SG.hu
Az Európai Bizottság reformcsomagja újraszabná a GDPR határait
Az Európai Bizottság által kezdeményezett jogi egyszerűsítési csomag, a Digital Omnibus bejelentése heves vitát váltott ki szakmai és civil körökben, mivel többek között a közösségi adatvédelmi szabályok, köztük az Európai Unió alapvető személyes adatokat védő rendelete, a GDPR módosítását is tartalmazza.
A javaslatcsomag célja hivatalosan az, hogy megszüntesse az átfedéseket és leegyszerűsítse az elmúlt években elfogadott technológiai, környezetvédelmi és pénzügyi jellegű jogszabályokat; a kritikusok szerint azonban e mögött az a törekvés áll, hogy bizonyos területeken lazítsák a szabályozást, és ez elsősorban a nagy technológiai szereplők érdekeit szolgálhatja. Az EU verseny- és digitálispolitikáért felelős vezetői, köztük az unió versenypolitikáért felelős biztosa, Henna Virkkunen november 19-én mutatja majd be a kezdeményezést, amely a tervek szerint több jogszabály - például a GDPR, az e-Privacy irányelv, a mesterséges intelligenciáról szóló szabályozás és a Data Act - összhangját hivatott újragondolni.
A legsúlyosabb aggályokat azok a pontok váltották ki, amelyek lehetővé tennék a Google, a Meta, az OpenAI és más technológiai nagyvállalatok számára, hogy bizonyos személyes adatokat "legitim érdek” jogcímen dolgozzanak fel MI-modellek képzéséhez. Jelenlegi értelmezésben a GDPR megengedi egyes személyes adatok feldolgozását ezen indok alapján, de ez a jogcím szigorú arányossági és átláthatósági vizsgálathoz kötött. A Bizottság javaslata e jogkört kibővíthetné olyan módon, hogy a cégek könnyebben táplálhassák nagy nyelvi modelljeiket és egyéb mesterséges intelligencia rendszereiket európai adatanyagokkal.
További vitát keltett a tervezet azon eleme, amely szerint a „különleges kategóriát alkalmazó” adatok (a GDPR szerint érzékenynek minősülő adatok, például faji vagy etnikai hovatartozás, politikai nézetek, vallás, egészségügyi adatok stb.) feldolgozásának tilalmát részben feloldhatnák „az MI fejlesztésének és működésének aránytalan akadályozása” elkerülése érdekében, feltéve, hogy a kezelő képes azonosítani és eltávolítani az érzékeny részeket. Ezt a megfogalmazást a civil szervezetek "széles kiskapuként" értelmezik, amely gyakorlatilag megszüntetheti az érzékeny adatokra vonatkozó szigorú védelmet.
A módosítások bejelentése után a noyb (None of Your Business) osztrák adatvédelmi mozgalom éles reakciót fogalmazott meg: közleményükben a GDPR több cikkelyét érintő javaslatokat „ezer apró vágásként” jellemezték, amelyek együttes hatása a személyes adatok védelmének aláásása lehet. Max Schrems, a noyb ismert aktivistája arra figyelmeztetett, hogy a javaslatok gyakorlatilag „tíz év után jelentős visszalépést jelenthetnének” a GDPR által korábban megteremtett védelemhez képest.
A European Digital Rights (EDRi) hálózat szintén kritikusan nyilatkozott; szervezetük azt emelte ki, hogy a tervezet egyes elemeivel, például az e-Privacy irányelv (a sütikre és a végberendezés-szintű adatvédelemre vonatkozó szabályozás) GDPR-be való „egyesítésével” az uniós szabályozás odáig gyengülhet, hogy a készülékeken tárolt vagy generált adatkezelés immár szélesebb jogalapokra - például legitim érdek, biztonság, csalásellenőrzés vagy közönségmérés - támaszkodhatna, a jelenlegi, alapvetően erősebb felhasználói hozzájárulás-központú megközelítés helyett. Az EDRi szakértője, Itxaso Dominguez de Olazabal arra hívta fel a figyelmet, hogy ez lényegében megváltoztatná azt, hogy mi történik az ember telefonján, számítógépén és más csatlakoztatott eszközein.
