Az EU Bizottság belső tervezete tönkretenné a GDPR alapelveit

• A tervezet áttekintő táblázata és megjegyzései a noyb-tól
• Kiszivárgott dokumentum a tagállami álláspontokról (nagyrészt nem kérnek reformokat)
• Németország által kiszivárogtatott dokumentum (masszív reformot kér, de nagyrészt nem most)
• Az eredeti szöveg kiszivárgása (a Netzpolitik.org-on keresztül)
• Eredeti tudósítás az MLex (fizetős), a Reuters és a Netzpolitik.org tudósításai

Titkos "gyorsított" támadás a GDPR ellen. Az Európai Bizottság több uniós jogszabály egyszerűsítését tervezi egy úgynevezett "omnibusz" reform révén, amely általában több jogszabály különböző kisebb elemeit változtatja meg horizontálisan, a jogszabályok minőségének javítása és a papírmunkával kapcsolatos kötelezettségek egyszerűsítése érdekében. A jogalkotás hagyományos megközelítésével ellentétben az Omnibus egy "gyorsított" eljáráson keresztül történik, amely a folyamat több elemét megugorja, beleértve a hatásvizsgálatokat, és időt biztosít a jogi szolgálatok és az uniós intézmények érintett egységeinek visszajelzésére. Ez elfogadható, ha csak nem vitás, egyszerű fejlesztésekről van szó.

Amint azonban kiderült, az Európai Bizottság Henna Virkkunen ügyvezető alelnök vezetésével működő szolgálatai (az úgynevezett"DG CONNECT") a GDPR tömeges reformján dolgoznak állítólagos "egyszerűsítés" vagy "pontosítás" címszó alatt.

Max Schrems:"A tervezet nemcsak szélsőséges, hanem nagyon rosszul is van megfogalmazva. Nem a "kisvállalkozásokat" segíti, ahogy ígérték, hanem ismét elsősorban a "big tech"-nek kedvez"."

A Bizottság eredeti terve az volt, hogy 2026-ban úgynevezett "digitális fittségi ellenőrzést" végez, összegyűjti a szükséges bizonyítékokat, majd célzottan és jól kidolgozottan frissíti a GDPR-t és más digitális jogszabályokat.

Az EU "ugrik" a német vagy az amerikai követelésekre? Az érdekelt felek és a tagállamok is kifejezetten kérték, hogy ne nyissák újra a GDPR-t. A tagállami álláspontok összefoglalójában a visszajelzést adó tagállamok szinte mindegyike azt mondja, hogy nem akar változtatást. Németország azonban a GDPR jelentős módosításait szorgalmazta, amelyek túlmutatnak a jogszabály eredeti felhatalmazásán. Úgy tűnik, hogy a Bizottság egyszerűen "ráugrott" egy múlt héten kiszivárgott német nem hivatalos dokumentumra, mivel a tervezetben szereplő számos változtatás 1:1 arányú másolatának tűnik a kiszivárgott német levélben szereplő követeléseknek. Németország nem szolgáltatott bizonyítékot az említett reformok szükségességére - nem világos, honnan származnak ezek a követelések. Más hangok a Politico nemrégiben megjelent jelentésére mutatnak rá, amely szerint Virkkunen közvetlen találkozókon azt üzente az amerikai vállalkozásoknak, hogyaz EU felülvizsgálja szabályait, és vállalkozásbarátabbá válik.

Max Schrems:"Nem világos, honnan származik a politikai nyomás. A legtöbb tagállam apró változtatásokat kért, és nem kért újranyitást. Németország hagyományosan GDPR-ellenes álláspontot képvisel Európában. Úgy tűnik, könnyebb valamilyen uniós jogszabályt hibáztatni a digitalizációval kapcsolatos német problémákért, mint nemzeti szinten rendbe tenni a dolgokat. Nem vagyunk meglepve, hogy ez a legutóbbi nyomás ismét Németországból érkezik. Jelentések szerint az Egyesült Államokból érkező nyomás is szerepet játszhat."

