Mégsem vizsgálják felül a GDPR-t a közeljövőben

Megosztás Tetszik

Az Európai Bizottság korábban jelezte, hogy a tapasztalatok tükrében felülvizsgálja a 2016/679. számú Általános Adatvédelmi Rendelet (GDPR) rendelkezéseit abból a szempontból, hogy szükséges-e az eltelt 6 év tapasztalatai alapján azok valamilyen irányú módosítása. Habár úgy tűnt, hogy ez a közeljövőben meg fog valósulni, az EU Bizottság 2028-ig mégsem fogja végrehajtani. A részleteket az alábbiakban mutatjuk be.

A GDPR szabályozását négyévente kell felülvizsgálni

A GDPR szabályai alapján annak alkalmazását négyévente felül kell vizsgálni, mely felülvizsgálat 2022-ben meg is történt. A vizsgálat megállapításait a Bizottság jelentése foglalta magában.

Sokan reménykedtek abban, hogy a szabályozás kissé jobban fog fókuszálni a gyakorlati problémákra, hiszen ezen problémákkal küszködik a GDPR-t jelenleg is alkalmazó Egyesült Királyság is (például a kiterjedt dokumentációs követelmények kisvállalkozások tekintetében történő lazítása).

Azt már korábban is tudni lehetett, hogy ha valóban módosítják a GDPR-t, a módosítás nem lesz átfogó, "ezt az ajtót ugyanis nem kívánják még egyszer kinyitni". Az ilyen jellegű, átfogó jogszabályok tagállamokkal és érdekcsoportokkal történő egyeztetése rendkívül időigényes, a kompromisszumos álláspont kialakítása pedig kétséges.

2023 áprilisában az EU Parlament szavazott arról, hogy a GDPR végrehajtási szabályait mindenképpen módosítani kell. Ehhez kapcsolódóan több, egyéb szereplő kezdeményezte, hogy a konkrét előírások is módosításra kerüljenek bizonyos területeken. Nem egységes például a felügyeleti hatóságok gyakorlata az adatkezelések jogalapjai tekintetében, különösen a klinikai vagy tudományos kísérletek vonatkozásában. Más területeken is eltér a gyakorlat, melynek következtében az egyes tagállamokban eltérő megfelelési követelményeknek kell eleget tenni.

Az EU Bizottság emiatt felkérte az Európai Adatvédelmi Testületet, hogy alkosson iránymutatásokat a problémás területeken, erre azonban ez idáig még nem került sor. Emellett az adatvédelmi hatóságok olyan sok panasszal küzdenek, hogy egyéb tevékenységre (például felvilágosító kampányok, iránymutatások) már egyszerűen nincsen erőforrásuk. Emellett a felügyeleti szerveknél nagy a munkaerőhiány.

Az érintetti jogokhoz kapcsolódó, illetve kkv-problémák

A GDPR 12–22. cikkei számos jogot biztosítanak az érintettek, azaz azon személyek számára, akiknek a személyes adatait az adatkezelők kezelik. Ilyen a tájékoztatáshoz, a hozzáféréshez, a személyes adatok helyesbítéséhez, bizonyos esetekben törléséhez, az adatkezelés korlátozásához, az adatkezeléssel szembeni tiltakozáshoz vagy a felügyeleti hatósághoz, illetve bírósághoz fordulás joga. Ezen szabályok értelmezése azonban problémákat vet fel.

Nem egyértelmű például, hogy mely esetekben kell a hozzáférési jog keretében másolatot kiadni és mikor nem. A gyermekek jogainak érvényesíthetősége is felvet gyakorlati problémákat. Egyrészt kérdéses, hogy mennyire képesek a szabályozás átlátására, illetve mennyire ellenőrizhetők a gyermekkorhoz kapcsolódó körülmények.

A fentiek mellett problémát jelent a kkv-k számára a GDPR szabályainak értelmezése. A szabályok ugyanis bonyolultak, hatósági iránymutatások pedig jellemzően nincsenek. A kkv-k számára pedig jellemzően kevéssé elérhető megfelelő szakemberek bevonása.

EU Bizottság: 2028-ig biztosan nem lesz felülvizsgálat

Az Európai Bizottság szóvivője azt nyilatkozta, hogy 2028-ig biztosan nem tervezik a GDPR szabályozásának felülvizsgálatát. 10 évre ugyanis szükség van ahhoz, hogy kellő mennyiségű tapasztalat gyűljön össze. Emellett azt is látni kell, hogy az EU mesterségesintelligencia-szabályozása hogyan fejlődik, milyen problémákat fog felvetni. Ezeket pedig egy későbbi időpontban úgy lehet felülvizsgálni, hogy valamennyi érdekcsoport megfelelően bevonható lesz.

A GDPR meglehetősen szigorú szabályai egyébként arra kényszerítették az EU jogalkotót, hogy a mesterséges intelligencia alkalmazásokhoz kapcsolódóan bizonyos GDPR-követelmények alól mentesítést adjon. Így került sor az úgynevezett regulators sandbox (szabályozói tesztkörnyezet) szabályainak beillesztésére az EU mesterségesintelligencia-rendeletébe.