Επιχειρήσεις
Αλλαγές στον GDPR: Πότε θα γίνουν – Η νέα κατεύθυνση της Ευρωπαϊκής Ένωσης
Aναβάλλεται προς το παρόν το άμεσο και πλήρες ξήλωμα του Γενικού Κανονισμού Προστασίας Δεδομένων που έχει ανακοινώσει η Ευρωπαϊκή Επιτροπή και αναμενόταν στις 21/5
Ωστόσο, οι αλλαγές αναμένονται, δίχως να υπάρχει ενημέρωση για νέα ημερομηνία.
Η Ευρωπαϊκή Επιτροπή αποκάλυψε στις 21/5 τα σχέδιά της για τη Στρατηγική της Ενιαίας Αγοράς (Single Market Strategy), με κύριο σκοπό τη διευκόλυνση της ανάπτυξης των πολύ μικρών, μικρών και μεσαίων επιχειρήσεων (ΜΜΕ – SMEs).
Κύριο μέτρο για την επίτευξη του στόχου αυτού αποτελεί η πρόταση της Επιτροπής για την εισαγωγή μιας νέας κατηγορίας επιχειρήσεων, η οποία θα αποτελεί το ενδιάμεσο μεταξύ μιας SME και μιας μεγάλης επιχείρησης. Πρόκειται για τις ‘small mid-cap enterprises’ (SMCs), που έχουν στο παρελθόν αποδοθεί στα ελληνικά ως «μικρές επιχειρήσεις μεσαίας κεφαλαιοποίησης».
Η πρόταση της Επιτροπής εντάσσεται στο τέταρτο Πακέτο Απλοποίησης Omnibus, το οποίο δημοσιεύθηκε επίσης χθες και αποσκοπεί στην εξοικονόμηση 400 εκατομμυρίων ευρώ ετησίως σε διοικητικά και διαχειριστικά κόστη για τις επιχειρήσεις της Ένωσης. Όπως χαρακτηριστικά επισημαίνεται από την Επιτροπή:
«Όταν οι SMEs υπερβαίνουν τους 250 εργαζομένους, χαρακτηρίζονται, υπό το ισχύον νομοθετικό πλαίσιο, ως μεγάλες επιχειρήσεις και αντιμετωπίζουν απότομη αύξηση των υποχρεώσεων συμμόρφωσης. Αυτή η απότομη μετάβαση μπορεί να αποθαρρύνει την ανάπτυξη και να περιορίσει την ανταγωνιστικότητα. Η Ευρωπαϊκή Επιτροπή, επομένως, εισάγει μια νέα κατηγορία επιχειρήσεων: τις small mid–caps (SMCs), δηλαδή επιχειρήσεις με λιγότερους από 750 εργαζομένους και είτε κύκλο εργασιών έως 150 εκατομμύρια ευρώ, είτε σύνολο ενεργητικού έως 129 εκατομμύρια ευρώ.
Οι SMCs – σχεδόν 38.000 σε ολόκληρη την ΕΕ – θα αποκτήσουν για πρώτη φορά πρόσβαση σε ορισμένα από τα προνόμια που ισχύουν για τις SMEs, όπως ειδικές εξαιρέσεις βάσει του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ) ή απλουστευμένους κανόνες, όπως εκείνους για το ενημερωτικό δελτίο (prospectus), που καθιστούν την εισαγωγή των SMCs στο χρηματιστήριο απλούστερη και λιγότερο δαπανηρή.»
Οι αλλαγές στο GDPR
Η λογική πίσω από την απλοποίηση του Κανονισμού είναι να ελαφρύνει το βάρος κυρίως από τις μικρές και μεσαίες επιχειρήσεις, διατηρώντας ακέραιη την ευθύνη των μεγάλων επιχειρήσεων. Άλλωστε, αυτά τα 7 χρόνια εφαρμογής του Κανονισμού έχουν δείξει ότι ναι μεν οι κανόνες είναι αυστηροί και οι κυρώσεις υψηλές (συχνά δυσθεώρητες), όμως η εφαρμογή πάσχει και συνήθως τα πρόστιμα δεν πληρώνονται καν.
