fbpx
26
máj

Úton van a GDPR egyszerűsítése

, , ,

Nyolc évvel a GDPR kötelező alkalmazását követően úton van a GDPR egyszerűsítése. Kikre vonatkozik és milyen könnyítést jelent ez az adatvédelmi megfelelésben? Blogcikkünkben az egyszerűsítés tervezett szabályait és gyakorlati jelentőségét vizsgáljuk.

Miért szükséges a GDPR egyszerűsítése?

Az Európai Bizottság még 2023-ban megállapította, hogy ésszerűsíteni és egyszerűsíteni kell a vállalkozásokra és a közigazgatásra vonatkozó adminisztratív követelményeket. Ezért kötelezettséget vállalt arra, hogy ezeket 25%-kal csökkenti anélkül, hogy ez aláásná a vonatkozó jogszabályok szakpolitikai célkitűzéseit. Ezt a kötelezettségvállalást később az összes adminisztratív költség 25%-os, a kis- és középvállalkozások (kkv-k) esetében pedig 35%-os csökkentésére emelték.

Az Európai Bizottság a szabályozási terhek csökkentése körében 2025. május 2-án megerősítette, hogy a GDPR egyszerűsítése a tervei között szerepel a közeljövőben.

Mely kötelezettségre vonatkozna az egyszerűsített GDPR?

Fontos, hogy a GDPR egyszerűsítése a jelenlegi javaslat szerint kizárólag a nyilvántartási kötelezettségre vonatkozik.

Az Általános Adatvédelmi Rendelet 30. cikke nyilvántartási kötelezettséget ír elő az adatkezelők és az adatfeldolgozók számára.

Az adatkezelői nyilvántartásnak az alábbiakat kell taralmaznia:

  • az adatkezelő/adatfeldolgozó/közös adatkezelő neve, elérhetősége, képviselője, adatvédelmi tisztviselő neve és elérhetősége,
  • adatkezelés céljai,
  • az érintettek és a személyes adatok kategóriái,
  • címzettek kategóriái, ideértve a harmadik országbeli címzettek és a nemzetközi szervezetek,
  • harmadik országba történő adattovábbítás megfelelő garanciái (adott esetben),
  • a különböző adatkategóriák törlésére előirányzott határidők (ha lehetséges),
  • az adatkezelés biztonsága érdekében megtett technikai és szervezési intézkedések (ha lehetséges).

Az adatfeldolgozók nyilvántartásának kötelező tartalma:

  • adatfeldolgozó(k) neve és elérhetőségei, minden olyan adatkezelő neve és elérhetőségei, akinek a nevében az adatfeldolgozó eljár, adatvédelmi tisztviselő neve és elérhetőségei,
  • az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái,
  • harmadik országba történő adattovábbítás, annak megfelelő garanciái (adott esetben),
  • az adatkezelés biztonsága érdekében megtett technikai és szervezési intézkedések (ha lehetséges).

A GDPR jelenlegi könnyítése a kis- és középvállalkozások számára

Az Általános Adatvédemi Rendelet a kis- és középvállalkozások tekintetében mindössze egyetlen mentesülési lehetőséget tartalmaz az adminisztratív előírások tekintetében. A GDPR 30. cikkének (5) bekezdése szerint az adatvédelmi nyilvántartással kapcsolatos kötelezettségek nem vonatkoznak a 250 főnél kevesebb személyt foglalkoztató vállalkozásokra. Ez a könnyítés azonban nem alkalmazható az alábbi kivételek esetén:

  • ha az adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár,
  • ha az adatkezelés nem alkalmi jellegű,
  • ha az adatkezelés különleges adatokra vagy büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatokra is kiterjed.

Kikre vonatkozott eredetileg GDPR egyszerűsítése a Bizottság javaslat tervezete szerint?

Már a javaslat tervezete is új kategóriát hozott létre a kis- és középvállalkozásokra. A nyilvántartási kötelezettség alóli mentesülés eredetileg az olyan ún. kis-közepes tőkeerejű cégekre (small mid-cap companies, SMCs) és szervezetekre vonatkozott volna, akiknek 500 főnél kevesebb alkalmazottjuk van.

A Bizottság a kockázattal járó adatkezelés kivételét már a tervezet szerint is „valószínűsíthetően magas kockázatra” kívánra módosítani, a másik két kivétel teljes eltörlése mellett.

Az Európai Adatvédelmi Testület véleménye a GDPR egyszerűsítéséről

Az Európai Adatvédelmi Testület (EDPB) 2025. május 8-án tette közzé az adatvédelmi biztossal közösen kialakított véleményét a GDPR egyszerűsítési javaslatával kapcsolatban.

Az EDPB és az európai adatvédelmi biztos előzetes támogatását fejezte ki e célzott egyszerűsítési kezdeményezéssel kapcsolatban. Az eltérés alóli kivételekkel kapcsolatos terveket a vélemény fontos eszközökként említi a kis- és középvállalkozások adminisztratív terheinek csökkentésére.

Mivel a nagyon kis vállalkozások is végezhetnek magas kockázatú adatkezelést, ezért fontosnak tartják a kockázatalapú megközelítés fenntartását. Az EDPB és az európai adatvédelmi biztos ezért támogatja, hogy a nyilvántartási kötelezettség továbbra is kötelező lenne a „valószínűsíthetően magas kockázatú” adatkezelésekre. Az EDPB adatvédelmi hatásvizsgálatra vonatkozó iránymutatásai azonban hasznos információkat nyújtanak a „valószínűsíthetően magas kockázatot eredményező” adatfeldolgozás fogalmáról

Az Európai Bizottság 2025. május 21-i javaslata – a GDPR egyszerűsítése még szélesebb kör számára

Az Európai Bizottság javaslata tágabban határozza meg az egyszerűsítéssel érintett adatkezelői kört. Az SMC-k definíciójában magasabb maximális foglalkoztatotti létszámot határoz meg.

