EDPB (som samlar alla oberoende dataskyddsmyndigheter) och Europeiska datatillsynsmannen (EDPS) publicerade ett gemensamt yttrande där de uttryckte allvarlig oro över viktiga delar av de föreslagna ändringarna av GDPR och ePrivacy i den så kallade "Digitala omnibus" som föreslagits av Europeiska kommissionen. I synnerhet har authorities starkt motsätta sig den föreslagna inskränkningen av definitionen av personuppgifter. I yttrandet ifrågasätts också ifrågasätts också behovet av flera viktiga förslag, t.ex. den rättsliga grunden för AI-utbildning och begränsningar av rätten till tillgång. Många andra bestämmelser anses inte vara tillräckligt tydliga. Myndigheterna' feedback är ytterligare ett hårt slag mot kommissionenskommissionens försök att begränsa användarnas rättigheter.
Mycket viktig input om den digitala omnibussen. Med den digitala omnibussen har Europeiska kommissionen föreslagit omfattande ändringar av den allmänna dataskyddsförordningen och direktivet om integritet och elektronisk kommunikation förklädda till en "förenklingsåtgärd". Detta kan bland annat innebära en begränsning av definitionen av personuppgifter (artikel 4.1 i GDPR) och av rätten till tillgång (artikel 12.5 i GDPR) samt ett frikort för att behandla användardata för AI-träning. Sådana förändringar hjälper inte vanliga EU-företag med det ganska meningslösa pappersarbetet, utan är främst till nytta för amerikanska stora teknikföretag. Organisationer i det civila samhället har redan slagit larm, men nu har den mycket inflytelserika och oberoende Europeiska dataskyddsstyrelsen (EDPB) och Europeiska datatillsynsmannen (EDPS) satt förslaget under ny granskning: i ett gemensamt yttrande uttrycker myndigheterna allvarlig oro över några av de viktigaste förslagen.
Max Schrems: De oberoende myndigheterna har kallat viktiga förändringar för vad de är: varken "tekniska förändringar" eller "förenklingar", utan begränsningar av rätten till dataskydd för EU-medborgare."
Ändring av definitionen av personuppgifter: avvisas. Framför allt bekräftar Europeiska datatillsynsmannen och Europeiska dataskyddsstyrelsen de berörda parternas oro över förslaget att begränsa definitionen av personuppgifter enligt artikel 4.1 i dataskyddsförordningen. Enligt yttrandet skulle detta "gå långt utöver en riktad ändring av dataskyddsförordningen, en 'teknisk ändring' eller enbart en kodifiering av EU-domstolens rättspraxis"
På samma sätt avvisar myndigheterna kommissionens förslag om att utöka sina egna befogenheter så att den kan besluta om vad som ska betraktas som pseudonymiserade personuppgifter. I kombination med den nya definitionen av personuppgifter skulle detta kunna öppna smidiga vägar för företag att undkomma tillämpningen av GDPR.
AI-träning baserad på ett berättigat intresse? Även om yttrandetinte strikt motsätter sig kommissionens förslag om AI-utbildning som grundar sig på ett berättigat intresse, framhåller Europeiska datatillsynsmannen och Europeiska datatillsynsmannen att den nyligen införda artikel 88c i själva verket inte klargör frågan. Företagen skulle fortfarande behöva genomföra ett trestegstest för att bedöma om användningen av ett berättigat intresse som rättslig grund är laglig. Många andra viktiga frågor som rör användningen av personuppgifter i AI-utbildning kommer inte att lösas genom förslaget.
Begränsning av rätten till tillgång. I sin nuvarande formskulle kommissionensförslag till artikel 12.5 i GDPR begränsa möjligheten för registrerade att använda sin rätt till tillgång för att få tillgång till sina egna uppgifter, genom att införa ett krav på att denna rätt måste användas för "dataskyddsändamål". Detta skulle sannolikt utesluta journalistiska, forskningsmässiga, politiska, ekonomiska, rättsliga eller många andra syften för att få tillgång till sina egna personuppgifter. Myndigheterna klargör att ett sådant avslag skulle strida mot EU-domstolens befintliga rättspraxis, även om det är möjligt att förtydliga de befintliga begränsningarna för "missbruk" av åtkomsträttigheter.
Bekräftelse av tidigare kritik. I många andra artiklar intar Europeiska datatillsynsmannen och Europeiska datatillsynsmannen ståndpunkten att kommissionens mål är förståeliga, men att det sätt på vilket förslagen är utformade inte når den nivå av tydlighet och djup som skulle vara användbar i praktiken.
De viktigaste slutsatserna i myndigheternas bedömning överensstämmer med slutsatserna i noybs detaljerade analys av EU-kommissionens förslag. Å andra sidan verkar vissa av de föreslagna ändringarna anses vara godtagbara av myndigheterna, trots att många av ändringarna i stället för att effektivisera tillämpningen och minska regelbördan för europeiska små och medelstora företag faktiskt skulle öka komplexiteten. Detta skulle enbart gynna amerikanska stora teknikföretag och advokatbyråer som är specialiserade på att hitta kryphål som deras kunder kan utnyttja.
Nästa fråga Rådets och EP:s ståndpunkt: Europaparlamentet och rådet kommer förhoppningsvis att ta hänsyn till detta gemensamma yttrande från Europeiska datatillsynsmannen och Europeiska datatillsynsmannen, men gå längre genom att stryka vissa av de ändringar som inte kan åtgärdas på ett meningsfullt sätt och genomgripande förbättra andra delar.
