyä digitaalisen omnibussin muut osat mahdollisimman nopeasti, mielestämme ei ole muuta keinoa kuin poistaa luonnoksesta suurin osa tietosuoja-asetuksen muutoksista.

Max Schrems: "Huonosti laaditun 'pikakomennuksen' ampuminen erittäin monimutkaisella ja arkaluontoisella alalla ei ainoastaan vahingoita käyttäjiä, vaan se ei myöskään auta EU:n yrityksiä". Lisäksi kyseenalaistetaan se, voiko tämä omnibus-sopimus läpäistä nopeasti Euroopan parlamentin ja neuvoston. Komissiolla on vielä viikko aikaa päättää, mitä lopulliseen ehdotukseen sisällytetään."

Yleiskatsaus muutoksiin

Luonnoksessa Digital Omnibus ehdotetaan lukemattomia muutoksia GDPR:n moniin eri artikloihin. Yhdessä tämä merkitsee "kuolemaa tuhannella leikkauksella". Olemme tehneet yleiskatsauksen joistakin keskeisistä muutoksista. Yksityiskohtaisimman oikeudellisen analyysin saat lataamalla yleiskatsauksen PDF-tiedoston täältä. Kaikki alla luetellut muutokset perustuvat parhaamme mukaan komission sisäisiin luonnoksiin. Jotkin tekstiluonnoksen osat ovat epäselviä ja ristiriitaisia ja niin huonolaatuisia, että tekstien todellinen merkitys ja tarkoitus eivät aina ole selvillä.

(1) Uusi GDPR:n porsaanreikä "pseudonyymien" tai "tunnusten" kautta? Näyttää siltä, että komissio aikoo kaventaa merkittävästi "henkilötietojen" määritelmää - mikä johtaisi siihen, että GDPR:ää ei sovellettaisi monissa tapauksissa. Suunnitelmana on lisätä GDPR:n tekstiin "subjektiivinen lähestymistapa". Tämä tarkoittaisi sitä, että jos tietty yritys ei pysty tunnistamaan henkilöä, tiedot eivät ole "henkilötietoja" kyseisen yrityksen kannalta - ja tietosuoja-asetusta ei enää sovelleta.

Lisäksi luonnoksessa viitataan tunnistamisvälineisiin, joita kukin rekisterinpitäjä todennäköisesti käyttää. Tämä edellyttäisi lisätutkimuksia ja ennusteita tietyn yrityksen sisäisestä toiminnasta ja tulevista toimista, jotta tiedettäisiin, nauttiiko henkilö vielä tietosuoja-asetuksen mukaisia oikeuksiaan. Käytännössä tämä tekee tietosuoja-asetuksesta tuskin enää täytäntöönpanokelpoisen ja johtaisi loputtomiin keskusteluihin ja taisteluihin yrityksen todellisista aikeista ja suunnitelmista.

Luonnoksen voi ainakin lukea luopuvan ajatuksesta, että tekniikat, joilla henkilö "erotetaan", kuuluvat edelleen lain piiriin. Sen sijaan luonnoksen sanamuoto viittaa yleiseen poikkeukseen GDPR:stä, jos rekisterinpitäjät käyttävät nimien sijasta "pseudonyymejä" (kuten "user12473" tai seurantaevästeen tietoja). Tämä merkitsisi sitä, että kokonaiset toimialat, jotka tähän mennessä ovat kuuluneet GDPR:n soveltamisalaan ja jotka toimivat "pseudonyymien" tai satunnaisten tunnistenumeroiden avulla, eivät enää kuuluisi (täysin) GDPR:n soveltamisalaan. Tämä voisi koskea lähes kaikkea verkkoseurantaa, verkkomainontaa ja useimpia tiedonvälittäjiä.

Tämä muutos poikkeaisi myös huomattavasti yhteisöjen tuomioistuimen (EUT) melko laajasta tulkinnasta. Oikeuskäytännössä on yli 20 vuoden ajalta tukeuduttu laajaan käsitykseen siitä, mitä "henkilötiedoilla" tarkoitetaan.

Koska termi "henkilötiedot" on peräisin perusoikeuskirjan 8 artiklasta, on hyvin todennäköistä, että tällainen perusteellinen muutos ei kestäisi EU:n tuomioistuimen tarkastelua.

(2) Oikeus saada pääsy tietoihin, niiden poistaminen tai oikaiseminen saa "käyttötarkoituksen rajoittamisen". Yksi massiivinen muutos (Saksan vaatimuksesta) on rajoittaa rekisteröidyn oikeuksien (kuten tietojen saanti, oikaisu tai poistaminen) käyttö vain "tietosuojaperusteisiin". Kääntäen tämä tarkoittaa, että jos työntekijä käyttää tietopyyntöä työriidassa palkattomista työtunneista - esimerkiksi saadakseen selvityksen tekemistään työtunneista - työnantaja voi hylätä sen "väärinkäytöksenä". Sama pätee toimittajiin tai tutkijoihin.

