GDPR-enyhítés: Majdnem aláásta az adatvédelem lényegét

BUMM-ELEMZÉS

Az Európai Bizottság 2025 májusában benyújtott javaslata a GDPR (Általános Adatvédelmi Rendelet) egyes adminisztratív kötelezettségeinek enyhítésére az „Omnibus IV.” egyszerűsítési csomag részeként érkezett. A cél nemes: csökkenteni a növekvő vállalkozásokra nehezedő bürokratikus terheket, miközben megőrizni a magas szintű adatvédelmet. Azonban felmerül a kérdés: megfelelő-e a kiválasztott célcsoport, és nem gyengíti-e a változtatás a GDPR lényegét?

Mi a probléma valójában?

A GDPR-t eredetileg éppen azért alkották meg, hogy az egyének védelmét garantálja a nagyvállalatokkal szemben – azokkal a szereplőkkel szemben, amelyek hatalmas mennyiségű adatot gyűjtenek, elemeznek és használnak fel, gyakran kereskedelmi vagy politikai célokra. Az elmúlt évek adatvédelmi botrányai (pl. Facebook-Cambridge Analytica) pontosan megmutatták, miért szükséges a szigorú adatkezelési szabályozás.

Súlyos dolgok derültek ki a Cambridge Analytica rendszeréről 2020. január 6. Minden korábbinál súlyosabb szinteket érhetett el az utóbbi időben az amerikai, 2016-os választásban és a brexit-népszavazásban is közrejátszó adatgyűjtő és kommunikációs cég, a Cambridge Analytica a poltikai online…

Ehhez képest a mostani javaslat egyes pontjai azt kockáztatták, hogy épp e védelmi keretrendszert gyengítik meg – nem az aránytalanul túlterhelt mikrovállalkozások javára, hanem a közepes vagy annál nagyobb cégek érdekében. Ezért fontos, hogy a kezdeti ötlet, miszerint a nagyvállalatok is részesüljenek az enyhítésben, végül nem került be a végleges javaslatba. Ez – a civil társadalom, adatvédelmi szakértők és az EDPB nyomásának is köszönhetően – komoly győzelem az európai polgárok számára.

Mi szerepel végül a javaslatban?

A Bizottság javaslata a következő főbb változtatásokat tartalmazza:

- Adatkezelési nyilvántartási kötelezettség enyhítése: a GDPR 30. cikke alapján jelenleg minden adatkezelőt terhel a kötelezettség, hogy részletes nyilvántartást vezessen az adatkezelési tevékenységeiről. A javaslat értelmében ez alól mentesülhetnek azok a cégek, amelyek kevesebb mint 750 alkalmazottat foglalkoztatnak és nem végeznek magas kockázatú adatkezelést.

- SMC (Small Mid-Cap Companies) kategória bevezetése: az új kedvezmények nemcsak a klasszikus KKV-kra (250 fő alatt), hanem a növekvő vállalatokra is kiterjednek, amelyek kevesebb mint 750 főt foglalkoztatnak és éves forgalmuk nem haladja meg a 150 millió eurót, vagy mérlegfőösszegük a 129 millió eurót.

- Kötelező figyelembevétel a tanúsítások és magatartási kódexek esetében: ezek kidolgozásakor ezentúl külön figyelmet kell fordítani az SMC-k sajátos körülményeire.

Miért fontos, hogy a nagyvállalatok kimaradtak?

A GDPR alapelvei – átláthatóság, célhoz kötöttség, adatminimalizálás – épp a nagy adatkezelőkkel szemben adnak védelmet az állampolgároknak. Ha ezek a cégek mentességet kaptak volna, az veszélybe sodorta volna a hatékony ellenőrizhetőséget, torzította volna a jogállamiságot és gyakorlatilag lehetőséget adott volna az adatkezelési kockázatok elrejtésére.

Szerencsére a Bizottság – az adatvédelmi testületek ellenállása és a civil vélemények nyomása nyomán – visszakozott ettől a gondolattól.

Kik profitálhatnak ebből Szlovákiában?

A változtatás elsősorban a középvállalati szegmensnek kedvezhet. Szlovákiában ez a réteg jellemzően regionális termelő vagy logisztikai cégek (pl. gépipari beszállítók, elektronikai gyártók), IT és szoftverfejlesztő vállalkozások (pl. 100–400 fős startupokból kinőtt cégek), egészségügyi szolgáltatók vagy laboratóriumhálózatok, ha nem végeznek különleges adatokkal magas kockázatú feldolgozást.

Az Európai Bizottság 2025-ös GDPR-javaslata jó irányba indult, de csak azért nem lett veszélyes, mert a valóban kockázatos pontok végül kimaradtak. A cél – a kkv-k és növekvő cégek adminisztrációs terheinek csökkentése – teljesen helyes, de nem szabad elfelejteni, hogy a GDPR-t nem a vállalatok kényelme miatt, hanem az emberek védelmében hozták létre.

(bumm, ccs)

Kiemelt kép: AI