Το ξήλωμα του GDPR αναβάλλεται (επί του παρόντος)

Άνθρακες ο θησαυρός, για όσους περίμεναν το άμεσο και πλήρες ξήλωμα του Γενικού Κανονισμού Προστασίας Δεδομένων˙ για την ώρα τουλάχιστον. Η Ευρωπαϊκή Επιτροπή αποκάλυψε χθες τα σχέδιά της για τη Στρατηγική της Ενιαίας Αγοράς (Single Market Strategy), με κύριο σκοπό τη διευκόλυνση της ανάπτυξης των πολύ μικρών, μικρών και μεσαίων επιχειρήσεων (ΜΜΕ - SMEs).

Κύριο μέτρο για την επίτευξη του στόχου αυτού αποτελεί η πρόταση της Επιτροπής για την εισαγωγή μιας νέας κατηγορίας επιχειρήσεων, η οποία θα αποτελεί το ενδιάμεσο μεταξύ μιας SME και μιας μεγάλης επιχείρησης. Πρόκειται για τις ‘small mid-cap enterprises’ (SMCs), που έχουν στο παρελθόν αποδοθεί στα ελληνικά ως «μικρές επιχειρήσεις μεσαίας κεφαλαιοποίησης».[1]

Η πρόταση της Επιτροπής εντάσσεται στο τέταρτο Πακέτο Απλοποίησης Omnibus, το οποίο δημοσιεύθηκε επίσης χθες και αποσκοπεί στην εξοικονόμηση 400 εκατομμυρίων ευρώ ετησίως σε διοικητικά και διαχειριστικά κόστη για τις επιχειρήσεις της Ένωσης. Όπως χαρακτηριστικά επισημαίνεται από την Επιτροπή:

«Όταν οι SMEs υπερβαίνουν τους 250 εργαζομένους, χαρακτηρίζονται, υπό το ισχύον νομοθετικό πλαίσιο, ως μεγάλες επιχειρήσεις και αντιμετωπίζουν απότομη αύξηση των υποχρεώσεων συμμόρφωσης. Αυτή η απότομη μετάβαση μπορεί να αποθαρρύνει την ανάπτυξη και να περιορίσει την ανταγωνιστικότητα. Η Ευρωπαϊκή Επιτροπή, επομένως, εισάγει μια νέα κατηγορία επιχειρήσεων: τις small mid-caps (SMCs), δηλαδή επιχειρήσεις με λιγότερους από 750 εργαζομένους και είτε κύκλο εργασιών έως 150 εκατομμύρια ευρώ, είτε σύνολο ενεργητικού έως 129 εκατομμύρια ευρώ.

Οι SMCs - σχεδόν 38.000 σε ολόκληρη την ΕΕ - θα αποκτήσουν για πρώτη φορά πρόσβαση σε ορισμένα από τα προνόμια που ισχύουν για τις SMEs, όπως ειδικές εξαιρέσεις βάσει του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ) ή απλουστευμένους κανόνες, όπως εκείνους για το ενημερωτικό δελτίο (prospectus), που καθιστούν την εισαγωγή των SMCs στο χρηματιστήριο απλούστερη και λιγότερο δαπανηρή.»

Οι αλλαγές στις απαιτήσεις συμμόρφωσης βάσει ΓΚΠΔ

Οι αλλαγές που προτείνονται στο κείμενο του Γενικού Κανονισμού για την επίτευξη των στόχων αυτών είναι περιορισμένες και σαφώς λιγότερες από όσες θα ανέμεναν όσοι θεωρούν τον ΓΚΠΔ ανάχωμα στην επιχειρηματικότητα και την καινοτομία.

Ειδικότερα και σύμφωνα με την Πρόταση Κανονισμού[2] που κατατέθηκε χθες, οι αλλαγές που προτείνονται είναι οι εξής:

1. Τροποποιείται η παράγραφος 5 του άρθρου 30, σχετικά με τις εξαιρέσεις από την υποχρέωση τήρησης αρχείου δραστηριοτήτων.

