A várható GDPR reform adatvédelmi aggályai

december 3, 2025

GDPR reform

A közelgő GDPR reform alapjaiban alakíthatja át az uniós adatvédelmi keretrendszert. A Digital Omnibus javaslat célja az egyszerűsítés és modernizálás, ugyanakkor számos adatvédelmi aggályt is felvet, amelyek lényegesen befolyásolhatják az érintettek jogait és az adatkezelők kötelezettségeit.

I. Bevezetés a GDPR reform kapcsán

2025. november 19-én az Európai Bizottság közzétette a „Digital Omnibus” nevű javaslat-csomagot, amely célja, hogy az Unió digitális szabályrendszerét, köztük az általános adatvédelmi rendeletet (a továbbiakban: GDPR) és több más jogszabályt, technikai és szerkezeti módosítások révén egyszerűsítse, modernizálja és összehangolja. A Bizottság szerint a cél az, hogy a szabályoknak való megfelelés kevesebb adminisztratív terhet jelentsen, ugyanakkor az adatvédelmi és digitális jogok szintje megmaradjon.

Azonban a javasolt módosítások heves vitákat váltanak ki: sok adatvédelmi szakember, civil szervezet és jogvédő figyelmeztet, hogy ezek az úgynevezett „egyszerűsítések” valójában a magánélet és a személyes adatok védelmének gyengítését jelenthetik.

Ebben a cikkben áttekintjük a Digital Omnibus-hoz tartozó legfontosabb GDPR-módosítási javaslatokat, és azok potenciális, várható hatását.

II. Főbb GDPR-módosítások a javaslatban

1. A „személyes adat” fogalmának újradefiniálása

Az egyik leglényegesebb módosítás a GDPR 4. cikk 1. pontjában szereplő „személyes adat” definícióját érinti. A javaslat szerint az adat nem minősül személyes adatnak, ha az adatkezelő olyan információt tart nyilván, amely ugyan elvileg összeköthető lehetne egy természetes személlyel, de az adatkezelő nem rendelkezik olyan eszközökkel, amelyek „ésszerűen alkalmasak” lennének a személy azonosítására. Másképp: ha az adatkezelő nem tudja (és nem is tervezi) az érintettet azonosítani, az adat kezelése, és az adatkezelő ebből a szempontból nem tartozna a GDPR hatálya alá.

A Bizottság, összhangban a legutóbbi uniós bírósági döntésekkel (C‑413/23[1]), az adatvédelmi szabályozás korrekcióját, modernizálását látja indokoltnak, figyelembe véve a technológiai változásokat, a pszeudonimizálás és adat-anonimizálás fejlődését.

A kritika az érintettek számára jelentkező következményekben rejlik. Nehéz lesz megállapítani, hogy az információk jelenleg személyes adatoknak minősülnek-e az adott szervezet számára vagy sem. Ez különösen hatással van az érintettek jogainak, például a hozzáférés jogának hatékony érvényesítésére, hiszen, ha a szervezet állapítja meg, hogy mely adatokat tekinti személyes adatnak és melyeket nem, akkor ez az érintetti jogok csorbulásához vezethet.

2. Különleges adatok és MI-tanítás: új kivételek a GDPR 9. cikkében és az MI-rendszerek tanítása során

A javaslat lehetővé tenné, hogy bizonyos „különleges adatok” (például biometrikus adatok) kezelése megengedett legyen, ha az adatot az érintett azonosítására használják, és a művelet az érintett teljes kontrollja alatt állna.

Ezen túlmenően, az MI-modellek tanítása során a javaslatban újonnan ajánlott GDPR 88c. cikk kifejezetten lehetővé tenné a mesterséges intelligenciával kapcsolatos személyes adatok feldolgozását jogos érdek alapján (GDPR 6. cikk (1) bekezdés f) pont). Azonban nem adnak további részleteket a szükségességről vagy az érdekek szükséges egyensúlyáról. Különösen a mesterséges intelligencia esetében nehéz az érintettek számára felmérni a különböző adatkezelési lépések következményeit.

Az érv ezen változtatáshoz az, hogy a jelenlegi GDPR-precedens és technikai fejlődés miatt rugalmasabban kell kezelni az MI-tanításhoz szükséges adatokat. A cél az, hogy az uniós vállalkozások (különösen a mesterséges intelligencia fejlesztői) versenyképesek maradhassanak globálisan, miközben működésük jogszerű és egyértelmű maradjon.

3. Az érintetti hozzáférési jog visszaéléseinek kezelése

A Bizottság álláspontja szerint az érintetti jogok visszaélésszerű gyakorlását a jelenlegi jogi keretek között csak kivételesen ismerik el, ezért indokolt a változtatás. A javaslat elismerné, hogyha például az érintett hozzáférési joga visszaélésszerűen lenne felhasználva. Az adatkezelő megtagadhatná a kérelmet, vagy ésszerű díjat kérhetne, ha a kérés „visszaélésszerűnek” minősül. Ennek bizonyítása az adatkezelőn állna.

