Ez az első reakció egy fejlődő történetre. A nyilatkozatunkban bekövetkezett bármilyen változás és/vagy frissítés esetén kérjük, ellenőrizze újra ezt az oldalt.
A civil társadalom és az EU Parlament nagy részének heves kritikája ellenére az EU Bizottsága most közzétette a "digitális omnibuszra" vonatkozó javaslatát. A Bizottság hivatalos sajtóközleményével ellentétben ezek a változások nem "a személyes adatok védelmének legmagasabb szintű fenntartása", hanem jelentősen csökkentik az európaiak védelmét. Miközben az átlagos európai kis- és középvállalkozások számára alapvetően semmilyen valós előnnyel nem járnak, a javasolt változtatások ajándékot jelentenek az amerikai nagyvállalatoknak, mivel számos új kiskaput nyitnak meg a jogi osztályaik számára, amelyeket kihasználhatnak. Schrems: "Ez az európaiak digitális jogai ellen évek óta a legnagyobb támadás. Amikor a Bizottság azt állítja, hogy "fenntartja a legmagasabb szintű normákat", ez nyilvánvalóan nem igaz. Azt javasolja, hogy ássák alá ezeket a normákat."
Évek óta a legnagyobb mértékben csorbítja a magánélethez fűződő jogokat. Az ipari lobbicsoportok sikeresen használták ki a globális gazdasági nyomástól való európai félelmet arra, hogy az európaiak digitális jogainak jelentős megnyirbálását követeljék. A ma javasolt hirtelen változtatások alááshatják a magánszereplők által végzett kereskedelmi megfigyeléssel szembeni több mint 40 éves egyértelmű európai álláspontot, amelyet az Európai Alapjogi Charta 8. cikke is rögzít, és amelyet az európai közvélemény széles körben támogat.
Max Schrems: "A digitális omnibusz elsősorban a nagy technológiai cégeknek kedvezne, miközben az átlagos uniós vállalkozások számára semmilyen kézzelfogható előnyt nem biztosítana. Ez a reformjavaslat az európai digitális jövő alakítása körüli pánik jele, nem pedig a vezető szerep jele. Amire valóban szükségünk van, az egy stratégiai, jól megtervezett hosszú távú terv, amely előreviszi Európát."
Kevés a politikai támogatás a változásokhoz. Az Európai Bizottság annak ellenére húzta ki a kalapból ezt a GDPR-reformot, hogy a legtöbb uniós tagállam kifejezetten kérte, hogy ne nyissák újra a GDPR-t. Ráadásul a múlt héten kiszivárgott szövegek erős ellenállást váltottak ki az Európai Parlament balközép és baloldali frakciói részéről (S&D, Renew és a Zöldek), akik kifejezetten felszólították a Bizottságot, hogy hagyja abba a GDPR-hez fűződő masszív megszorításokat. Továbbá, 127 civil társadalmi szervezet (köztük noyb) hevesen bírálta a Bizottság váratlan előretörését és a kiszivárgott szöveget.
Ennek ellenére ma, Ursula von der Leyen bizottsági elnök vezetésével, Henna Virkkunen alelnök és a Michael McGrath igazságügyi biztos vezetésével, a Bizottság úgy döntött, hogy folytatja a GDPR jelentős módosításait. A Bizottságon belül masszív politikai nyomásgyakorlásról beszélnek, hogy megfelelő eljárás vagy elemzés nélkül csökkentsék a jogszabályokat.
Max Schrems: "A nyilvánosság, a tagállamok és az Európai Parlament korlátozott politikai támogatást nyújt ezeknek a csökkentéseknek. Úgy tűnik, hogy az Európai Bizottság egyszerűen megpróbál mindenki mást elgázolni egy "gyorsított eljárás" révén, ami inkább tűnik pánikreakciónak, mint jól átgondolt, tényeken alapuló jogalkotásnak."
Háttérinformációk: Német vagy amerikai befolyás? Az egyik mozgatórugó a reform mögött, amelyért "papíralapú bizonyíték" létezik, Németország. Egyes hangok arra is rámutatnak, hogy a Politico nemrégiben megjelent jelentésére, amely szerint Virkkunen közvetlen találkozókon azt üzente az amerikai vállalkozásoknak, hogy az EU "vállalkozásbarátabbá" válik. Van még egy másik a Trump-adminisztráció növekvő nyomásáról szóló jelentések hogy az EU csökkentse a védelmet a vámok elkerülése érdekében.
