Az Európai Bizottság egy úgynevezett „Omnibus” reform keretében tervezi több uniós jogszabály egyszerűsítését, köztük a GDPR (Általános Adatvédelmi Rendelet) jelentős módosítását. Ez a gyorsított eljárás azonban komoly aggályokat vet fel, mivel a tervezet nem csupán apró technikai finomításokat tartalmaz, hanem alapvetően átalakítaná az adatvédelmi szabályozást, veszélyeztetve az európai polgárok jogait és az adatvédelem színvonalát.
Mi az „Omnibus” reform és miért gyorsított eljárásban zajlik?
Az Omnibus egy olyan jogalkotási eszköz, amely több kisebb módosítást hajt végre különböző jogszabályokban, célja a jogszabályok minőségének javítása és az adminisztratív terhek csökkentése. Ám míg a hagyományos jogalkotási folyamat során részletes hatásvizsgálatok és széleskörű egyeztetések zajlanak, addig az Omnibus esetében ezek a lépések jelentősen lerövidülnek vagy ki is maradnak.
Ez elfogadható lehet egyszerűbb, nem vitatott módosítások esetén, azonban a GDPR esetében ez a megközelítés rendkívül kockázatosnak bizonyul.
A GDPR radikális átalakítása – valós vagy ál-simplifikáció?
Henna Virkkunen alelnök irányítása alatt működő DG CONNECT szolgálatai egy átfogó GDPR-reformon dolgoznak, amelyet „egyszerűsítésként” vagy „tisztázásként” kommunikálnak. Max Schrems adatvédelmi aktivista szerint azonban a tervezet nemcsak szélsőséges, hanem rosszul megfogalmazott is, és nem a kisvállalkozások érdekeit szolgálja, hanem elsősorban a nagy technológiai cégeknek kedvez.
Eredetileg 2026-ra tervezték egy alapos „Digitális Fitness Check” elvégzését, majd ennek eredményei alapján célzottan frissíteni a GDPR-t. Ehelyett most egy gyorsított eljárással próbálják átvinni a jelentős változtatásokat.
Német és amerikai nyomás – ki irányítja valójában a reformot?
A tagállamok és érintettek többsége kifejezetten kérte, hogy ne nyissák újra a GDPR-t. Ennek ellenére Németország jelentős változtatásokat sürgetett, amelyek túlmutatnak az eredeti rendelet mandátumán. A kiszivárgott német nem-hivatalos dokumentum alapján úgy tűnik, hogy az Európai Bizottság ezt vette alapul, anélkül hogy megfelelő bizonyítékokat szolgáltattak volna.
Egyes források szerint az Egyesült Államokból érkező üzleti nyomás is szerepet játszhat abban, hogy az EU „üzletbarátabbá” kíván válni. Max Schrems rámutat: Németország hagyományosan kritikus állásponton van a GDPR-rel kapcsolatban, és könnyebb hibáztatni az uniós szabályozást, mint saját digitális problémáit orvosolni.
A tervezet súlyos jogi aggályai
A belső tervezet több ponton sérti az európai alapjogokat, így az Emberi Jogok Európai Egyezményét, az Alapjogi Chartát és az Európai Bíróság korábbi ítélkezési gyakorlatát. Az elkészítés gyorsasága miatt egyes egységeknek mindössze öt munkanapjuk volt arra, hogy véleményezzék a több mint 180 oldalas dokumentumot.
Max Schrems kritikusan fogalmaz: „Az EU Bizottságának egy része úgy tűnik, hogy figyelmen kívül hagyja a jó jogalkotási gyakorlat szabályait, ami rendkívül aggasztó.”
Túlságosan fókuszálva az AI-fejlesztésre
Bár vannak jó ötletek is a GDPR egyszerűsítésére, a javaslat túlságosan koncentrál arra, hogy megkönnyítse mesterséges intelligencia (AI) fejlesztését és használatát személyes adatokkal. Egy német kutatás szerint mindössze 7% szeretné engedélyezni személyes adatai AI-képzésben való felhasználását.
A tervezet minden olyan GDPR-elemet érintene, amely korlátozhatná az AI használatát – ez azonban súlyos következményekkel járhat más adatvédelmi területeken is (pl. egészségügyi adatok védelme).
„Ezer apró vágás” – hogyan gyengítené meg a GDPR-t?
- Személyes adat fogalmának szűkítése: A javaslat szerint ha egy cég nem tudja közvetlenül beazonosítani az érintettet, akkor nem alkalmazandó rá a GDPR. Ez gyakorlatilag lehetetlenné tenné az adatvédelem érvényesítését online hirdetések vagy követési technológiák esetén.
- Hozzáférési jog korlátozása: Az adatokhoz való hozzáférést csak „adatvédelmi célokra” lehetne gyakorolni – például munkavállalók vagy újságírók számára ez komoly akadályt jelentene.
