„Az Európai Bizottság nem tervezi az általános adatvédelmi rendelet (GDPR) újbóli megnyitását, helyette a szabályok betartatására összpontosít, mivel a mesterséges intelligencia (MI) korszakában az adatvédelem egyre ellentmondásosabbá válik.
A GDPR határozza meg a személyes adatok kezelésének szabványait az EU-ban. A Bizottság egyik szóvivője az Euractiv-nak elmondta, hogy az EU végrehajtó szerve nem szándékozik újranyitni az adatvédelmi rendeletet a következő jelentés előtt, amelyet 2028-ra ütemeztek. A legutóbbi, július végén közzétett jelentés a GDPR alkalmazásáról végrehajtási problémákra hívta fel a figyelmet.
Ez egy ismerős történet: az első jelentés is végrehajtási problémákat talált, ami hozzájárult a Bizottság 2023-as javaslatához a GDPR végrehajtási eljárásokról szóló rendeletre vonatkozóan, amelyen azóta az uniós jogalkotók dolgoznak. Bár a jelentés nem eredményezett változásokat a GDPR-ban, a Tanács és az Európai Parlament elfogadta álláspontját az eljárási szabályokról, és az intézmények közötti tárgyalások várhatóan a következő hónapokban kezdődnek.
A Bizottság döntését, miszerint a GDPR végrehajtását helyezi előtérbe, üdvözölték az Európai Parlament baloldali képviselői, akik attól tartanak, hogy ennek elmulasztása alááshatja az adatvédelem és a biztonság színvonalát.
Ezzel szemben Axel Voss (EPP, Németország), aki az Európai Parlament Jogi Bizottságának (JURI) véleményét közvetítette az MI-törvény kapcsán, azt állította, hogy sürgős intézkedésre van szükség, mivel a mesterséges intelligencia (MI) térnyerése megköveteli a törvény szellemének átalakítását.
A Bizottság és a baloldali EP-képviselők egyetértenek a Digital Europe technológiai lobbiszervezet korábban kifejtett nézeteivel egy esetleges GDPR felülvizsgálatról.
„Szükség van megbeszélésre a tagállamok szintjén és (Németországban) a szövetségi tartományok között a GDPR jobb és harmonizáltabb végrehajtásáról” – mondta Sergey Lagodinsky (Zöldek/EFA Németország), a GDPR végrehajtási eljárásairól szóló jelentés korábbi jelentéstevője az Euractiv-nak.
Az MI-vita
Birgit Sippel (S&D, Németország), az ePrivacy irányelv jelentéstevője elmondta az Euractivnak, hogy a GDPR jelenlegi változatának végrehajtása különösen fontos, ha az EU biztosítani kívánja, hogy cégei hozzáférjenek magas színvonalú adatokhoz az MI modellek betanításához. Sippel példaként kiemelte az adathalmazokban előforduló faji előítéleteket, amelyek csökkenthetik egy MI modell hatékonyságát a rákos bőrelváltozások felderítésében.
Másrészt a nagy mennyiségű minőségi adatokhoz való hozzáférés és azok feldolgozása kulcsfontosságú a „nem diszkriminatív vagy nemi szempontból kiegyensúlyozott MI modellek” létrehozásához – mondta Voss az Euractivnak. Véleménye szerint szükség van a GDPR felülvizsgálatára, hogy elősegítsék az innovációt a jelenlegi, gyorsan változó digitális környezetben. „Én megváltoztatnám a GDPR teljes struktúráját […] a „minden tilos” szemlélettől a „minden megengedett” szemlélet felé, feltéve, hogy a polgárok adatvédelme nem sérül” – mondta Voss.
A bíróságok
A személyes adatok mesterséges intelligencia képzésére történő felhasználásának jogszerűségét jelenleg bíróságokon támadják, és panaszok érkeznek az adatvédelmi hatóságokhoz is.
A GDPR szerint több jogalap létezik a személyes adatok feldolgozására. Gyakorlatban ezek gyakran a jogos érdek, a szerződés teljesítése vagy a felhasználói hozzájárulás alapján történnek.
A Facebook és az Instagram anyavállalata, a Meta perekben veszített az EU-s személyes adatok feldolgozásának jogszerűségét illetően. Az Európai Unió Bíróságának döntései miatt a Meta 2023 novemberében megváltoztatta adatfeldolgozásának jogalapját a szerződés teljesítéséről a felhasználók hozzájárulására.
Ezenkívül a Meta azon jogszerűségét is vitatták, hogy a „jogos érdekre” hivatkozik – egy olyan kifejezés, amely különböző jogi értelmezéseknek van kitéve –, amikor személyes adatokat használ az MI számára. A digitális jogokkal foglalkozó civil szervezet, a Noyb júniusban panasszal élt ez ellen. Végül a Meta leállította MI terveit Európában.
A megkerülő megoldások
Mivel a GDPR nem volt elég megengedő a felhasználói adatok feldolgozását illetően, az uniós jogalkotóknak „szabályozási homokozókat” kellett létrehozniuk, hogy lehetővé tegyék az MI vállalatok számára az új ötletek kis léptékű kipróbálását szabályozói felügyelet mellett – mondta Voss. Ez túlzott terhet ró az MI cégekre, és nem teszi lehetővé, hogy az uniós vállalatok a szükséges sebességgel fejlődjenek, hogy versenyezhessenek a világpiacon – mondta.
Lagodinsky azonban rámutatott az új szabályozásokra, amelyek lehetővé teszik a személyes adatok felhasználását MI képzésre, miközben biztosítják az adatvédelmet, mint például az Adatmegosztási jogszabály (Data Act), amely módszert biztosít a személyes adatok anonimizálására.
Szerinte az Adatkormányzási Rendelet (Data Governance Act) olyan piaci struktúrát hoz létre, amely megkönnyíti az adatok összegyűjtését és kereskedelmét. Ezek a jogszabályok összhangban vannak a GDPR-ral, és hatékonyan kezelik a mesterséges intelligencia térnyerése által felvetett kihívásokat – mondta. „A következő években meg kell őriznünk a GDPR alapelveit a mesterséges intelligencia hulláma alatt is” – tette hozzá Lagodinsky, utalva az adatvédelemre és a biztonságra. „Túl sok olyan erő van az Európai Parlamentben és az Európai Unió Tanácsában, amely a biztonság nevében támadni akarja az adatvédelmi követelményeket, és túl sok piaci szereplő, amely csökkenteni akarja a GDPR által nyújtott védelmi szintet” – mondta Lagodinsky.
A Zöldek csoportjához közel álló, de névtelenséget kérő személy szerint a GDPR újranyitását a „szélsőjobboldali csoportok” arra használnák fel, hogy a felülvizsgálatot úgy próbálják meg elferdíteni, hogy törvényes jogalapot teremtsenek a rendőri szolgálatok számára, hogy „állítólagos biztonsági okokból” betörjenek az uniós polgárok eszközeibe.”
Forrás:
European Commission opposes amending GDPR, focusing on enforcement instead; Théophane Hartmann; Euractiv; 2024. augusztus 8.