GDPR: Újabb változások a láthatáron?

Az Európai Bizottság és a tagállamok – különösen Dánia vezetésével – arra készülnek, hogy egyszerűsítsék, finomítsák, sőt bizonyos esetekben újraértelmezzék azokat az előírásokat, amelyek az elmúlt években sok vállalkozás számára teherként, mások számára pedig jogi biztosítékként jelentek meg.
A reformok hátterében két, egymással feszültségben álló cél húzódik meg: egyrészt csökkenteni a kis- és középvállalkozásokra háruló adminisztratív terheket, másrészt megerősíteni a végrehajtás hatékonyságát, különösen a határokon átnyúló adatkezelési ügyekben. Az Európai Bizottság 2025 nyarán egy ún. „Omnibus” jogalkotási csomagban kezdeményezett módosításokat, amelyek a GDPR mellett más digitális szabályozásokat is érintenek. Ezek célja nem egy új szabályozási rendszer felállítása, hanem a meglévő rendelkezések „technikai jellegű finomítása” – ahogy azt a Bizottság megfogalmazta.

Miben változhat a GDPR?

Az egyik legfontosabb változtatási javaslat a 30. cikk alóli mentesség kiterjesztése lenne, amely jelenleg csak bizonyos méretű cégekre alkalmazható. 

A reform révén több tízezer európai vállalkozás mentesülhetne attól a kötelezettségtől, hogy részletes nyilvántartást vezessen adatkezelési tevékenységeiről. 

A kezdeményezést a skandináv államok, köztük különösen Dánia, aktívan támogatják, mondván, hogy a jelenlegi GDPR túlságosan bonyolult a kisebb cégek számára, és hátráltatja az innovációt, különösen a „scale-up” vállalatok körében, amelyek a startup fázisból éppen kinőttek, de még nem multinacionális szereplők.
Ugyanakkor egyre több adatvédelmi szakértő és civil szervezet fogalmaz meg komoly aggályokat a reform irányával kapcsolatban. Egyes megjelent elemzések szerint a jelenlegi javaslatok bár látszólag technikai természetűek, valójában kikezdhetik a GDPR egyik legfontosabb alappillérét: a jogérvényesítés hatékonyságát. Az egyik kulcskérdés az úgynevezett „proximity principle” jövője, vagyis az az elv, amely lehetővé teszi, hogy az uniós állampolgárok saját tagállamuk hatóságán keresztül panaszt tehessenek bármelyik EU-s adatkezelővel szemben. Ennek gyengítése súlyosan csökkentené az egyének jogérvényesítési lehetőségeit, különösen azokban az esetekben, amikor a vállalatok nem abban az országban rendelkeznek székhellyel, ahol a panaszost éri jogsérelem.

További kritikák irányulnak az Írországban kialakult gyakorlatra is, ahol több techóriás – köztük a Meta, Google és Apple – európai központja található. Az ír adatvédelmi hatóság gyakran alkalmazott „barátságos egyezség” (amicable settlement) megoldása sokak szerint aláássa a hatékony szankcionálást és a közérdek védelmét. A mostani reformjavaslatok viszont nemhogy visszaszorítanák ezt a gyakorlatot, hanem éppenséggel kodifikálnák annak lehetőségét. Ez a szabályozói hozzáállás a kritikusok szerint nemcsak a GDPR alapelveit sérti, hanem a jogállamiság és az uniós polgárok iránti felelősség kérdését is újra napirendre helyezi.
Max Schrems, az ismert osztrák adatvédelmi aktivista és a noyb (None of Your Business) nevű szervezet alapítója élesen bírálta a GDPR tervezett reformját. Véleménye szerint a módosítások valódi célja nem az adatvédelem erősítése vagy a jogérvényesítés javítása, hanem inkább a nagy technológiai cégek és a velük lojálisan együttműködő tagállami hatóságok – elsősorban az ír adatvédelmi felügyelet – pozícióinak megerősítése. Schrems kiemelte: „ha a cél az volt, hogy orvosoljuk a végrehajtás gyengeségeit, akkor ezek a javaslatok pont az ellenkezőjét érik el”. A noyb álláspontja szerint a jelenlegi reformtervek intézményesítik az eddigi végrehajtási kudarcokat, és lehetővé teszik, hogy a hatóságok továbbra is elkerüljék a határozott fellépést a techóriásokkal szemben. Schrems véleménye jól mutatja azt a feszültséget, amely a GDPR eredeti szellemisége – az egyének jogainak hatékony védelme – és a mostani, inkább gazdaságpolitikai célokat szolgáló egyszerűsítési törekvések között feszül.
A helyzet pikantériája, hogy miközben az EU a mesterséges intelligencia szabályozásával, a Digitális Szolgáltatásokról szóló Törvénnyel (DSA) és a Digitális Piacokról szóló Törvénnyel (DMA) új, progresszív digitális jogi kereteket vezetett be, éppen a GDPR – az egyik legismertebb és legnagyobb hatású szabályozása – kerülhet olyan kompromisszumos helyzetbe, amely hosszú távon gyengítheti az európai adatvédelmi modell hitelességét. A reform tehát nem csupán technikai jellegű módosítás, hanem mélyen politikai és elvi jelentőségű kérdés is.

