A Digital Omnibus javaslat

Mi az a Digital Omnibus javaslat?

Ez a több mint 150 oldalas jogszabálytervezet egy átfogó erőfeszítés az Európai Unió digitális jogszabályi keretének egyszerűsítésére és korszerűsítésére, elsősorban az adminisztratív terhek csökkentése és a versenyképesség fokozása érdekében.

A fő célok között szerepel a Digitális Omnibusz javaslat révén azonnali szabályozási kiigazítások bevezetése, valamint a Data Act (Adat Rendelet) meglévő adatkezelési és adatközlési szabályainak módosítása, többek között a harmadik országoknak történő adatátadásokkal kapcsolatos üzleti titok védelmének megerősítése érdekében. A tervezet konszolidálja a kapcsolódó jogszabályokat, beépítve a megszűnő Data Governance Act (Adatkezelési Törvény) és az Open Data Directive (Nyílt Adatokról szóló Irányelv) rendelkezéseit az Adat Rendeletbe, egységes jogszabályi keretet létre hozva.

Ezenkívül bevezetik az egységes incidensbejelentési pontot, amely jelentősen csökkenti a vállalkozások, különösen a kkv-k többszörös bejelentési kötelezettségét, továbbá módosítások történnek az Általános Adatvédelmi Rendelet (GDPR) vonatkozásában, amelyek a személyes adatok fogalmát és a bejelentési kötelezettségeket tisztázzák. Várhatóan ez az intézkedéscsomag jelentős költségmegtakarítást eredményez a vállalkozások számára.

Mik a Digital Omnibus javaslat céljai?

A Digital Omnibus javaslat céljai az uniós digitális szabályok egyszerűsítésére és az innováció fellendítésére irányulnak. Fő célja, hogy segítse az EU vállalkozásait az innovációban, a növekedésben és az adminisztratív költségeken való megtakarításban

Versenyképésség és költségcsökkentés: Célja a technológiai versenyképesség növelése és pénzmegtakarítás az EU vállalkozásai számára azáltal, hogy egyszerűsíti a szabályokat, ésszerűsíti az eljárásokat, egyablakos megoldásokat kínál, és megszünteti az átfedéseket és az elavult rendelkezéseket.

Innováció feloldása: Az egyszerűsítés könnyíti a megfelelőséget (compliance) tükrözi a digitális szektor igényeit, és lehetőségeket teremt az innovációra, miközben továbbra is biztosítja az európai polgárok és vállalkozások jogainak védelmét

Adatszabályok, többek között a GDPR racionalizálása: Célja az EU adatszabályainak egyszerűsítése, ezzel a jogi megfelelőséget költséges teher helyett versenyelőnnyé alakítva a vállalkozások számára. Két nagy törvénybe vonja össze az összes adatkezelési szabályt: az Adatokról szóló rendeletbe (Data Act) és az Általános adatvédelmi rendeletbe (GDPR) amely továbbra is kulcsfontosságú marad.

Adatok hozzáférhetőségének növelése: Az intézkedések segítenek a vállalkozásoknak leküzdeni a gyakorlati akadályokat, hogy fokozzák az adatokhoz való hozzáférést, amely kulcsfontosságú erőforrás az innováció ösztönzéséhez.

Konkrét célok és módosítások a Digital Omnibuson belül:

Kiberbiztonság racionalizálása:

• A kiberrezilienciáról szóló rendelet értelmében a kis- és középvállalkozásokra egyszerűsített követelmények és az AI Act kiberbiztonsági rendelkezéseivel való automatikus megfelelés vonatkozik.
• Egységes ENISA bejelentési felület jön létre a NIS2, a GDPR, a DORA és az eIDAS keretrendszerekhez kapcsolódó jelentések számára.
• Uniós szintű AI Act tesztkörnyezet (sandbox) jön létre, és az AI-műveltségi (AI-literacy) kötelezettségek a vállalatoktól az Európai Bizottságra kerülnek át.

