Ukierunkowane zmiany w RODO: EROD i EIOD z zadowoleniem przyjmują uproszczenie obowiązków dot. prowadzenia rejestrów i proszą o dalsze wyjaśnienia
Propozycja, będąca częścią czwartego pakietu uproszczeń Omnibus, ma na celu uproszczenie przepisów UE i zmniejszenie obciążeń administracyjnych. Rozszerza ona niektóre środki łagodzące dostępne dla małych i średnich przedsiębiorstw (MŚP) na małe przedsiębiorstwa o średniej kapitalizacji (SMC) i zawiera dodatkowe działania upraszczające.
Zmiany w art. 30 ust. 5 RODO
Propozycja zakłada modyfikację art. 30 ust. 5 RODO, wprowadzając odstępstwo od obowiązku prowadzenia rejestru czynności przetwarzania danych. Obecnie odstępstwo to dotyczy tylko przedsiębiorstw i organizacji zatrudniających mniej niż 250 pracowników, z pewnymi wyjątkami. Zgodnie z nową propozycją odstępstwo miałoby dotyczyć podmiotów zatrudniających mniej niż 750 osób, chyba że przetwarzanie danych może prowadzić do wysokiego ryzyka dla praw i wolności osób fizycznych, zgodnie z art. 35 RODO.
Nowe definicje i rozszerzenie zakresu
Propozycja wprowadza definicje MŚP i SMC w art. 4 RODO oraz rozszerza zakres art. 40 ust. 1 i art. 42 ust. 1 RODO na SMC, odnosząc się do kodeksów postępowania i mechanizmów certyfikacji. Narzędzia te mają pomóc przedsiębiorstwom w wykazaniu zgodności z RODO, uwzględniając specyficzne potrzeby MŚP.
Komentarze przedstawicieli instytucji
Wojciech Wiewiórowski, Europejski Inspektor Ochrony Danych, powiedział: „Popieramy ogólny cel propozycji, jakim jest zmniejszenie obciążeń administracyjnych dla MŚP i SMC, pod warunkiem że nie obniży to poziomu ochrony podstawowych praw jednostki, w szczególności prawa do prywatności i ochrony danych osobowych.
Z zadowoleniem przyjmujemy fakt, że proponowane zmiany są ukierunkowane, ograniczone i nie naruszają podstawowych zasad oraz innych obowiązków wynikających z RODO”.
Anu Talus, Przewodnicząca Europejskiej Rady Ochrony Danych, stwierdziła: „EDPB popiera ogólny cel propozycji, jakim jest zmniejszenie obciążeń administracyjnych dla MŚP i SMC oraz zapewnienie, że w praktyce będą one mogły korzystać z odstępstwa od obowiązku prowadzenia rejestrów czynności przetwarzania. Obecne odstępstwo nie zawsze spełniało swoje zadanie. Jednocześnie rejestr czynności przetwarzania jest użytecznym narzędziem wspierającym zgodność z innymi obowiązkami, takimi jak przejrzystość czy realizacja praw osób, których dane dotyczą. Uproszczenie zapewni większą elastyczność MŚP i SMC w wyborze najbardziej odpowiednich metod zgodności”.
Potrzeba dalszych wyjaśnień
W odniesieniu do organizacji objętych odstępstwem EDPB i EDPS oczekują dalszych wyjaśnień, dlaczego nowy próg zatrudnienia poniżej 750 osób jest bardziej odpowiedni w kontekście RODO niż pierwotnie rozważany próg 500 pracowników. Ponadto nowe odstępstwo w art. 30 ust. 5 odnosi się do „przedsiębiorstw zatrudniających mniej niż 750 pracowników”, nie uwzględniając nowo wprowadzonych definicji MŚP i SMC, które obejmują również kryteria finansowe. Aby zapewnić, że odstępstwo będzie korzystne dla MŚP i SMC, wspólna opinia EROD i EIOD zaleca odniesienie się do tych definicji.
Wyłączenie organów publicznych
EROD i EIOD apelują również do współprawodawców o doprecyzowanie w propozycji, że termin „organizacja”, objęty zakresem proponowanego odstępstwa w art. 30 ust. 5 RODO, nie obejmuje organów i instytucji publicznych.
Źródło:
Komunikat Europejskiej Rady Ochrony Danych
