Így változhat a GDPR 2026-ban

Megosztás Tetszik

A digitális omnibusz csomag az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (általános adatvédelmi rendelet, GDPR) szabályain is változtatni fog. Habár a változtatások pontos köre még bizonytalan, érdemes a tervezetet alaposan szemügyre venni, hiszen annak egyes elemei vagy a teljes tervezet elfogadásra fog kerülni. Az alábbiakban a tervezett változtatásokat mutatjuk be az EU Bizottság hivatalos magyarázata tükrében

A GDPR módosításának igénye régebbről ered

A GDPR 2016-ban került elfogadásra, majd kétéves felkészülési időt követően 2018. május 25. napján vált alkalmazandóvá. Mivel egy közel tízéves normáról van szó, ezen időszak alatt többször is felvetődött a változtatás igénye. A változtatási igény mögött természetesen versenyképességi indokok is meghúzódnak, illetve a megfelelési költségek jelentős emelkedése is kitapintható. Emellett az Európai Unió (EU) Bírósága is értelmezte döntéseiben a joganyagot.

Ezekre tekintettel készül a csomag, mely 2026-ban alakítani fogja a személyes adatok védelmének területét.

Változna a személyes adat fogalma

Így az abszolút megközelítés helyett a relatív megközelítés érvényesülne az EU Bíróságának joggyakorlata alapján. Ez azt jelenti, hogy önmagában egy adat birtoklása még nem jelent személyes adatot, csak akkor, ha az adatkezelő olyan információk birtokában van, melyekkel az adott információt konkrét természetes személyhez lehet kötni. Ennek következtében megszűnhet a személyes adat jellege az álnevesített adatot kezelő vállalkozás által kezelt adatnak, melynek például klinikai vizsgálatok esetén lehet jelentősége.

Emellett nem feltétlenül minősül majd személyes adatnak a rendszám, az IP-cím és egyéb olyan adatok kezelése, melyek más, egyéb információ hiányában konkrét személyhez nem köthetőek.

Egyszerűsített átláthatósági követelmények érvényesülnének

A GDPR 13. cikke határozza meg, hogy az érintettet a tőle származó személyes adatok kapcsán miről szükséges tájékoztatni. A GDPR 14. cikke pedig a más személytől származó információk tekintetében határozza meg a tájékoztatási kötelezettség kereteit.

A módosítás a 13. cikk kivételi körét bővítené azzal, hogy nem kellene tájékoztatást nyújtani azon adatokról (adatkezelésről), amelyekről alappal feltehető, hogy az érintett tud és amely az érintett számára a 35. cikk tükrében nem jár magas kockázattal.

További könnyítések állnának be a tudományos kutatás kapcsán, amennyiben a tájékoztatás lehetetlen, aránytalan erőfeszítést igényelne, vagy meghiúsítaná az adatkezelés célját.

Jogos érdek mint jogalap tudományos kutatás és mesterséges intelligencia (MI-) alkalmazások kapcsán

A tervezet definiálni fogja a tudományos kutatást és megállapíthatja, hogy az kereskedelmi célt is szolgálhat. Azt is kimondaná, hogy egy adatkezelés későbbi tudományos célú hasznosítása összhangban van az adatkezelés eredeti céljával. Deklarálja továbbá, hogy a tudományos kutatás jogos érdeket jelent.

A tervezet szerint az MI-alkalmazások fejlesztése és alkalmazása során lehetséges a jogos érdekre mint jogalapra támaszkodni, kivéve, ha tagállami vagy EU-jog ezt kizárja. Ilyen tilalom lehet a digitális piacokat (DMA), illetve a digitális szolgáltatásokat (DSA) szabályozó EU-joganyag, melyek alapvetően nagy szolgáltatókat (például Google) célozzák.

A mesterséges intelligencia kapcsán módosulna a különleges adatokat szabályozó 9. cikk. E szerint az MI-rendszer képzése és alkalmazása során bizonyos körben felhasználható különleges adat, amennyiben az nem küszöbölhető ki és nem fő cél.

Az olyan általános adatvédelmi követelmények, mint az adatminimalizálás, szükségesség-arányosság, kockázatarányos védelem elve továbbra is alkalmazandók maradnának.

OLVASSA TOVÁBB! Erről szól még a cikk:

• szélesebb körben lehetne a hozzáférési jogot megtagadni,

• GDPR, NIS2, DORA incidensjelentés harmonizálása,

• egységesedne az adatvédelmi hatásvizsgálat,

• hogyan egyszerűsödne a sütiszabályozás?