Επέκταση της εξαίρεσης σε επιχειρήσεις με έως 500 εργαζομένους
Μία από τις βασικές αλλαγές αφορά την επέκταση της υφιστάμενης εξαίρεσης που προβλέπει το άρθρο 30 παρ. 5 του GDPR. Σήμερα, επιχειρήσεις με λιγότερους από 250 εργαζομένους απαλλάσσονται από την υποχρέωση τήρησης αρχείων επεξεργασίας, εκτός αν η επεξεργασία που διενεργούν ενδέχεται να προκαλέσει κινδύνους για τα υποκείμενα των δεδομένων.
Η Επιτροπή θα προτείνει η εξαίρεση αυτή να επεκταθεί και σε μια ευρύτερη κατηγορία εταιρειών: τις λεγόμενες “μικρομεσαίες επιχειρήσεις μεσαίας κεφαλαιοποίησης” (small mid-cap companies), δηλαδή εταιρείες με έως 500 εργαζομένους και συγκεκριμένο όριο κύκλου εργασιών, ο οποίος ακόμα δεν έχει διευκρινιστεί. Η ίδια εξαίρεση θα ισχύει και για μη κερδοσκοπικούς οργανισμούς με προσωπικό κάτω των 500 ατόμων.
Στην πράξη, αυτό σημαίνει ότι σημαντικά μεγαλύτερες επιχειρήσεις από αυτές που σήμερα εξαιρούνται θα απαλλαγούν από την υποχρέωση τήρησης αρχείων επεξεργασίας, εκτός εάν πληρούνται ορισμένα κριτήρια κινδύνου, όπως θα δούμε παρακάτω.
Αλλαγή στον ορισμό του “κινδύνου”: Η έννοια του “υψηλού κινδύνου”
Παράλληλα με την επέκταση του πεδίου εφαρμογής της εξαίρεσης, η Επιτροπή εισάγει μια λεπτή αλλά κρίσιμη διαφοροποίηση: Η εξαίρεση από την τήρηση αρχείων δεν θα ισχύει εφόσον η επεξεργασία είναι πιθανό να ενέχει “υψηλό κίνδυνο” για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Μέχρι σήμερα, το κριτήριο ήταν απλώς “κίνδυνος”, χωρίς να απαιτείται να είναι υψηλού επιπέδου.
Αυτή η διατύπωση περιορίζει την εφαρμογή της εξαίρεσης στις περιπτώσεις όπου οι επεξεργασίες δεν είναι σοβαρά επιβαρυντικές για τα δικαιώματα των πολιτών, μειώνοντας αρκετά το πεδίο άρσης της εξαίρεσης. Με λίγα λόγια, από εκεί που τώρα μια επιχείρηση 100 εργαζομένων υποχρεούται να τηρεί αρχεία επεξεργασίας, καθώς υπάρχει κίνδυνος για τα δικαιώματα των προσώπων, πλέον ενδεχομένως να μπορεί να υπάγεται στη δυνατότητα μη τήρησης, αν ο κίνδυνος αυτός δεν είναι υψηλός.
Ωστόσο, αυτή η τροποποίηση εισάγει άλλη μία ασαφή διάκριση: Πότε μια επεξεργασία θεωρείται «υψηλού κινδύνου» και ποιος το κρίνει; Αυτό αφήνει περιθώρια αβεβαιότητας για τις επιχειρήσεις και ίσως διαφοροποιημένες ερμηνείες από τις εποπτικές αρχές.
Νέα εξαίρεση για επεξεργασία λόγω εργατικού και κοινωνικού δικαίου
Αναμένεται, επίσης, η προσθήκη αιτιολογικής σκέψης, η οποία θα αποσαφηνίζει ότι δεν υφίσταται υποχρέωση τήρησης αρχείων όταν η επεξεργασία ειδικών κατηγοριών δεδομένων πραγματοποιείται για συμμόρφωση με υποχρεώσεις εργατικού, κοινωνικοασφαλιστικού ή κοινωνικοπρονοιακού δικαίου.
