The European Commission has presented a Single Market Strategy to create a more simple, seamless and strong European market. As part of this Strategy, a simplification package has also been published and in addition to several other porposals, it also proposes simplifications to the GDPR. The Commission's package is closely linked to the competitiveness report published in 2024 by Mario Draghi ("Draghi report"), which also drew attention to the need to simplify EU rules and the findings of which are also reflected in the Commission's 2025 work programme.

The Commission has identified a set of ‘Terrible Ten' Single Market barriers on the basis of comprehensive consultations of stakeholders:

• Complicated business establishment and operations
• Overly complex EU rules
• Lack of Single Market ownership by Member States
• Recognition of professional qualifications
• Long delays in standard-setting that weigh on innovation and competitiveness
• Fragmented rules on packaging, labelling and waste
• Outdated harmonised product rules and lack of product compliance
• Restrictive and diverging national services regulation
• Burdensome procedures for temporary posting of workers
• Territorial supply constraints

As part of the proposals, with regard to the GDPR, the simplification would affect the record-keeping obligation (Art. 30 GDPR). The Commission´s proposal would introduce the concept of the small mid-cap companies ("SMCs") and several SME-specific rules would become applicable also to SMCs .

What GDPR amendments are propsed?

According to the proposal, the text of the GDPR - in addition to Article 4 containing definitions - would be affected in 3 points:

• Article 30(5) on records of processing activities (RoPA) would be amended, extending the exemption from the obligation to record the processing activities to companies with fewer than 750 employees, and the amendment would also clarify the content of the exception to this exemption,
• in the context of codes of conduct (Article 40), not only the specific needs of micro, small and medium-sized enterprises (SMEs) but also the needs of small mid-cap enterprises must be taken into account in the future,
• with regard to certification (Article 42), the obligation to take into account the needs of SMCs will also be added.   

The planned amendment to the rules on record-keeping can be considered as a bit more substantial amendment, although its impact will not likely to be very significant, as the number of affected companies in the EU is only 38,000.

According to the proposal, Article 30(5) of the GDPR would be amended as follows:

The obligations referred to in paragraphs 1 and 2 shall not apply to an enterprise or an organisation employing fewer than 750 persons unless the processing it carries out is likely to result in a high risk to the rights and freedoms of data subjects, within the meaning of Article 35.

(Article 35 of the GDPR contains the obligations related to data protection impact assessment (DPIA) and in this context defines the processing activities that likely to result in a high risk.)

The essence of the proposal is therefore that organisations employing fewer than 750 people should not have to keep records of processing activities, unless they are likely to carry out high-risk processing activities.

Thus, on the one hand, the proposal raises the limit based on the number of employees (from 250 to 750) and, on the other hand, simplifies and clarifies the exceptions to the exemption from record-keeping obligations (for all organisations with less than 750 employees, i.e. including SMEs). It is worth noting that the number of employees is not a very good indicator in the context of data processing obligations. In the field of digital services, we can see many examples where large-scale data processing can take place with a very small number of employees. (And I won't even go into the fact that the nature of the employment relationship can also depend on many things, so organizations that do not operate in a way to use "classic employment relationships" can also be included in the scope of the exemption, even if they have more "human resources" under other contractual terms, such as "contractors".)

What can this amendment mean in practice?

The comments on the amendment can be divided into two parts: (i) the extension of the exemption from record-keeping, and (ii) the definition of the cases in which the exemption is not applicable.

(i) Extension of the exemption from record-keeping

The extension of the exemption from record-keeping presumably seemed like an easy simplification, since this amendment can be made without serious consideration of the logic of data protection, only a number needs to be changed in the GDPR and it can be immediately stated that important steps have been taken against excessive bureaucracy.

