A szabályozás átalakulása révén mérséklődik a GDPR szigorúsága.
Az Európai Bizottság a GDPR enyhítését tervezi a 750 főnél kevesebb munkavállalót foglalkoztató cégek számára, felismerve, hogy a jelenlegi szabályozás aránytalan terhet ró a kisebb vállalkozásokra. A javaslat alapján ezek a cégek főszabály szerint mentesülnének a személyes adatok nyilvántartási kötelezettsége alól, kivéve, ha tevékenységük magas kockázatot jelent az érintettek számára. Az enyhítés célja az adminisztratív terhek csökkentése és a versenyképesség növelése. A legfontosabb tudnivalókat Bartal Iván, az Oppenheim Ügyvédi Iroda partnere foglalta össze.
Az általános adatvédelmi rendelet (GDPR) elfogadását megelőzően már felmerült az igény, hogy a kisebb vállalkozások számára enyhébb és könnyebben teljesíthető szabályozást kellene bevezetni. Az elfogadott jogszabályban végül csupán egy ilyen kivétel szerepelt, mely szerint a 250 főnél kevesebb munkavállalót foglalkoztató cégeknek nem szükséges nyilvántartást vezetniük az általuk kezelt adatokról. Azonban ez a kivétel is csak bizonyos előírások mellett alkalmazható, így a megoldás nem hozta meg a várt eredményeket, és nem könnyítette meg a kisvállalkozások helyzetét. Ennek következtében gyakorlatilag egy kis betéti társaságnak is ugyanolyan szigorú szabályoknak kell megfelelnie, mint egy nemzetközi médiavállalatnak - nyilatkozik Bartal Iván, az Oppenheim Ügyvédi Iroda partnere.
Jöhet a változás a 750 fő alatti cégek részére
Ezzel kapcsolatban jó hír, hogy az Európai Bizottság a KKV-król szóló legutóbbi éves jelentése alapján felismerte, hogy az ilyen vállalkozások számára az EU jogszabályainak bonyolultsága megnehezíti a piacra lépést, korlátozza a növekedési lehetőségeket, és indokolatlanul magas compliance-költségeket eredményezhet. A Bizottság a napokban ezért számos jogszabály egyszerűsítését, ezáltal a bürokrácia csökkentését, és a kisebb méretű piaci szereplők egyes kötelezettségeinek arányos csökkentését tűzte ki céljául.
Ennek keretében kerülne sor a GDPR egyes szabályainak enyhítésére, a kisebb cégek számára érdemi kivételek megállapítására is. A Bizottság terve alapján a 750-nál kevesebb munkavállalót foglalkoztató cégek főszabály szerint nem lennének kötelesek nyilvántartást vezetni az általuk kezelt személyes adatokról, csak amennyiben az általuk végzett tevékenységek valószínűsíthetően magas kockázattal járnak az érintettek (munkavállalók, ügyfelek) számára, de a nyilvántartási kötelezettség ilyen esetben is csak ezekre a tevékenységekre vonatkozna.
A gyakorlatban ez azt jelentené, hogy azok a munkáltatók, akik nem érik el a megadott küszöbértéket, mentesülnek egy lényeges, a nyilvántartások folyamatos frissítésének biztosítása érdekében terhes kötelezettségtől. Ezen kötelezettséget kizárólag abban az esetben kellene teljesíteniük, ha olyan tevékenységet folytatnak, amely jelentősen befolyásolja az érintettek magánéletét. Ilyen például a munkavállalók tevékenységeinek figyelemmel kísérése, vásárlási vagy egyéb szokásaikról történő profilalkotás, a biometrikus vagy genetikai adatok kezelése, helymeghatározási információk gyűjtése, kamerás megfigyelés, valamint új technológiák (például mesterséges intelligencia) alkalmazása az ügyfelek és munkavállalók adatainak kezelésében. Ez magában foglalja a munkaerő toborzást, a munkahelyi teljesítményértékelést, illetve az ügyfelek vásárlási szokásainak elemzését is.
Ezek végzése esetén egyébként a cégeknek ún. adatvédelmi hatásvizsgálatot is el kell végezniük, és fontos kiemelni, hogy ezt a kötelezettséget a többi egyéb GDPR-ból fakadó követelmény mellett (adatvédelmi alapelvek betartása, jogalapok biztosítása, adatfeldolgozói szerződések megkötése, érintetti jogok gyakorlásának biztosítása stb.) a Bizottság javaslata nem érinti, így ezek a továbbiakban is változatlan formában terhelik majd ezeket a cégeket - jegyzi meg Bartal.
Amennyiben tehát a GDPR a javaslatnak megfelelően módosításra kerül, a 750 fő alatti cégek könnyített feltételekkel tudnak majd megfelelni az adatvédelmi jogszabályi előírásoknak. Hogy mindez mennyiben fogja elősegíteni a Bizottság által kitűzött olyan hangzatos célok megvalósítását, mint a kis, - és középvállalkozások adminisztratív terheinek csökkentése, versenyképességük növelése, majd elválik; mindenesetre az enyhítés bevezetése esetén a fenti méret alatti cégeknek érdemes lesz átvilágítaniuk adatkezelési tevékenységüket az esetleges előnyök kiaknázása végett.
