Az Európai Bizottság összeállított egy csomagot az egységes belső piac hatékonyabb, kevesebb adminisztrációval járó működtetése érdekében, amely egy ún. egyszerűsítési javaslatcsomagot is tartalmaz (ez már a negyedik ilyen csomag). Az egyszerűsítési javaslatcsomag - több jogszabály mellett - a GDPR egyszerűsítését is érinti. A bizottsági csomag szoros összefüggésben van a 2024-ben publikált, Mario Draghi nevéhez köthető jelentéssel ("Draghi jelentés"), amely szintén felhívta a figyelmet az uniós szabályok egyszerűsítésének szükségességére és amely megállapításai természetesen a Bizottság 2025-re vonatkozó munkatervében is tükröződtek.
A Bizottság az érdekelt felekkel folytatott átfogó konzultációk alapján meghatározta a „rettenetes tíz” egységes piaci akadályt ("Terrible Ten Single Market barriers"):
- bonyolult vállalkozásalapítás és működtetés,
- túlzottan összetett uniós szabályok,
- az egységes piacért való tagállami felelősségvállalás hiánya,
- a szakmai képesítések elismerése,
- az innovációt és a versenyképességet hátráltató hosszú késedelmek a szabványalkotásban,
- a csomagolásra, a címkézésre és a hulladékra vonatkozó széttagolt szabályok
- elavult harmonizált termékszabályok és a termékmegfelelőség hiánya,
- korlátozó és eltérő szolgáltatásokra vonatkozó szabályozás nemzeti szinten,
- a munkavállalók ideiglenes kiküldetésére vonatkozó megterhelő eljárások
- területi ellátási korlátok.
A most publikált javaslatok keretében a GDPR tekintetében az egyszerűsítés a nyilvántartásvezetési kötelezettséget (GDPR 30. cikk) érintené és a bizottsági javaslat szerinti ún. kis méretű, közepes piaci tőkeértékű vállalatok (small mid-cap companies, "SMCs") tekintetében is alkalmazni rendelne egyes, a KKV-kat megillető könnyítéseket.
Mik azok a kis méretű, közepes piaci tőkeértékű vállalatok?
A kis méretű, közepes piaci tőkeértékű vállalatok a vállalatok új kategóriáját jelentenék. Ezek olyan vállalatok, amelyek 750-nél kevesebb alkalmazottat foglalkoztatnak, amelyek árbevétele vagy 150 millió euróig terjed vagy teljes eszközállományuk legfeljebb 129 millió euró.
Jelenleg 38 ezer vállalkozás esik ebbe a kategóriába az EU-ban. Magyarországon a működő vállalkozások elsöprő többsége (a vállalkozások több, mint 99%-a) KKV-nak* minősül. Ennek megfelelően ezt az új kategóriát érintő könnyítések hatása Magyarországon vélhetően mérsékelt lesz. (Érdekesség, hogy van olyan magyarországi megye, mégpedig Nógrád megye, ahol - 2024-es adatok szerint - a legnagyobb foglalkoztató sem alkalmaz annyi munkavállalót, hogy ebbe a kategóriába kerülhetne.)
(*a hatályos jogszabályi meghatározás alapján jelenleg "KKV-nak minősül az a vállalkozás, amelynek a) összes foglalkoztatotti létszáma 250 főnél kevesebb, és b) éves nettó árbevétele legfeljebb 50 millió eurónak megfelelő forintösszeg, vagy mérlegfőösszege legfeljebb 43 millió eurónak megfelelő forintösszeg". Lásd a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló 2004. évi XXXIV. törvényt, 3. §. Uniós szinten a KKV meghatározást, a fentiekkel egyezően a mikro-, kis- és középvállalkozások meghatározásáról szóló 2003. május 6-i 2003/361/EK bizottsági ajánlásban találjuk meg.)
Milyen GDPR módosítást javasol a Bizottság?
A javaslat a GDPR-t - a fogalommeghatározásokat tartalmazó 4. cikken túl - 3 pontban érintené:
- az adatkezelési tevékenységek nyilvántartására vonatkozó 30. cikk (5) bekezdése kerülne módosításra, kiterjesztve a nyilvántartási kötelezettség alóli mentességet, és a mentesség alóli kivétel tartalmát is pontosítaná a módosítás,
- a magatartási kódexek (40. cikk) kapcsán megjeleníti, a KKV-k és a kis méretű, közepes piaci tőkeértékű vállalatok igényeinek figyelembe vételét,
- a tanúsítás (42. cikk) tekintetében szintén a kis méretű, közepes piaci tőkeértékű vállalatok igényeinek figyelembe vétele jelenik meg kötelezettségként (természetesen itt is a KKV-kra összpontosuló figyelem mellett).