At the same time, the record-keeping obligation is one of the fundamental tools of data protection compliance and is closely linked to the principle of accountability (Article 5(2) of the GDPR), according to which the controller shall be responsible for, and be able to demonstrate compliance with data protection rules. Therefore, the question arises as to how a data controller can operate in an accountable manner and how a data processor can fulfil its other obligations arising from the GDPR if up-to-date information of ongoing data processing activities is not ensured. Without the proper mapping of data processing activities, no other data protection obligations can be fulfilled. (E.g. how can a data controller comply with its obligation to provide information or a data subject's access request if it is not aware of what data processing it is carrying out, or if it does not have a record on data processing? How can a data processor comply with its obligations under Article 28 of the GDPR if it does not have an overview of the data processing services it provides? How can controllers or processors comply with the obligations related to the data transfers to  third countries if they do not properly carry out an assessment of the processing activities and do not record the results of this? Further examples could be listed here.) 

It is also important to note that it is not the record-keeping itself that needs a lot of resources, but the mapping and assessment of data processing activities. However, the mapping and assessment of processing activities must be done in any case, because otherwise it is not possible to assess whether the given data processing is "likely to result in a high risk" or not, which is unavoidable, as the data processing activity that is likely to result in a high risk is still subject to record-keeping obligations.

(ii) Determination of the cases in which the exemption does not apply

The exception to the exemption reverts to the main rule: organizations with fewer than 750 employees must still keep records of high-risk data processing. By referring to Article 35 of the GDPR, this part of the provision will certainly be clearer in the future. Additionally, the current text refers to processing activities that "likely result in a risk" (i.e. the bar is much lower for record-keeping obligation), therefore, in the case of organizations with fewer than 250 employees, which are currently partially exempt from record-keeping, this also represents a change (further simplification).

Reviewing the current and proposed new logic for exemption and exceptions, we can see the following:

In summary, it can be stated that the proposed amendment is likely to have "more smoke than flame" and will not provide substantial relief for organizations employing less than 750 people if they otherwise want to comply with their other data protection obligations. However, it is a step forward that the rule currently in force can become clearer, at least in terms of the wording of the exception to the exemption.

Az Európai Bizottság összeállított egy csomagot az egységes belső piac hatékonyabb, kevesebb adminisztrációval járó működtetése érdekében, amely egy ún. egyszerűsítési javaslatcsomagot is tartalmaz (ez már a negyedik ilyen csomag). Az egyszerűsítési javaslatcsomag - több jogszabály mellett - a GDPR egyszerűsítését is érinti. A bizottsági csomag szoros összefüggésben van a 2024-ben publikált, Mario Draghi nevéhez köthető jelentéssel ("Draghi jelentés"), amely szintén felhívta a figyelmet az uniós szabályok egyszerűsítésének szükségességére és amely megállapításai természetesen a Bizottság 2025-re vonatkozó munkatervében is tükröződtek. 

A Bizottság az érdekelt felekkel folytatott átfogó konzultációk alapján meghatározta a „rettenetes tíz” egységes piaci akadályt ("Terrible Ten Single Market barriers"):

• bonyolult vállalkozásalapítás és működtetés,
• túlzottan összetett uniós szabályok,
• az egységes piacért való tagállami felelősségvállalás hiánya,
• a szakmai képesítések elismerése,
• az innovációt és a versenyképességet hátráltató hosszú késedelmek a szabványalkotásban,
• a csomagolásra, a címkézésre és a hulladékra vonatkozó széttagolt szabályok
• elavult harmonizált termékszabályok és a termékmegfelelőség hiánya,
• korlátozó és eltérő szolgáltatásokra vonatkozó szabályozás nemzeti szinten,
• a munkavállalók ideiglenes kiküldetésére vonatkozó megterhelő eljárások
• területi ellátási korlátok.

A most publikált javaslatok keretében a GDPR tekintetében az egyszerűsítés a nyilvántartásvezetési kötelezettséget (GDPR 30. cikk) érintené és a bizottsági javaslat szerinti ún. kis méretű, közepes piaci tőkeértékű vállalatok (small mid-cap companies, "SMCs") tekintetében is alkalmazni rendelne egyes, a KKV-kat megillető könnyítéseket. 