Laajassa tulkinnassa tämä voisi mennä vielä pidemmälle. Jos henkilö pyytää poistamaan väärät luottoluokitustiedot saadakseen pankista halvemman lainan, tällaista väärää rahoitustietoa koskevaa "oikaisuoikeutta" ei voida käyttää pelkästään "tietosuojasyistä" vaan taloudellisista syistä. Myöskään kuuluisan "oikeuden tulla unohdetuksi" kaltaisia tapauksia ei ehkä pidetä "tietosuojaintressinä", jos julkisten tietojen poistamista vaativa henkilö tekee sen liike-elämän edun nimissä.

Tämä ajatus on selvästi ristiriidassa EU:n tuomioistuimen oikeuskäytännön ja perusoikeuskirjan 8 artiklan 2 kohdan kanssa. Tietoista itsemääräämisoikeutta koskevalla oikeudella on nimenomaisesti tarkoitus tasoittaa käyttäjien ja tietoja hallussaan pitävien yritysten välistä tiedonsaantikuilua, sillä yhä enemmän tietoja piilotetaan yritysten palvelimille (esim. kopiot työaikakirjanpidosta). EUT on useaan otteeseen todennut, että eurooppalaiset voivat käyttää näitä oikeuksia mihin tahansa tarkoitukseen - myös oikeudenkäynteihin tai todisteiden hankkimiseen.

Yleisessä tietosuoja-asetuksessa on jo rajoituksia yleisen tietosuoja-asetuksen mukaisten oikeuksien "väärinkäytölle" (kuten tietojen saannin epääminen tai maksun maksaminen), mutta komissio haluaa nyt myös rajoittaa syitä, joiden perusteella näitä oikeuksia voidaan käyttää.

(3) Google, Meta ja OpenAI voivat nyt kouluttaa tekoälyä tietojesi avulla. Komission luonnoksessa esitetään myös muutoksia yleisen tietosuoja-asetuksen 6 artiklan 1 kohtaan ja 9 artiklan 2 kohtaan, jotta henkilötietojen käsittely tekoälyä varten olisi mahdollista. Tämä tarkoittaa, että riskialtis teknologia, jota käytetään ihmisten henkilökohtaisimpien ajatusten ja arkaluonteisten tietojen avulla, saa yleisen hyväksynnän tietosuoja-asetuksen nojalla. Samaan aikaan jokainen perinteinen tietokanta tai valvontakamera pysyy tiukasti säänneltynä.

Komission luonnoksessa korostetaan tarvetta "tietojen minimointiin" (periaate, jota sovelletaan jo yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdan nojalla) ja vaaditaan, että käyttöön otetaan määrittelemättömiä "suojatoimia". Tällaisia "suojatoimia" varten ei kuitenkaan ole teknisiä vertailuarvoja tai standardeja. Ainoa väitetty erityinen suoja on "oikeus vastustaa". Tämä ajatus on kuitenkin useimmissa tapauksissa varmasti epäonnistunut:

1. Se tarkoittaisi, että EU:n käyttäjille olisi ensin ilmoitettava, että heidän tietojaan todella käytetään tekoälyn harjoitteluun, mikä on suurelta osin mahdotonta. OpenAI:n kaltaisilla yrityksillä ei ole aavistustakaan siitä, mitkä henkilötiedot kuuluvat kenellekin, puhumattakaan siitä, mitä yhteystietoja niillä on. Ihmiset eivät siis koskaan saa selville, että heidän henkilötietojaan ylipäätään käytetään.
   
2. Jos ihmiset kuitenkin saavat tietää, heidän pitäisi jatkuvasti vastustaa kaikkia näitä yrityksiä. Tämä tarkoittaa satojen rekisterinpitäjien etsimistä, lomakkeiden täyttämistä ja harjoituksen toistamista jokaisen tekoälyharjoittelua tekevän osalta erikseen.
   
3. Lopuksi vastalause ja asiaankuuluvat tiedot olisi "sovitettava yhteen", vaikka käyttäjät eivät tietäisi, käytetäänkö heidän tietojaan lainkaan - ja jos käytetään, mitä tietoja käytetään. Rekisterinpitäjä puolestaan ei useimmiten pysty toteuttamaan vastalausetta, kun koko internet on kaapattu.

Lopputulos: Google, Meta, Microsoft tai OpenAI voivat edelleen tienata triljoonia (!) eurooppalaisten yritysten, taiteilijoiden tai yksityishenkilöiden tuottamilla tiedoilla, ja eurooppalainen lainsäätäjä antaa niille "vapaat kädet".

(4) Tekoälyjärjestelmien käyttö saa "GDPR:n villin kortin"? Yleisen tietosuoja-asetuksen 6 artiklan 1 kohtaan ja 9 artiklan 2 kohtaan tehdyt muutokset menevät jopa odotettua pidemmälle. Ei ainoastaan tekoälyjärjestelmien kehittäminen olisi etuoikeutettua, vaan myös tekoälyjärjestelmän käyttö. Termiä "toiminta" ei ole määritelty, mutta se kattaa todennäköisesti kaikenlaisen tietojenkäsittelyn.