A javaslat támogatóinak álláspontja az, hogy a jogi környezet rendezése és az átfedő, néha összeakadó előírások tisztázása csökkenti a bizonytalanságot az innováció és a beruházások előtt, valamint versenyképesebbé teheti az európai ökoszisztémát a nemzetközi piaci szereplőkkel szemben. A Bizottság kommunikációjában szereplő célok között a szabályok egyszerűsítése, a hatékonyság növelése és az üzleti adminisztrációs terhek csökkentése is szerepelnek, miközben a végrehajtás pontos részleteit az illetékes szakpolitikák és technikai követelmények hivatottak biztosítani. A sokszor említett amerikai kormányzati nyomás és a nemzetközi versenyképességi szempontok szerepe sem elhanyagolható. Atech-ipar vezetői és lobbiereje gyakran bírnak nyomással a szabályozási irányokra, különösen olyan ügyekben, amelyek közvetlenül érintik a mesterséges intelligencia képzési adatbázisának hozzáférését.
A vita központi kérdése az, hogy milyen mérsékelt, átlátható és jogbiztos garanciákat építsenek be, ha valóban lazítani akarnak bizonyos korlátokon annak érdekében, hogy az MI-fejlesztés ne legyen aránytalanul megnehezítve. A GDPR jelenleg erős alapelvekre épül - például jogalap-szűkösség, célhoz kötöttség, adatminimalizálás és az érintettek jogainak védelme -, és az európai bírósági gyakorlat is több esetben pontosította ezek alkalmazását. A civil szervezetek és adatvédelmi szakértők attól tartanak, hogy a Digital Omnibus olyan kivételeket vagy tág értelmezéseket vezetne be, amelyek ellentmondanak az Alapjogi Chartának, a GDPR szellemének és az Európai Unió Bírósága korábbi döntéseinek. A bírósági precedensek ugyanakkor több esetben is hangsúlyozták, hogy az alapjogok csak arányos és szükséges korlátozásokkal adhatók fel.
A gyakorlati következmények az érintettek számára egyértelműen kézzelfoghatóak lehetnek: ha a személyes adatok MI-képzés céljára szélesebb jogcímen hozzáférhetővé válnak, az érintettek kevesebb kontrollt gyakorolnának adataik felett, nehezebbé válna az adattörlés vagy korlátozás kérése, és a profilalkotás, automatizált döntéshozatal révén fokozódhatnak a diszkriminációs kockázatok. A politika- és jogalkotási vitákban a hozzájárulás alapú modell védelmezői azzal érvelnek, hogy az önkéntes, tájékozott beleegyezés továbbra is a legbiztosabb módja a személyes adatok védelmének, különösen érzékeny területeken, míg a vállalati és egyes szabályozói érvek a rugalmasságot és a skálázhatóságot hangsúlyozzák az MI-fejlesztés érdekében.
A javaslatok egy részének végrehajtása nem automatikus: a Digital Omnibust a Bizottság terjeszti elő, de az EU-s döntéshozatal további lépcsőket igényel. A javaslatokról a tagállamok képviselőiből álló Tanácsnak és az Európai Parlamentnek kell tárgyalnia, és végül közös álláspontot kialakítva jogszabályokká formálniuk azokat. Ez a folyamat több hónapot vehet igénybe, és a parlamenti, tagállami viták során számos pont változhat vagy el is bukhat. A civilek, adatvédelmi szervezetek és bizonyos nemzetállamok részéről komoly lobbitevékenységre és nyilvános kampányokra lehet számítani annak érdekében, hogy megőrizzék a GDPR-ban foglalt erős védelmi standardokat.
A technológiai közösség és a szabályozók részéről felmerülő megoldási javaslatok körébe tartoznak a pontos, célhoz kötött engedélyezési mechanizmusok, erősebb audit- és megfelelőségi követelmények, transzparencia-kötelezettségek az MI-képzési adatkészletekre vonatkozóan, a különleges kategóriájú adatokra vonatkozó kifejezett tiltó rendelkezések vagy szigorúbb anonimizálási, pszeudonimizálási és adatminimalizálási követelmények bevezetése. A technikai védelem oldalon említik a differenciális magánélet védelmi-technikákat, homomorfikus titkosítást (visszafejtés nélküli műveletvégzést) és olyan verifikációs eljárásokat, amelyek segítségével csökkenthető lenne az adathozzáférés valódi kockázata anélkül, hogy teljesen ellehetetlenítenék a fejlesztést.
A Digital Omnibus kérdése tehát egyben értékválasztás is lesz arról, hogy Európa milyen prioritásokat állít a gazdasági versenyképesség, az innováció és az állampolgárok adatvédelme közé. A következő hónapokban dől el, hogy a javaslatokból mely elemek maradnak meg, melyeket tompítanak, és melyek esnek el a további tárgyalások során. A Digital Omnibus végső formája határozza majd meg, hogy milyen mértékben marad az európai jogrendszer szigorú, vagy az EU utat enged-e a szélesebb ipari felhasználásnak kevésbé korlátozó feltételek között.