Az elmúlt napokban óriási figyelem övezte az új pápa megválasztását és természetesen ez a figyelem kiterjed arra is, hogy a frissen megválasztott - és a pápai trónt elfoglaló Rober Prevost, pápai névként a XIV. Leót választó - új egyházfő mit tekint a legkiemelkedőbb témáknak, mire kíván az elkövetkezendő időszakban kiemelt hangsúlyt fektetni. Az új pápa az első megszólalásaiban – a háboró és béke, valamint az igazságosság és az elesettek segítése mellett – kiemelten szólt a mesterséges intelligencia (MI) jelentette kihívásokról is, amelyekre az emberiségnek megfelelő választ kell találnia.

A Bíborosi Kollégiumnak címzett üzenetében XIV. Leó pápa – más megszólalásaival összhangban – kitért az MI jelentette kihívásokra és egyúttal utalt arra is, hogy a pápai névválasztás is összefüggésben van az MI jelentette forradalmi változásokkal és az azok kezelése érdekében szükséges feladatokkal:

Érezve, hogy ugyanezen az úton kell folytatnom, úgy döntöttem, hogy felveszem a XIV. Leó nevet. Ennek különböző okai vannak, de főleg azért, mert XIII. Leó pápa történelmi Rerum novarum enciklikájában az első nagy ipari forradalom kontextusában foglalkozott a társadalmi kérdéssel. Napjainkban az Egyház mindenkinek felajánlja társadalmi tanításának kincstárát, válaszul egy újabb ipari forradalomra és a mesterséges intelligencia területén bekövetkezett fejleményekre, amelyek új kihívások elé állítják az emberi méltóság, az igazságosság és a munka védelmét. (kiemelés tőlem)   

Mi várható XIV. Leó pápától az MI-vel kapcsolatban?

Nyilván korai lenne részleteiben tárgyalni azt, hogy pontosan milyen módon viszi tovább a XIV. Leó pápa a mesterséges intelligenciával kapcsolatos gondolkodást, milyen válaszokat kínál majd a számos égető kérdésre, amit az MI az emberiség számára jelent. (Már most roppant félrevezetőnek tűnnek az olyan kattintásvadász címadások, mint pl. az Index beszámolójának címe, miszerint „Hivatalosan még nem iktatták be, de már hadat üzent a mesterséges intelligenciának XIV. Leó”. Erről szó sincs. Önmagában az, hogy korunk egyik legnagyobb kihívásával kiemelten foglalkozni kell, nem jelenti az MI elutasítását vagy „hadüzenetet”. XIII. Leó pápa esetében az első ipari forradalomra válaszul kiadott „Rerum novarum” enciklika kapcsán is fontos kiindulás volt, hogy a folyamatban lévő társadalmi változásokra kívánt katolikus választ adni, de nem a teljes elutasítás vagy „hadüzenet” formájában, hanem megértve a változások hátterlt és a megértésből kiindulva adott fontos iránymutatást a további gondolkodáshoz.)

Fontos azt is kiemelni, hogy nem előzmény nélküli a Katolikus Egyház részéről a téma tárgyalása. Az idei év elején (2025. januárjában) jelent meg – a Hittani Dikasztérium, valamint a Kultúra és Nevelés Dikasztérium közös jegyzékeként – az „ANTIQUA ET NOVA - Note on the Relationship Between Artificial Intelligence and Human Intelligence”.  (Rövid magyar nyelvű összefoglaló a dokumentum kapcsán elérhető pl. itt Bagyinszki Ágoston OFM „tollából”.)

