Protectia datelor

Simplificarea GDPR pentru IMM-uri în 2025 – ce se schimbă pentru firmele sub și peste 750 de angajați

28 nov., 2025 No comments yet
Simplificarea GDPR pentru IMM-uri discutat in Comisia Europeana. Daca ai nevoie de consultanta DPO, contacteaza-ne!
Uniunea Europeană discută în 2025 un pachet de simplificare („Omnibus IV”) care atinge direct și Regulamentul general privind protecția datelor (GDPR). Scopul declarat: reducerea birocrației pentru întreprinderile mici și mijlocii și pentru companiile de tip small mid-cap, fără a coborî standardul de protecție a datelor.Cea mai vizibilă propunere este modificarea regulii privind registrele activităților de prelucrare (art. 30 alin. 5 GDPR): pragul de la care acestea devin obligatorii ar urma să fie ridicat de la 250 la 750 de angajați, iar obligația de ținere a registrelor ar rămâne strict legată de prelucrările considerate „susceptibile să genereze un risc ridicat” pentru persoanele vizate.În acest articol explicăm, pe înțelesul unui antreprenor și al unui DPO, ce înseamnă această simplificare pentru:

  • IMM-urile clasice (sub 250 de angajați);
  • companiile cu 250–749 de angajați (small mid-caps);
  • operatorii mari (peste 750 de angajați).

Este important de reținut că vorbim despre o propunere aflată încă în procedură legislativă. Regulile actuale continuă să se aplice până când modificările vor fi votate și publicate oficial.

Ce vrea să simplifice Comisia Europeană, concret

Astăzi, articolul 30 din GDPR prevede că:

  • toți operatorii trebuie să țină un registru al activităților de prelucrare,
  • există o derogare pentru întreprinderi și organizații cu sub 250 de angajați,
  • dar această derogare este foarte limitată – nu se aplică dacă prelucrarea nu este ocazională, implică date speciale sau date privind condamnări penale ori implică risc pentru drepturile persoanelor.

În practică, asta a însemnat că aproape toate companiile au avut nevoie de registre, indiferent că aveau 20 sau 2.000 de angajați.

Prin pachetul de simplificare, Comisia propune:

  • extinderea derogării la întreprinderi și organizații cu mai puțin de 750 de angajați (inclusiv small mid-caps);
  • legarea obligației de a ține registre doar de prelucrările susceptibile să genereze risc ridicat (în logica art. 35 GDPR – DPIA);
  • păstrarea obligației de registre detaliate pentru companiile cu 750+ angajați.

Cu alte cuvinte, nu se umblă la principiile GDPR, ci la câtă documentație detaliată trebuie să păstreze anumite categorii de companii.

Sub 250, între 250–749 și peste 750 de angajați – trei scenarii diferite

1. Simplificarea GDPR pentru IMM-uri sub 250 de angajați

IMM-urile „clasice” sunt, în teorie, deja acoperite de o scutire. În practică, această scutire s-a dovedit greu de utilizat, pentru că:

  • prelucrările nu sunt „ocazionale” (HR, contabilitate, clienți, furnizori etc. se desfășoară continuu);
  • apare des prelucrarea de date sensibile (certificate medicale, fișe de aptitudine, accidente de muncă etc.);
  • există monitorizare prin CCTV sau alte mijloace.

Noua abordare ar simplifica lucrurile: IMM-urile ar fi obligate să păstreze registre doar pentru prelucrările cu risc ridicat. Pentru restul prelucrărilor, păstrarea unui registru complet ar deveni opțională, nu obligatorie.

Totuși, din perspectiva conformării, este riscant să renunți complet la evidențe. Registrul rămâne „harta” prelucrărilor tale și baza oricărei discuții cu autoritatea sau cu un auditor.

Dacă vrei să vezi cum arată în practică un set minim de proceduri și documente pentru un IMM, îți recomandăm articolul „7 proceduri GDPR obligatorii în orice IMM din România” , care rămâne relevant chiar și în scenariul simplificării registrelor.