Bár nem világos, hogy pontosan honnan érkezik ez a nyomás, az azonban egyértelmű, hogy az Európai Bizottság meglepő módon és titokban messze túlment a a "digitális omnibusz" eredeti tervét, amelynek célja az volt, hogy nem a GDPR módosítását is tartalmaznia kellett volna.
Az EU Bizottság "gyorsan lép - és elront dolgokat". Ahelyett, hogy az adminisztratív terhek csökkentése érdekében ragaszkodott volna a 2026-ban esedékes "digitális állapotfelmérés" eredeti tervéhez, az Európai Bizottság a jelek szerint a Szilícium-völgy mottóját követte, miszerint a "gyorsan mozogj és törj össze dolgokat", hogy az alapvető szabályok reformját "gyorsított eljárásban" keresztülvigye. A hatásvizsgálat és a bizonyítékgyűjtés hiánya felborítja az uniós jogalkotás minimális normáinak régóta bevett elveit, és a "trumpi" típusú, kiszámíthatatlan változtatásokat követi. Ennek következménye a nagyon rossz szövegezés és a célnak nem megfelelő jogszabályok.
Max Schrems: "Ezek a változtatások megfelelő eljárások nélkül történtek, és nem bizonyítékokon, hanem inkább félelmen és az ipar állításain alapulnak. a "gyorsan lépj és törj össze dolgokat" nem egy olyan mottó, amely alkalmas arra, hogy olyan jogszabályokat hozzanak keresztül, amelyek nem csak 450 millió ember életét, hanem végső soron társadalmaink és demokráciáink megfelelő működését is befolyásolják."
"AI alagútlátás". A GDPR javasolt reformja a jelek szerint elsősorban arra irányul, hogy elhárítson minden olyan akadályt, amely korlátozhatja a személyes adatok - például a közösségi média adatainak - mesterséges intelligencia céljára történő felhasználását. Számos ilyen változtatás azonban a társadalomra nézve masszív következményekkel járna a mesterséges intelligencián kívüli más területeken, például az online reklámozásban.
Max Schrems: "A mesterséges intelligencia az egyik legnagyobb hatású és legveszélyesebb technológia lehet a demokráciánkra és társadalmunkra nézve. Ennek ellenére az "AI-verseny" narratívája arra késztette a politikusokat, hogy még azokat a védelmeket is kidobják az ablakon, amelyeknek pontosan meg kellett volna védeniük minket attól, hogy minden adatunk egy nagy, átláthatatlan algoritmusba kerüljön."
Semmi előny az európai kkv-k számára - de megnyitja az árvízkapukat a "nagyok" előtt. Annak ellenére, hogy gyakran ígérik, hogy elsősorban az európai kisvállalkozások terheit enyhítik, a javasolt változtatások bármi mint egyszerűsítés. A legtöbb cikk bonyolultabbá, áttekinthetetlenebbé és logikátlanabbá válik. Ahelyett, hogy a papírmunka szükségességének csökkentésén dolgozna (ami az európai vállalkozások fő problémája), a Bizottság olyan jogi kiskapukat vezet be, amelyeket csak a nagyvállalatok és a nagy ügyvédi irodák tudnak majd kihasználni.
Max Schrems: "Miközben a Bizottság folyamatosan azzal érvel, hogy ez a reform jót tenne a kisvállalkozásoknak, ezek a változások nagyon keveset jelentenek számukra. A jól bevált jogszabályok megváltoztatása csak fokozza a piaci koncentrációt, még nagyobb jogbizonytalanságot idéz elő, új pereket generál, és drágább jogi tanácsadást tesz szükségessé. Az egyetlen igazi haszonélvező a nagy technológiai cégek és az ügyvédi irodák."
1000 vágás általi halál. A Bizottság októberi nyilvános konzultációja szerint a javaslat adatvédelemmel kapcsolatos aspektusainak elsősorban a "cookie-banner" fáradtság kezelésére kellett volna összpontosítaniuk. A mai napon azonban a Bizottság mélyreható vágásokat terjesztett elő a GDPR-hez. Úgy tűnik, hogy ezek közül sok sérti az EU Alapjogi Chartájának 8. cikkében foglalt adatvédelemhez való jogot, vagy legalábbis ellentétes azzal.