Az elmúlt években – az „Antiqua et Nova” („Régi és új”) mellett is – számos olyan, akár közvetlenül Ferenc pápától származó megnyilatkozást is találhatunk, amely szintén előzményül szolgálhat XIV. Leó pápa MI-t érintő jövőbeni iránymutatásaihoz. (Ferenc pápa MI-t érintő gondolataihoz lásd pl. ezt az összefoglalót.) Ahogy a „Rerum novarum” esetében sem arról volt szó, hogy az ipari fejlődés előidézte változások elutasítása történt volna meg, a Ferenc pápa vezette Egyház is úgy viszonyult a mesterséges inelligenciához, hogy elismerte annak lehetséges pozitív hatásait, az emberiség számára kibontható széles lehetőségeket, amelyeket ez a technológia hordozni képes, ugyanakkor felhívták a figyelmet arra, hogy csak akkor tudja az MI igazán a „közjót” szolgálni, ha megfelelő etikai keretek között alkalmazzuk és mindvégig az ember marad a középpontban. (Lásd például ezt a 2020-as pápai üzenetet a téma kapcsán, amely a „The 'Good' Algorithm? Artificial Intelligence: Ethics, Law, Health” c. vatikáni konferencia résztvevőihez szólt, illetve a 2024. január 1-i Béke Világnapjára megfogalmazott üzenetet, amely a „Mesterséges intelligencia és a béke” címet viselte. Ehhez kapcsolódóan lásd a „Rome Call for AI Ethics” dokumentumot, amely a fentiek jegyében is kifejezte az MI fejlesztés és használat megfelelő etikus keretek közé helyezését, és amelynek aláírói között olyan nagyvállalatok képviselői is szerepelnek, mint a Microsoft vagy az IBM. )     

Ha nem is tudhatjuk pontosan, hogy milyen válaszok születnek a közeljövőben a Katolikus Egyház részéről az MI jelentette kihívásokra, a pápai névválasztás és annak indokolása, illetve a Rerum Novarum-ra utalás sokat sejtet. A kihívások közül, amelyeket a mesterséges intelligencia intéz a jelenkor társadalma felé, számosnak a gyökereit megtalálhatjuk az ipari forradalom indukálta változások között, így a vagyonok koncentrációja, a kiszolgáltatottság növekedése, marginalizálódás vesélye, környezeti veszélyek, természeti erőforrások túlhasználata (ez utóbbi téma kapcsán érdemes utalni Ferenc pápa „Laudato sí” kezdetű enciklikájára is, amely a környezetvédelmi kérdéseket és az azokra adható katolikus válaszokat járja körül). Ezen kihívások kapcsán a válaszok megtalálásához is lehet meríteni magából a Rerum Novarumból, illetve az enciklikát követően kibomló bőséges irodalomból. Valószínűleg nem tévedünk nagyot, ha azt várjuk, hogy  az emberi méltóság (emberközpontúság), az igazságosság és a közjóra törekvés, a szolidaritás és a szociális felelősségvállalás olyan építőkövek, amelyekre az MI-t megfelelő keretek között tartani kívánó etikai keretrendszernek épülnie kell. 

In the past few days, there has been a huge amount of attention surrounding the election of the new pope, and of course this attention also extends to what the newly elected head of the Catholic Church - who has taken the papal throne and who has chosen Leo XIV as the papal name - considers the most prominent topics and what he intends to place special emphasis on in the coming period. In his first speeches, in addition to war and peace, justice and helping those, who are in needs, the new Pope also spoke about the challenges posed by artificial intelligence (AI), to which humanity must find an appropriate response.

In his message to the College of Cardinals, Pope Leo XIV – in line with his other statements – touched on the challenges posed by AI and at the same time referred to the fact that the choice of papal name is also related to the revolutionary changes represented by AI and the tasks necessary to deal with them:

Sensing myself called to continue in this same path, I chose to take the name Leo XIV. There are different reasons for this, but mainly because Pope Leo XIII in his historic Encyclical Rerum Novarum addressed the social question in the context of the first great industrial revolution. In our own day, the Church offers to everyone the treasury of her social teaching in response to another industrial revolution and to developments in the field of artificial intelligence that pose new challenges for the defence of human dignity, justice and labour. (emphasis added)

What to expect from Pope Leo XIV on AI?

