Az Európai Unió 2025 tavaszán nagyszabású felülvizsgálatot indított az Általános Adatvédelmi Rendelet (GDPR) kapcsán, különös tekintettel a kis- és középvállalkozások (KKV-k) adminisztratív terheinek csökkentésére. A változások célja, hogy egyszerűsítsék a jelenlegi szabályokat, amelyek sok vállalkozás szerint túl bonyolultak és költségesek.

A Bizottság javaslata szerint a kevesebb mint 750 alkalmazottat foglalkoztató szervezetek számára enyhítenék a dokumentációs és nyilvántartási kötelezettségeket. Az ígéretek szerint ez csökkentené a vállalkozásokra nehezedő adminisztratív terheket, és javítaná versenyképességüket a globális piacon.

Ugyanakkor a felülvizsgálattal kapcsolatban több aggály is felmerült. Adatvédelmi szakértők és civil szervezetek attól tartanak, hogy a szabályok lazítása gyengítheti a magánszemélyek adatainak védelmét. Felhívják a figyelmet arra, hogy a GDPR épp azért vált nemzetközi szinten is mércévé, mert szigorúan védi az egyének jogait – ennek felvizezése hosszú távon visszaüthet.

További aggodalomra ad okot, hogy az egységes adatvédelmi elveket a tagállamok eltérően értelmezhetik, ami gyengítheti a rendelet egységét. Az Európai Adatvédelmi Testület (EDPB) ezért javasolta, hogy a tagállami adatvédelmi hatóságok gyakorlatát rendszeresen értékeljék, hogy elkerülhetők legyenek a jelentős eltérések.

A változtatással kapcsolatos aggályokat 108 szervezet közös nyílt levélben jelezte. Ezek szerint a javasolt változtatások azzal a kockázattal járnak, hogy nem érik el a valódi egyszerűsítés célját, és ehelyett a kulcsfontosságú elszámoltathatósági biztosítékokat, és velük együtt magát az elszámoltathatósági elvet is visszavonhatják.

Az újratárgyalás után a GDPR sebezhetővé válhat a szélesebb körű deregulációs igényekkel szemben. Számos ilyen nyomás már látható, beleértve a hozzájárulásra vonatkozó szabályok gyengítésére irányuló felhívásokat a felhasználók számára hatékony biztosítékok nélkül, vagy a személyes adatok mesterséges intelligencia-képzéshez való erőszakos felhasználásának legitimálását.

A nyílt levélben a geopolitikai kontextust is megemlítik. Az elmúlt években a külföldi kereskedelmi és politikai szereplők az EU digitális védelmének lazítására irányuló felhívásai következetesen a GDPR gyengítésére irányuló kísérletekkel kezdődtek, amely stratégia mára kiterjedt az egész EU technológiai szabálykönyvére, beleértve a digitális szolgáltatásokról szóló törvényt (DSA), a digitális piacról szóló törvényt (DMA) és a mesterséges intelligencia törvényt (AI Act) – és már folyamatban van a vállalati elszámoltathatóság és a környezeti igazságosság terén.

A GDPR hivatalos újraértékelésére 2027-ben kerül sor, de a 2025-ös reformcsomag már most is jelentős hatással lehet az adatkezelés európai jövőjére. A kihívás az, hogy megtaláljuk az egyensúlyt a vállalkozások adminisztratív terheinek csökkentése és a személyes adatok védelmének szavatolása között.

A változások végleges formája még kérdéses, de az biztos: a GDPR korszakának következő fejezete már elkezdődött.

nuce.hu