Evropski odbor za varstvo podatkov (EDPB) je z zaključkom javnega posvetovanja o praktičnih predlogah za lažje izpolnjevanje zahtev Splošne uredbe o varstvu podatkov (GDPR) poslal jasen signal evropskemu gospodarstvu: čas je, da se težišče iz pravne teorije še bolj premakne k uporabnim, standardiziranim orodjem. To še posebej velja za mala in srednje velika podjetja, ki se s kompleksnostjo regulative soočajo brez večjih notranjih pravnih ali skladnostnih ekip. Poročilo, objavljeno konec leta 2025, je temelj za razvoj nove serije enotnih obrazcev in predlog, ki jih bo EDPB pripravil v obdobju 2026–2027 in s katerimi želi poenostaviti vsakdanje upravljanje skladnosti.
Kdo je sodeloval – in zakaj je to pomembno za posel
V posvetovanju je sodelovalo 82 deležnikov – od poslovnih združenj, podjetij in poslovnih organizacij do pooblaščenih oseb za varstvo podatkov, odvetnikov, javnih organov, nevladnih organizacij, akademskih in raziskovalnih institucij ter posameznikov. Prevlada prispevkov iz držav EU in EGP kaže, da je praktična izvedba GDPR še vedno med ključnimi prioritetami evropskih organizacij. Struktura sodelujočih pa razkriva nekaj še pomembnejšega: v ospredje prihaja praksa. Odzive so podajali tisti, ki se vsak dan ukvarjajo z evidencami obdelav, pogodbami z obdelovalci, ocenjevanjem tveganj ali upravljanjem incidentov. Predloge, ki jih bo EDPB razvil, zato ne bodo oblikovali zgolj pravniki in regulatorji, temveč bodo temeljili na realnih izkušnjah iz podjetij.
Kje podjetja najbolj potrebujejo pomoč
Analiza posvetovanja kaže, da si organizacije najbolj želijo predlog za ključna orodja skladnosti. Evidenca dejavnosti obdelave (t. i. ROPA), ki je formalno obvezna po GDPR, se je v praksi izkazala za eno najbolj zahtevnih področij, saj zahteva usklajevanje pravnih, IT in poslovnih pogledov. Mnoga podjetja razumejo, da evidenco morajo imeti, a se sprašujejo, kako jo strukturirati, da bo hkrati uporabna za notranje procese in sprejemljiva za nadzorne organe.
Podobno je pri oceni učinka v zvezi z varstvom podatkov (DPIA): pri obdelavah z večjim tveganjem je postopek obvezen, vendar so zlasti MSP omejena s časom in znanjem, zato težko razvijejo robustno metodologijo. Standardizirana predloga EDPB bi v obeh primerih bistveno znižala vstopni prag in dvignila kakovost izvedbe.
Posebej občutljivo področje je presoja zakonitega interesa. Številni poslovni modeli temeljijo na obdelavi podatkov, ki ne sodi preprosto v soglasje ali zakonsko obveznost, zato podjetja iščejo jasen okvir, kako ovrednotiti in dokumentirati, ali je zakoniti interes ustrezen pravni temelj. Tudi obvestila in politike zasebnosti ostajajo trd oreh v praksi: potrebni so formati, ki zmanjšujejo pravno tveganje, a so hkrati razumljivi za uporabnike in prilagodljivi za različne kontekste – od spletnih strani do internih pravilnikov za zaposlene.
Dodatno kompleksnost prinašajo prenosi podatkov v tretje države, kjer je po odmevnih sodbah Sodišča EU treba sistematično ocenjevati vpliv prenosa. Podjetja pri tem pogosto nimajo razvite strukture za ocenjevanje pravnih in tehničnih tveganj. Podobno velja za pogodbe o obdelavi podatkov z zunanjimi izvajalci, kjer si organizacije želijo jasnih minimalnih standardov tehničnih in organizacijskih ukrepov, da bi skrajšale čas pogajanj in se izognile kasnejšim sporom. Pomemben sklop pa predstavljajo tudi obrazci in postopki za obravnavo kršitev ter ocenjevanje tveganj zasebnosti pri novih projektih in tehnologijah.
Tri prioritete EDPB: v ospredju je začetek standardizacije
Kljub širokemu naboru želja je EDPB v svoj Delovni program 2026–2027 vključil tri prednostne predloge, ki naj bi v prvi fazi prinesli največ koristi: predlogo oziroma diagram poteka za presojo zakonitega interesa, predlogo evidence dejavnosti obdelave ter predlogo politike oziroma obvestila o zasebnosti. Vse tri bodo nastale z upoštevanjem že obstoječih nacionalnih vzorcev, ki jih bo EDPB harmoniziral in dvignil na raven evropskega standarda. Če bodo čas in viri dopuščali, odbor v istem obdobju pušča odprta vrata za dodatne predloge na drugih področjih.
Kaj to konkretno pomeni za podjetja
Za podjetja in druge organizacije v EU uvedba takšnih uradnih predlog pomeni premik od fragmentiranih, pogosto ad hoc razvitih internih dokumentov k enotnim evropskim referenčnim točkam. To zmanjšuje pravno negotovost in tveganje, da bi podobne rešitve nadzorni organi v različnih državah ocenjevali različno. Hkrati se znižujejo stroški skladnosti, zlasti za MSP, ki pogosto nimajo sredstev za obsežne pravne projekte: prilagoditev uradnih predlog bo praviloma lažja in cenejša kot razvoj lastnih orodij iz nič. Standardizirani postopki pri evidencah, presoji zakonitega interesa in obveščanju posameznikov pa omogočajo tudi hitrejše uvajanje novih produktov in storitev, saj pravni in skladnostni pregledi ne bodo več ozko grlo v razvojnem ciklu.
Čeprav bodo prve uradne predloge EDPB na voljo šele v naslednjem programskem obdobju, se lahko organizacije nanje začnejo pripravljati že danes: z revizijo obstoječih evidenc obdelav, politik zasebnosti in notranjih postopkov presoje zakonitega interesa ter z vključevanjem DPO-jev ali zunanjih strokovnjakov v zasnovo procesov, ki jih bo kasneje mogoče enostavno prilagoditi. Za poslovno javnost ta razvoj pomeni, da se evropsko varstvo podatkov vse bolj premika iz sfere abstraktnega regulativnega okvira v fazo operativnih rešitev. GDPR skladnost ima priložnost, da postane manj birokratska in bolj upravljavsko orodje za obvladovanje tveganj, krepitev zaupanja strank in gradnjo konkurenčne prednosti na enotnem digitalnem trgu EU.