Υπό τη σημερινή διατύπωσή της η διάταξη προβλέπει ότι: «5. Οι υποχρεώσεις που αναφέρονται στις παραγράφους 1 και 2 δεν ισχύουν για επιχείρηση ή οργανισμό που απασχολεί λιγότερα από 250 άτομα, εκτός εάν η διενεργούμενη επεξεργασία ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, η επεξεργασία δεν είναι περιστασιακή ή η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων κατά το άρθρο 9 παράγραφος 1 ή επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10».

Με την Πρόταση της Επιτροπής, η διάταξη αυτή θα προβλέπει ότι: «5. Οι υποχρεώσεις που αναφέρονται στις παραγράφους 1 και 2 δεν ισχύουν για επιχείρηση ή οργανισμό που απασχολεί λιγότερα από 750 άτομα, εκτός εάν η διενεργούμενη επεξεργασία ενδέχεται να προκαλέσει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, υπό την έννοια του άρθρου 35».

Η αλλαγή που επιχειρείται είναι προφανής: Η Επιτροπή προτείνει την απαλλαγή από την υποχρέωση τήρησης αρχείου δραστηριοτήτων και όλων εκείνων των επιχειρήσεων που ξεπερνούν το όριο μιας SME και εντάσσονται στη νέα κατηγορία των SMCs. Παράλληλα, η εξαίρεση από την απαλλαγή αυτή δεν θα κρίνεται πλέον με βάση απλώς την ύπαρξη κινδύνου ή την επεξεργασία δεδομένων των άρθρων 9[3] και 10 ΓΚΠΔ, αλλά αποκλειστικά με βάση τον υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων, όπως αυτός αξιολογείται στο πλαίσιο υποχρέωσης ή μη εκπόνησης Εκτίμησης Αντικτύπου. Όπως μάλιστα διευκρινίζεται στην αιτιολογική σκέψη 9 της Πρότασης Κανονισμού, οι περιπτώσεις του άρθρου 35 παρ.3 ΓΚΠΔ για υποχρεωτική εκπόνηση Εκτίμησης Αντικτύπου αυτονοήτως καταλαμβάνουν και την υποχρεωτική τήρηση αρχείου δραστηριοτήτων.

Σκοπός της διεύρυνσης αυτής είναι να απαλλάξει τις SMCs από την ιδιαίτερα απαιτητική υποχρέωση συμμόρφωσης με το άρθρο 30 ΓΚΠΔ, αλλά και να χαλαρώσει τις εξαιρέσεις από την απαλλαγή αυτή για επιχειρήσεις και οργανισμούς που ήδη καλύπτονται εν μέρει από τη ρύθμιση. Θα μπορούσαμε να παρατηρήσουμε πως η προτεινόμενη ρύθμιση δεν θα φέρει ιδιαίτερες αναταράξεις στο περιβάλλον συμμόρφωσης με τις απαιτήσεις του Γενικού Κανονισμού, δεδομένου πως αφενός η πρακτική εμπειρία έχει δείξει πως η τήρηση αρχείου δραστηριοτήτων ακολουθείται, ως καλή πρακτική ή αναγκαία παράμετρος συμμόρφωσης, ακόμη και από τις επιχειρήσεις που ήδη εντάσσονταν στην απαλλαγή της παραγράφου 5, αφετέρου η διεύρυνση της απαλλαγής αυτής ουδόλως επηρεάζει την υποχρέωση συμμόρφωσης με τις υπόλοιπες απαιτήσεις του ΓΚΠΔ και την ευθύνη των οργανισμών για προστασία των προσωπικών δεδομένων, τα οποία επεξεργάζονται.[4]

2. Τροποποιείται η παράγραφος 1 του άρθρου 40 σχετικά με τους Κώδικες Δεοντολογίας

Υπό την ισχύουσα διατύπωσή της, η διάταξη αυτή προβλέπει ότι: «1. Τα κράτη μέλη, οι εποπτικές αρχές, το Συμβούλιο Προστασίας Δεδομένων και η Επιτροπή ενθαρρύνουν την εκπόνηση κωδίκων δεοντολογίας που έχουν ως στόχο να συμβάλουν στην ορθή εφαρμογή του παρόντος κανονισμού, λαμβάνοντας υπόψη τα ειδικά χαρακτηριστικά των διάφορων τομέων επεξεργασίας και τις ειδικές ανάγκες των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων».