A fentiek közül érdemibb módosításnak a nyilvántartásra vonatkozó szabályok tervezett változása tekinthető, bár ennek hatása sem lesz vélhetően nagyon nagy, hiszen az érintett vállalkozások száma az EU-ban is csak 38 ezer.
A javaslat szerint a GDPR 30. cikk (5) bekezdése az alábbiak szerint módosulna:
Az (1) és (2) bekezdésben említett kötelezettségek nem vonatkoznak a 750 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, kivéve, ha az általa végzett adatkezelés valószínűsíthatően magas kockázatot jelent az érintettek jogaira és szabadságaira nézve a GDPR 35. cikke szerint.
(A GDPR 35. cikke az adatvédelmi hatásvizsgálattal kapcsolatos kötelezettségeket tartalmazza, és ennek kapcsán határozza meg a valószínűsíthetően magas kockázattal járó adatkezelési tevékenységeket, amelyek esetében hatásvizsgálatot kell végezni.)
A javaslat lényege tehát, hogy egységesen nem kellene nyilvántartást vezetnie a 750 főnél kevesebb személyt foglalkoztató szervezeteknek, beleértve az adatkezelői és adatfeldolgozói tevékenységeket is, kivéve, ha valószínűsíthetően magas kockázattal járó tevékenységet végeznek.
Mit mond most a GDPR 30. cikk (5) bekezdése?
A GDPR hatályos szövege szerint: "Az (1) és (2) bekezdésben foglalt kötelezettségek nem vonatkoznak a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, kivéve, ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár, ha az adatkezelés nem alkalmi jellegű, vagy ha az adatkezelés kiterjed a személyes adatok 9. cikk (1) bekezdésében említett különleges kategóriáinak vagy a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére."
A javaslat tehát egyrészt a foglalkoztattok száma szerinti limitet emeli meg (250-ről 750-re), másrészt a nyilvántartás vezetésére vonatkozó mentesség alóli kivételt egyszerűsíti és pontosítja (valamennyi 750 főnél kisebb szervezetre nézve). Itt érdemes megjegyezni, hogy a foglalkoztatotti létszám nem éppen egy szerencsés mérőszám az adatkezelési kötelezettségekkel összefüggésben. A digitális szolgáltatások területén számos olyan példát láthatunk, amikor nagyon kis foglalkoztatotti létszám mellett nagymértékű adatkezelésre kerülhet sor. (Abba pedig bele se megyek, hogy a foglalkoztatási viszony jellege is sok mindentől függhet, így ezen az ágon szintén bekerülhetnek a mentesség hatálya alá olyan szervezetek, amelyek nem klasszikus foglalkoztatási jogviszonyokban (pl. munkaviszony) működnek.)
Az Európai Adatvédelmi Testület és az európai adatvédelmi biztos közös levélben értékelték korábban a javaslatot, amely akkor még az 500 fő alatti foglalkoztatotti létszámot tartalmazta. A Testület és az európai adatvédelmi biztos a levelükben óvatos és előzetes támogatásukról biztosították a Bizottságot azzal, hogy a könnyítés esetleges kiterjesztése nem járhat az egyéb adatvédelmi kötelezettségek sérelmével.
Mit jelenthet ez a módosítás a gyakorlatban?
A módosítással kapcsolatos észrevételek két részre bonthatók: (i) nyilvántartásvezetés alóli mentesség kiterjesztése, és (ii) azon esetek meghatározása, amikor a mentesség mégsem alkalmazható.
(i) A nyilvántartásvezetés alóli mentesség kiterjesztése
A nyilvántartásvezetés alóli mentesség kiterjesztése feltehetően egy könnyen kipipálható egyszerűsítésnek tűnt a javaslatot előkészítőknek, hiszen ez a módosítás könnyen megtehető az adatvédelem logikájának komoly mérlegelése nélkül, csak egy számot kell átírni a GDPR-ban és azonnal kijelenthető, hogy fontos lépések történtek a túlzott bürokrácia ellen.