Ez a módosítás több szempontból is nehézségeket vet fel az érintettek információkéréshez fűződő jogának gyakorlása során, különösen akkor, ha a kérelmek célja nem kizárólag az adatok védelmét szolgálja. Gyakori ugyanis, hogy az információkérés túlmutat a saját adatok megismerésén: az érintettek azért fordulnak például munkáltatójukhoz, hogy megértsék az adatkezelés módját, bizonyítékokat szerezzenek későbbi jogérvényesítéshez, vagy más, az adatkezeléshez kapcsolódó jogos érdekeiket érvényesítsék.

A javasolt módosítás ugyanakkor nem határozza meg egyértelműen, hogy ezen célok közül melyek tekinthetők még az adatvédelem körében legitimnek, és mikortól minősül egy kérelem „visszaélésszerűnek”. Ez könnyen vezethet elhúzódó jogvitákhoz, amelyek többletterhet jelentenek a vállalkozásoknak, és még inkább az érintett személyeknek, akik a jogaikat kívánják gyakorolni.

4. Tájékoztatási kötelezettségek enyhítése

A GDPR 13. cikk szerinti kötelező adatvédelmi tájékoztatást nem lenne mindig szükséges megadni. Ez igaz lenne különösen olyan esetekben, amikor a feldolgozás alacsony kockázatú, és ésszerűen feltételezhető, hogy az érintett már rendelkezik a szükséges információkkal (például, ha az adatkezelés rutin, egyszerű, nem adat-intenzív). Továbbá akkor sem lenne indokolt a tájékoztatás, ha az adatkezelő és az érintett között „egyértelmű és körülhatárolt kapcsolat” áll fenn.

Nehéz meghatározni, hogy mely adatkezelési műveletekre vonatkoznak a kivételek, mivel számos kifejezés nincs meghatározva vagy részletesen kifejtve. Például az „egyértelmű és körülhatárolt kapcsolat” és a „nem adat-intenzív” kifejezések pontos jelentése nem jósolható meg.

A Bizottság szerint ez a lépés segíti az adminisztratív teher csökkentését, különösen a kis- és középvállalkozások számára. Elkerülhetővé válik az állandó, formális tájékoztatás, ha az adatvédelem kockázata alacsony.

5. Adatvédelmi incidens-bejelentés egyszerűsítése

Az adatkezelők ezentúl csak azoknak az adatvédelmi incidensek bejelentésére lennének kötelezettek, amelyek valószínűsíthetően magas kockázatot jelentenek az érintettek jogaira és szabadságaira. Ez jelentősen emeli a bejelentési küszöböt, és összhangba hozza azt a GDPR 34. cikk (1) bekezdésében szereplő, az érintetteknek történő jelentésre vonatkozó kritériummal. Ezzel együtt a bejelentési határidő a hatóság felé 72 óráról 96 órára emelkedne.

A bejelentést egy egységes, közös „Single-Entry Point” rendszeren keresztül lehetne benyújtani akárcsak a NIS-2 szabályozásában. Ezen kívül készülne egy egységes európai szintű lista arról is, hogy mikor minősülhet egy adatvédelmi incidens magas kockázatúnak.

A cél a jelentési kötelezettségek racionalizálása és az adminisztratív terhek csökkentése. A javaslat szerint sok incidens (főleg kisebb, alacsony kockázatú) jelentése felesleges teher lehet vállalkozások számára, miközben egy közös, harmonizált rendszer egyszerűbbé tenné a szabályok betartását.

6. Egységes adatvédelmi hatásvizsgálati lista (EU-szintű lista a kötelező esetekről)

A javaslat szerint az ún. adatvédelmi hatásvizsgálatot igénylő, illetve nem igénylő adatkezelési műveletekről egy egységes, EU-szintű lista készülne. Ezt az European Data Protection Board (EDPB) állítaná össze, a jóváhagyás pedig az Európai Bizottság feladata lenne.

Ez a lista felváltja a korábban az egyes nemzeti felügyeleti hatóságok által vezetett egyedi listákat. Amíg ez a lista el nem készül, addig a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) listája az irányadó[2].

7. Cookie szabályok áttelepítése a GDPR-ba

A Bizottság javaslata szerint a személyes adatokra vonatkozó rendelkezéseket az ePrivacy Directive (e-adatvédelmi irányelv) 5. cikkének (3) bekezdéséből át kell helyezni a GDPR-ba.

Bevezetnének egy új „cookie-consent” rendszert, amely lehetővé tenné, hogy az egyes eszközök vagy böngészők machine-readable (géppel olvasható) jeleket küldjenek a felhasználó adatvédelmi preferenciáiról, ezzel automatizálva és egyszerűsítve a beleegyezés kezelését.