- AI-képzés engedélyezése személyes adatokkal: Google, Meta vagy OpenAI számára általános engedélyt adnának személyes adatok feldolgozására AI-képzés céljából – miközben más adatkezelések szigorúan szabályozottak maradnának.
- Szenzitív adatok védelmének gyengítése: Csak akkor lenne védett egy érzékeny adat (pl. egészségügyi vagy politikai nézet), ha azt közvetlenül felfedik – így például nagy adatelemzésekből származó következtetések már nem kapnának ugyanolyan védelmet.
- Távoli hozzáférés személyes eszközökhöz: A javaslat lehetővé tenné akár távoli hozzáférést okostelefonokhoz vagy számítógépekhez biztonsági vagy statisztikai célból – ami komoly adatvédelmi aggályokat vet fel.
Kis- és középvállalkozások helyzete – valódi előnyök nélkül
Bár hivatalosan az adminisztratív terhek csökkentése miatt indult el ez a reformfolyamat, valójában főként nagy technológiai cégek érdekeit szolgálja. Az apróbb könnyítések (például mikor kell adatvédelmi hatásvizsgálatot végezni) nem hoznak jelentős versenyképességi előnyt az európai vállalkozásoknak.
Max Schrems szerint ha ez a tervezet végleges lesz, akkor minden szó a kisvállalkozásokról csak megtévesztés: valójában egy nagyszabású deregulációról van szó, amely 40 év európai alapjogi doktrínáját sodorná veszélybe.
Sürgős leállításra és átgondolt jogalkotásra van szükség
A jelenlegi javaslat számos problémával küzd és nagy jogi bizonytalanságot okozna. Ez nemcsak felhasználók számára káros lenne, hanem hosszú távon még az uniós vállalkozásoknak sem segítene. Az Európai Parlament első reakciói is azt mutatják, hogy ilyen mértékű változtatások akadályozhatják az Omnibus gyors elfogadását.
A Bizottságnak még van ideje átgondolni és eltávolítani a GDPR-ra vonatkozó legveszélyesebb módosításokat a végleges javaslatból.
Részletes áttekintés néhány kulcsfontosságú változásról
1. Új kiskapu: személyes adatok szűkített értelmezése pseudonim vagy ID-alapú adatok esetén
A tervezet jelentősen szűkítené azt, hogy mi számít személyes adatnak. Ha egy adott cég nem tudja beazonosítani közvetlenül az érintettet (például csak pseudonim adatokat kezel), akkor ezekre nem vonatkozna a GDPR. Ez gyakorlatilag kivezetné az online követést és reklámipart a rendelet hatálya alól.
2. Hozzáférési jog korlátozása kizárólag „adatvédelmi célokra”
Nagy változás lenne például munkavállalók vagy újságírók számára: ha valaki munkaügyi vitában szeretné hozzáférni saját adataihoz vagy kutatás céljából kérne információt, ezt visszautasíthatnák „visszaélésszerűnek” minősítve kérelmét.
3. AI-képzés engedélyezése személyes adatokkal
A javaslat módosítaná a GDPR azon cikkelyeit (6(1) és 9(2)), amelyek lehetővé tennék személyes adatok feldolgozását mesterséges intelligencia fejlesztésére anélkül, hogy ehhez külön engedélyt kellene kérniük – miközben más adatkezelések továbbra is szigorúan szabályozottak maradnának.
4. AI rendszerek működtetésének különleges kivétele
A módosítások szerint nemcsak fejlesztésükre kapnának kivételt az AI rendszerek, hanem működtetésükre is – ami technológiailag diszkriminatív helyzetet teremtene más adatfeldolgozó megoldásokkal szemben.
5. Szenzitív adatok védelmének korlátozása
A jelenlegi szabályozás szerint érzékeny adatnak számítanak azok is, amelyekből következtetni lehet ilyen információkra (pl. várandósság). A tervezet ezt szűkítené csak közvetlenül felfedett adatokra – ezzel csökkentve sok ember védelmét például munkahelyi diszkrimináció esetén.
6. Távoli hozzáférés személyes eszközökhöz
A javaslat lehetővé tenné akár távoli hozzáférést okostelefonokhoz vagy számítógépekhez biztonsági vagy statisztikai célból – ami komoly aggályokat vet fel az adatvédelemben és kommunikációs szabadságban.
Záró gondolatok
A jelenlegi Omnibus-tervezet gyorsított eljárása alatt készülő GDPR-módosítások súlyosan veszélyeztetik az európai polgárok alapvető adatvédelmi jogait és hosszú távon aláássák az uniós digitális piac versenyképességét is. Fontos lenne megállítani ezt a folyamatot és átgondoltabb jogalkotási keretek között újragondolni mindazt, amit ma GDPR-ként ismerünk.
Forrás: https://noyb.eu/en/eu-commission-about-wreck-core-principles-gdpr