Az első belső tervezetet olvasva egyértelmű, hogy a GDPR (lásd a részleteket alább) potenciális kára óriási lenne. A tervezet nagy részei sértik az európai egyezményeket, az Alapjogi Chartát vagy a Bíróság állandó ítélkezési gyakorlatát. Hogy ez szándékos-e , vagy a munka gyors tempójának és a tervezet ebből adódó rossz minőségének köszönhető, az továbbra is nyitott kérdés. Brüsszeli bennfentesek arról számoltak be, hogy egyes szervezeti egységeknek mindössze öt (!) munkanapjuk volt arra, hogy véleményezzék a több mint 180 oldalas törvénytervezetet.

Max Schrems: "Úgy tűnik, hogy az EU Bizottságának egy része megpróbál felülkerekedni mindenki máson Brüsszelben, figyelmen kívül hagyva a jó jogalkotás szabályait, aminek potenciálisan szörnyű eredményei lehetnek. Nagyon aggasztó látni, hogy a trumpi jogalkotás gyakorlata eluralkodik Brüsszelben."

Alagútlátás a "mesterséges intelligencia versenyben"? Miközben számos jó módja lehetne a GDPR javításának és egyszerűsítésének, a javasolt módosítások úgy tűnik, hogy "alagútvízióban" szenvednek az AI képzésének és használatának lehetővé tételével kapcsolatban - még a személyes adatokkal kapcsolatban is. Egy nemrégiben készült tanulmány szerint azonban a németeknek csak 7%-a mondta azt, hogy szeretné, ha a Meta felhasználná személyes adatait az AI képzéséhez. Mindazonáltal a reform a GDPR minden olyan elemét célba veszi, amely korlátozhatja az AI felhasználását.

Max Schrems: "Úgy tűnik, hogy ezek a változások figyelmen kívül hagyják, hogy az adatfeldolgozás nagy része nem mesterséges intelligencia alapú. Az AI-t "felszabadító" potenciális változásnak masszív, nem szándékolt következményei lennének a GDPR számos más területére nézve. Az egészségügyi adatok, a kisebbségek vagy a munkavállalók védelmét is megölné ez a tervezet. Az online hirdetési üzletág nagy része megkerülheti a GDPR kötelezettségeinek teljesítését a megfontolt változtatások miatt"

1000 vágás általi halál. Bár sok változás technikai jellegűnek hangzik, a GDPR minden egyes "definíciója" mögött az emberek jogai állnak. A változások a "személyes adatnak" és így védettnek minősülő adatok körének megnyirbálásától kezdve egészen a "hozzáférési jog" korlátozásáig terjednek, így a munkavállalók, újságírók vagy kutatók többé nem férhetnek hozzá a saját adataikhoz. A változások lehetővé teszik az okostelefonokról, PC-kről vagy csatlakoztatott eszközökről származó adatok "lehívásához" való engedékeny hozzáférést is, illetve nagyrészt lehetővé teszik a vállalatok számára, hogy az európaiak személyes adatait (kereskedelmi) mesterséges intelligencia képzésre használják fel. Bár a vállalatok gyakran érvelnek azzal, hogy a GDPR "teher" lenne, a valóság az, hogy a GDPR-panaszok 1,3%-a sem vezet bírsághoz. Írországban eddig a bírságoknak mindössze 0,6%-át fizették ki.

Max Schrems:"A tervezet sok apró lyukat vágna a törvényen, ami összességében használhatatlanná tenné azt a legtöbb esetben. Már most is szinte egyáltalán nem érvényesülnek az uniós adatvédelmi jogszabályok, ezekkel a változtatásokkal a legtöbb olyan ügyet, amelyet jelenleg megnyerünk - valószínűleg elveszítenénk, vagy még bonyolultabb eljárásokkal kellene szembenéznünk."