Íme egy első áttekintés a fő problémákról:
(1) A GDPR új kiskapuja az "álneveken" vagy "azonosítókon" keresztül. A Bizottság a "személyes adatok" fogalmának jelentős szűkítését javasolja - ami azt eredményezné, hogy a GDPR számos ágazatban számos vállalatra nem vonatkozna. Például azok az ágazatok, amelyek jelenleg "álneveken" vagy véletlenszerű azonosítószámokon keresztül működnek, mint például az adatbrókerek vagy a reklámipar, már nem tartoznának (teljes mértékben) a hatálya alá. Ez úgy történne, hogy a "szubjektív megközelítés" beillesztésével a GDPR szövegébe.
A személyes adatok objektív meghatározása helyett (pl. olyan adatok, amelyek közvetlenül vagy közvetve azonosítható személyhez kapcsolódnak) a szubjektív meghatározás azt jelentené, hogy ha egy adott vállalat azt állítja, hogy (még) nem tudna vagy nem áll szándékában (jelenleg) azonosítani személyt, a GDPR nem alkalmazható. Egy ilyen eseti döntés természeténél fogva bonyolultabb és minden, csak nem "egyszerűsítés". Ez azt is jelenti, hogy az adatok lehetnek "személyesek" vagy nem, attól függően, hogy egy vállalat belső gondolkodásmódja, illetve az adott pillanatban fennálló körülményei milyenek. Ez a vállalatok közötti együttműködést is bonyolultabbá teheti, mivel egyesek a GDPR hatálya alá tartoznának, mások pedig nem.
Továbbá egy ilyen "szubjektív" meghatározás lehetetlenné teszi, hogy a felhasználók vagy a hatóságok tudják, hogy a GDPR minden esetben alkalmazandó-e. A gyakorlatban ez a GDPR-t nehezen végrehajthatóvá teheti, mivel végtelen viták és nézeteltérések alakulhatnak ki egy vállalat valódi szándékairól és terveiről.
Max Schrems: "Olyan ez, mint egy fegyvertörvény, amely csak akkor vonatkozik a fegyverekre, ha a tulajdonos megerősíti, hogy képes kezelni a fegyvert, és szándékában áll lelőni valakit. Nyilvánvaló, hogy az ilyen szubjektív meghatározások mennyire abszurdak."
(2) Személyes adatok lehívása a készülékről? Eddig az elektronikus hírközlési adatvédelmi rendelet 5. cikkének (3) bekezdése védte a felhasználókat a "végberendezéseken", például számítógépeken vagy okostelefonokon tárolt adatokhoz való távoli hozzáférés ellen. Ez az EU Alapjogi Chartájának 7. cikke szerinti hírközlési védelemhez való jogon alapul, és biztosította, hogy a vállalatok ne tudjanak "távolról kutatni" az eszközökben.
A Bizottság most a "fehérlistás" feldolgozási műveletekkel egészíti ki a végberendezésekhez való hozzáférést, amelyek közé tartoznak az "összesített statisztikák" és a "biztonsági célok". Bár a változások általános iránya érthető, a megfogalmazás rendkívül megengedő, és lehetővé tenné a felhasználói eszközök (aprócska) biztonsági célú, túlzott mértékű "keresését" is.
(3) A Meta vagy a Google mesterséges intelligencia képzése az EU személyes adataival? Amikor a Meta vagy a LinkedIn elkezdte használni a közösségi média adatait, az széles körben népszerűtlen volt. Egy nemrégiben készült tanulmányban például a németeknek csak 7%-a mondta azt, hogy szeretné, ha a Meta felhasználná személyes adatait az AI képzéséhez. Ennek ellenére a Bizottság most azt szeretné, ha a Big Tech lehetővé tenné a nagyon személyes adatok (például egy több mint 15 éves közösségi médiaprofil tartalma) felhasználását mesterséges intelligencia képzésére.
Max Schrems: "A közvélemény egyáltalán nem támogatja, hogy a Meta vagy a Google az európaiak személyes adatait beépítse algoritmusaiba. Évekig azt mondták nekünk, hogy az embereknek nem kell aggódniuk, mert a személyes adatainkat arra fogják használni, hogy "összekapcsoljanak" minket, vagy legfeljebb valamilyen reklám célzására használják fel. Most minden adatunkat beletolják a Meta, a Google vagy az Amazon algoritmusaiba. Ez megkönnyíti a mesterséges intelligencia rendszerek számára, hogy a legintimebb részleteket is megismerjék - és ennek következtében manipulálják az embereket. Ez elsősorban annak a trillió dolláros amerikai iparnak kedvez, amely a személyes adatainkból építi fel az erre épülő modelleket."
