Veszélyben a GDPR alapjai: Így bontaná le az Európai Bizottság „Digital Omnibus” javaslata az adatvédelmet

Közzétéve 2025. november 21. péntek | Szerző: Dr. Kulcsár Zoltán

Mi lesz Veled GDPR?

Az Európai Bizottság a napokban közzétette a „Digital Omnibus” nevű javaslatcsomagját, amely hivatalosan a digitális egységes piac szabályainak egyszerűsítését és a GDPR adminisztratív terheinek csökkentését célozza. Azonban a noyb (None of Your Business), Max Schrems vezette digitális jogvédő szervezet legfrissebb elemzése szerint a tervezet nem egyszerűsít, hanem alapjaiban rengeti meg az európai polgárok magánszférájának védelmét.

A javaslatcsomag, ha ebben a formában átmegy, drasztikusan megváltoztatja azt, amit ma digitális önrendelkezésnek hívunk. Elemzésünkben sorra vesszük a javaslat legkritikusabb pontjait, és konkrét példákon keresztül mutatjuk be, mit jelentene ez a gyakorlatban.

1. A „személyes adat” fogalmának trükkös szűkítése

A GDPR jelenlegi egyik sarokköve a „személyes adat” objektív definíciója: ha egy adat (akár közvetve, egy azonosító számon keresztül) összekapcsolható egy természetes személlyel, az személyes adatnak minősül.

A Digital Omnibus javaslat ezt egy szubjektív megközelítéssel váltaná fel. A tervezet szerint, ha egy vállalat azt állítja, hogy nem áll szándékában azonosítani az érintettet, akkor a kezelt adatokra nem (vagy csak korlátozottan) vonatkozna a GDPR.

Gyakorlati példa: A „Nem te vagy, csak egy szám” trükk

Képzeljük el, hogy böngészünk a neten, cipőket nézegetünk, híreket olvasunk. A hirdetési cégek profilozzák minden lépésünket. A jövőben, ha a cég azt mondja, hogy ők nem „Kovács Jánost” követik, hanem az „12345-ös felhasználót”, és jelenleg nincs szándékukban összekötni a nevet az ID-vel, akkor ez nem számítana személyes adatnak.

A következmény: A GDPR védelme megszűnik erre az adatra. Az adatbrókerek szabadabban adhatják-vehetik a profilunkat, mi pedig elveszítjük a kontrollt afölött, ki tudja rólunk, milyen betegségekre kerestünk rá.

2. Az AI „adatéhségének” kiszolgálása a múltunkkal

A javaslat egyik legvitatottabb eleme a mesterséges intelligencia fejlesztésének támogatása a személyes adatok védelmének kárára. A tervezet elhárítaná a jogi akadályokat az elől, hogy a technológiai óriások (Meta, Google stb.) felhasználják a birtokukban lévő hatalmas adatmennyiséget AI modellek tanítására. Akár 15 évnyi közösségi média előzményeit is betáplálhatnák az AI modellekbe. Mindezt úgy, hogy az adatkezelés alapértelmezetten engedélyezett lenne és a felhasználónak kellene tiltakoznia, ha ez ellen kifogása van (opt-out).

Gyakorlati példa: A „Digitális Zombi” fotók esete

Jelenleg, ha feltöltünk egy fotót a közösségi médiába, azt az ismerőseinknek szánjuk. A javaslat után a Meta vagy a Google foghatja az összes valaha feltöltött fotónkat, posztunkat (akár 15 évre visszamenőleg), és „betáplálhatja” őket az új AI modelljébe.

A következmény: Az AI megtanulja az arcunkat, a stílusunkat, a gondolatainkat. Mivel több száz cég fejleszthet AI-t, a gyakorlatban lehetetlen lenne mindegyiknél külön-külön tiltakozni (opt-outolni). Azt sem tudnánk, kinek a modelljében „él” tovább a digitális másunk.

3. A „süti-fáradtság” ellenszere: A megfigyelés legalizálása?

A Bizottság ígérete szerint a reform megszüntetné a zavaró cookie bannereket. A tervezet bevezetné a „fehérlistás” (whitelisted) adatkezeléseket, amelyekhez nem lenne szükség a felhasználó hozzájárulására. Ide tartoznának a „biztonsági” és „statisztikai” célok is.

Gyakorlati példa: A telefonunk „távoli átkutatása”

Eddig az ePrivacy szabályok szigorúan védték az eszközeinken (telefon, laptop) tárolt adatokat. Az új javaslat engedélyezné a hozzáférést az eszközhöz „biztonsági” okokra hivatkozva.

A következmény: Ez a gumifogalom lehetőséget adhat arra, hogy applikációk vagy weboldalak a háttérben mélyreható szkennelést végezzenek az eszközünkön anélkül, hogy ehhez valaha is az „Elfogadom” gombra nyomtunk volna. A követés láthatatlanná válna.

4. Az érintetti jogok korlátozása: Hozzáférés csak „célhoz kötötten”

Talán a legmegdöbbentőbb javaslat a hozzáférési jog (GDPR 15. cikk) korlátozása. Német lobbinyomásra a Bizottság bevezetné, hogy az érintettek csak akkor kérhetik ki a róluk tárolt adatokat, ha igazolják a „adatvédelmi célt”.

Gyakorlati példa: A „Ne kíváncsiskodj!” szabály

Tegyük fel, hogy valakit jogtalanul bocsátanak el, vagy a bank indoklás nélkül elutasítja a hitelét. Jelenleg az érintett kikérheti az adatait (munkaidő-nyilvántartás, hitelbírálati pontszám), hogy bizonyítékot szerezzen.

A következmény: A javaslat alapján a cég azt mondhatja: „Elutasítjuk a kérést. Ön ezt az infót munkaügyi vitára/hitelbírálatra akarja használni, nem pedig adatvédelmi célra.” Ezzel az egyén elveszít egy fontos fegyvert a nagyvállalatokkal szembeni vitákban.

Konklúzió

Az Európai Bizottság lépése szakértők szerint pánikreakció a globális technológiai versenyben és az amerikai nyomásra válaszul. Ahelyett, hogy a 2026-ra tervezett átfogó felülvizsgálatot várnák meg, egy gyorsított eljárásban, hatástanulmányok nélkül próbálnak átvinni olyan módosításokat, amelyek a GDPR alapelveit ássák alá.

A „Digital Omnibus” jelenlegi formájában nem az európai KKV-k adminisztrációját csökkenti, hanem a nagy technológiai vállalatoknak és az adatbrókereknek nyit új kapukat. Ahogy a noyb rámutat: ez a javaslat a Szilícium-völgy hírhedt „Move fast and break things” (Mozogj gyorsan és törj össze dolgokat) mottóját követi, kockáztatva az elmúlt évtizedben kivívott európai adatvédelmi szintet.

Forrás: noyb.eu, EU Commission Digital Omnibus Proposal

A bejegyzés kategóriája: Adatvédelmi rendelet
Kiemelt szavak: , , , , .
Közvetlen link.

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

* Copy This Password *

* Type Or Paste Password Here *

This site uses Akismet to reduce spam. Learn how your comment data is processed.