Az általános adatvédelmi rendelet (GDPR) elfogadását megelőzően már felmerült, hogy a kisvállalkozásokra enyhébb, és könnyebben teljesíthető szabályokat kellene bevezetni. Az elfogadott jogszabályba végül lényegében csak egy ilyen kivétel került be, amely előírta, hogy a 250 főnél kevesebbet foglalkoztató cégeknek nem kell az általuk kezelt adatokról nyilvántartást vezetniük. Mivel azonban ez a kivétel is csak bizonyos feltételek fennállása esetén volt alkalmazható, ez a megoldás nem váltotta ki a kívánt hatást, és nem enyhítette érdemben a kisvállalkozások helyzetét, és mindez végül azt eredményezte, hogy lényegében egy kis betéti társaságnak is ugyanazon szabályoknak kell megfelelnie, mint egy globális médiacégnek – mondja Bartal Iván, az Oppenheim Ügyvédi Iroda partnere.

Ezzel kapcsolatban jó hír, hogy az Európai Bizottság a kis- és középvállalkozásokról (kkv) szóló legutóbbi éves jelentése alapján felismerte, hogy az ilyen vállalkozások számára az EU jogszabályainak bonyolultsága megnehezíti a piacra lépést, korlátozza a növekedési lehetőségeket, és indokolatlanul magas compliance-költségeket eredményezhet. A Bizottság a napokban ezért számos jogszabály egyszerűsítését, ezáltal a bürokrácia csökkentését, és a kisebb méretű piaci szereplők egyes kötelezettségeinek arányos csökkentését tűzte ki céljául.

Ennek keretében kerülne sor a GDPR egyes szabályainak enyhítésére, a kisebb cégek számára érdemi kivételek megállapítására is. A Bizottság terve alapján a 750-nál kevesebb munkavállalót foglalkoztató cégek főszabály szerint nem lennének kötelesek nyilvántartást vezetni az általuk kezelt személyes adatokról, csak amennyiben az általuk végzett tevékenységek valószínűsíthetően magas kockázattal járnak az érintettek (munkavállalók, ügyfelek) számára, de a nyilvántartási kötelezettség ilyen esetben is csak ezekre a tevékenységekre vonatkozna.

A gyakorlatban ez azt jelentené, hogy a fenti számot el nem érő munkáltatók mentesülnének egy fontos, és a nyilvántartás naprakészségének biztosítása miatt terhes kötelezettségtől, és ezt csak olyan esetben kellene teljesíteniük, ha bizonyos, az érintettek privát szféráját komolyabban érintő tevékenységet folytatnak. Ilyennek minősülhet például a munkavállalók tevékenységének megfigyelése, vásárlási vagy egyéb szokásokról történő profil építése (profilalkotás), a biometrikus vagy genetikai adatok kezelése, helymeghatározási adatok kezelése, kamerás megfigyelés, új technológiák (pl. mesterséges intelligencia) használata az ügyfelek, munkavállalók adatainak kezelése során, például a munkaerőtoborzás, munkahelyi teljesítményértékelés, vagy az ügyfelek vásárlási szokásainak elemzése során.

Ezek végzése esetén egyébként a cégeknek úgynevezett adatvédelmi hatásvizsgálatot is el kell végezniük, és fontos kiemelni, hogy ezt a kötelezettséget a többi egyéb GDPR-ból fakadó követelmény mellett (adatvédelmi alapelvek betartása, jogalapok biztosítása, adatfeldolgozói szerződések megkötése, érintetti jogok gyakorlásának biztosítása stb.) a Bizottság javaslata nem érinti, így ezek a továbbiakban is változatlan formában terhelik majd ezeket a cégeket – jegyzi meg Bartal.

Amennyiben tehát a GDPR a javaslatnak megfelelően módosításra kerül, a 750 fő alatti cégek könnyített feltételekkel tudnak majd megfelelni az adatvédelmi jogszabályi előírásoknak. Hogy mindez mennyiben fogja elősegíteni a Bizottság által kitűzött olyan hangzatos célok megvalósítását, mint a kis, – és középvállalkozások adminisztratív terheinek csökkentése, versenyképességük növelése, majd elválik; mindenesetre az enyhítés bevezetése esetén a fenti méret alatti cégeknek érdemes lesz átvilágítaniuk adatkezelési tevékenységüket az esetleges előnyök kiaknázása végett.