Η Επιτροπή προτείνει την τροποποίηση της ρύθμισης αυτής ως εξής: «1. Τα κράτη μέλη, οι εποπτικές αρχές, το Συμβούλιο Προστασίας Δεδομένων και η Επιτροπή ενθαρρύνουν την εκπόνηση κωδίκων δεοντολογίας που έχουν ως στόχο να συμβάλουν στην ορθή εφαρμογή του παρόντος κανονισμού, λαμβάνοντας υπόψη τα ειδικά χαρακτηριστικά των διάφορων τομέων επεξεργασίας και τις ειδικές ανάγκες των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων και των μικρών επιχειρήσεων μεσαίας κεφαλαιοποίησης (small mid-cap enterprises)».

3. Τροποποιείται η παράγραφος 1 του άρθρου 42 σχετικά με την Πιστοποίηση

Υπό την ισχύουσα διατύπωσή της, η διάταξη αυτή προβλέπει ότι: «1. Τα κράτη μέλη, οι εποπτικές αρχές, το Συμβούλιο Προστασίας Δεδομένων και η Επιτροπή παροτρύνουν, ιδίως σε ενωσιακό επίπεδο, τη θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας δεδομένων, με σκοπό την απόδειξη της συμμόρφωσης προς τον παρόντα κανονισμό των πράξεων επεξεργασίας από τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία. Λαμβάνονται υπόψη οι ειδικές ανάγκες των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων».

Η Επιτροπή προτείνει την τροποποίηση της ρύθμισης αυτής ως εξής: «1. Τα κράτη μέλη, οι εποπτικές αρχές, το Συμβούλιο Προστασίας Δεδομένων και η Επιτροπή παροτρύνουν, ιδίως σε ενωσιακό επίπεδο, τη θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας δεδομένων, με σκοπό την απόδειξη της συμμόρφωσης προς τον παρόντα κανονισμό των πράξεων επεξεργασίας από τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία. Λαμβάνονται υπόψη οι ειδικές ανάγκες των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων και των μικρών επιχειρήσεων μεσαίας κεφαλαιοποίησης (small mid-cap enterprises)».

4. Προστίθενται δύο νέες έννοιες στο άρθρο 4 σχετικά με τους Ορισμούς

Η Επιτροπή προτείνει την προσθήκη δυο νέων σημείων στο άρθρο 4 ΓΚΠΔ, ως εξής:

27. «πολύ μικρές, μικρές και μεσαίες επιχειρήσεις»: οι επιχειρήσεις όπως ορίζονται στο Άρθρο 2[5] του Παραρτήματος της Σύστασης της Επιτροπής 2003/361/ΕΚ[6]

28. «μικρές επιχειρήσεις μεσαίας κεφαλαιοποίησης» (‘small mid-cap enterprises’): οι επιχειρήσεις όπως ορίζονται στο σημείο 2 του Παραρτήματος της Σύστασης της Επιτροπής 2025/ΕΕ/ΧΧ της ΧΧ Μαΐου 2025[7]

Συμπέρασμα

Οι προτεινόμενες παρεμβάσεις στο κείμενο του ΓΚΠΔ είναι περιορισμένες και σχετικά ασήμαντες, ειδικά σε σχέση με τα όσα είχαν δει το φως της δημοσιότητας μετά την Έκθεση Ντράγκι και τα όσα είχαν γραφεί για προσανατολισμό της Επιτροπής σε ξήλωμα πολλαπλών και κρίσιμων προβλέψεων του Γενικού Κανονισμού Προστασίας Δεδομένων.

Από τις παρεμβάσεις αυτές άξια προσοχής είναι μόνο η διεύρυνση των προϋποθέσεων και των δικαιούχων απαλλαγής από την υποχρέωση του άρθρου 30 ΓΚΠΔ για τήρηση αρχείου δραστηριοτήτων, αφού οι υπόλοιπες δύο τροποποιήσεις αφορούν διατάξεις (άρθρα 40 και 42) που έχουν πρακτικά μηδενικό αποτύπωμα στα χρόνια εφαρμογής του Γενικού Κανονισμού.