Alapvetően semmi előny a kkv-k és az uniós vállalkozások számára. Az Omnibuszon keresztül történő "pontosítások" és "egyszerűsítések" hivatalos oka az volt, hogy csökkentsék az uniós kis- és középvállalkozások (kkv-k) adminisztratív terheit. a noyb teljes mértékben támogatja ezt a célt. A javasolt változtatások azonban leginkább az AI-képzéssel foglalkozó cégeket érintik - tehát a ma már trilliárdos értékű vállalatokat (mint az OpenAI, a Google, a Meta, az Amazon vagy a Microsoft). Bár vannak olyan pontosítások, amelyek előnyösek lehetnek a kkv-k számára, például az úgynevezett "adatvédelmi hatásvizsgálatok" elvégzésének időpontjára vonatkozó szabályok, ezeknek nem lesz nagyobb hatása az európai versenyképességre.

Max Schrems:"Ha ez a tervezet végleges lesz, akkor a "kisvállalkozásokról" és az "adminisztratív terhekről" szóló minden beszéd egyértelműen csak a közvélemény támogatásának megszerzésére irányuló mellékszál. Alapjában véve ez egy masszív deregulációs kísérlet, amely megdönti az európai alapjogi doktrína 40 évét"."

Felhívás a sürgős leállításra és a megfelelő jogalkotásra. Tekintettel arra, hogy ez a javaslat tele van problémákkal, és nagyfokú jogbizonytalanságot is kiváltana, ami számos változtatást hajlamossá tesz a Bíróság előtti (sikeres) jogi támadásokra, ez a "gyorsított eljárás" nem biztos, hogy bárkinek is segítene - legyen szó kkv-król, adatvédelmi hatóságokról vagy felhasználókról. Az Európai Parlamentből érkező első jelzések azt is kiemelik, hogy a messzemenő változtatások egyértelműen megakasztanák az "Omnibuszt" a Parlamentben. Tekintettel arra, hogy a Bizottság a digitális omnibusz egyéb elemeit a lehető leggyorsabban el kívánja fogadni, úgy gondoljuk, hogy nincs más lehetőség, mint a GDPR legtöbb módosításának eltávolítása a tervezetből.

Max Schrems: "Egy rendkívül összetett és érzékeny területen egy rosszul megfogalmazott "gyorstalpaló" kilövése nemcsak a felhasználóknak fog ártani, de az uniós vállalkozásoknak sem fog segíteni. Azt is megkérdőjelezi, hogy ez az omnibusz gyorsan átmehet-e az Európai Parlamenten és a Tanácson. A Bizottságnak még egy hete van arra, hogy eldöntse, mi kerüljön bele a végleges javaslatba."

A változások áttekintése

A digitális omnibusz tervezete számtalan változtatást javasol a GDPR számos különböző cikkelyében. Ez együttesen az "1000 vágással történő halálhoz" vezet. Általános áttekintést készítettünk néhány kulcsfontosságú változásról. A legrészletesebb jogi elemzésért töltse le áttekintő PDF-ünket innen. Az alább felsorolt valamennyi változtatás a Bizottság belső tervezetének megértésére tett legjobb igyekezetünkön alapul. A szövegtervezetek egyes elemei nem egyértelműek és ellentmondásosak, illetve olyan rossz minőségűek, hogy a szövegek valódi jelentése és szándéka nem mindig egyértelmű.

(1) Egy új GDPR kiskapu az "álneveken" vagy "azonosítókon" keresztül? Úgy tűnik, hogy a Bizottság a "személyes adatok" fogalmának jelentős szűkítését tervezi - ami azt eredményezné, hogy a GDPR számos esetben nem lenne alkalmazható. A terv az, hogy a GDPR szövegét egy "szubjektív megközelítéssel" egészítik ki. Ez azt jelentené, hogy ha egy adott vállalat nem tud azonosítani egy személyt, akkor az adatok nem "személyesek" az adott vállalat számára - és a GDPR nem lesz alkalmazható.

