EUs medlemsland og sentrale politikere i Europaparlamentet bremser Ursula von der Leyens forsøk på å myke opp Europas strenge personvernregler. Kritikerne mener Europakommisjonen går for langt og risikerer å svekke grunnleggende rettigheter i jakten på raskere utvikling av kunstig intelligens.
Kommisjonen har lagt fram et forslag som skal gjøre det enklere å bruke data til forskning og utvikling, blant annet for å styrke europeiske AI-miljøer og konkurranseevnen mot USA og Kina. Forslaget er del av det som omtales som en digital omnibus, en pakke som tar sikte på å endre viktige deler av personvernforordningen GDPR.
Motstanden retter seg særlig mot endringer som kan berøre selve kjernen i regelverket. Marina Kaljurand, som er blant hovedrapportørene i Europaparlamentet for arbeidet med saken, advarer mot å røre ved de bærende prinsippene.
– Vi bør ikke begynne, innenfor omnibusen, å endre hovedprinsippene i GDPR, sier hun.
Også i Rådet, der EU-landene forhandler, er det bred skepsis til å endre grunnbeskyttelsen. Ifølge et utkast til forhandlingsposisjon er flere regjeringer, blant dem Frankrike og Polen, imot å svekke de sentrale personvernmekanismene.
Kritikerne mener Kommisjonens initiativ utfordrer et regelverk som siden 2016 har vært sett på som en av EUs mest prestisjefylte teknologiske reguleringer. Mange er ikke villige til å ofre personvern for å ta igjen land der store teknologiselskaper eller myndigheter i større grad kan utnytte data under mindre strenge regler.
Strid om hva som er personopplysninger
Kjernen i konflikten handler om et forslag som i praksis kan endre hvordan man avgrenser hva som regnes som personopplysninger. Kommisjonen håper en slik avklaring vil gjøre større datamengder tilgjengelig for AI-utviklere og forskere, og dermed bidra til å løfte europeisk industri.
Kommisjonen mener endringen ikke vil svekke personvernet fordi dataene som brukes til AI-formål skal være pseudonymiserte. Det betyr at identifiserende kjennetegn fjernes, slik at materialet kan brukes til analyse og forskning uten at enkeltpersoner lett kan gjenkjennes.
Kommisjonens argumentasjon bygger på en nylig dom fra EU-domstolen, der det ble slått fast at fullt sett av personvernkrav ikke nødvendigvis må gjelde på samme måte for pseudonymiserte data. Karolina Mojzesowicz, som arbeider i Kommisjonens enhet for personvern, har understreket at man ikke endrer definisjonen, men presiserer den i tråd med domstolens avklaring.
Kaljurand og andre i Europaparlamentet er uenige og mener endringer i definisjoner kan skape uforutsigbarhet.
– Vi bør ikke redefinere definisjonene i GDPR, sier Kaljurand, og advarer om at det kan skape juridisk usikkerhet og begrense grunnleggende personvernrettigheter.
Datatilsyn og medlemsland sier nei
Europeiske personvernmyndigheter har også advart mot å endre definisjonen. Flere EU-land reagerte tidlig i interne posisjonsnotater, og i en senere kompromissversjon i Rådet ble de omstridte formuleringene om definisjonsendringene tatt ut.
Samtidig er signalene sprikende mellom tunge medlemsland. På et stort arrangement om teknologisk suverenitet i regi av Frankrike og Tyskland i fjor høst tok Tysklands digitale minister Karsten Wildberger til orde for mer omfattende reformer av digitale regler for å øke AI-innovasjonen. Frankrikes representant Anne Le Hénanff argumenterte på sin side for en mer målrettet forenkling, kombinert med en ambisiøs linje for databeskyttelse.
Kaljurand mener Kommisjonens arbeid har gått for fort fram.
– Kommisjonen gjorde dette arbeidet ganske forhastet, sier hun, og forsvarer at Europaparlamentet bruker tid på å sikre at grunnprinsippene ikke undergraves.
Parlamentet splittet om hvor hardt det må kuttes
Også i Europaparlamentet finnes det sterke stemmer som mener GDPR må endres mer drastisk. Den finske politikeren Aura Salla, som jobber med saken i industrikomiteen, har sagt at det trengs kraftige grep for å gi europeiske selskaper og forskere tilgang på data som kan brukes til å trene AI-modeller.
Samtidig peker hun på dilemmaet: Europa vil øke datatilgangen uten at det ender med at europeiske borgeres opplysninger i praksis havner hos store amerikanske teknologiselskaper. Salla mener derfor at sluttresultatet ikke bør gå like langt som Kommisjonens opprinnelige forslag når det gjelder endringer i datadefinisjoner.
Lang prosess i vente
Striden gjør at EUs arbeid med å forenkle data- og personvernregler går tregt. Prosessen ventes å ta lang tid, og det spekuleres i at en endelig løsning tidligst kan være på plass i 2027. Mange forventer også at forslaget vil bli kraftig endret før det eventuelt vedtas.
Dette står i kontrast til en annen forenklingspakke på AI-området, der forhandlingene mellom Kommisjonen, Europaparlamentet og Rådet allerede er i gang, og der det er forventninger om avklaringer før sommeren.
