Přejít k obsahu Přejít k hlavnímu menu
Kontakt
  1. Úvod
  2. Média
  3. Tiskové zprávy
  4. Článek
Datum zveřejnění
Zpět na seznam

Cílené úpravy GDPR: EDPB & EDPS vítají zjednodušení povinností při vedení záznamů o činnostech zpracování a žádají další vyjasnění

Brusel, 9. července 2025 – Evropský sbor pro ochranu osobních údajů (EDPB) a Evropský inspektor ochrany údajů (EDPS) vydali Společné stanovisko k návrhu Evropské komise na Nařízení upravující určité regulace včetně GDPR.

Tento návrh, součást čtvrtého simplifikačního balíčku Omnibus, míří na zjednodušení pravidel EU a snížení administrativní zátěže rozšířením určitých zmírňujících opatření pro malé a střední podniky (SME) i na malé podniky se střední tržní kapitalizací (SMC) a obsahuje další zjednodušující opatření.  

Návrh se zaměřuje na úpravu čl. 30 odst. 5 GDPR poskytnutím odchylky od povinnosti vést záznamy o činnostech zpracování. Tato odchylka se dnes, kromě jistých výjimek, vztahuje pouze na podniky a organizace zaměstnávající méně než 250 osob. Podle návrhu by výjimka platila i pro podnik a organizaci zaměstnávající méně než 750 osob, ledaže by bylo pravděpodobné, že prováděná operace zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob ve smyslu čl. 35 GDPR. 

Návrh navíc zavádí do čl. 4 GDPR definici SME a SMC a rozšiřuje na SMC rozsah působnosti čl.40 odst. 1 a čl. 42 odst. 1 GDPR týkající se kodexů chování a certifikací. V současnosti jsou tyto nástroje koncipovány ku pomoci podnikům a organizacím při prokazování souladu s GDPR se zaměřením na specifické potřeby SME. 

Wojciech Wiewiórowski, EDPS, řekl: „Podporujeme obecný cíl návrhu, kterým je zmenšení administrativní zátěže pro SME a SMC, pokud to nesníží ochranu základních práv fyzických osob, zejména práv na soukromí a ochranu osobních údajů. V tomto smyslu vítáme, že úpravy navrhované ke zjednodušení a vyjasnění povinnosti vést záznam o zpracování jsou svou povahou zacíleny a omezeny a nedotýkají se hlavních zásad a jiných povinností podle GDPR.“  

Anu Talus, předsedkyně EDPB, řekla: „EDPB podporuje obecný cíl návrhu snížit administrativní zátěž pro SME a SMC a zajistit, aby v praxi mohly využít odchylku od povinnosti vést záznamy o činnostech zpracování. Současná odchylka ne vždy dosahovala svého cíle. Záznam o činnostech zpracování je zároveň užitečným nástrojem na podporu souladu s dalšími povinnostmi jako je transparentnost nebo provádění práv subjektu údajů. Zjednodušení nabídne SME a SMC větší flexibilitu při výběru nejvhodnějšího způsobu dosažení souladu.”

Co se týká organizací, které jsou subjektem této odchylky a vzhledem k tomu, že návrh má dopad do legislativy v jiných oblastech politiky, očekávají EDPB a EDPS další vyjasnění, proč by nová prahová hodnota, tedy podniky nebo organizace zaměstnávající méně než 750 osob, byla podle GDPR vhodnější, než 500 zaměstnanců jakožto původně zvažovaný práh. Kromě toho se nová výjimka v čl. 30 odst. 5 vztahuje na ‚podniky zaměstnávající méně než 750 zaměstnanců‘, aniž by odkazovala na nově zavedené definice SME a SMC, které zahrnují také finanční kritéria. Aby bylo zajištěno, že tato výjimka bude ku prospěchu SME a SMC, doporučuje společné stanovisko EDPB a EDPS odkázat na nově zavedené definice SME a SMC. 

EDPB a EDPS také žádají normotvůrce, aby v návrhu vyjasnili, že pojem ‚organizace‘, spadající do oblasti působnosti navrhované odchylky v čl. 30 odst. 5 GDPR, nezahrnuje veřejné úřady a orgány.  

Stanovisko EDPB a EDPS v původním znění najdete zde