A Bizottság „consent fatigue”-nek (jóváhagyási fáradtságnak) nevezi azt a jelenséget, amikor a felhasználók folyamatosan hozzájárulást kérő felugró ablakokkal találkoznak. Ez csökkenti az áttekinthetőséget, rombolja a felhasználói élményt, és sok esetben a felesleges adminisztráció miatt vállalkozásoknak is komoly terhet jelent. Az új rendszer célja a felhasználói preferenciák egyszeri beállítása és automatizált kezelése, ami mind felhasználói, mind vállalati szempontból kényelmesebb.

III. Lehetséges veszélyek és aggályok a GDPR reform esetén

1. A személyes adatok köre szűkül

Ha az adott vállalat nem rendelkezik olyan eszközökkel, amelyekkel azonosíthatná az érintettet, az adat nem minősül „személyes adatnak”. Ez lehetőséget ad arra, hogy adatkezelők úgy kezeljenek, tároljanak és továbbítsanak felhasználói adatokat, hogy az érintett jogai (pl. hozzáférés, törlés, tiltakozás) nem alkalmazhatók. Ez gyakorlatilag a GDPR egyik legfontosabb védőburkának gyengítése, az adatvédelem „láthatatlanná” válik egy részhalmaz számára.

2. Csökkentett átláthatóság, hozzáférési jog korlátozása

Ha a hozzáférési kérelmek megtagadhatók vagy díjkötelessé tehetők, az érintettek jogai gyengülnek. Ugyanez igaz a tájékoztatási kötelezettség korlátozására: ha az adatkezelő döntheti el, hogy a tájékoztatás szükségtelen, az csökkentheti az érintettek tudatosságát saját adataik sorsáról; a kontroll megszűnhet a felhasználók részéről.

3. Incidens-bejelentés lazítása

Ha csak a „magas kockázatú” adatvédelmi incidenseket kell bejelenteni, az alacsonyabb kockázatú, de tömeges vagy ismétlődő adatszivárgások (amelyek végső soron szintén sérthetik az érintettek jogait) rejtve maradhatnak. Ehhez járul a határidő meghosszabbítása és az egyszerűbb, de centralizált rendszer, ami kétségekhez, esetleges információs késedelmekhez vezethet.

A cikk David Weihbrecht cikke[3] és a „Proposal for Regulation on simplification of the digital legislation”[4] javaslat alapján készült.

2025.12.01.

Dr. Varga Benedek

Dr. Miklós Péter

[1]https://curia.europa.eu/juris/document/document.jsf?text=&docid=303863&pageIndex=0&doclang=HU&mode=lst&dir=&occ=first&part=1&cid=16786370
[2] https://www.naih.hu/hatasvizsgalati-lista
[3] https://www.activemind.legal/guides/gdpr-reform/
[4] https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal

FŐOLDAL | BEMUTATKOZÁS | ADATVÉDELEM | EGYÉB JOGTERÜLETEK | BLOG | KAPCSOLAT

Adatkezelési Tájékoztató  | Impresszum

Ezt a honlapot a Budapesti Ügyvédi Kamarában bejegyzett Dr. Miklós Péter Ákos egyéni ügyvéd (székhely: 1028 Budapest, Piszke utca 14., adószám: 42982117-2-41, KASZ szám: 36079442) tartja fenn az ügyvédekre vonatkozó jogszabályok és belső szabályzatok szerint, melyek az ügyféljogokra vonatkozó tájékoztatással együtt a www.magyarugyvedikamara.hu honlapon találhatóak. A honlapon elérhető blogbejegyzések, cikkek nem minősülnek konkrét jogi tanácsadásnak, ajánlattételnek vagy erre történő felhívásnak. Célja, hogy az érdeklődő tájékozódni tudjon Dr. Miklós Péter Ákos egyéni ügyvéd szakterületeiről. A honlap a Magyar Ügyvédi Kamara (MÜK) Elnökségének "Az ügyvédi honlap tartalmáról" szóló 2/2001 (IX.3.) számú állásfoglalásának, valamint a MÜK 6/2018. (III. 26.). számú szabályzatának 10. fejezetében leírtak figyelembevételével készült.  Jogi közlemény.

Honlapkészítés: ZK DESIGN - Ügyvédhonlap

dr. Miklós Péter adatvédelmi jogász
Powered by  GDPR Cookie Compliance
Adatvédelmi áttekintés

Honlapunk megfelelő működése és a felhasználói élmény növelése érdekében sütiket (cookie-kat) használunk. A sütik által gyűjtött információk a böngészőjében tárolódnak, és lehetővé teszik például az Ön felismerését, amikor újból meglátogatja a honlapunkat.

A sütikre vonatkozó tájékoztatást lentebb láthatja.