W dniu 21 marca 2025 roku Komisja Europejska wystąpiła z propozycją, której przedmiotem była deregulacja dotycząca przepisów RODO. Jednym z pomysłów Komisji jest wprowadzenie obowiązku prowadzenia rejestrów wynikających z RODO tylko w sytuacji, gdy przetwarzanie danych osobowych wiąże się ze zdefiniowanym w tym akcie prawnym „wysokim ryzykiem”.
Zgodnie z art. 30 RODO wszystkie firmy mają obowiązek prowadzenia tzw. rejestru czynności przetwarzania danych, zawierającego szczegółowe informacje o tym, jak i dlaczego przetwarzane są dane osobowe. Do tej pory przedsiębiorcy, którzy zatrudniali poniżej 250 osób byli częściowo zwolnieni z tego obowiązku pod warunkiem, że przetwarzanie danych nie wiązało się z ryzykiem naruszenia praw i wolności osób, których dane dotyczą.
Złagodzenie przepisów zaproponowane przez Komisję Europejską miałoby dotyczyć MŚP (a więc przedsiębiorstw zatrudniających poniżej 250 osób i z rocznym obrotem nie przekraczającym 50 mln euro) oraz przedsiębiorstw i organizacji zatrudniających mniej niż 750 pracowników oraz osiągających do 150 mln euro obrotu lub posiadających do 129 mln euro aktywów ogółem. Nie oznacza to jednak zwolnienia z obowiązku przeprowadzenia analizy ryzyka, nadal trzeba będzie też wyodrębnić te procesy przetwarzania danych, które wiążą się z wysokim ryzykiem.
Zgodnie z komunikatem Komisji Europejskiej rozwiązanie to ma pozwolić objętym nim firmom na przeznaczenie swoich zasobów na obszary związane z RODO, w których ochrona danych ma większe znaczenie.
