欧州のデータ保護監視団体は、個人データの定義を制限するプライバシー法改正を求める欧州委員会の提案は、欧州連合(EU)国民のプライバシー権を破壊する可能性があると警告した。
規制当局は欧州データ保護委員会(EDPB)との共同回答で、提案されている変更は「重大な懸念」を引き起こし、個人の個人データの保護レベルに悪影響を与える可能性があると述べた。
この警告は、欧州委員会が企業のコンプライアンスを簡素化し、EUの競争力を高めるとして、「デジタルオムニバス」規制を通じてEUデータ保護法を改正する提案を進めている中で発せられた。
EDPBと欧州各国のデータ保護監督当局は共同意見の中で、提案されている措置の一部は個人のプライバシー権を侵害し、法的不確実性を生み出し、データ保護法の施行をより困難にする可能性があると警告した。
物議を醸している提案には、組織が個人を特定しない方法で個人データを処理する場合、非個人データとして扱うことを許可することにより、プライバシー権を弱める個人データの定義の変更が含まれています。
提案は欧州の法律を超える
この提案は、データ保護とプライバシーの規則への準拠を簡素化する方法として多くのデータ保護専門家に歓迎されましたが、規制当局は警鐘を鳴らしています。
彼らは、個人データに対する変更案を採用しないよう議員らに「強く要請」し、この変更案は「対象を絞った修正や技術的な修正をはるかに超え」ており、「個人データの概念を大幅に制限する」ことでEUの判例をはるかに超えていると主張している。
規制当局はまた、自動化された意思決定が許可されるケースの「網羅的なリスト」案を通じて、人工知能(AI)やソフトウェアによる自動化された意思決定の対象とならない個人の権利を損なう可能性のある提案についても懸念を表明している。
欧州委員会に、仮名データを個人データとして分類すべきでないかどうかを決定する新たな権限を与えるという別の提案も、明確化を求めている。
規制当局は、「データ保護」への懸念を理由に被験者のアクセス要求を行う人々の権利を制限する提案はEU法に適合しないと警告した。
この提案が実施されれば、ジャーナリスト、学者、政策立案者によるジャーナリズムや学術研究などのデータ保護以外の目的でのアクセス要求は除外されることになる。
彼らはまた、政治的意見、宗教的信念、労働組合員数、健康、性的指向に関するデータなど、AIシステムを訓練するために「付随的」かつ「残存的」な方法でデータを使用する場合、組織が特定カテゴリーのデータを使用できるようにする提案を全面的に見直すよう欧州委員会に求めている。
データ侵害の報告が簡単に
EDPB とデータ保護監視機関は、企業にとってデータ侵害の報告の苦痛を軽減する計画を含む、いくつかの EU 提案を支持しています。
欧州委員会は、企業が通知を発行する前のリスク閾値を引き上げ、通知の提出期限を72時間から96時間に延長することを提案した。
彼らは、「この変更は、データ主体の保護レベルに重大な影響を与えるものではないと予想されますが、データ主体の権利と自由に高いリスクをもたらす可能性のあるデータ侵害のみを通知すればよいことを考えると、管理者の管理負担は大幅に軽減されます。」と述べています。
「同意疲れ」や「Cookie バナーの急増」を避けるために、Cookie に同意する別の方法を人々に提供するという別の提案も歓迎されています。たとえば、特定のコンピュータで Cookie に一度同意するなどです。
しかし、規制当局は個人データの定義の変更案について懸念を抱いている。
欧州データ保護監督官のヴォイチェフ・ヴィウィオロウスキー氏は、「これらの変更は裁判所の判例法に準拠しておらず、個人データの概念を大幅に制限することになる」と述べた。
欧州データ保護委員会のアヌ・タラス委員長は、EUデータ保護法の変更は、個人の権利と自由の高レベルの保護を維持しながら、法的確実性をもたらすべきであると述べた。
同氏は「私たちは共同議員に対し、個人データの定義の変更案を採用しないよう強く求める」と述べた。 「これらの変更は裁判所の判例に準拠しておらず、個人データの概念を大幅に制限することになります。」
9万人の会員を擁する専門家協会であるIAPPのヨーロッパ担当マネジングディレクター、イザベル・ロッシア氏は、プライバシーとデータ保護の専門家はEUの提案を支持していると述べた。
同氏は、「個人データの定義の範囲を制限するという欧州委員会の提案は、GDPRの解釈における現実主義の表れとして多くの実務家に歓迎されている」と述べた。 「これが採用されれば、契約上の義務とデータ転送ルールの間の多くの摩擦点が軽減されるという結果的な影響が生じるでしょう。
「この共同意見により、EDPSとEDPBは、過去10年間に確立してきた保守的かつデータ主体優先のアプローチを維持したいという意思を示している」とロジア氏は述べた。
同氏は、開発者が「正当な利益」を利用して個人データを処理してAIモデルをトレーニングできる場合、ビジネスリーダーも法的根拠に対する法的確実性を歓迎すると述べた。
委員会の提案は米国の大手テクノロジー企業に利益をもたらす
運動団体ノイブは、「デジタルオムニバス」は簡素化策を装ったGDPRと電子プライバシー指令の抜本的な変更を提案していると述べた。
同団体は、この変更はデータ保護法を遵守するために「無駄な」書類手続きを完了しなければならないEU企業には役立たないが、主に米国の大手テクノロジー企業には役立つと主張している。
プライバシー弁護士でノイブ名誉会長のマックス・シュレムス氏は、「独立当局は重大な変更を求めている。『技術的な変更』でも『簡素化』でもなく、むしろEU居住者のデータ保護の権利の制限だ」と述べた。