A javaslatcsomag célja hivatalosan az, hogy megszüntesse az átfedéseket és leegyszerűsítse az elmúlt években elfogadott technológiai, környezetvédelmi és pénzügyi jellegű jogszabályokat; a kritikusok szerint azonban e mögött az a törekvés áll, hogy bizonyos területeken lazítsák a szabályozást, és ez elsősorban a nagy technológiai szereplők érdekeit szolgálhatja. Az EU verseny- és digitálispolitikáért felelős vezetői, köztük az unió versenypolitikáért felelős biztosa, Henna Virkkunen november 19-én mutatja majd be a kezdeményezést, amely a tervek szerint több jogszabály - például a GDPR, az e-Privacy irányelv, a mesterséges intelligenciáról szóló szabályozás és a Data Act - összhangját hivatott újragondolni.
A legsúlyosabb aggályokat azok a pontok váltották ki, amelyek lehetővé tennék a Google, a Meta, az OpenAI és más technológiai nagyvállalatok számára, hogy bizonyos személyes adatokat "legitim érdek” jogcímen dolgozzanak fel MI-modellek képzéséhez. Jelenlegi értelmezésben a GDPR megengedi egyes személyes adatok feldolgozását ezen indok alapján, de ez a jogcím szigorú arányossági és átláthatósági vizsgálathoz kötött. A Bizottság javaslata e jogkört kibővíthetné olyan módon, hogy a cégek könnyebben táplálhassák nagy nyelvi modelljeiket és egyéb mesterséges intelligencia rendszereiket európai adatanyagokkal.
További vitát keltett a tervezet azon eleme, amely szerint a „különleges kategóriát alkalmazó” adatok (a GDPR szerint érzékenynek minősülő adatok, például faji vagy etnikai hovatartozás, politikai nézetek, vallás, egészségügyi adatok stb.) feldolgozásának tilalmát részben feloldhatnák „az MI fejlesztésének és működésének aránytalan akadályozása” elkerülése érdekében, feltéve, hogy a kezelő képes azonosítani és eltávolítani az érzékeny részeket. Ezt a megfogalmazást a civil szervezetek "széles kiskapuként" értelmezik, amely gyakorlatilag megszüntetheti az érzékeny adatokra vonatkozó szigorú védelmet.
A módosítások bejelentése után a noyb (None of Your Business) osztrák adatvédelmi mozgalom éles reakciót fogalmazott meg: közleményükben a GDPR több cikkelyét érintő javaslatokat „ezer apró vágásként” jellemezték, amelyek együttes hatása a személyes adatok védelmének aláásása lehet. Max Schrems, a noyb ismert aktivistája arra figyelmeztetett, hogy a javaslatok gyakorlatilag „tíz év után jelentős visszalépést jelenthetnének” a GDPR által korábban megteremtett védelemhez képest.
A European Digital Rights (EDRi) hálózat szintén kritikusan nyilatkozott; szervezetük azt emelte ki, hogy a tervezet egyes elemeivel, például az e-Privacy irányelv (a sütikre és a végberendezés-szintű adatvédelemre vonatkozó szabályozás) GDPR-be való „egyesítésével” az uniós szabályozás odáig gyengülhet, hogy a készülékeken tárolt vagy generált adatkezelés immár szélesebb jogalapokra - például legitim érdek, biztonság, csalásellenőrzés vagy közönségmérés - támaszkodhatna, a jelenlegi, alapvetően erősebb felhasználói hozzájárulás-központú megközelítés helyett. Az EDRi szakértője, Itxaso Dominguez de Olazabal arra hívta fel a figyelmet, hogy ez lényegében megváltoztatná azt, hogy mi történik az ember telefonján, számítógépén és más csatlakoztatott eszközein.
A javaslat támogatóinak álláspontja az, hogy a jogi környezet rendezése és az átfedő, néha összeakadó előírások tisztázása csökkenti a bizonytalanságot az innováció és a beruházások előtt, valamint versenyképesebbé teheti az európai ökoszisztémát a nemzetközi piaci szereplőkkel szemben. A Bizottság kommunikációjában szereplő célok között a szabályok egyszerűsítése, a hatékonyság növelése és az üzleti adminisztrációs terhek csökkentése is szerepelnek, miközben a végrehajtás pontos részleteit az illetékes szakpolitikák és technikai követelmények hivatottak biztosítani. A sokszor említett amerikai kormányzati nyomás és a nemzetközi versenyképességi szempontok szerepe sem elhanyagolható. Atech-ipar vezetői és lobbiereje gyakran bírnak nyomással a szabályozási irányokra, különösen olyan ügyekben, amelyek közvetlenül érintik a mesterséges intelligencia képzési adatbázisának hozzáférését.
