EDPB in EDPS pozdravljata poenostavitve obveznosti vodenja evidenc in zahtevata dodatna pojasnila
EDPB in EDPS sta izdala skupno mnenje o predlogu uredbe Evropske komisije za spremembo določenih uredb, med drugim tudi GDPR.
Predlog, ki je del četrtega svežnja poenostavitev omnibus, si prizadeva za poenostavitev pravil EU in zmanjšanje upravnega bremena. Med drugim širi nekatere razbremenilne ukrepe, ki trenutno veljajo za mala in srednje velika podjetja (MSP), tudi na podjetja srednje kapitalizacije (SMC), ter vključuje dodatne ukrepe za poenostavitev.
Predlog predvideva spremembo člena 30(5) GDPR, in sicer s podelitvijo izjeme od obveznosti vodenja evidence dejavnosti obdelave. Trenutno ta izjema velja le za podjetja in organizacije z manj kot 250 zaposlenimi, razen v določenih primerih. Po novem predlogu bi ta izjema veljala za podjetja ali organizacije z manj kot 750 zaposlenimi, razen če je dejavnost obdelave verjetno taka, da bi lahko povzročila veliko tveganje za pravice in svoboščine posameznikov, v smislu člena 35 GDPR.
Poleg tega predlog uvaja definiciji MSP in SMC v člen 4 GDPR ter širi področje uporabe členov 40(1) in 42(1) GDPR tudi na podjetja SMC – gre za določbe, ki se nanašajo na kodekse ravnanja in certificiranje. Ti instrumenti so trenutno namenjeni podpori podjetjem in organizacijam pri dokazovanju skladnosti z GDPR, s posebnim poudarkom na potrebah MSP.
Wojciech Wiewiórowski, EDPS, je dejal: »Podpiramo splošni cilj predloga, ki je zmanjšanje upravnega bremena za MSP in SMC, dokler to ne zmanjšuje varstva temeljnih pravic posameznikov, zlasti pravice do zasebnosti in varstva osebnih podatkov. V tej zvezi pozdravljamo, da so predlagane spremembe glede poenostavitve in pojasnitve obveznosti vodenja evidenc ciljno usmerjene in omejenega obsega ter da ne vplivajo na temeljna načela in druge obveznosti iz GDPR.«
Anu Talus, predsednica EDPB, je povedala: »EDPB podpira splošni cilj predloga za zmanjšanje upravnega bremena za MSP in SMC ter za zagotovitev, da lahko ta podjetja v praksi dejansko izkoristijo izjemo od dolžnosti vodenja evidenc dejavnosti obdelave. Sedanja izjema namreč ni vedno dosegla zastavljenega cilja. Hkrati pa je evidenca dejavnosti obdelave uporabno orodje za podporo izpolnjevanju drugih obveznosti, kot sta zagotavljanje preglednosti in uresničevanje pravic posameznikov. Poenostavitev bo MSP in SMC ponudila večjo fleksibilnost pri izbiri najprimernejših načinov za dosego skladnosti.«
Kar zadeva organizacije, za katere bi veljala izjema, EDPB in EDPS glede na to, da predlog vpliva tudi na zakonodajo na drugih vsebinskih področjih, pričakujeta dodatna pojasnila, zakaj bi bila nova meja 750 zaposlenih bolj ustrezna v okviru GDPR kot prvotno predlagana meja 500 zaposlenih. Poleg tega nova izjema v členu 30(5) govori o »podjetjih z manj kot 750 zaposlenimi«, ne da bi se sklicevala na novo uvedeni definiciji MSP in SMC, ki vključujeta tudi finančna merila. Da bi se zagotovilo, da bodo izjemo dejansko koristila MSP in SMC, skupno mnenje EDPB in EDPS priporoča, da se v določbo izrecno vključita novi definiciji MSP in SMC.
EDPB in EDPS prav tako pozivata sozakonodajalca, naj v predlogu pojasni, da izraz »organizacija«, ki je zajeta v predlagani izjemi po členu 30(5) GDPR, ne vključuje javnih organov in teles.