A tervezet továbbá utal az azonosításra szolgáló eszközökre, amelyeket valószínűleg az egyes konkrét adatkezelők használnak. Ehhez további vizsgálatokra és előrejelzésekre lenne szükség egy adott vállalat belső működésével és jövőbeli intézkedéseivel kapcsolatban, hogy megtudjuk, hogy egy személy továbbra is élvezi-e a GDPR szerinti jogait. A gyakorlatban ez a GDPR-t már aligha teszi végrehajthatóvá, és végtelen vitákhoz és harcokhoz vezetne egy vállalat valódi szándékairól és terveiről.

A tervezet legalábbis úgy értelmezhető, hogy elhagyja azt az elképzelést, hogy a személy "kiemelésére" irányuló technikák továbbra is a törvény hatálya alá tartoznak. Ehelyett a tervezet megfogalmazása arra utal, hogy a GDPR alól általános mentességet biztosít, ha az adatkezelők nevek helyett csak "álneveket" (például "user12473" vagy egy nyomkövető süti adatait) használnak. Ez azt jelentené, hogy a GDPR által eddig lefedett, "álnevek" vagy véletlenszerű azonosítószámok segítségével működő egész iparágak nem lennének (teljes mértékben) lefedve. Ez szinte minden online nyomkövetésre, online hirdetésre és a legtöbb adatbrókerre vonatkozhatna.

Ez a változás szintén jelentősen eltérne a Bíróság (EUB) meglehetősen tág értelmezésétől. A több mint 20 éves esetjog alátámasztja a "személyes adatok" fogalmának tág értelmezését.

Tekintettel arra, hogy a "személyes adat" kifejezés a Charta 8. cikkéből származik, nagyon valószínű, hogy egy ilyen mélyreható változás nem élné túl az EUB vizsgálatát.

(2) A hozzáféréshez, törléshez vagy helyesbítéshez való jog "célhoz kötöttséget" kap. Az egyik masszív változás (német kérésre) az érintettek jogainak (mint például az adatokhoz való hozzáférés, helyesbítés vagy törlés) kizárólag "adatvédelmi célokra" való korlátozása. Ez fordítva azt jelenti, hogy ha egy munkavállaló a nem fizetett munkaórák miatti munkaügyi vitában hozzáférési kérelmet nyújt be - például a ledolgozott munkaórák nyilvántartásának megszerzése érdekében -, a munkáltató "visszaélésként" elutasíthatja azt. Ugyanez igaz lenne újságírókra vagy kutatókra is.

Tágabb értelmezésben ez még tovább is mehet. Ha valaki a hamis hitelbesorolási adatok törlését kéri, hogy olcsóbb hitelhez jusson a banknál, akkor a hamis pénzügyi adatokra vonatkozó "helyesbítéshez való jog" nem pusztán "adatvédelmi célból", hanem gazdasági érdekből gyakorolható. Még az olyan esetek, mint a híres "elfeledtetéshez való jog" sem tekinthetők "adatvédelmi érdeknek", ha a nyilvános adatok törlését kérő személy ezt üzleti érdekből teszi.

Ez az elképzelés egyértelműen sérti az EUB ítélkezési gyakorlatát és a Charta 8. cikkének (2) bekezdését. Az információs önrendelkezési jog kifejezetten arra szolgál, hogy kiegyenlítse a felhasználók és az adatokat tároló vállalatok közötti információs szakadékot, mivel egyre több információ rejtőzik a vállalati szervereken (pl. munkaidő-nyilvántartások másolata). Az EUB többször is kimondta, hogy az európaiak bármilyen célból - beleértve a pereskedést vagy a bizonyítékok előállítását - gyakorolhatják ezeket a jogokat.

A GDPR már tartalmaz korlátozásokat a GDPR-jogok "visszaélésszerű" használatára (például az adatokhoz való hozzáférés megtagadása vagy díjfizetés), de a Bizottság most már azt is korlátozni kívánja, hogy milyen okokból lehet ezeket a jogokat gyakorolni.

