A GDPR eddigi öt éve
Olvasási idő: 5 perc
Max Schrems osztrák író, aktivista és jogász, aki világszerte azzal vált ismertté, hogy kampányokat folytatott és folytat a Facebook (Meta) ellen különböző adatvédelmi szabályok megsértése miatt, beleértve az európai adatvédelmi törvények megsértését is. Tevékenysége és nyilatkozatai a GDPR és az MI alkalmazhatósága szempontjából is tartogatnak tanulságokat.
Schrems többek között a NOYB -European Center for Digital Rights alapítója is, amelynek célja, hogy stratégiai bírósági ügyeket és médiakezdeményezéseket indítson az általános adatvédelmi rendelet támogatására. Schrems a The Privacy Whisperer Live Talks podcastben beszélt a Meta elleni 1,2 milliárd eurós bírságról, a GDPR eddigi 5 évéről, az adatvédelem és a mesterséges intelligencia kapcsolatáról, az adatvédelem jövőjéről, valamint az EU és az USA közötti adattovábbítás kérdésköréről.
A Metaval szemben kiszabott 1.2 milliárd eurós bírság
A Meta májusban rekordösszegű, 1,2 milliárd eurós bírságot kapott, és arra kötelezték, hogy ne továbbítsa a Facebook európai felhasználóitól gyűjtött adatokat az Egyesült Államokba – a közösségi médiavállalat ellen az Európai Unió adatvédelmi szabályainak megsértése miatt hozott jelentős ítélet szerint. Az ír adatvédelmi bizottság által bejelentett büntetés az egyik legjelentősebb büntetés lehet az Európai Unió által az általános adatvédelmi rendeletként ismert, mérföldkőnek számító adatvédelmi törvény elfogadása óta eltelt öt év során.
Schrems, aki a Schrems-I ügy névadója, 2013-ban panaszt nyújtott be a Facebook Ireland Ltd. ellen az ír adatvédelmi biztoshoz (mivel Írországban található a Facebook európai központja). A panasz célja az volt, hogy megtiltsák a Facebooknak, hogy adatokat továbbítson Írországból az Egyesült Államokba. Schrems erre az időre úgy emlékezik vissza, mint amikor adatvédelmi szempontból semminek sem volt következménye, és az adatvédelemnek szüksége volt egy „arcra” (ez lett ő). Ugyanakkor a Metaval (Facebookkal) való „harcát” egy Dávid és Góliát csataként jellemzi, hiszen elképesztő erőforrásbéli különbségek vannak a két oldal között. Máig fennálló problémának tartja azt a helyzetet, hogy az adatvédelmi hatóságoknak megvan a hatalmuk, de nem élnek vele a megfelelő mértékben.
A legnagyobb probléma azonban szerinte az, hogy mindenkinek van véleménye az adatvédelemről, de mintha senki sem értené azt, hogy pontosan miről is beszél, illetve mit is jelent az adott helyzet. Az USA álláspontjának azon részét rendkívül károsnak tartja, miszerint az amerikai állampolgároknak többletjogaik vannak. Ugyanis azt még az amerikai oldal sem tagadja, hogy eljárásuk sérti az amerikai alkotmány negyedik módosítását (mely a polgárok magánélethez való jogát védi), ugyanakkor mivel ez csak az USA állampolgáraira terjed ki, szerintük az európai emberekkel szemben nem jogsértő az eljárásuk.
Amire szerinte jelenleg szükségünk van, egy „no spy agreement”, amelyet minden demokratikus országnak alá kellene írnia. Szerinte veszélyes helyzetet eredményezhet, hogy az USA gyakorlatilag a saját, NATO tag szövetségeseinek az állampolgárai után „kémkedik”.
A Metaval való „háború” egyik nagy nehézségeként hozta még fel, hogy az ügyek a végtelenségig húzódnak, amihez nagyban hozzájárul, hogy több ezer oldalas fellebbezéseket nyújtanak be a Meta képviselői (melyeket szerinte még soha senki nem olvasott végig). Ezzel kapcsolatban szorgalmazná, ha a jövőben megoldást találnának arra, hogy felgyorsuljanak ezek az eljárások.
A GDPR első 5 éve, eljárási kérdések
Schrems szerint a GDPR bevezetése óta hatalmas eljárással kapcsolatos probléma, hogy rengeteg ügyben akár másfél évet kell várni arra, hogy döntés szülessen.
Tapasztalatai szerint sajnálatos tendencia, hogy a nemzeti adatvédelmi hatóságok mindent megtesznek azért, hogy végső soron ne kelljen tenniük semmit.
Úgy látja, néhány tagállamban a hatóság vezetői kifejezetten úgy kapják meg a pozíciójukat, hogy cserébe passzívnak kell lenniük, és minél kevesebb üggyel foglalkozhatnak érdemben. Arra is van példa, ha egy ilyen vezető nagyon aktív, akkor lecserélik olyanra, aki sokkal inkább „business friendly”, és hajlamosabb a szőnyeg alá söpörni az ügyeket. Ennek a hozzáállásnak az okai lehetnek például a hiányos erőforrások, a procedúrák bonyolultsága, illetve a cégek befolyása a hatóságra, valamint az is, hogy a tagállamoknak nem igazán kell szankcióktól tartaniuk, ha nem működnek jól a hatóságaik.
A mesterséges intelligencia és az adatvédelem
Maga Schrems nem tartja magát szakértőnek a mesterséges intelligenciával kapcsolatban, azonban azt leszögezi, hogy a mindennapi gyakorlatban az AI (egyelőre) nem játszik jelentős szerepet, ami persze bármikor megváltozhat. Szerinte a legérdekesebb szempont a témával kapcsolatban, a „pontosság” kérdésköre. Tapasztalhatjuk, hogy a mesterséges intelligencia rengeteg esetben nem pontos, és sokszor kifejezetten hamis információkat is közölhet. Adatvédelmi szempontból ez akkor lehet érdekes, ha ezek a hamis információk személyes adatokra vonatkoznak. Szerinte a legtöbb jövőbeli per ezen okból fog majd indulni az adott AI tulajdonosaival szemben.
A transzatlanti adatátvitel
Arra a kérdésre, hogy hogyan oldaná meg az USA és az Európai Unió közötti adatátvitellel kapcsolatos konfliktust, Schrems ismét annak a véleményének adott hangot, hogy egy „No-spy agreement” létrehozására van szükségünk. Úgy véli, a helyzetet csak kompromisszummal lehet megoldani, mind a két félnek engednie kell az álláspontjából. Emellett joghatósági szabályok létrehozására is szükség van, az nem megoldás, ha mindkét fél egyénileg, egyoldalúan akarja megoldani a konfliktust.
Az adatvédelem jövője
Bár nem tud teljesen optimista lenni, Schrems úgy látja, hogy igenis van fejlődés ezen a területen, és mind a magánszemélyek, mind a vállalatok egyre többet foglalkoznak az adatvédelemmel és egyre komolyabban is veszik azt. Ebben persze nagy szerepet játszik, hogy egyre több jelentős bírsággal járó döntés születik. Összességében pedig úgy látja, hogy a terület egyre professzionálisabbá válik.