Η διεύρυνση αυτή είναι σημαντική, υπό την έννοια πως η υποχρέωση του άρθρου 30 ΓΚΠΔ είναι μια από τις πλέον επίπονες και δύσκολες απαιτήσεις της συμμόρφωσης, δεν έχει όμως κατά τη γνώμη μας ιδιαίτερο αντίκτυπο στη στόχευση του ΓΚΠΔ και την προστασία δεδομένων.[8] Το αρχείο δραστηριοτήτων είναι ένα εργαλείο συμμόρφωσης, αφού μέσα από τις καταγραφές του περνούν όλες οι πολιτικές και οι διαδικασίες για την εκπλήρωση των υπολοίπων απαιτήσεων του ΓΚΠΔ, όπως είναι και η ραχοκοκαλιά της λογοδοσίας, καθώς άλλωστε αποτελεί ένα από τα πρώτα πράγματα που ζητούνται από τις εποπτικές αρχές.

Η επέκταση της απαλλαγής από την υποχρέωση τήρησής του και σε επιχειρήσεις ή οργανισμούς πέραν των 250 εργαζομένων και μέχρι του ορίου των 749 δεν είναι τόσο κρίσιμη για την ελληνική πραγματικότητα, όσο κρίσιμη είναι η αποσύνδεσή του από το κριτήριο του κινδύνου και την επεξεργασία ευαίσθητων και ποινικών δεδομένων και η πρόσδεσή του με τον υψηλό κίνδυνο της Εκτίμησης Αντικτύπου.  

Το κρίσιμο, ωστόσο, είναι πως η τήρηση αρχείου δραστηριοτήτων δεν αποτελεί προϋπόθεση για τη συμμόρφωση με τις απαιτήσεις του Γενικού Κανονισμού, εφόσον αυτές παραμένουν ισχυρές και εφαρμοστέες. Αυτός είναι και ο λόγος για τον οποίο οι επικεφαλής των δύο κορυφαίων θεσμικών οργάνων προστασίας δεδομένων της Ένωσης, η Anu Talus, Πρόεδρος του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων και ο Wojciech Wiewiórowski, Ευρωπαίος Επόπτης Προστασίας Δεδομένων, συνυπέγραψαν κοινή επιστολή[9] προς τον αρμόδιο Επίτροπο με την οποία δήλωσαν πως είναι καταρχήν θετικοί στην επιδιωκόμενη τροποποίηση του άρθρου 30 ΓΚΠΔ,[10] υπό την αυτονόητη προϋπόθεση πως αυτή δεν θα επηρεάζει την υποχρέωση των υπευθύνων επεξεργασίας και των εκτελούντων για συμμόρφωση με τις υπόλοιπες υποχρεώσεις του Γενικού Κανονισμού.[11]

Θα μπορούσαμε να πιθανολογήσουμε πως θα ακολουθήσουν και άλλες νομοθετικές πρωτοβουλίες για την τροποποίηση των υποχρεώσεων του Γενικού Κανονισμού, αφού οι επιθέσεις που δέχεται το κείμενο στο όνομα της ευρωπαϊκής ανταγωνιστικότητας είναι διαρκείς και πολυμέτωπες, ενώ η παρούσα πρωτοβουλία (όσο και αν προσπαθήσει κανείς να της δώσει μεγαλύτερη αξία από αυτήν που έχει) δεν δίνει τις λύσεις που ζητούν οι πολέμιοι του ΓΚΠΔ. Θα μπορούσαμε επίσης να λάβουμε υπόψιν μας πως οι προτάσεις Κανονισμού πολύ συχνά δεν έχουν σχέση με τα κείμενα που τελικώς εγκρίνονται.

Για την ώρα πάντως, το ξήλωμα αναβάλλεται.