Ugyanakkor a nyilvántartásvezetési kötelezettség az adatvédelmi megfelelés egyik alapvető eszközét érinti és szoros összefüggésben van az elszámoltathatóság elvével (GDPR 5. cikk (2) bekezdése), miszerint az adatkezelő felelős az adatvédelmi megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására. Felmerül tehát a kérdés, hogy miként működhet egy adatkezelő elszámoltathatóan, illetve miként tudja egy adatfeldolgozó a GDPR-ból fakadó egyéb kötelezettségeit teljesíteni, ha a folyamatban lévő adatkezelési tevékenységek naprakész ismerete nem biztosított. Az adatkezelések megfelelő feltérképezése nélkül ugyanis semmilyen más adatvédelmi kötelezettség nem teljesíthető. (Pl. hogyan tud egy adatkezelő megfelelni a tájékoztatási kötelezettségének, vagy egy érintetti hozzáférési igénynek, ha nincs tisztában azzal, hogy milyen adatkezeléseket folytat, illetve erről nincs egy nyilvántartása, amiből kiindulhat? Hogyan tud megfelelni egy adatfeldolgozó a GDPR 28. cikke szerinti kötelezettségeinek, ha nincs áttekintése az általa nyújtott adatfeldolgozói szolgáltatásokról? Miként tudnak megfelelni az adatkezelők vagy az adatfeldolgozók az adatok harmadik országba történő továbbításával kapcsolatos kötelezettségeknek, ha nem végzik el megfelelően az adatkezelési tevékenyésgek felmérését és ennek eredményét nem tartják nyilván? A példák még hosszan sorolhatók lennének.)
Fontos megjegyezni azt is, hogy önmagában nem a nyilvántartás vezetése jár adott esetben nagy erőforrás-felhasználással, hanem az adatkezelések feltérképezése és értékelése. Ezt viszont mindenképpen el kell végezni, mivel ellenkező esetben nem lehet felmérni, hogy az adott adatkezelés "valószínűsíthetően magas kockázatú" vagy sem, ami pedig megkerülhetetlen, hiszen a "valószínűsíthetően magas kockázatú" adatkezelésre továbbra is vonatkoznak a nyilvántartási kötelezettségek is.
(ii) Azon esetek meghatározása, amikor a mentesség mégsem alkalmazható
A kivétel alóli kivétel visszavezet a főszabályhoz, azaz a "valószínűsíthetően magas kockázatú" adatkezelésekről továbbra is nyilvántartást kell majd vezetniük a 750 főnél kevesebb főt foglalkoztató szervezeteknek is. Az mindenképpen üdvözlendő, hogy a GDPR 35. cikkére való utalással legalább ez a része a rendelkezésnek egyértelműbb lehet a jövőben. Ráadásul a jelenleg hatályos szöveg nem "valószínűsíthetően magas kockázatról", hanem "valószínűsíthető kockázatról" szól, amely jóval tágabb, így ez a 250 főnél kevesebb főt foglalkoztató szervezetek esetében, amelyekre a nyilvántartás vezetése alóli (részleges) mentesség jelenleg is alkalmazandó, szintén változást (további könnyítést) jelent.
A mentesség és a mentesség alóli kivételek jelenlegi és javasolt új logikáját áttekintve az alábbiakat láthatjuk:
|
Mentesség |
Mentesség alóli |
|||
|
Kivétel 1 |
Kivétel 2 |
Kivétel 3 |
||
|
Jelenlegi szabály |
250 főnél kevesebb foglalkoztatott |
adatkezelés valószínűsíthetően kockázattal jár |
az adatkezelés nem alkalmi jellegű |
ha az adatkezelés kiterjed a személyes adatok 9. cikk (1) bekezdésében említett különleges kategóriáinak vagy a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére |
|
Javasolt új szabály |
750 főnél kevesebb foglalkoztatott |
adatkezelés valószínűsíthatően magas kockázatot jelent (GDPR 35. cikk) |
- |
- |
Összefoglalva megállapítható, hogy a javasolt módosításnak vélhetően nagyobb a "füstje, mint a lángja" és érdemi könnyítést nem fog jelenteni a 750 főnél kevesebb főt foglalkoztató szervezeteknek, ha azok egyébként meg akarnak felelni az egyéb adatvédelmi kötelezettségeiknek. Az viszont előrelépés, hogy a jelenleg hatályos szabály - legalább a mentesség alóli kivétel megfogalmazása tekintetében - egyértelműbbé válhat.