Obviously, it is too early to discuss in detail exactly how Pope Leo XIV will advance thinking about artificial intelligence, what answers he will offer to the many burning questions that AI means for humanity. It is important to emphasize that the discussion of the topic is not without precedent on the part of the Catholic Church. At the beginning of this year (January 2025), the "ANTIQUA ET NOVA - Note on the Relationship Between Artificial Intelligence and Human Intelligence" was published as a joint list of the Dicastery for Religion and Culture and Education.

In addition to the "Antiqua et Nova" ("Old and New"), we can find a number of other statements, even directly from Pope Francis, that could also serve as a precursor to Pope Leo XIV's future guidelines on AI. (For Pope Francis' thoughts on AI, see e.g. this summary.) Just as in the case of "Rerum novarum", the Church led by Pope Francis also approached artificial intelligence in such a way that it acknowledged its possible positive effects, the possibilities that this technology could unfold for humanity, but at the same time drew attention to the fact that AI can only truly serve the "common good" if it is applied within the right ethical framework and the human remains at the center. (See, for example, this message from Pope Francis, which was sent to the participants of the conference titled "The 'Good' Algorithm? Artificial Intelligence: Ethics, Law, Health" and the message for the World Day of Peace on 1 January 2024, entitled "Artificial Intelligence and Peace". In this context, see the "Rome Call for AI Ethics", which also expressed the need to place the development and use of AI within an appropriate ethical framework, and whose signatories include representatives of large companies such as Microsoft and IBM.)    

Although we do not know exactly what responses the Catholic Church will give to the challenges posed by AI in the near future, the choice of the papal name and its justification, as well as the reference to Rerum Novarum, suggest a lot. Many of the challenges posed by AI to today's society can be found in the changes induced by the Industrial Revolution, such as the concentration of wealth, the increase in vulnerability, the risk of marginalization, environmental hazards, and the overuse of natural resources (in connection with the latter topic, it is worth referring to Pope Francis' "Laudato sí", which deals with environmental issues and Catholic responses to them). In order to find answers to these challenges, we are probably not wrong if we expect human dignity (human-centredness), justice and the pursuit of the common good, solidarity and social responsibility to be the building blocks on which an ethical framework for AI should be built. 

The Hungarian Parliament has significantly restricted the fundamental right to freedom of assembly in Hungary. In connection with the disproportionate and unnecessary restriction of fundamental rights, a number of important aspects can be highlighted, and great attention has also been paid to the fact that in the event of a possible violation of the prohibition of assembly, the participants will also commit a misdemeanor, for which they can be fined (a fine of up to EUR 500 can be imposed).

In the process of detecting violations and applying legal consequences, facial image analysis (facial recognition) is used to identify, even from a distance, citizens who appear at an unauthorized assembly. In this post, I focus on the use of facial recognition systems, because this is also a very important tool of restriction of the fundamental right of assembly, which is a serious restriction of the freedom of citizens, if only by the mere possibility of using the tool can discourage many people from exercising their democratic rights (presumably this was the purpose of the legislation).