(3) A Google, a Meta és az OpenAI mostantól az Ön adataival képezhet mesterséges intelligenciát. A Bizottság tervezete a GDPR 6. cikkének (1) bekezdését és 9. cikkének (2) bekezdését is módosítja, hogy lehetővé tegye a személyes adatok mesterséges intelligencia célú feldolgozását. Ez azt jelenti, hogy egy magas kockázatú technológia, amelyet az emberek legszemélyesebb gondolatai és érzékeny adatai táplálnak, általános "OK"-t kap a GDPR értelmében. Ugyanakkor minden hagyományos adatbázis vagy CCTV kamera szigorúan szabályozott marad.

A Bizottság tervezete kiemeli az "adatminimalizálás" szükségességét (ez az elv a GDPR 5. cikke (1) bekezdésének b) pontja alapján már egyébként is érvényes), és előírja, hogy meghatározatlan "biztosítékokat" kell bevezetni. Az ilyen "biztosítékokra" vonatkozóan azonban nincsenek technikai referenciaértékek vagy szabványok. Az egyetlen konkrét állítólagos védelem a "tiltakozáshoz való jog". Ez az elképzelés azonban a legtöbb esetben kudarcra van ítélve:

1. Ez azt jelentené, hogy az EU-ban a felhasználókat először tájékoztatni kellene arról, hogy az adataikat ténylegesen mesterséges intelligencia képzésére használják, ami nagyrészt lehetetlen. Az olyan vállalatoknak, mint az OpenAI, fogalmuk sincs arról, hogy mely személyes adatok kihez tartoznak, nem is beszélve arról, hogy milyen elérhetőségekkel rendelkeznek. Az emberek tehát soha nem fogják megtudni, hogy személyes adataikat egyáltalán felhasználják.
   
2. Ha az emberek mégis rájönnének, akkor folyamatosan tiltakozniuk kellene az összes ilyen vállalatnál. Ez azt jelenti, hogy több száz adatkezelőt kell felkutatniuk, űrlapokat kell kitölteniük, és a feladatot meg kell ismételniük minden egyes AI-képzésben részt vevő személy esetében.
   
3. Végül pedig a tiltakozást és a vonatkozó adatokat "össze kellene egyeztetni", annak ellenére, hogy a felhasználók nem tudják, hogy egyáltalán felhasználják-e az adataikat - és ha igen, milyen adatokat használnak fel. Az adatkezelő viszont többnyire nem lesz képes kifogást emelni, ha az egész internetet átvizsgálják.

A lényeg: A Google, a Meta, a Microsoft vagy az OpenAI továbbra is trilliókat (!) kereshet az európai vállalatok, művészek vagy magánszemélyek által generált adatokkal, miközben az európai jogalkotó "szabad utat" ad nekik.

(4) Az AI rendszerek működtetése "GDPR joker kártyát" kap? A GDPR 6. cikk (1) bekezdésének és 9. cikk (2) bekezdésének módosításai a vártnál is tovább mennek. Nemcsak a mesterséges intelligenciával működő rendszerek fejlesztése, hanem egy mesterséges intelligenciával működő rendszer üzemeltetése is kiváltságos lenne. A "működés" fogalma nincs meghatározva, de valószínűleg az adatfeldolgozás bármely típusára kiterjed.

Ez groteszk helyzetet eredményezne: Ha a személyes adatok feldolgozása hagyományos adatbázis, Excel-tábla vagy szoftver segítségével történik, a vállalatnak jogalapot kell találnia a GDPR 6. cikkének (1) bekezdése alapján. Ha azonban ugyanezt a feldolgozást egy mesterséges intelligencia rendszeren keresztül végzik, az a GDPR 6. cikke (1) bekezdésének f) pontja alapján "jogos érdeknek" minősülhet. Ez egy (kockázatos) technológiát részesítene előnyben az adatfeldolgozás minden más formájával szemben, és ellentétes lenne a GDPR "technológia-semleges" megközelítésével.

