De EDPB (waarin alle onafhankelijke gegevensbeschermingsautoriteiten zijn verenigd) en de Europese Toezichthouder voor gegevensbescherming (EDPS) hebben een gezamenlijk advies gepubliceerd waarin zij hun ernstige bezorgdheid uitspreken over belangrijke elementen van de voorgestelde wijzigingen in de GDPR en ePrivacy in de zgn "Digitale Omnibus"voorgesteld door de Europese Commissie. Deuthoriteiten sterk tegen de voorgestelde beperking van de definitie van persoonsgegevens. In het advies vraagtekens bij de noodzaak van verschillende belangrijke voorstellen, zoals de rechtsgrondslag voor AI-opleiding en beperkingen van het recht op toegang. Veel andere bepalingen worden als niet duidelijk genoeg beschouwd. De autoriteiten' feedback is nog een grote klap voor de poging van de Commissiepoging van de Commissie om de rechten van gebruikers te beperken.
Zeer belangrijke input over de Digitale Omnibus. Met de Digitale Omnibus heeft de Europese Commissie ingrijpende wijzigingen voorgesteld in de GDPR en de ePrivacy-richtlijn, vermomd als een "vereenvoudigingsmaatregel". Dit zou onder andere kunnen betekenen dat de definitie van persoonsgegevens (artikel 4(1) GDPR) en het recht op toegang (artikel 12(5) GDPR) worden ingeperkt, en dat er een vrijbrief komt om gebruikersgegevens te verwerken voor AI-training. Dergelijke veranderingen helpen niet bij de nogal nutteloze papierwerkverplichtingen van normale EU-bedrijven, maar zijn vooral nuttig voor Amerikaanse grote techbedrijven. Maatschappelijke organisaties hebben al alarm geslagen, maar nu hebben de zeer invloedrijke en onafhankelijke European Data Protection Board (EDPB) en European Data Protection Supervisor (EDPS) het voorstel opnieuw onder de loep genomen: in een gezamenlijk advies uiten de autoriteiten ernstige zorgen over enkele van de belangrijkste voorstellen.
Max Schrems: De onafhankelijke autoriteiten hebben belangrijke veranderingen genoemd voor wat ze zijn: geen 'technische veranderingen' of 'vereenvoudiging', maar beperkingen van het recht op gegevensbescherming voor inwoners van de EU."
Wijziging van de definitie van persoonsgegevens: afgewezen. De EDPB en de EDPS bevestigen met name de bezorgdheid van belanghebbenden over het voorstel om de definitie van persoonsgegevens in artikel 4, lid 1, van de GDPR te versmallen. Volgens het advies zou dit "veel verder gaan dan een gerichte wijziging van de GDPR, een 'technische wijziging' of een loutere codificatie van de jurisprudentie van het HvJEU"
Evenzo verwerpen de autoriteiten het voorstel van de Commissie om haar eigen bevoegdheden uit te breiden, zodat zij kan beslissen wat als gepseudonimiseerde persoonsgegevens wordt aangemerkt. In combinatie met de nieuwe definitie van persoonsgegevens zou dit bedrijven handige manieren kunnen bieden om aan de toepassing van de GDPR te ontsnappen.
AI-training op basis van een gerechtvaardigd belang? Hoewel het advieszich niet strikt verzet tegen het voorstel van de Commissie met betrekking tot AI-training op basis van een gerechtvaardigd belang, benadrukken de EDPB en de EDPS dat het nieuw geïntroduceerde artikel 88 quater de kwestie in werkelijkheid niet verduidelijkt. Bedrijven zouden nog steeds een driestappentoets moeten uitvoeren om te beoordelen of het gebruik van een rechtmatig belang als rechtsgrondslag rechtmatig is. Veel andere belangrijke kwesties rond het gebruik van persoonsgegevens in AI-opleidingen zouden niet worden opgelost door het voorstel.
Beperking van het recht op toegang. In zijn huidige vormzou het voorstel van de Commissievoor artikel 12, lid 5 GDPR de mogelijkheid voor betrokkenen beperken om hun recht op toegang te gebruiken om toegang te krijgen tot hun eigen gegevens, door op te leggen dat dit recht moet worden gebruikt voor "gegevensbeschermingsdoeleinden". Dit zou waarschijnlijk journalistieke, onderzoeks-, politieke, economische, juridische of vele andere doeleinden uitsluiten om toegang te krijgen tot de eigen persoonsgegevens. De autoriteiten maken duidelijk dat een dergelijke afwijzing in strijd zou zijn met bestaande jurisprudentie van het HvJEU, zelfs als verduidelijking van de bestaande beperkingen voor "misbruik" van toegangsrechten mogelijk is.
Bevestiging van eerdere kritiek. Met betrekking tot veel andere artikelen stellen de EDPB en de EDPS zich op het standpunt dat de doelstellingen van de Commissie begrijpelijk zijn, maar dat de manier waarop de voorstellen zijn geformuleerd niet het niveau van duidelijkheid en diepgang bereikt dat in de praktijk nuttig zou zijn.
De kernbevindingen van de beoordeling van de autoriteiten komen overeen met die van de gedetailleerde analyse van het voorstel van de Europese Commissie door noyb. Aan de andere kant lijken sommige van de voorgestelde wijzigingen door de autoriteiten aanvaardbaar te worden geacht, ondanks het feit dat in plaats van de handhaving te stroomlijnen en de regeldruk voor Europese kmo's te verminderen, veel van de wijzigingen de complexiteit juist zouden vergroten. Dit zou alleen in het voordeel zijn van Amerikaanse grote technologiebedrijven en advocatenkantoren die gespecialiseerd zijn in het vinden van mazen in de wet waar hun klanten misbruik van kunnen maken.
Volgende: Standpunt Raad en EP: Het Europees Parlement en de Raad zullen hopelijk rekening houden met dit gezamenlijke advies van de EDPB en de EDPS, maar verder gaan door een aantal wijzigingen te schrappen die niet zinvol kunnen worden opgelost en andere elementen ingrijpend te verbeteren.
