„Deregulacja” RODO: więcej zapowiedzi niż rzeczywistych zmian

Co zmienia nowelizacja RODO 2025?

W maju 2025 roku Komisja Europejska przedstawiła projekt rozporządzenia Parlamentu Europejskiego i Rady (UE) zmieniającego rozporządzenia (UE) 2016/679, (UE) 2016/1036, (UE) 2016/1037, (UE) 2017/1129, (UE) 2023/1542 oraz (UE) 2024/573 w zakresie rozszerzenia niektórych środków łagodzących przewidzianych dla małych i średnich przedsiębiorstw na rzecz małych spółek o średniej kapitalizacji oraz dalszych środków upraszczających („Projekt”). Obejmuje on swoim zakresem m.in. zmiany w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”). Głównym celem proponowanych modyfikacji jest zmniejszenie obciążeń regulacyjnych dla mniejszych przedsiębiorstw oraz wzmocnienie konkurencyjności europejskich firm na rynku globalnym.

SMC - nowa kategoria przedsiębiorstw w RODO

Unia Europejska dostrzegła, że między klasycznymi MŚP a dużymi korporacjami funkcjonuje wiele przedsiębiorstw, które nie mieszczą się w dotychczasowych ramach regulacyjnych. W odpowiedzi zaproponowano wprowadzenie nowej kategorii – małych spółek o średniej kapitalizacji (ang. Small Mid-Caps – SMC). Ich szczegółową definicję ma określić odrębne zalecenie Komisji.

Dla SMC przewidziano uproszczenia regulacyjne, w tym również dotyczące RODO. Propozycje obejmują m.in. zwolnienie z obowiązku prowadzenia rejestru czynności przetwarzania danych osobowych, o ile nie występuje wysokie ryzyko dla praw i wolności osób, których dane dotyczą.

Rejestr przetwarzania – nowe progi

Zgodnie z obecnym art. 30 RODO, obowiązek prowadzenia rejestru przetwarzania nie dotyczy przedsiębiorców oraz podmiotu zatrudniającego mniej niż 250 osób, o ile spełnione zostaną określone warunki. Projekt przewiduje podniesienie tego progu do 750 pracowników, a także wprowadzenie zasady, że rejestr jest wymagany tylko wtedy, gdy czynności przetwarzania niosą ze sobą „wysokie ryzyko” dla praw i wolności osób, których dane dotyczą.

Co istotne – samo zwolnienie nie oznacza odejścia od obowiązku przeprowadzenia analizy ryzyka. Projekt podkreśla wagę podejścia opartego na ryzyku (risk-based approach), bowiem o obowiązkach decyduje nie tylko wielkość przedsiębiorstwa, lecz przede wszystkim potencjalne ryzyko dla osób, których dane są przetwarzane.

Pozostałe zmiany: kodeksy postępowania i certyfikacja dla SMC

Projekt przewiduje także zmiany w art. 40 ust. 1 RODO, dotyczące kodeksów postępowania. Komisja chce, aby opracowywane kodeksy uwzględniały również specyfikę i potrzeby SMC – podobnie jak obecnie dzieje się to w przypadku mikroprzedsiębiorstw i MŚP.

Z kolei w obszarze certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych (art. 42 ust. 1 RODO), uwzględnione mają zostać również potrzeby SMC.

RODO a sektor finansowy: realny wpływ zmian

Mimo deklarowanych uproszczeń, realny wpływ projektu na sektor finansowy będzie marginalny. Artykuł 30 ust. 5 RODO w obecnym brzmieniu zawiera już wyłączenie dla podmiotów poniżej 250 pracowników, a Projekt w praktyce rozszerza ten wyjątek jedynie nieznacznie. Co więcej, specyfika działalności finansowej bardzo często wiąże się z przetwarzaniem danych o wysokim ryzyku, co automatycznie wyklucza możliwość skorzystania z przewidzianych przez Komisję ulg. W rezultacie większość instytucji finansowych nadal będzie musiała spełniać pełen zakres wymogów RODO.

Projekt nie przewiduje również zmian w kluczowych, najbardziej problematycznych dla podmiotów obszarach – takich jak obowiązek wyznaczania Inspektora Ochrony Danych (IOD). Dla wielu mniejszych przedsiębiorstw oznacza to dalszą konieczność ponoszenia kosztów związanych z obsługą funkcji IOD, nawet przy stosunkowo niewielkiej skali działalności czy zatrudnienia. W efekcie zapowiadane „odciążenie” w wielu przypadkach okazuje się iluzoryczne, bowiem te najbardziej dotkliwe obowiązki pozostają „nietknięte”.

Z perspektywy krajowej sytuacji trudno nie dostrzec również pewnej analogii. Proponowana deregulacja RODO przypomina bowiem podejście widoczne w niedawno opublikowanym projekcie ustawy o zmianie ustawy – Prawo bankowe oraz niektórych innych ustaw (numer UDER11), który ma umożliwić udzielanie informacji objętych tajemnicą bankową, w toku postępowania upadłościowego i restrukturyzacyjnego. Choć projekt ten oficjalnie wpisuje się w nurt deregulacyjny, w praktyce oznacza poszerzenie katalogu obowiązków po stronie banków oraz zwiększenie ich odpowiedzialności.

Choć kierunek zmian w RODO może być oceniany pozytywnie jako wyraz dążenia do ograniczenia nadmiernych obciążeń administracyjnych, w rzeczywistości główne obowiązki związane z przetwarzaniem danych – takie jak wyznaczenie IOD, zabezpieczenia techniczne i organizacyjne, zgłaszanie naruszeń czy obowiązek przeprowadzenia DPIA – pozostają bez zmian.