2. Simplificarea GDPR pentru IMM-uri cu 250–749 de angajați (small mid-caps)

Aici apare schimbarea cea mai mare. În prezent, aceste companii trebuie să țină registre complete pentru toate activitățile de prelucrare. Propunerea Omnibus IV ar:

  • include aceste companii în categoria celor acoperite de derogare (asemănător IMM-urilor);
  • limita obligația de registre la prelucrările cu risc ridicat (de exemplu, date sensibile la scară largă, monitorizare sistematică, profilare etc.).

Pentru o organizație cu 300 sau 500 de angajați, cu activitate intensă în zona de date, o astfel de modificare ar reduce din volumul de documente pe care trebuie să le actualizeze permanent. Dar nu ar elimina nevoia de:

  • cartografiere internă a prelucrărilor;
  • proceduri clare pe zonele de risc ridicat;
  • colaborare strânsă între DPO, HR, IT, vânzări și management.

3. Simplificare GDPR pentru IMM-uri cu peste 750 de angajați

Pentru operatorii mari, mesajul este simplu: nu se schimbă nimic în privința registrelor. Obligația completă de ținere a registrelor de activități de prelucrare rămâne neschimbată, indiferent de nivelul de risc momentan perceput.

Ce înseamnă „prelucrare susceptibilă să genereze un risc ridicat”

Noțiunea de „risc ridicat” nu este nouă în GDPR – ea apare la art. 35, în contextul evaluării de impact asupra protecției datelor (DPIA). În general, vorbim de risc ridicat când:

  • prelucrezi categorii speciale de date (sănătate, religie, orientare sexuală, date biometrice etc.) la scară largă;
  • prelucrezi date privind infracțiuni sau condamnări penale;
  • realizezi monitorizare sistematică a persoanelor (de exemplu, supraveghere video extinsă, monitorizare IT a angajaților, tracking online avansat);
  • faci profilare sau decizii automatizate cu efecte juridice sau similare asupra persoanelor (scoring de credit, profilare comportamentală complexă etc.);
  • combini mai multe seturi de date în proiecte de big data sau inteligență artificială.

În toate aceste cazuri, chiar dacă firma are sub 750 de angajați, registrele de prelucrare rămân obligatorii, iar în multe situații se impune și realizarea unei DPIA.

Ce NU simplifică această propunere

Este esențial să înțelegem ce nu se schimbă prin Omnibus IV. Propunerea:

  • nu modifică principiile GDPR (legalitate, transparență, minimizare, exactitate, limitarea stocării, integritate și confidențialitate);
  • nu schimbă temeiurile de prelucrare (consimțământ, contract, obligație legală, interes legitim etc.);
  • nu reduce drepturile persoanelor vizate (acces, rectificare, ștergere, opoziție, portabilitate etc.);
  • nu elimină obligațiile legate de securitate și notificarea încălcărilor de securitate;
  • nu desființează rolul DPO și nici cerințele de DPIA pentru anumite prelucrări.

Așadar, nu putem vorbi despre un „GDPR light”, ci despre o ajustare punctuală a modului în care se aplică obligația de ținere a registrelor, în funcție de dimensiunea organizației și de riscul asociat prelucrărilor.

De ce se vorbește de simplificare, dar și de riscuri

Din perspectiva mediului de business, simplificarea registrelor are câteva avantaje evidente:

  • mai puține tabele de completat și actualizat permanent pentru prelucrările banale și recurente;
  • posibilitatea de a concentra efortul de documentare pe prelucrările cu adevărat sensibile;
  • costuri administrative mai mici pentru IMM-uri și small mid-caps.

Din perspectiva protecției datelor, există și temeri:

  • fără registre sau fără o evidență minimală, e greu să demonstrezi că respecți principiile GDPR;
  • dimensiunea companiei nu reflectă întotdeauna volumul sau sensibilitatea datelor prelucrate – o firmă mică poate procesa date extrem de sensibile;
  • relaxarea prea mare a obligațiilor de evidență poate încuraja o abordare „prea relaxată” a conformării.

Din aceste motive, autoritățile europene de protecția datelor au subliniat că, deși salută intenția de a reduce birocrația, registrele rămân un instrument foarte util și recomandă păstrarea lor cel puțin într-o formă simplificată, chiar și atunci când nu mai sunt obligatorii pentru toate prelucrările.

