Prim Hírek

A tervezet szerint ezek a vállalkozások főszabály szerint mentesülnének a személyes adatok nyilvántartásának kötelezettsége alól – kivéve, ha olyan tevékenységet végeznek, amely magas kockázatot jelent az érintettek (például ügyfelek vagy munkavállalók) számára. Az új szabályokat Bartal Iván, az Oppenheim Ügyvédi Iroda partnere értelmezte.

Bartal Iván

Bár már a GDPR elfogadása előtt is felvetődött, hogy a kisebb cégek számára egyszerűbb szabályokat kellene bevezetni, végül csak egy korlátozott kivétel került be a jogszabályba: a 250 főnél kevesebb munkavállalót foglalkoztató cégek bizonyos feltételek mellett mentesülhettek a nyilvántartási kötelezettség alól. Ez azonban nem hozta meg a várt könnyítést, így végső soron egy kisvállalkozásnak is ugyanazoknak a szigorú adatvédelmi szabályoknak kellett megfelelnie, mint egy globális nagyvállalatnak – emelte ki Bartal Iván.

Könnyebb adminisztráció a kisebb cégeknek

A Bizottság a kis- és középvállalkozásokról szóló legfrissebb éves jelentése alapján felismerte, hogy az uniós szabályozás túlbonyolítottsága akadályozza e cégek piaci megjelenését, növekedését, és aránytalanul magas megfelelési költségekkel jár. Ennek orvoslására több jogszabály egyszerűsítését tervezi, beleértve a GDPR enyhítését is a kisebb vállalkozások számára.

A tervek szerint a 750 főnél kevesebbet foglalkoztató cégeknek a jövőben nem kellene nyilvántartást vezetniük az általuk kezelt személyes adatokról, hacsak nem végeznek olyan tevékenységeket, amelyek különösen érzékenyen érintik az érintettek magánéletét. Ilyenek lehetnek például:

• Munkavállalók megfigyelése

• Vásárlási szokások alapján történő profilalkotás

• Biometrikus vagy genetikai adatok kezelése

• Helymeghatározási adatok gyűjtése

• Kamerás megfigyelés

• Új technológiák (például mesterséges intelligencia) alkalmazása munkaerő-toborzás, teljesítményértékelés vagy ügyféladatok elemzése során

Amennyiben ilyen tevékenységet folytatnak, akkor az érintett adatokra továbbra is vonatkozna a nyilvántartási kötelezettség, valamint kötelező lenne adatvédelmi hatásvizsgálatot végezni.

Fontos hangsúlyozni, hogy bár az új javaslat enyhítéseket hozna a nyilvántartási kötelezettség terén, a GDPR egyéb alapvető követelményei – például az adatvédelmi elvek betartása, jogalap megléte, adatfeldolgozói szerződések, vagy az érintettek jogainak biztosítása – továbbra is változatlanul érvényben maradnának.

Mérsékelt szabályozás – nagyobb mozgástér?

Ha a javasolt módosításokat elfogadják, a 750 fő alatti cégek egyszerűbb feltételekkel tudnának megfelelni az adatvédelmi előírásoknak. Az, hogy ez valóban előmozdítja-e a Bizottság célkitűzéseit – mint az adminisztráció csökkentése és a versenyképesség növelése – még a jövő kérdése. Mindenesetre a kisebb cégeknek érdemes lesz áttekinteniük adatkezelési gyakorlatukat, hogy kihasználhassák a várható kedvezményeket.

English Summary

The European Commission is proposing a relaxation of certain GDPR requirements for companies with fewer than 750 employees. Recognizing that the current rules impose a disproportionate burden on smaller businesses, the new proposal would exempt them from the obligation to maintain records of personal data processing—unless their activities pose a high risk to individuals. Such high-risk activities include employee monitoring, profiling, biometric data processing, or the use of AI in recruitment and performance evaluation. However, all other core GDPR obligations, such as ensuring legal grounds for processing and safeguarding data subjects' rights, would remain unchanged. If adopted, the reform could reduce compliance costs and boost the competitiveness of small and medium-sized enterprises across the EU.