1. Nyitólap
  2. Szakértői blog
  3. Digital Omnibus: A GDPR 2.0 vagy az adatvédelem „visszavadulása”?

Digital Omnibus: A GDPR 2.0 vagy az adatvédelem „visszavadulása”?

14 Dec
14Dec

Megjelent az Európai Bizottság mesterséges intelligenciára, kiberbiztonságra és adatokra vonatkozó Uniós szabályok - köztük a GDPR, Data Act - egyszerűsítését célzó „digital omnibus” csomag tervezete. 

Ha a GDPR 2018-as élesedését a meteor becsapódásához hasonlítottuk, akkor a Bizottság mostani „Digital Omnibus” javaslata a kráter elsimítása – vagy éppen a dinoszauruszok részleges feltámasztása. A javaslatcsomag célja elvileg az egyszerűsítés és a technológiai fejlődés (főleg az AI) támogatása, de a gyakorlatban ez a GDPR alapvető dogmáinak átírását jelentheti. 

Nézzük a gyakorlatias elemzést: mi változik, és ez mit okoz(hat) az üzleti folyamatainkban? 

1. A „személyes adat” fogalmának relativizálása 

A legfontosabb dogmatikai váltás. A javaslat a szubjektív megközelítést emelné törvényerőre: egy adat csak akkor válik „személyes” adattá egy adott entitásnál, ha az észszerűen valószínűsíthető eszközökkel képes azonosítani az érintettet. 

  • Gyakorlati hatás: Ez a fejlesztőknek és a B2B adatátvevőknek (pl. pszeudonimizált adatokat kapó elemző cégek) jogi és gazdasági „kánaán” lehet. Ha a pszeudonimizált adotok visszafejtéséhez szükséges kulcssal nem rendelkeznek, azzal a jelenlegi módosító szövegezés szó szerinti értelmezésével kikerülhetnek a GDPR hatálya alól.
  • Kockázat: A digitális „tyúk-tojás” probléma. Ha a potenciális adatkezelő azt állítja, hogy „nálam, már pedig ez nem személyes adat”, az érintetten vagy a Hatóságon áll, hogy bizonyítsa ennek ellenkezőjét anélkül, hogy érdemben látná át a cég adatkezelési rendszerét.

 2. „Tudományos kutatás”, mint jolly joker 

A tervezet a célhoz kötöttség kivétele kapcsán megismert tudományos kutatás fogalmát terjesztené ki a „technológiai fejlesztésre és demonstrációra”, akár kereskedelmi céllal is. 

  • Gyakorlati hatás: Ez lehet a joker kártya a Big Data és AI cégeknek, ugyanígy ha egy bank vagy egy marketingcég állítása szerint „innovációs céllal” elemez adatokat, az Omnibus alapján hivatkozhat a kutatási kivételre, mint másodlagos, illetve további felhasználási célra.
  • Következmény: A célhoz kötöttség elve fellazul. A másodlagos (kutatási) felhasználásnál a tájékoztatási kötelezettség is könnyen „aránytalan teherré” minősülhet, így az adatkezelés az érintett arról való tudomása nélkül „fű alatt” folytatódhat.

 3. AI és a különleges adatok (GDPR 9. cikk) 

A javaslat új jogalapot teremtene: a különleges adatok (pl. egészségügyi adatok) kezelése és felhasználása is lehetséges lenne AI rendszerek fejlesztésére, tanítására és működtetésére, igaz csak megfelelő garanciák mellett. 

  • Gyakorlati hatás: A fejlesztés (training) és az éles üzem (operation) összemosása. Az AI fejlesztőknek nem kell a jelenelg elvárt hozzájárulás jelentette kontrollal bajlódniuk, elég a „megfelelő garancia” (pl. adattörlés, ha lehetséges) vállalásának biztosítása az adatok felhasználáshoz.
  • Kritika: A „necessity” (szükségesség) tesztet felváltja egy lazább megközelítés, ami szakítva a GDPR szellemiségével a technológiai fejlődést helyezi előtérbe az érintetti jogokkal szemben.

 4. A hozzáférési jog (GDPR 15. cikk) „megrendszabályozása” 

Az Omnibus az adatkezelőknek kedvezve kimondja, hogy a hozzáférésre irányuló érintetti jog nem gyakorolható visszaélésszerűen, vagyis „nem adatvédelmi célból”. 

  • Gyakorlati hatás: Ha egy volt munkavállaló pereskedéshez gyűjt bizonyítékot a 15. cikk alapján, az adatkezelő megtagadhatja a válaszadást, ezzel az érintetti jog teljesítését, ha „észszerű oka van feltételezni” a visszaélés szerű joggyakorlást.
  • Változás: A bizonyítási teher lazul az adatkezelő oldalán. Ez csökkentheti a válaszadáshoz fűződő adminisztrációs terheket, de növelheti a hatósági panaszok számát és gyengítheti az érintetti jog tartalmát.

 5. Incidensbejelentés: Csak a „nagyvadakra” lövünk 

A Hatóság felé való bejelentési kötelezettség szűk időablakát, a 72 órás határidőt 96 órára tervezik módosítani, és a bejelentési küszöböt a „kockázatról” az eddig az érintettek tájékoztatásánál használt  „magas kockázatra” emelnék. 

  • Gyakorlati hatás: Kevesebb adminisztráció a NAIH felé, de ha bejelentünk egy incidenst a Hatóságnak, azzal a „magas kockázat” miatt, automatikusan kötelezővé válik az érintettek tájékoztatása is. Ez paradox módon a bejelentési hajlandóság csökkenéséhez – és az incidensek tényleges súlyának elbagatellizáláshoz - vezethet.

 6. Cookie-k és a „one-click” szabály Szétválasztanák a személyes és nem személyes adatok kezelését - és az ezzel kapcsolatos adatvédelmi kötelezettségeket - az eszközökön. 

  • Gyakorlati hatás: A „süti bannerek” egyszerűsödhetnek (pl. kötelező „Összes elutasítása” gomb), de a jogi háttér bonyolódik: a személyes adatokra a GDPR (új 88a. cikk a GDPR-ban), a technikai adatokra az ePrivacy vonatkozna.

Összegzés: A Digital Omnibus nem csupán finomhangolás. Az inga – amelyet a GDPR 2018-ban erősen a magánszféra védelme felé lökött – most visszaindul a piaci hatékonyság és a technológiai versenyképesség irányába. 

A kérdés számomra az, hogy a GDPR által elvárt privacy by design/default elvek mára lassan kikristályosodó eredményeinek bemutatottak szerint tervezett módosítása vajon az „in digital we trust” elvét erősíti vagy e törékeny bizalom végleges eróziójához vezet majd? 


Kérdése esetén, örömmel mutatom az egyszerű utat az adatvédelem útvesztőjében. Keressen bizalommal!

14Dec
Válogatás a NAIH DPO konferenciájáról (2025)
14Dec
A termék vagy vagy a tulajdonos?
14Dec
Inteligo Media vs. NAIH – Európai nyitás, magyar patthelyzet
Megjegyzések
* Az email nem lesz publikálva a weboldalon.