Η διάταξη αυτή είναι ιδιαίτερα χρήσιμη για επιχειρήσεις και οργανισμούς που διαχειρίζονται τέτοιου είδους δεδομένα στο πλαίσιο προσλήψεων, παροχής επιδομάτων, διαχείρισης αναρρωτικών αδειών κλπ.
Συμπερασματικά, οι αλλαγές που προτείνονται από την Επιτροπή κινούνται προς την κατεύθυνση της διοικητικής αποφόρτισης, ιδίως για τις μεσαίες επιχειρήσεις, χωρίς όμως να καταργούν πλήρως τα ρυθμιστικά εργαλεία προστασίας. Ωστόσο, η επιτυχία των τροποποιήσεων θα εξαρτηθεί σε μεγάλο βαθμό από τον σαφή καθορισμό του “υψηλού κινδύνου”, την εναρμόνιση της πρακτικής των εποπτικών αρχών και την κατανόηση των επιχειρήσεων για τις υποχρεώσεις που θα παραμείνουν στο ακέραιο.
Πάντως, παρά τις ανησυχίες που έχουν εκφραστεί, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) και ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (EDPS) εξέφρασαν προ ολίγων ημερών την καταρχήν υποστήριξή τους σε αυτές τις αλλαγές, στηρίζοντας τη διατήρηση της προσέγγισης βάσει κινδύνου, ωστόσο έδωσαν ιδιαίτερη έμφαση στην ανάγκη διαβούλευσης επί της πρότασης.
Αλλαγές στον GDPR: Πότε θα γίνουν – Η νέα κατεύθυνση της Ευρωπαϊκής Ένωσης
Φώτα, μουσική και running! Έρχεται ο 3ος νυχτερινός αγώνας δρόμου “Kifissia Runners in the Night”
Πίκρα για τους μικροεπενδυτές στα φωτοβολταϊκά
Ποιοι δεν μπορούν να συνταξιοδοτηθούν ενώ εργάζονται 40 χρόνια;
Κάννες 2025: Οι μεγάλοι νικητές του Φεστιβάλ – Όλα τα βραβεία
-
Ιλίου3 έτη agoΜε ένα «κλικ» η βεβαίωση για τη μεταβίβαση κυριότητας ακινήτων (ΤΑΠ) στον Δήμο Ιλίου
-
Ειδήσεις3 μήνες agoΝόμπελ Ειρήνης: Πάνω από 300 οι υποψηφιότητες για το φετινό βραβείο
-
Κεντρικό Θέμα9 μήνες agoΚαταιγιστικές εξελίξεις στον ΣΥΡΙΖΑ: Πρόταση μομφής κατά του Στέφανου Κασσελάκη με 100 υπογραφές
-
Κεντρικό Θέμα9 μήνες agoΔΕΘ: Τα 17 μέτρα που αναμένεται να ανακοινώσει ο πρωθυπουργός
-
Αγίας Βαρβάρας8 μήνες agoΣυναυλία με Nivo, Goin’ Through και Γιώργο Αλκαίο – ΜΑΤΑΙΩΝΕΤΑΙ ΛΟΓΩ ΒΡΟΧΗΣ
-
Αθλητισμός5 μήνες agoΑΜΑΡΥΣΙΑ PRO: Το μεγάλο πυγμαχικό event έρχεται στο κλειστό του Αγίου Θωμά στις 22/12
-
Αθηναίων5 μήνες agoΠΡΟΚΗΡΥΞΗ ΜΙΣΘΩΣΗΣ ΑΠΟΘΗΚΕΥΤΙΚΩΝ ΧΩΡΩΝ ΓΙΑ ΤΗ ΦΥΛΑΞΗ ΑΡΧΕΙΩΝ ΤΟΥ ΕΛΛΗΝΙΚΟΥ ΚΤΗΜΑΤΟΛΟΓΙΟΥ
-
Ελλάδα3 έτη agoΗ Ελλάδα δημοφιλέστερη χώρα της Ευρώπης για τις παραλίες της – Τα νησιά που ξεχωρίζουν