Tämä johtaisi irvokkaaseen tilanteeseen: Jos henkilötietoja käsitellään perinteisen tietokannan, Excel-taulukon tai ohjelmiston avulla, yrityksen on löydettävä tietosuoja-asetuksen 6 artiklan 1 kohdan mukainen oikeusperusta. Jos sama käsittely kuitenkin tapahtuu tekoälyjärjestelmän kautta, se voi olla oikeutettu etu yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdan nojalla. Tämä antaisi yhdelle (riskialttiille) teknologialle etusijan kaikkiin muihin tietojenkäsittelymuotoihin nähden ja olisi yleisen tietosuoja-asetuksen "teknologianeutraalin" lähestymistavan vastaista.

(5) Arkaluonteiset tiedot, kuten terveys, politiikka tai sukupuolielämä, katetaan vain, jos ne "paljastuvat suoraan"? Yleisen tietosuoja-asetuksen 9 artiklassa suojataan erityisesti "arkaluonteisia" tietoja, jotka koskevat ihmisten terveyttä, poliittisia vakaumuksia, sukupuolielämää, seksuaalista suuntautumista tai ammattiyhdistyksen jäsenyyttä. Tähän mennessä EUT on katsonut, että tällaiset tiedot ovat suojattuja myös silloin, kun ne voidaan päätellä vain muista tiedoista. Komissio yrittää nyt kumota lain ja haluaa rajoittaa 9 artiklan mukaisen suojan vain, jos arkaluonteiset tiedot "paljastuvat suoraan".

Ihmiset, jotka "paljastavat suoraan" olevansa raskaana, sairastavansa syöpää tai olevansa homoseksuaaleja, tarvitsevat kuitenkin yleensä vähemmän suojaa kuin ihmiset, joita koskevat arkaluonteiset tiedot voidaan vain "päätellä" muista tiedoista. Klassinen esimerkki tästä ovat työnantajat, jotka käyttävät "big dataa" päätelläkseen, että nainen on raskaana - ja erottavat sitten kyseisen henkilön nopeasti välttääkseen sosiaaliturvamaksut ja muut vastaavat. Tällä hetkellä tämä kuuluisi yleisen tietosuoja-asetuksen 9 artiklan soveltamisalaan. Tulevaisuudessa se vähenisi yleisen tietosuoja-asetuksen 6 artiklan mukaiseen suojaan - kun taas henkilö, joka julkisesti ilmoittaa raskaudestaan, kuuluisi yleisen tietosuoja-asetuksen 9 artiklan soveltamisalaan.

Yksityishenkilöiden näkökulmasta tällaisessa rajoituksessa ei ole mitään järkeä, mutta komissio näyttää olevan huolissaan lähinnä yrityksistä, jotka haluavat käyttää tällaisia tietoja tekoälyn koulutukseen. On helpompaa suodattaa "olen raskaana" kuin suodattaa 1000 signaalia, joiden avulla Meta tai Google voi päätellä, että henkilö on raskaana.

Tämä muutos rikkoisi Euroopan neuvoston yleissopimuksen 108 6 artiklaa, jossa käytetään nykyistä GDPR:n sanamuotoa ("paljastava") ja jonka 55 maata on ratifioinut.

(6) Henkilötietojen poimiminen laitteesta? Tähän mennessä sähköisen viestinnän tietosuojadirektiivin 5 artiklan 3 kohta on suojannut käyttäjiä "päätelaitteisiin", kuten tietokoneisiin tai älypuhelimiin, tallennettujen tietojen etäkäytöltä. Tämä perustuu perusoikeuskirjan 7 artiklan mukaiseen oikeuteen viestinnän suojaan, ja sillä on varmistettu, että yritykset eivät voi "etähaulla" laitteita.

Komission ehdotuksessa sallitaan nyt kuitenkin - luonnoksen lukutavasta riippuen - jopa 10 (!) oikeusperustaa tietojen hankkimiseksi henkilökohtaisesta laitteesta - tai seurantateknologian sijoittaminen laitteeseen (kuten evästeet). Päätelaitteisiin pääsyn neljä "valkoiselle listalle" merkittyä käsittelytoimintoa sisältävät nyt muun muassa "yhteenlasketut tilastot" ja "turvallisuustarkoitukset". Vaikka muutosten yleinen suunta on ymmärrettävä, sanamuoto on erittäin salliva ja mahdollistaisi myös liialliset "haut" käyttäjien laitteissa (pieniä) turvallisuustarkoituksia varten.

Lisäksi kaikki yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan mukaiset oikeusperustat olisivat käytettävissä. Yhdessä tämä voisi johtaa absurdeihin tuloksiin: Tekoälykoulutus olisi "oikeutettu etu", ja yritykset voivat nyt päästä etänä käsiksi laitteessa oleviin henkilötietoihin tällaisen "oikeutetun edun" vuoksi. Näin ollen olisi mahdollista, että Googlen kaltaiset yritykset voisivat käyttää minkä tahansa Android-sovelluksen tietoja kouluttaakseen Gemini- tekoälyä. Erityisesti "Big Tech" -yritykset tulkitsisivat tekstiluonnosta todennäköisesti vielä laajemmin. On kyseenalaista, ovatko lakiluonnoksen laatijat koskaan ajatelleet näitä yhdistelmiä.