Ce ar trebui să facă un IMM din România, pas cu pas

1. Nu arunca registrul – folosește simplificarea pentru „curățenie”

Chiar dacă, în viitor, vei fi scutit de anumite obligații formale, registrul rămâne baza sistemului tău de conformare. Simplificarea poate fi ocazia perfectă să:

  • elimini prelucrările care nu mai există sau nu mai sunt relevante;
  • actualizezi descrierile, astfel încât să reflecte procesele actuale;
  • marchezi clar prelucrările cu risc ridicat față de cele obișnuite.

În acest demers, îți poate fi utilă structura din articolul „7 proceduri GDPR obligatorii în orice IMM din România” , care arată cum poți organiza minimal, dar coerent, documentația GDPR.

2. Identifică prelucrările cu risc ridicat

Înainte de a decide unde „relaxezi” documentarea, trebuie să știi care sunt zonele unde nu îți permiți greșeli. Fă o listă separată cu:

  • prelucrări de date de sănătate, date biometrice, date despre opinii politice sau religioase;
  • monitorizare video extinsă sau alte forme de monitorizare sistematică a angajaților sau clienților;
  • proiecte de profilare, scoring, analiză predictivă sau utilizare de inteligență artificială;
  • prelucrări la scară largă, în care combini multe surse de date sau ai un volum foarte mare de persoane vizate.

Pentru aceste prelucrări, registrele și, de multe ori, DPIA vor rămâne esențiale – indiferent de numărul de angajați sau de forma finală a modificărilor GDPR.

3. Decide ce nivel de documentare vrei să păstrezi peste minimul legal

Simplificarea îți dă voie să reduci birocrația, dar nu îți spune cât de jos e prudent să mergi. Din experiența noastră, un nivel rezonabil de documentare:

  • te ajută să răspunzi rapid la solicitările persoanelor vizate;
  • face mult mai ușoare auditul intern și eventualele verificări ale autorității;
  • previne contradicții între departamente (fiecare „crede” altceva despre ce date se colectează și de ce).

Poți alege un model „în două trepte”:

  • registre detaliate pentru prelucrările cu risc ridicat;
  • registre sau liste simplificate pentru restul activităților (unde documentezi doar elementele esențiale).

4. Actualizează proiectul de conformare și implică managementul

Chiar dacă discuția pare „tehnică”, ea are un impact direct în business: o conformare bine gândită te ajută să eviți amenzile, să reduci riscul de incidente și să răspunzi profesionist la întrebările clienților, partenerilor sau finanțatorilor.

Dacă nu ai un responsabil intern cu timpul și experiența necesare, poți externaliza această zonă către o echipă specializată. În cadrul unui proiect de consultanță GDPR , simplificarea registrelor poate fi doar o piesă din puzzle-ul mai larg al actualizării conformării la noile realități legislative și tehnologice.

Concluzie: mai puțină hârtie, nu mai puțină responsabilitate

Simplificarea GDPR pentru IMM-uri și companiile cu 250–749 de angajați nu înseamnă „liber la ignorarea regulilor”, ci o încercare de a concentra efortul de conformare acolo unde riscurile sunt cu adevărat mari. Responsabilitatea operatorilor rămâne aceeași:

  • să înțeleagă ce date prelucrează și în ce scop;
  • să reducă riscurile pentru persoanele vizate;
  • să poată demonstra în orice moment că respectă principiile GDPR.

Dacă privești această schimbare ca pe o ocazie de a-ți simplifica inteligent documentația și procesele, nu doar ca pe o scuză pentru a renunța la evidențe, vei avea un sistem de conformare mai clar, mai eficient și mai ușor de explicat atât autorităților, cât și oamenilor ale căror date le prelucrezi.

Acest articol este oferit de echipa GDPR Complet, specializată în consultanță, audit și implementare GDPR pentru companii din toate industriile. Pentru întrebări legate de protecția datelor sau servicii dedicate afacerii tale, ne poți contacta la contact@gdprcomplet.ro

Antreprenor
Cofondator Amplusnet SRL

Expert GDPR
Cofondator GDPRComplet

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *