.jpeg)
.jpg)
.jpg)
.jpg)
.jpg)
Zarejestruj się i uzyskaj dostęp do licznych narzędzi
EROD i EIOD o uproszczeniu obowiązku prowadzenia rejestrów czynności przetwarzania – reakcja na projekt Komisji Europejskiej
13/05/2025
8 maja 2025 r. Europejska Rada Ochrony Danych (EROD, EDPB) oraz Europejski Inspektor Ochrony Danych (EIOD, EDPS) wspólnie odnieśli się do projektu Komisji Europejskiej dotyczącego uproszczenia obowiązku prowadzenia rejestrów czynności przetwarzania danych osobowych na mocy art. 30 RODO. Propozycja ma być częścią tzw. czwartego pakietu Omnibusowego, którego przyjęcie planowane jest na maj 2025 r.
.jpg)
EDPB i EDPS o uproszczeniu obowiązku prowadzenia rejestrów czynności przetwarzania – reakcja na projekt Komisji Europejskiej
Proponowane zmiany – większy zakres zwolnień
Zgodnie z projektem Komisji, przewiduje się rozszerzenie obecnie obowiązującego zwolnienia z art. 30 ust. 5 RODO – dziś mającego zastosowanie do podmiotów zatrudniających mniej niż 250 pracowników – na tzw. "small mid-cap companies" (SMCs), czyli przedsiębiorstwa zatrudniające mniej niż 500 pracowników i spełniające określone kryteria obrotu, a także organizacje non-profit poniżej tego progu zatrudnienia.
Dodatkowo, Komisja planuje zastąpić obecne kryterium "ryzyka" dla praw i wolności osób fizycznych w art. 30 ust. 5 – bardziej rygorystycznym progiem – "prawdopodobieństwem wysokiego ryzyka". Oznacza to, że obowiązek prowadzenia rejestru będzie obowiązywał tylko w przypadku przetwarzania mogącego wiązać się z wysokim ryzykiem, a nie – jak dotychczas – każdym przetwarzaniem niosącym jakiekolwiek ryzyko.
Zniesienie wyjątków i zmiana podejścia do danych wrażliwych
Projekt przewiduje także usunięcie warunku „okazjonalności” przetwarzania jako przesłanki utraty zwolnienia z obowiązku prowadzenia rejestru. Co więcej, choć projekt nie precyzuje wprost rezygnacji z obowiązku prowadzenia rejestru w przypadku przetwarzania danych szczególnych kategorii (np. zdrowotnych), to recytaty wskazują, że w pewnych sytuacjach – np. gdy przetwarzanie następuje w celu wypełnienia obowiązku prawnego w obszarze prawa pracy, zabezpieczenia społecznego czy ochrony socjalnej – obowiązek prowadzenia rejestru nie będzie wymagany.
Reakcja EDPB i EDPS – ostrożna aprobata z zastrzeżeniami
Organy ochrony danych wyraziły wstępne poparcie dla propozycji Komisji, podkreślając potencjalne korzyści wynikające z uproszczenia wymogów wobec mniejszych organizacji. Jednocześnie zaznaczono, że uproszczenia nie powinny naruszać podstawowych obowiązków wynikających z RODO ani prowadzić do obniżenia standardu ochrony danych.
EDPB i EDPS zwróciły uwagę, że niezbędna jest pogłębiona analiza skutków proponowanych zmian – zarówno pod względem liczby podmiotów objętych zwolnieniem, jak i potencjalnego wpływu na prawa osób, których dane dotyczą. Szczególnie istotne jest, by zachowano podejście oparte na ryzyku, ponieważ nawet małe podmioty mogą przetwarzać dane w sposób stwarzający wysokie ryzyko.
Kolejne kroki
EDPB i EDPS oczekują formalnych konsultacji po publikacji projektu legislacyjnego, zgodnie z art. 42 ust. 2 Rozporządzenia 2018/1725. Wówczas organy przedstawią szczegółowe stanowiska, również w odniesieniu do planowanych zmian art. 40 ust. 1 i art. 42 ust. 1 RODO.
.jpg)
.jpg)
.jpg)
.png)