Maja 2025 je Evropska komisija[1] predlagala ciljne spremembe GDPR, da bi zmanjšala administrativno breme za manjša podjetja, ne da bi pri tem posegla v bistvene zaščitne ukrepe uredbe. Glavna sprememba: poenostavitev evidence iz člena 30 s povišanjem praga za izvzetje na manj kot 750 zaposlenih in vezavo obveznosti vodenja evidence na obdelavo, ki lahko povzroči visoko tveganje. Približno 38.000 malih podjetij s srednje veliko tržno kapitalizacijo (ang. small mid-cap company; SMC) bi imelo nove koristi, poleg ~26 milijonov MSP, ki že spadajo pod manj stroge določbe; Komisija ocenjuje letne prihranke pri upravljanju GDPR na približno 66 milijonov evrov (v okviru širšega paketa poenostavitev v vrednosti ~400 milijonov evrov na leto). Ker približno 99 % podjetij v EU zaposluje manj kot 750 oseb, bi večina spadala pod lažji režim vodenja evidenc, razen če ne izvajajo obdelave z visokim tveganjem.
Kaj se spreminja?
Predlog vključuje SMC v opredelitve GDPR, tj. podjetja, ki so večja od MSP, vendar imajo še vedno manj kot 750 zaposlenih (in so v okviru določenih finančnih omejitev: promet ≤ 150 milijonov EUR ali bilanca ≤ 129 milijonov EUR). Nato spreminja člen 30(5), tako da podjetja in organizacije z manj kot 750 zaposlenimi ne potrebujejo uradnega registra dejavnosti obdelave, razen če je verjetno, da bo določena obdelava povzročila visoko tveganje za pravice in svoboščine posameznikov (enak prag tveganja, ki sproži DPIA v skladu s členom 35). Dve sedanji oviri izginjata: ne bo več veljalo, da vas neredna obdelava ali obdelava podatkov posebne kategorije ali podatkov o kaznivih dejanjih samodejno prisili k vodenju evidence; ti dejavniki so še vedno pomembni, vendar le če zaradi njih obdelava verjetno predstavlja visoko tveganje. Uvodna izjava tudi pojasnjuje, da obdelava podatkov posebnih kategorij za izpolnjevanje obveznosti v zvezi z zaposlovanjem in socialno varnostjo sama po sebi ne zahteva vodenja evidence, razen če je stopnja tveganja visoka.
Poleg evidenc osnutek posodablja člena 40 in 42, tako da se kodeksi ravnanja in mehanizmi certificiranja razvijajo ob upoštevanju potreb SMC, ne le MSP.
(Kaj se ne spremeni: vse bistvene obveznosti GDPR: zakonita podlaga, preglednost, varnost, DPIA za obdelavo z visokim tveganjem, pravice posameznikov, na katere se nanašajo osebni podatki, sprožilci DPO – vse ostane enako kot doslej)
Zakaj te spremembe?
Bruselj poskuša odpraviti »prepad skladnosti«, ki prizadene podjetja v trenutku, ko presežejo status MSP. Namen je ohraniti orodja za odgovornost tam, kjer prinašajo največjo dodano vrednost (tj. obdelava z visokim tveganjem), in preprečiti, da bi mala in srednja podjetja porabljala nesorazmerno veliko časa za dokumentiranje rutinske uporabe podatkov z nizkim tveganjem. Gre tudi za konkurenčnost: manj birokracije naj bi ambicioznim SMC olajšalo širitev, naložbe in sprejemanje novih tehnologij, hkrati pa ohranilo tveganju prilagojeno osnovo GDPR.
Skupno mnenje EDPB in EDPS
EDPB in EDPS sta izdala skupno mnenje,[2] ki je načeloma spodbudno, vendar zakonodajalce poziva, naj osnutek poostrijo: pojasnijo, zakaj je 750 pravi prag (prej je bil 500), kako izrecno povezati izjemo z opredelitvami MSP/SMC (da se velika podjetja z manj kot 750 zaposlenimi, vendar ogromnim prometom, ne izognejo izjemi, na primer s finančnimi omejitvami), kako izvzeti javne organe iz odstopanja, in jasno navedejo, da je treba evidentirati le obdelavo, za katero je verjetno, da je visoko tvegana (da se izogne »enemu visoko tveganemu dejanju, ki pomeni evidentiranje vsega«).
Poslovni vidik in vidik zasebnosti
Podjetja, zlasti MSP in SMC, v glavnem vidijo smiselno ponastavitev: manj časa za vodenje evidenc dejavnosti obdelave za vsakdanje obdelave, več časa za izdelke, varnost in storitve. Mnoga srednje velika proizvodna podjetja, dobavitelji zdravstvenih storitev in tehnološka podjetja B2B pričakujejo oprijemljive prihranke in hitrejše izvajanje. Vendar nekateri predstavniki industrije menijo, da je ta korak preveč skromen, saj pomaga le relativno ozkemu segmentu (podjetja z 250–749 zaposlenimi) in ne rešuje globljih težav, kot so neenako izvrševanje in nacionalne razlike.