A mesterséges intelligenciáról szóló rendelet (AI Act) módosítása

• Célja a megfelelőségi költségek csökkentése a vállalkozások számára. Egyszerűsítéseket vezet be, például kiterjeszti a kkv-kra vonatkozó egyszerűsített módszereket a kis középső tőkeértékű vállalatokra (SMC-kre) is.
• A magas kockázatú MI-re vonatkozó szabályok alkalmazását a támogatást biztosító eszközök – például a szabványok – rendelkezésre állásához köti. A Bizottság a magas kockázatú rendszerekre vonatkozó szabályok hatálybalépésének ütemezését legfeljebb 16 hónapra módosítja.
• A Bizottságnál (AI Office) centralizálja az AI-rendszerek felügyeletét a nagyméretű platformok és keresőmotorok esetében, elősegítve a koherensebb végrehajtási stratégiát.

A GDPR módosítása

• Az "ablakfáradtság" (cookie banner fatigue) enyhítése egyszerűbb, felhasználóbarát kialakítással.
• Lehetővé teszi a felhasználók számára, hogy egyetlen kattintással tagadjanak meg minden cookie-t, vagy beállítsák a preferenciáikat központi beállításokban (pl. böngészőn keresztül).
• Támogatja a vállalkozásokat azáltal, hogy fehérlistát javasol olyan ártalmatlan célokra (pl. statisztika), amelyek esetében nem szükséges a felhasználó beleegyezését kérni.
• A személyes adat fogalma (a módosított GDPR 4. cikk 1. pontja ) – A módosított GDPR szerint a „személyes adat” fogalma változna, lényegében a CJEU SRB-ügyben hozott legutóbbi döntésének kodifikálásaként. A módosított definíció egyértelművé tenné, hogy egy adott szervezet számára egy információ nem minősül személyes adatnak, ha az adott szervezet nem tudja azonosítani az információval érintett természetes személyt, figyelembe véve az „ésszerűen valószínűsíthetően rendelkezésre álló eszközöket” az azonosítás eléréséhez. A javaslat ezáltal lehetővé teszi, hogy a pszeudonimizált adatkészletek megoszthatók és felhasználhatók legyenek, amennyiben a fogadó harmadik fél nem képes újraazonosítani az egyént.
• Az adatkezelők továbbra is teljes mértékben a GDPR szerinti kötelezettségek hatálya alá tartoznak.
• Hozzájárulás kezelése: A hozzáférés továbbra is hozzájáruláson alapul, de a szabályok előírják, hogy a hozzájárulás megtagadását egy kattintással vagy azzal egyenértékű módon biztosítani kell. Ha az érintett megtagadja a hozzájárulást, az adatkezelőnek legalább hat hónapig nem tehet újabb hozzájárulási kérést ugyanarra a célra. (tervezett 88 A Cikk.)
• A technológiai fejlődés üteme miatt a Bizottság végrehajtási aktusokat bocsáthat ki a jogi bizonyosság további növelése és az állampolgári jogok hatékony védelmének biztosítása érdekében.
• Adatok felhasználása AI rendszerekhez: A javaslat tisztázza, hogy a személyes adatok feldolgozása az AI-rendszerek számára a GDPR-ban rögzített „jogos érdek” alapján történhet. A személyes adatok feldolgozása AI modellekhez jogszerű, feltéve, hogy az adott felhasználás nem sért semmilyen uniós vagy nemzeti jogot, és a feldolgozás megfelel a GDPR minden követelményének.
• Adatvédelmi incidensek és DPIA (hatásvizsgálat): Incidensbejelentési küszöb és határidő: Az adatkezelőnek csak akkor kell értesítenie az illetékes felügyeleti hatóságot, ha a személyes adatok megsértése valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve. A bejelentési határidőt 72 óráról 96 órára hosszabbítják.
• Tudományos célú mentesség a tájékoztatási kötelezettség alól: Nem szükséges tájékoztatást adni az érintetteknek, ha a tudományos kutatás céljából végzett adatkezelés esetén az információk rendelkezésre bocsátása lehetetlennek bizonyulna, vagy aránytalan erőfeszítést igényelne; ilyen esetben az adatkezelőnek nyilvánosan elérhetővé kell tennie az információt.
• AI fejlesztés és működtetés: Kivételt vezetnek be a különleges kategóriájú személyes adatok feldolgozásának tilalma alól, ha arra AI rendszer vagy modell fejlesztése és működtetése keretében kerül sor, feltéve, hogy megfelelő technikai és szervezeti intézkedéseket alkalmaznak az adatok gyűjtésének elkerülésére, és az azonosított különleges kategóriájú adatokat eltávolítják (kivéve, ha az eltávolítás aránytalan erőfeszítést igényelne.)

Főbb kritikai pontok

Személyes adatok védelmének szűkítése, adatvédelem fragmentálása: Jelenleg az adat akkor minősül személyesnek, ha abból bárki — szokásos eszközökkel — azonosítani tud egy embert. Az Omnibus viszont lehetővé tenné, hogy cégek belső „nem azonosíthatósági” kritériumokra hivatkozzanak, így ugyanaz az adat egyesek szerint személyes, mások szerint nem. Ez jogbizonytalanságot okoz, és gyengíti az adatvédelmet.

Új utakat nyit az AI-hoz való érzékeny adathasználat előtt: Az Digital Omnibus bővíti a „legitim érdek” indoklást az adathasználatra — így cégek könnyebben felhasználhatnák személyes és érzékeny adatokat mesterséges intelligencia rendszerek képzésére. Mivel az emberek sokszor nem is tudják, hogy adataikat ilyen célra használják, és az adatok később sem törölhetők hatékonyan, ez komoly kockázatot jelent a magánéletre és az adatvédelemre.

Automatizált döntéshozatal kiterjesztése, az emberi kontroll gyengítése: Jelenleg — az adatvédelem keretében (22. cikk) — korlátozva van, hogy cégek automatikusan döntsenek például hitelről, biztosításról, szolgáltatásokhoz való hozzáférésről emberi beavatkozás nélkül. Az Omnibus e korlátozásokat lazítaná, így automatizált rendszerek dönthetnének érzékeny ügyekben, emberi felülvizsgálat nélkül.

Segíti-e a kis- és középvállalkozásokat? Bár az Omnibus azt állítja, hogy segíti a KKV-kat, valójában nem azokat a megoldásokat tartalmazza, amiket ezek a cégek kértek (pl. sablonok, standardizált űrlapok, kiszámítható jogalkalmazás). Ehelyett több kivételeket és ezzel bizonytalanságot hoz — ami a nagy cégeknek kedvez, a kkv-knak pedig hátrányos.

Záró Gondolatok

Összességében a Digital Omnibus fontos lépést jelent a digitális szabályozás modernizálása felé, a digitális szabályozási környezet egyszerűsítése, a vállalkozások adminisztratív terheinek csökkentése és az uniós innovációs potenciál erősítése felé. A csomag több olyan módosítást tartalmaz, amely valós könnyítést jelenthet a vállalkozások számára, különösen az adatszabályok racionalizálásával, a kiberbiztonsági bejelentések egységesítésével és az AI Act gyakorlati alkalmazásának finomhangolásával.

Ugyanakkor a javaslat jelentős kritikákat is kiváltott. A személyesadat-fogalom szűkítése, valamint az AI célú adatfelhasználás könnyítése olyan értelmezési bizonytalanságokat teremthet, amelyek az adatvédelem gyengüléséhez vezethetnek. Emellett fennáll a dominóhatás veszélye: ha a GDPR egyes alapfogalmai és garanciái gyengülnek, az könnyen átterjedhet a teljes uniós adatvédelmi keretrendszerre. Emellett a javaslat több területen a nagyvállalatoknak kedvezhet, miközben a KKV-k számára – a célkitűzéssel ellentétben – akár nagyobb megfelelési bizonytalanságot is okozhat.