Az európai jogalkotás következő hónapjai döntő fontosságúak lesznek abból a szempontból, hogy sikerül-e valódi egyensúlyt teremteni a versenyképesség, az adminisztratív egyszerűsítés és az alapjogvédelem között. 

A reform támogatói szerint „valami jobb, mint a semmi” – ahogy azt a Skadden jogi elemzése is kiemeli –, de ez a „valami” nem lehet kevesebb annál az értékrendnél, amit a GDPR eredetileg képviselt: az egyének védelme, az átláthatóság és a felelős adatkezelés.

A reform kapcsán az is egyre világosabbá válik, hogy a GDPR egységes alkalmazása továbbra is komoly kihívásokat jelent az Európai Unión belül. 

A nemzeti adatvédelmi hatóságok eltérő kapacitásokkal, prioritásokkal és jogértelmezési hagyományokkal működnek, ami oda vezet, hogy ugyanazt a jogsértést egy országban szigorúan büntetik, míg máshol csak enyhe figyelmeztetés jár érte. Ez a fragmentáció különösen súlyos következményekkel járhat a határokon átnyúló digitális szolgáltatások esetében, ahol a jogbiztonság hiánya visszavetheti a fogyasztói bizalmat, és hosszú távon az innovációt is gátolhatja. Éppen ezért egyre több jogalkotó és szakértő hangsúlyozza, hogy a reformnak nem csupán a szabályok egyszerűsítésére kell fókuszálnia, hanem az uniós szintű végrehajtási mechanizmusok megerősítésére is.

Mi várható?

A GDPR jövője nem pusztán technokrata döntések kérdése. A most formálódó reformcsomagban eldőlhet, hogy Európa továbbra is élen jár-e a digitális jogok védelmében, vagy enged a gazdasági nyomásnak, és fokozatosan feladja azokat az elveket, amelyek eddig különlegessé tették az uniós adatvédelmi modellt. A következő hónapok során nemcsak a politikai döntéshozók, hanem a szakmai és civil társadalom is kulcsszerepet játszik majd abban, hogy a reform végül milyen irányt vesz – és hogy a „digitális Európa” milyen jövőt választ magának.

A reform egyik kevésbé tárgyalt, ám stratégiailag fontos aspektusa az adatvédelmi szabályozás és az uniós digitális innovációs célkitűzések közötti kapcsolat újragondolása. 

Az Európai Bizottság az elmúlt években világossá tette, hogy versenyképes, technológiailag szuverén Európát kíván építeni, amely képes saját digitális platformokat és adatpiacokat fejleszteni. E célkitűzések azonban sokszor konfliktusba kerülnek azzal az erőteljes adatvédelmi szabályozással, amelyet a GDPR képvisel. Az adatvezérelt innováció – például a mesterséges intelligencia, az orvosi big data rendszerek vagy a mobilalkalmazásokon alapuló közszolgáltatások – olyan gyors adattovábbításokat és elemzéseket igényelnek, amelyeket a jelenlegi GDPR-mechanizmusok csak nehézkesen tesznek lehetővé. Ezen a ponton vetődik fel a kérdés: vajon lehetséges-e egyszerre hatékony adatvédelmet és technológiai dinamizmust biztosítani, vagy a két cél szükségszerűen egymás rovására megy?

Végül érdemes arra is rámutatni, hogy a GDPR reformja messze túlmutat az Európai Unión határain. A rendelet bevezetése óta számos ország – Brazíliától Japánon át Nigériáig – dolgozott ki hasonló szabályozásokat, az ún. „GDPR-másolatokat”, részben az EU-val való gazdasági és politikai együttműködés reményében. Így az, hogy milyen irányba mozdul el a GDPR, nemcsak az európai piacokat, hanem globális adatpolitikai trendeket is befolyásol. Ha az EU enged a belső nyomásnak, és egy gyengített vagy kevésbé következetes adatvédelmi modellt alakít ki, az más államokat is arra ösztönözhet, hogy alacsonyabb szintű szabályokat vezessenek be – ezzel világszerte csökkentve az adatvédelem színvonalát. Éppen ezért a GDPR jövőjéről szóló vita nemcsak európai ügy, hanem globális felelősség is.