Az Európai Bizottság előirányozza, hogy a felhasználók lemondhatnak, de a vállalatok és a felhasználók általában nem tudják, hogy kinek az adatai szerepelnek a képzési adatállományban. Még ha tudnák is, a felhasználóknak évente több ezer alkalommal kellene lemondaniuk, valahányszor egy másik vállalat az ő adataikkal képez ki egy algoritmust.
Max Schrems: "Az opt-out megközelítés a gyakorlatban nem működik. A vállalatok nem rendelkeznek a felhasználók szerződéses adataival, a felhasználók pedig nem tudják, hogy ki képez az ő adataik alapján. Az opt-out megközelítéssel a Bizottság megpróbál fügefalevelet húzni a nyilvánvalóan jogellenes adatfeldolgozási tevékenység fölé."
A Bizottság nem csak az AI-rendszerek képzését, hanem az ilyen rendszerek "üzemeltetését" is privilegizálni akarja. Ez egy "jokerlistát" jelentene, ahol az egyébként jogellenes adatkezelés legális lenne, csak azért, mert az mesterséges intelligencia felhasználásával történik.
Max Schrems: "A kockázatosabb technológiáknak általában magasabb követelményeket kell teljesíteniük. A Bizottság javaslata most megnyitja a kapukat, amint a mesterséges intelligenciát alkalmazzák - miközben a hagyományos adatfeldolgozás továbbra is a jelenlegi jogszabályok hatálya alá tartozna. Ez őrültség."
(4) A felhasználói jogokat szinte nullára csökkentik - német követelésre? Egy nemzeti vitára alapozva, miszerint a GDPR hozzáférési jogok felhasználhatók pl. a munkaszerződések nemfizetésének bizonyítására, a A német kormány e jogok erőteljes korlátozását követelte - az ilyen felhasználást "visszaélésnek" minősítve, noha a GDPR már tartalmaz egy "visszaélésre" vonatkozó záradékot. A Bizottság követte ezt a német követelést, és azt javasolja, hogy az érintettek hozzáférési jogát csak "adatvédelmi célokra" korlátozzák.
Ez fordítva azt jelenti, hogy ha egy munkavállaló a hozzáférési kérelmet a nem fizetett munkaidővel kapcsolatos munkaügyi vitában használja fel - például a ledolgozott órák nyilvántartásának megszerzése érdekében -, a munkáltató "visszaélésszerűségként" elutasíthatja azt. Ugyanez igaz lenne újságírókra vagy kutatókra is. Tágabb értelemben ez még tovább is mehet. Ha valaki azért kér hozzáférést az adataihoz, hogy később hamis hitelminősítési adatokat töröljön, hogy olcsóbb hitelhez jusson a banknál, az ilyen jogokat nem pusztán "adatvédelmi célból", hanem gazdasági érdekből gyakorolhatja.
Ez a korlátozás egyértelműen sérti az EUB ítélkezési gyakorlatát és a Charta 8. cikkének (2) bekezdését. Az információs önrendelkezési jog kifejezetten a felhasználók és az információt birtokló vállalatok közötti információs szakadék kiegyenlítését szolgálja, mivel egyre több információ rejtőzik a vállalati szervereken (pl. munkaidő-nyilvántartás másolata). Az EUB többször is kimondta, hogy ezeket a jogokat bármilyen céllal - beleértve a pereskedést vagy a bizonyítékok előállítását - lehet gyakorolni.
Max Schrems: "Ez a változás egyértelműen sérti a Chartát és az EUB ítélkezési gyakorlatát. Az adatkezelők Európa-szerte arra fogják használni, hogy tovább csorbítsák a felhasználók jogait. A valóság az, hogy nem a polgárok részéről van széles körű visszaélés a GDPR-jogokkal, hanem a vállalatok részéről van széles körű be nem tartás. A felhasználói jogok további megnyirbálása azt mutatja, hogy a Bizottság mennyire elszakadt a felhasználók mindennapi tapasztalataitól."
a noyb munkája csak az 5287 támogató tagunknak köszönhetően lehetséges. Ön is szeretne minket támogatni?