Zagovorniki zasebnosti in potrošnikov se bojijo, da bo opustitev obveznega vodenja evidenc v večini podjetij oslabila odgovornost. Evidenca je pogosto način, na katerega organizacije (in regulatorji) ugotovijo, kakšni tokovi podatkov dejansko obstajajo. Trdijo, da če ta del odstranite, povzročite slepe točke pri oceni tveganja, obravnavanju incidentov in odzivih na kršitve pravic. Prav tako opozarjajo na precedens ponovnega odprtja GDPR: danes začnite z dokumentacijo, jutri pa izničite vsebino. Obe strani pa se vseeno strinjata v eni točki: obdelava z visokim tveganjem mora ostati v celoti dokumentirana.
Kaj to pomeni v praksi?
Če ima vaša organizacija manj kot 750 zaposlenih, je obveznost vodenja evidenc dejavnosti obdelave pogojena z oceno tveganja za vsako dejavnost obdelave. V praksi to pomeni, da potrebujete jasen, ponovljiv način za oceno »verjetnega visokega tveganja« z uporabo znanih meril DPIA (obseg, občutljivost, ranljivi posamezniki, sistematično spremljanje, nove tehnologije), nacionalnih črnih/belih seznamov DPIA, če so na voljo, in smernic za sektor. Če je odgovor pritrdilen, opravite DPIA in vodite evidence za to obdelavo. Če je odgovor negativen, lahko preskočite uradno evidenco; mnoge organizacije bodo še vedno vodile skromen inventar obdelave, ker to olajša vse drugo: obvestila o zasebnosti, zahteva za dostop do podatkov, nadzor dobaviteljev, varnostno načrtovanje, razvrščanje kršitev, revizije in ker lahko veliki kupci to pogodbeno zahtevajo od obdelovalcev ne glede na pravno izjemo.
Če bodo predlagane spremembe sprejete, bo verjetno treba obvladovati (vsaj) dve tveganji. Prvič, napačna klasifikacija: če dejavnost z visokim tveganjem označite kot dejavnost z nizkim tveganjem in preskočite evidence dejavnosti obdelave/DPIA, se tveganje poveča, če pride do napake. Vgradite drugi par oči (DPO, svetovalec, zunanji svetovalec) za sporne primere. Drugič, odmik: proces, ki je bil sprva nizko tvegan, lahko postane visoko tvegan, če se spremenijo količine, nameni ali vrste podatkov; načrtujte redne preglede in poskrbite, da vas upravljanje sprememb izdelkov/IT zgodaj opozori na vplive na zasebnost.
Če imate več kot 750 zaposlenih, se operativno nič ne spremeni: ohranite evidence na ravni podjetja in nadaljujte.
Zaključek
Ta osnutek ne spreminja GDPR, temveč prilagaja obseg administrativnega dela. S tem, ko so uradne evidence potrebne za obdelavo visokega tveganja, in s priznavanjem SMC Evropska unija spodbuja manjša in srednje velika podjetja k upravljanju, ki daje prednost tveganju: manj izpolnjevanja obrazcev, več pozornosti tam, kjer je škoda najverjetnejša. Pametna poteza za podjetja je, da prilagodijo svojo razvrstitev tveganj, vodijo pregledne, žive evidence ključnih obdelav in počakajo na končno besedilo, zlasti na pojasnila, ki so jih organi za varstvo podatkov zahtevali od zakonodajalcev (npr. kaj predstavlja obdelavo z visokim tveganjem).
Ta prispevek je bil pripravljen s pomočjo umetne inteligence in ga je pregledal in odobril usposobljen pravnik. Namenjen je le splošni informaciji in ne predstavlja pravnega nasveta.
[1] Vir: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52025PC0501R%2801%29 (Predlog UREDBE EVROPSKEGA PARLAMENTA IN SVETA o spremembi uredb (EU) 2016/679, (EU) 2016/1036, (EU) 2016/1037, (EU) 2017/1129, (EU) 2023/1542 in (EU) 2024/573 glede razširitve nekaterih blažilnih ukrepov, ki so na voljo malim in srednjim podjetjem, na mala podjetja s srednje veliko tržno kapitalizacijo ter nadaljnjih ukrepov za poenostavitev)
[2] Vir: https://www.edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-012025-proposal_en (Skupno mnenje EDPB-EDPS 01/2025 o predlogu uredbe o poenostavitvenih ukrepih za MSP in SMC, zlasti obveznosti vodenja evidence v skladu s členom 30(5) GDPR)
