CLVPartners

CLV-02
Menu

Az Európai Adatvédelmi Testület stratégiája és a GDPR enyhítésére irányuló javaslat a vállalkozások adminisztratív terheinek csökkentéséért

Adatvédelem, Hírek / / Adatvédelem, EDPB, GDPR

Olvasási idő: 4 perc

Az Európai Adatvédelmi Testület az idei évben is közzétette a 2024-re vonatkozó jelentését („Jelentés”), egyúttal kijelölte a 2027-ig tartó stratégiájának alapvető céljait, ezek közül egyik az adatvédelmi szabályoknak való megfelelés elősegítése. Az Európai Bizottság („Bizottság”) pedig idén májusban a vállalkozások adminisztratív terheinek csökkentése érdekében benyújtotta a GDPR egyszerűsítésre irányuló javaslatát („Javaslat”), melyet az EPDB is üdvözölt. Jelen cikkünkben az Európai Adatvédelmi Testület Jelentésében foglalt főbb megállapításokat és jövőbeni terveit foglaljuk össze, valamint kitérünk a GDPR rendelkezéseinek enyhítését célzó Javaslatra is.

Az Európai Adatvédelmi Testület szerepe az adatvédelemben

Az Európai Adatvédelmi Testület küldetése és jogi feladata az uniós adatvédelmi szabályok következetes alkalmazásának biztosítása, valamint a hatékony együttműködés előmozdítása az adatvédelmi hatóságok között az Európai Gazdasági Térségben (EGT). Feladatai közé tartozik, hogy biztosítja a GDPR egységes alkalmazását, megvizsgálja a rendelet alkalmazását érintő kérdéseket, valamint egységes alkalmazásának elősegítése érdekében iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki és azok alkalmazását szükség szerint felülvizsgálja.

A Jelentésben foglalt főbb eredmények

Az Európai Adatvédelmi Testület bármely felügyeleti hatóság, az Európai Adatvédelmi Testület elnöke vagy az Európai Bizottság kérelmére megvizsgálhat általános érvényű vagy egynél több tagállamban hatással bíró ügyet, és arról véleményt bocsáthat ki. A legutóbbi, 2024-ben készült Jelentésben az Európai Adatvédelmi Testület nyolc ilyen, ún. következetességi véleményt fogadott el, többek között a „pay or consent” („hozzájárulsz vagy fizetsz”) modellekről, vagy a személyes adatoknak a mesterséges intelligencia-modellek tanításához való felhasználásáról.

Az Európai Adatvédelmi Testület ezen kívül folytatta az adatkezelésben érintett személyekkel és szervekkel történő aktív párbeszédjét, mely eredményképpen megindította közérthető tájékoztató anyagok (factsheet-ek) közzétételét. A Jelentésben ezen kívül részletesen ismertetésre kerültek a különböző nemzeti adatvédelmi hatóságok által eszközölt intézkedések is.

Az Európai Adatvédelmi Testület az idei évben is folytatja tevékenységét, így új iránymutatást fogadott el az álnevesítéssel kapcsolatban, melyet ebben a cikkünkben ismertettünk. Az Európai Adatvédelmi Testület minden évben koordinált végrehajtási akciót is hirdet, 2024-ben a hozzáférési jogra összpontosított, míg a 2025. évre a törléshez való jog érvényesülésének felülvizsgálatát tűzte ki, erről ebben a cikkünkben adtunk hírt.

Stratégia a 2024-2027 közötti időszakra

Az Európai Adatvédelmi Testület a 2024–2027 közötti időszakra vonatkozó stratégiájában négy fő pilléren alapuló célkitűzést határozott meg:

  • az adatvédelmi szabályok következetes alkalmazásának és a megfelelés előmozdítása,
  • az adatvédelmi hatóságok közötti nemzetközi együttműködés megerősítése,
  • az adatvédelem biztosítása a kialakulóban lévő digitális és több szabályozási területet (pl.: mesterséges intelligencia) felölelő környezetben, valamint
  • a magánélet és az adatok védelmének kérdéséről folytatott globális párbeszéd támogatása.