A vita központi kérdése az, hogy milyen mérsékelt, átlátható és jogbiztos garanciákat építsenek be, ha valóban lazítani akarnak bizonyos korlátokon annak érdekében, hogy az MI-fejlesztés ne legyen aránytalanul megnehezítve. A GDPR jelenleg erős alapelvekre épül - például jogalap-szűkösség, célhoz kötöttség, adatminimalizálás és az érintettek jogainak védelme -, és az európai bírósági gyakorlat is több esetben pontosította ezek alkalmazását. A civil szervezetek és adatvédelmi szakértők attól tartanak, hogy a Digital Omnibus olyan kivételeket vagy tág értelmezéseket vezetne be, amelyek ellentmondanak az Alapjogi Chartának, a GDPR szellemének és az Európai Unió Bírósága korábbi döntéseinek. A bírósági precedensek ugyanakkor több esetben is hangsúlyozták, hogy az alapjogok csak arányos és szükséges korlátozásokkal adhatók fel.
A gyakorlati következmények az érintettek számára egyértelműen kézzelfoghatóak lehetnek: ha a személyes adatok MI-képzés céljára szélesebb jogcímen hozzáférhetővé válnak, az érintettek kevesebb kontrollt gyakorolnának adataik felett, nehezebbé válna az adattörlés vagy korlátozás kérése, és a profilalkotás, automatizált döntéshozatal révén fokozódhatnak a diszkriminációs kockázatok. A politika- és jogalkotási vitákban a hozzájárulás alapú modell védelmezői azzal érvelnek, hogy az önkéntes, tájékozott beleegyezés továbbra is a legbiztosabb módja a személyes adatok védelmének, különösen érzékeny területeken, míg a vállalati és egyes szabályozói érvek a rugalmasságot és a skálázhatóságot hangsúlyozzák az MI-fejlesztés érdekében.
A javaslatok egy részének végrehajtása nem automatikus: a Digital Omnibust a Bizottság terjeszti elő, de az EU-s döntéshozatal további lépcsőket igényel. A javaslatokról a tagállamok képviselőiből álló Tanácsnak és az Európai Parlamentnek kell tárgyalnia, és végül közös álláspontot kialakítva jogszabályokká formálniuk azokat. Ez a folyamat több hónapot vehet igénybe, és a parlamenti, tagállami viták során számos pont változhat vagy el is bukhat. A civilek, adatvédelmi szervezetek és bizonyos nemzetállamok részéről komoly lobbitevékenységre és nyilvános kampányokra lehet számítani annak érdekében, hogy megőrizzék a GDPR-ban foglalt erős védelmi standardokat.
A technológiai közösség és a szabályozók részéről felmerülő megoldási javaslatok körébe tartoznak a pontos, célhoz kötött engedélyezési mechanizmusok, erősebb audit- és megfelelőségi követelmények, transzparencia-kötelezettségek az MI-képzési adatkészletekre vonatkozóan, a különleges kategóriájú adatokra vonatkozó kifejezett tiltó rendelkezések vagy szigorúbb anonimizálási, pszeudonimizálási és adatminimalizálási követelmények bevezetése. A technikai védelem oldalon említik a differenciális magánélet védelmi-technikákat, homomorfikus titkosítást (visszafejtés nélküli műveletvégzést) és olyan verifikációs eljárásokat, amelyek segítségével csökkenthető lenne az adathozzáférés valódi kockázata anélkül, hogy teljesen ellehetetlenítenék a fejlesztést.
A Digital Omnibus kérdése tehát egyben értékválasztás is lesz arról, hogy Európa milyen prioritásokat állít a gazdasági versenyképesség, az innováció és az állampolgárok adatvédelme közé. A következő hónapokban dől el, hogy a javaslatokból mely elemek maradnak meg, melyeket tompítanak, és melyek esnek el a további tárgyalások során. A Digital Omnibus végső formája határozza majd meg, hogy milyen mértékben marad az európai jogrendszer szigorú, vagy az EU utat enged-e a szélesebb ipari felhasználásnak kevésbé korlátozó feltételek között.