Az elmúlt héten az Országgyűlés jelentősen korlátozta a gyülekezés szabadságát biztosító alapjogot Magyarországon. Az aránytalan és szükségtelen jogkorlátozás kapcsán számos fontos szempont emelhető ki és az elmúlt napokban sokan és sokféleképpen ki is emelték ezeket a szempontokat. A gyülekezési jog korlátozása kapcsán nagy figyelmet kapott az is, hogy a tilom esetleges megsértése esetén a résztvevők is szabálysértést követnek el, akik ezért pénzbírsággal sújthatók. A szabálysértések felderítése és a jogkövetkezmények alkalmazása során pedig bevetésre kerül az arcképelemző tevékenység (arcfelismerés), így akár távolról beazonosítva a nem engedélyezett gyűlésen megjelenő polgárokat. Ebben a posztban az arcfelismerő rendszerek alkalmazásával foglalkozom, hiszen a jogkorlátozásnak ez is egy nagyon fontos eszköze, amely a polgárok szabadságának súlyos korlátozása már csak azáltal is, hogy az eszköz alkalmazásának puszta lehetősége sokakat elriaszthat attól, hogy demokratikus jogaikat gyakorolják (vélhetően éppen ez volt a szabályozás célja). 

Az Európai Bíróság március 13-án ítéletet hirdetett a C‑247/23. sz. [Deldits] ügyben, amelyben a Fővárosi Törvényszék a helyesbítéshez való joggal (GDPR 16. cikk), illetve a pontosság elvével (GDPR 5. cikk (1) bekezdés d) pont) kért iránymutatást. 

A kérdések egészen pontosan arra irányultak, hogy "a GDPR 16. cikkét úgy kell‑e értelmezni, hogy a tagállami jog szerint nyilvántartásokat kezelő hatóság az érintetti joggyakorlásra tekintettel köteles helyesbíteni a hatóság által nyilvántartott, az érintett személy nemére vonatkozó személyes adatot, amennyiben az a nyilvántartásban történt rögzítés óta megváltozott, ezáltal nem felel meg a GDPR 5. cikke (1) bekezdésének d) pontjában lefektetett pontosság elvének?" A kérdések kitértek arra is, hogy a helyesíbtséi jog gyakorlása kacsán a hatóság milyen bizonyítékokat kérhet az érintettől az igénye alátámasztása érdekében.  

Az Európai Bíróság döntése néhány nappal az előtt érkezett, hogy az Országgyűlés megszavazta a törvényjavaslatot, amely szerint tilos lesz olyan gyűlést tartani, amely "a születési nemnek megfelelő önazonosságtól való eltérést, a nem megváltoztatását, valamint a homoszexualitást népszerűsíti, jeleníti meg".

The European Data Protection Board (EDPB), based on the request of the Irish Supervisory Authority, issued its opinion under Art. 64(2) GDPR on certain data protection aspects related to the processing of personal data in the context of AI models (the "Opinion"). 

Below, I briefly summarise the main points of the Opinion and its potential impact on the development and deployment of AI models in the European Union. 

The rules of the AI Act, which came into effect as of August 1, 2024, will become applicable in several stages. Initially, from February 2, 2025, the provisions related to prohibited AI practices must be applied, and from August 2, 2025, the rules related to general purpose AI models will become applicable (see especially Chapter V of the AI Act), as well as the sections guiding the designation and establishment of authorities and governance systems playing a key role in the implementation of the AI Act (see e.g., Chapter III Section 4, Chapter VII), and the sanctions (Chapter XII). In this post, I will dive deep into the requirements related to general purpose AI models  and general purpose AI systems.

A 2024. augusztus 1-én hatályba lépett MI Rendelet szabályai több lépcsőben válnak alkalmanazdóvá. Első körben 2025. február 2-től a tiltott MI-gyakorlatokra vonatkozó rebdelkezéseket kell alkalmazni, majd 2025. augusztus 2-től alkalmazandóvá válnak az általános célú MI-modellekkel kapcsolatos szabályok (lásd különösen az MI Rendelet V. fejezetét), továbbá az MI Rendelet végrehajtásában kulcsszerepet játszó hatóságok, szervezetrendszer kijelölésére, felállítására irányadó részek (lásd pl. 3. fejezet, 4. szakasz, VII. fejezet), valamint a szankciók (XII. fejezet). Jelen posztban az általános célú MI-modellekkel és MI-rendszerekkel kapcsolatos követelményekkel foglalkozom.