Az Európai Adatvédelmi Testület továbbá megerősítette, hogy a jövőben is aktív szerepet kíván vállalni a kis- és középvállalkozásokat („Kkv.”) érintő szabályozási környezet alakításában. Emellett kiemelt célként határozta meg, hogy konkrét eszközökkel segítse a Kkv.-kat a jogszabályoknak való megfelelésben, valamint hozzájáruljon az adatvédelmi jogok jelentőségéről szóló társadalmi tudatosság erősítéséhez.

A GDPR egyszerűsítését célzó Javaslat

A Bizottság rámutatott, hogy az uniós jogszabályok összetettsége akadályozza a piacra lépést és korlátozza a növekedés lehetőségét. A Jelentésben megfogalmazott célok megvalósítása érdekében 2025. májusában közzétette negyedik úgynevezett omnibusz csomagot, melyben a Bizottság több uniós szabály – köztük a GDPR nyilvántartásra vonatkozó – módosítását javasolta.

A GDPR szerint jelenleg a nyilvántartás az adatkezelők és adatfeldolgozók alapvető eszköze, amellyel az adatkezeléseiket azonosítják és dokumentálják. Csupán példálózó jelleggel említjük meg, hogy ilyen nyilvántartandó elem az adatkezelés célja, az érintettek és címeztettek kategóriája, a megőrzési idő, adott esetben a harmadik országba történő adattovábbítás.

A hatályos szabályozás értelmében kizárólag abban az esetben mentesülhetnek az adatkezelők és adatfeldolgozók a nyilvántartás vezetése alól, ha 250 főnél kevesebb személyt foglalkoztatnak. Ugyanakkor ezt a könnyítést nem lehet alkalmazni, ha az adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár; az adatkezelés nem alkalmi jellegű; illetve, ha az adatkezelés kiterjed különleges adatokra vagy egyéb büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére. A felsorolás szubjektív jellege miatt a megfelelősége törekvő, compliance szemléletű vállalatoknak ezért minden esetben nyilvántartás készítését javasoljuk a kockázatok minimalizálása érdekében.

A Bizottság ugyanakkor felismerte, hogy a 250 főben meghatározott alkalmazotti létszám fennállása esetén is nagyon kevés esetben tudtak a vállalkozások mentesülni a nyilvántartási kötelezettség alól. Ezért – a Javaslat szerint – a jövőben azon vállalkozások, amelyek kevesebb mint 750 munkavállalót foglalkoztatnak és forgalmuk nem haladja meg a 150 millió eurót, vagy teljes eszközállományuk nem haladja meg a 129 millió eurót, nem kötelesek nyilvántartást vezetni. A mentesség alól kivételt jelentenének azon adatkezelési tevékenységek, amelyek várhatóan magas kockázattal járnak az érintettek – például a munkavállalók vagy ügyfelek – számára. Ugyanakkor ebben az esetben is kizárólag ezen magas kockázatú tevékenységre terjedne ki a vállalkozás nyilvántartási kötelezettsége.

A Bizottság becslései szerint ez az intézkedés az EU-ban mintegy 38.000 vállalkozást mentesítene a nyilvántartási kötelezettség alól és évente mintegy 400 millió euróval csökkentené a vállalkozások adminisztratív terheit.

Az Európai Adatvédelmi Testület támogatását fejezte ki a Javaslattal kapcsolatban. Ugyanakkor felhívta az adatkezelők figyelmét arra is, hogy az adatkezelési műveletek nyilvántartása nemcsak a megfelelést segíti elő, hanem egyben hasznos eszközként szolgál más GDPR-követelmények teljesítéséhez is.

A fentiek összegzéseként tehát látható, hogy továbbra is elvárás a cégektől, hogy:

  • naprakész információval rendelkezzenek adatkezelései vonatkozásában;
  • átlátható legyen az adatok kezelése és már a folyamatok kialakításakor vegyék figyelembe az adatkezelési szempontokat;
  • tudatosan mérlegeljék, milyen dokumentációs kötelezettséggel rendelkezzenek;
  • a kiemelt területeken továbbra is tartsák be a szigorúbb előírásokat.

Fotó: pexels.com, Marco

CLVPartners
Powered by  GDPR Cookie Compliance
Adatvédelmi áttekintés

Ez a weboldal sütiket használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k információit tárolja a böngészőjében, és olyan funkciókat lát el, mint a felismerés, amikor visszatér a weboldalunkra, és segítjük a csapatunkat abban, hogy megértsék, hogy a weboldal mely részei érdekesek és hasznosak.