(5) Az olyan érzékeny adatok, mint az egészségi, politikai vagy szexuális élet, csak akkor tartoznak a hatálya alá, ha "közvetlenül felfedik"? A GDPR 9. cikke kifejezetten védi az emberek egészségére, politikai meggyőződésére, szexuális életére, szexuális irányultságára vagy szakszervezeti tagságára vonatkozó "érzékeny" adatokat. Az EUB eddig úgy ítélte meg, hogy az ilyen adatok akkor is védettek, ha csak más információkból vezethetők le. A Bizottság most megpróbálja megdönteni a jogszabályt, és a 9. cikk szerinti védelmet csak akkor kívánja korlátozni, ha az ilyen érzékeny információk "közvetlenül feltárulnak".

Azoknak az embereknek azonban, akik "közvetlenül felfedik", hogy terhesek, rákosak vagy melegek, általában kevésbé van szükségük erre a védelemre, mint azoknak, akikről az ilyen érzékeny információk csak más információkból "levezethetők". Klasszikus példa erre a munkáltatók, akik a "big data" segítségével következtetnek arra, hogy egy nő terhes - hogy aztán gyorsan kirúgják az illetőt a szociális kifizetések és hasonlók elkerülése érdekében. Jelenleg ez a GDPR 9. cikke alá tartozna. A jövőben ez a GDPR 6. cikke szerinti védelemre korlátozódna - míg a terhességét nyilvánosan bejelentő személy a GDPR 9. cikke alá tartozna.

Az egyének szempontjából egy ilyen korlátozásnak nincs értelme, de úgy tűnik, hogy a Bizottságot elsősorban azok a vállalatok érdeklik, amelyek az ilyen adatokat mesterséges intelligencia képzésére kívánják felhasználni. A "terhes vagyok" szűrése egyszerűbb, mint annak az 1000 jelnek a szűrése, amelyek alapján a Meta vagy a Google kitalálja, hogy egy személy terhes.

Ez a változtatás sértené az Európa Tanács 108. számú egyezményének 6. cikkét, amely a GDPR jelenlegi megfogalmazását használja ("feltáró"), és amelyet 55 ország ratifikált.

(6) Személyes adatok lehívása a készülékről? Eddig az ePrivacy 5. cikkének (3) bekezdése védte a felhasználókat a "végberendezéseken", például számítógépeken vagy okostelefonokon tárolt adatokhoz való távoli hozzáféréssel szemben. Ez a Charta 7. cikke szerinti kommunikáció védelméhez való jogon alapul, és biztosította, hogy a vállalatok ne tudjanak "távolról kutatni" az eszközökben.

A Bizottság javaslata azonban most - a tervezet olvasatától függően - akár 10 (!) jogalapot is lehetővé tesz arra, hogy információkat vonjanak le egy személyes eszközről - vagy nyomkövető technológiát helyezzenek el az eszközön (például "cookie-kat"). A végberendezésekhez való hozzáférés négy "fehérlistás" feldolgozási művelete közé mostantól az "összesített statisztikák" és a "biztonsági célok" tartoznának. Bár a változások általános iránya érthető, a megfogalmazás rendkívül megengedő, és (aprócska) biztonsági célokból túlzott "kereséseket" is lehetővé tenne a felhasználói eszközökön.

Ezenkívül a GDPR 6. cikkének (1) bekezdése szerinti valamennyi jogalap rendelkezésre állna. Ez együttesen abszurd eredményekhez vezethet: Az AI-képzés "jogos érdek" lenne, és a vállalatok mostantól távolról hozzáférhetnek az Ön eszközén lévő személyes adatokhoz ilyen "jogos érdekből". Következésképpen a törvény lehetséges értelmezése szerint az olyan vállalatok, mint a Google, bármilyen Android-alkalmazásból származó adatokat felhasználhatnának a Gemini AI képzéséhez. Különösen a "Big Tech" vállalatok nagy valószínűséggel még ennél is tágabban értelmeznék a szövegtervezetet. Kérdéses, hogy a törvénytervezet szerzői gondoltak-e valaha is ezekre a kombinációkra.