歐洲資料保護委員會支持歐盟執委會GDPR部分修訂 減輕中小企業負擔

(中央社訊息服務20251231 16:18:56)2025年5月，歐盟執委會發布一項修訂GDPR部分法規之提案（以下簡稱修訂提案），主要包括將原先涉及中小企業（small and medium sized enterprises, SMEs）所賦予的某些規範措施擴展適用於規模較大的中型企業（small mid-cap enterprises, SMCs）。歐盟執委會正在評估一個新的公司類別－SMCs，即員工人數少於750人，且營業額不超過1.5億歐元或總資產不超過1.29億歐元的中型企業。未來這些中型企業將能享受某些現有的中小企業福利，例如GDPR下的特定義務之豁免或簡化規則。

針對執委會提出的修訂提案，2025年7月9日歐洲資料保護委員會（European Data Protection Board，下稱EDPB）與歐洲資料保護監督機關（European Data Protection Supervisor，下稱EDPS）針對歐盟執行委員會關於修訂的部分法規之提案發表聯合意見(EDPB-EDPS Joint Opinion 01/2025)。總體而言，EDPB與EDPS支持以減輕SMEs及SMCs企業之行政負擔為目標評估GDPR的修訂，但必須以符合GDPR核心保護原則及義務。

執委會的修訂提案中簡化了紀錄保存義務，將紀錄保存義務修訂為只有在處理活動可能對資料主體權利和自由造成高風險時才強制保留。EDPB認為，滿足主體資格要件的企業，在資料處理的行為被認定為「可能導致高風險」時，仍應強制要求履行紀錄保存義務。而「可能導致高風險」的判斷標準與資料保護影響評估相同，為「可能導致資料主體之權利及自由之高風險時」。另外，紀錄保存可以協助企業符合GDPR的其他要求，因此包括SMEs及SMCs企業在內，仍可考慮選擇部分紀錄保存以確保及證明自身作為符合GDPR相關規定，並確保不會對資料主體的權益產生負面影響。

EDPB指出，修訂提案中新訂定對SMEs及SMCs的豁免門檻可使歐盟2600萬家SMEs及38000家SMCs因此受惠，但同時可能導致部分歐盟成員國僅有少數資料控制者或處理者必須遵守紀錄保存等相關義務約束，EDPB建議執委會進一步說明將SMC人數門檻設定為750人的理由。EDPB也建議應引入在企業規模門檻設定上SMEs與SMCs的明確定義，避免範圍設置上的矛盾。就組織層面，修正提案僅針對企業，並將公務機關排除在外，EDPB建議應於序言明確說明，所要規範的組織並不包括公務機關，以避免不必要的混淆。

本文為資策會科法所創智中心完成之著作，各界基於報導、研究或其他正當目的，在合理範圍內，得轉載、引用本文，並請註明「作者：資策會科法所創智中心，來源出處：中央社訊息平台」。

【新聞來源】EDPB Strategy 2024-2027, https://www.edpb.europa.eu/our-work-tools/our-documents/strategy-work-programme/edpb-strategy-2024-2027_en,last visited 2025/7/23.