A javaslat az SMC-ket az alábbiak szerint határoza meg:

  • olyan vállalkozások, amelyek az alábbi három kritérium közül legalább kettőnek megfelelnek: a munkavállalók átlagos létszáma a pénzügyi év során 750 főnél kevesebb, mérlegfőösszegük nem haladja meg a 129 000 000 EUR-t, éves nettó árbevételük pedig a 150 000 000 EUR-t;
  • a pénzügyi eszközök piacáról szóló 2014/65/EU irányelvben meghatározott kis- és közepes vállalkozások: olyan vállalkozások, amelyeknek az előző három naptári évben az átlagos piaci tőkeértéke 200 000 000 eurónál kevesebb volt.

A javaslat a kivételek tekintetében nem változatott a tervezet konpcepcióján: egyedül a magas kockázattal járó adatkezeléseket tartotta meg. A nyilvántartást csak akkor teszi kötelezővé az SMC-k számára, ha az adatkezelés valószínűleg „magas kockázattal” jár az érintettek jogaira és szabadságaira nézve.

A GDPR javasolt egyszerűsítését az alábbi táblázatban foglaltuk össze:

A GDPR EGYSZERŰSÍTÉSE – A NYILVÁNTARTÁS KÖTELEZETTSÉG KÖNNYÍTÉSE
 GDPRAZ EURÓPAI BIZOTTSÁG JAVASLATA
ÉRINTETT ADATKEZELŐK/
ADATFELDOLGOZÓK		SME
250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezet

SMC
– a munkavállalók átlagos létszáma a pénzügyi év során 750 főnél kevesebb, mérlegfőösszegük nem haladja meg a 129 000 000 EUR-t, éves nettó árbevételük pedig a 150 000 000 EUR-t (a háromből két feltételnek kell teljesülni);
– vállalkozások, amelyeknek az előző három naptári évben az év végi jegyzések alapján az átlagos piaci tőkeértéke 200 000 000 eurónál kevesebb volt.
KIVÉTELEK – az adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár,
– az adatkezelés nem alkalmi jellegű,
– az adatkezelés különleges adatokra vagy büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatokra is kiterjed  		 – az adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően magas kockázattal jár

A javaslat továbbá a GDPR magatartási kódexek és tanúsítási mechanizmusok ösztönzésére vonatkozó rendelkezéseinek hatályát kiterjesztené az SMC-kre is.

Milyen tényleges előnyökkel jár a GDPR egyszerűsítése?

A kis- és középvállalkozások mentesülése a 250 főben maximált alkalmazotti létszám mellett is csak nagyon szűk körben volt alkalmazható. Az alkalmazás korlátját leginkább az alkalmi adatkezelésre vonatkozó kivétel jelentette. A tényleges könnyítést tehát elsősorban a kivételek eltörlése, illetve a magas kockázattal járó adatkezelésre szorítása jelenti. Ezzel válik igazán elérhetővé a kis- és középvállalkozások számára a nyilvántartási kötelezettség alóli mentesülés. A mentesség kis-közepes tőkeerejű vállalatokra (SMC-kre) történő kiterjesztésével ez a reális könnyítési lehetőség valóban széles adatkezelői kör számára lesz elérhető. Az EU-ban közel 38 000, ebbe a kategóriába tartozó vállalkozás részesül majd bizonyos kkv-kedvezményekben vagy egyszerűsített szabályokban.

Az Európai Bizottság várakozásai szerint az uniós vállalatoknak a GDPR egyszerűsítése 400 millió eurónyi éves adminisztratív költséget takarít meg. Az intézkedések a vállalkozások új kategóriájával könnyítik a megfelelési kötelezettségeket, és forrásokat szabadítanak fel a növekedés és a beruházások számára.

Fontos azonban kiemelni, hogy a könnyítés csupán az adatkezelési nyilvántartás vezetésére vonatkozik.

A GDPR javaslat szerinti egyszerűsítése nem érinti az adatkezelők és adatfeldolgozók azon kötelezettségét, hogy megfeleljenek a GDPR egyéb kötelezettségeinek.

MIBEN TUD SEGÍTENI A SZALAI LEGAL?

Bár a GDPR egyszerűsítése az eddiginél szélesebb kis- és középvállalkozást érintő adatkezelői/adatfeldolgozói körnek jelenthet ténylegesen is elérhető könnyítést, az ezzel kapcsolatos jogalkotás még folyamatban van. A javaslat elfogadásáig a nyilvántartási kötelezettség még terheli a kis- és középvállalkozásokat, a GDPR többi kötelezettsége pedig azt követően is. A Szalai Legal a digitális vállalkozások jogi szolgáltatójaként több, mint két évtizedes tapasztalattal és szakjogászi háttérrel támogatja ügyfeleit az adatvédelmi jogi problémái kezelésében - általában úgy, hogy megelőzi azokat.
Previous Post

Related Posts

Nyereményjáték
április 24, 2025

A nyereményjáték szervezés legfontosabb szabályai

Lead mágnes
december 1, 2021

A lead generálás legális eszközei, avagy így használj jogszerűen lead mágnest!

Kategóriák