 

[1] Κατευθυντήριες γραμμές σχετικά με τις κρατικές ενισχύσεις για την προώθηση των επενδύσεων χρηματοδότησης επιχειρηματικού κινδύνου (2021/C 508/01)

[2] COM(2025)501 - Proposal for a Regulation of the European Parliament and of the Council amending Regulations (EU) 2016/679, (EU) 2016/1036, (EU) 2016/1037, (EU) 2017/1129, (EU) 2023/1542 and (EU) 2024/573

[3] Η αιτιολογική σκέψη 10 της Πρότασης Κανονισμού διευκρινίζει ότι: «Στο πλαίσιο αυτό, η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, η οποία είναι αναγκαία για την εκτέλεση των υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας, όπως αναφέρεται στο άρθρο 9 παράγραφος 2 στοιχείο β του κανονισμού (ΕΕ) 2016/679, δεν θα πρέπει, ως εκ τούτου, να απαιτεί καθεαυτή την τήρηση αρχείων επεξεργασίας.

[4] Όπως μάλιστα επισημαίνει η Επιτροπή (Risk-based record-keeping), «με το να εστιάζουν τις απαιτήσεις τήρησης αρχείων στις δραστηριότητες υψηλού κινδύνου, οι οργανισμοί μπορούν να αφιερώνουν τους πόρους τους σε τομείς όπου η προστασία δεδομένων είναι πιο κρίσιμη, διατηρώντας ταυτόχρονα υψηλά πρότυπα προστασίας δεδομένων».

[5] Άρθρο 2-Αριθμός απασχολούμενων και οικονομικά όρια προσδιορίζοντα τις κατηγορίες επιχειρήσεων

1. Η κατηγορία των πολύ μικρών, μικρών και μεσαίων επιχειρήσεων (ΜΜΕ) αποτελείται από επιχειρήσεις που απασχολούν λιγότερους από 250 εργαζομένους και των οποίων ο ετήσιος κύκλος εργασιών δεν υπερβαίνει τα 50 εκατομμύρια ευρώ ή το σύνολο του ετήσιου ισολογισμού δεν υπερβαίνει τα 43 εκατομμύρια ευρώ.

[6] Σύσταση της Επιτροπής, της 6ης Μαΐου 2003, σχετικά με τον ορισμό των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων

[7] Η Σύσταση αυτή δεν έχει ακόμη εκδοθεί, ωστόσο όπως έχει ήδη αναφερθεί, η Επιτροπή προσανατολίζεται στο να εντάξει στην κατηγορία αυτή τις επιχειρήσεις που απασχολούν λιγότερους από 750 εργαζομένους και έχουν είτε κύκλο εργασιών έως 150 εκατομμύρια ευρώ, είτε σύνολο ενεργητικού έως 129 εκατομμύρια ευρώ

[8] Κάπως υπερβολική, ωστόσο, η άποψη της Επιτροπής πως οι προτεινόμενες αλλαγές δεν απαιτούν εκτίμηση επιπτώσεων (σελ. 7 της Πρότασης Κανονισμού), αφού οι παρεμβάσεις είναι περιορισμένες και στοχευμένες και δεν κάνουν τίποτε άλλο παρά να διασφαλίζουν την αποτελεσματικότερη εφαρμογή του νομοθετικού πλαισίου. Στο ίδιο πνεύμα, η Επιτροπή εκτιμά (σελ. 8) πως η νομοθετική πρότασή της δεν έχει καμία επίπτωση στα θεμελιώδη δικαιώματα. Αμφότερες οι διαπιστώσεις θα συναντήσουν μετά βεβαιότητος την έντονη αντίδραση των ΕΣΠΔ-ΕΕΠΔ.

[9] Simplification of record-keeping obligation: EDPB and EDPS adopt letter to EU Commission

[10] Αξιοσημείωτο, ωστόσο, είναι το ότι το αρχικό σχέδιο της Επιτροπής, το οποίο εστάλη σε ΕΣΠΔ και ΕΕΠΔ, προέβλεπε την ένταξη στην κατηγορία των SMCs όσων επιχειρήσεων απασχολούν έως 500 εργαζόμενους και όχι 750, όπως τελικώς προτείνεται από την Επιτροπή.

[11] Επισημαίνεται πως η επιστολή αυτή δεν υποκαθιστά την υποχρέωση διαβούλευσης με το ΕΣΠΔ και τον ΕΕΠΔ, βάσει του άρθρου 42 του Κανονισμού 2018/1725.