- november 19-én az Európai Bizottság letette az asztalra a Digital Omnibus csomagot. Egy rakás uniós digitális szabályt — GDPR, AI-rendelet, Data Act — egyszerre nyitott ki, egyetlen cél jegyében: kevesebb adminisztráció. A szám, ami a hírekbe került, jól hangzik. A teher 25 százalékkal csökkenne minden cégnél, és 35 százalékkal a kis- és középvállalkozásoknál.
Ha cégvezető vagy, és az elmúlt években felépítettél valamilyen GDPR-adminisztrációt, most jogosan kérdezed: kidobhatom végre a fél mappát? A rövid válasz: nem most, és nem mindent. Az egyszerűsítés könnyítésnek tűnik, de a felelősség nem tűnik el. Két hibát lehet itt elkövetni. Az egyik a pánikból fakadó túlbuzgóság: leépítesz olyat, ami marad. A másik a dermedtség: nem mozdulsz, mert nem érted, mi marad. Ez a cikk a kettő közti reális határt húzza meg.
Egy dolgot előre tisztázzunk: ez még csak javaslat
A Digital Omnibus 2026 júniusában nem hatályos jog. Javaslat. A nyilvános véleményezés 2026 januárjában zárult, most az Európai Parlament és a Tanács tárgyalja, és a szöveg még érdemben változhat. A jogászi elemzések szerint a legkorábbi alkalmazás is 2027 vége felé várható, a teljes bevezetés pedig tovább húzódhat.
Ennek egy gyakorlati következménye van. Ma semmit nem vagy köteles leépíteni, és semmit nem érdemes leépíteni a Digital Omnibusra hivatkozva. Ami most a mappádban kötelező, az holnap reggel is kötelező. A csomag arról szól, mi lehet később egyszerűbb — nem arról, mi szűnik meg ma.
A lényeg, amit a 35 százalék elfed
A Digital Omnibus nem a kötelezettséget törli. A papírmunkát lazítja, feltételekkel. Ez a különbség dönt el mindent.
„Nem kell nyilvántartást vezetni" nem ugyanaz, mint „nem kell jogszerűen adatot kezelni". Az adat, amit az ügyfeleidről és a dolgozóidról kezelsz, ugyanúgy védendő marad. A jogalap, a tájékoztatás, az érintetti jogok — ezek a rendszer gerince, és ezekhez a csomag alig nyúl.
Magyar szakértők is óvatosak. Több adatvédelmi jogász arra figyelmeztet, hogy a javaslat helyenként a GDPR alapjait feszegeti. Az EU saját felügyelete visszafogottabb. Az Európai Adatvédelmi Testület és az adatvédelmi biztos közös véleménye üdvözli a nyilvántartási egyszerűsítést, de a 750 fős küszöb indoklását kéri. Vagyis sem a pánik, sem a lelkesedés nem indokolt. A reális kép a kettő között van.
Mi lazul, és mi marad — konkrétan
Ez a táblázat a cikk magja. Bal oldalon, amit a javaslat könnyít. Jobb oldalon, ami akkor is a te felelősséged.
| Terület | Mit lazítana a javaslat | Mi marad a te felelősséged |
|---|---|---|
| Nyilvántartás (RoPA) | A mentesség küszöbe 250 főről 750 fő alá emelkedne (ha az árbevétel ≤150 M€) | Magas kockázatú adatkezelésnél a nyilvántartás marad |
| Incidensbejelentés | A 72 óra 96 órára nőne, egységes belépési ponttal | A bejelentés kötelező, a 96 óra is kemény határidő |
| Süti | Az egykattintásos hozzájárulás 6 hónapig érvényes lenne | A hozzájárulás és a tájékoztatás továbbra is kell |
| „Személyes adat" fogalma | Szűkülhet egy uniós bírósági ügy (C-413/23) nyomán | Bizonytalan — a végleges szövegig ne építs rá |
A legnagyobb KKV-érintettség a nyilvántartásnál van. Ma 250 főnél húzódik a határ, ami fölött kötelező a részletes adatkezelési nyilvántartás. A javaslat ezt 750 fő alá vinné, plusz egy árbevételi feltételt szab. A legtöbb magyar KKV bőven a küszöb alatt van. Elvileg ők a nyertesek.
A „de" ott jön, hogy a mentesség nem teljes. Ha magas kockázatú adatot kezelsz — egészségügyi adat, rendszeres profilozás, megfigyelés —, a nyilvántartás akkor is marad. Egy 30 fős magánklinika vagy egy viselkedés alapján hirdető webshop nem szabadul a papírtól, hiába van 250 fő alatt. Kétség esetén a nyilvántartás megtartása olcsóbb, mint utólag pótolni egy ellenőrzés alatt.
⚠️ Figyelem. A 96 órás határidő és a „személyes adat" fogalmának szűkítése a végleges szövegig mozoghat. Ezeket csak „a javaslat szerint" érdemes kezelni. Aki ma ezekre tervez folyamatot, a saját bizonytalanságát építi be a céges működésbe.
Mihez ne nyúlj, és hol karcsúsíthatsz
Itt válik a dolog cselekvéssé. Két lista.
Amihez most ne nyúlj. Ezeket a Digital Omnibus nem törli, és a hiányuk ma is bírságolható:
- Adatkezelési tájékoztató. Marad, frissítendő, ha változik a tevékenységed.
- Jogalap-dokumentáció. Hogy melyik adatot milyen jogcímen kezeled — ez a rendszer alapja.
- Adatfeldolgozói szerződések. A könyvelőddel, a tárhelyszolgáltatóddal, a hírlevélrendszereddel kötött megállapodás kötelező marad.
Ahol reálisan karcsúsíthatsz — de csak ha és amikor életbe lép:
- A nyilvántartás terjedelme, ha 750 fő alatt vagy és nincs magas kockázatú adatkezelésed.
- A süti-banner újrahangolása az egykattintásos, hat hónapig élő hozzájárulásra.
- Az incidens-folyamat határidő-puffere, a 72 óra helyett 96 órára.
Mindhárom a később kategória. Ma feljegyzed, figyeled a brüsszeli végszavazást, és nem csinálsz semmit előre.
A magyar hatóság egyelőre nem siet a segítségedre. A NAIH 2025. november 24-én kiadott egy informatív közleményt a tervezetről, de saját állásfoglalást nem fűzött hozzá. Csak az eredeti uniós dokumentumokra mutat. Ne várj hazai felmentésre. Amit a NAIH viszont ad: egy „GDPR egyszerűen kis- és középvállalkozásoknak" segédanyag és egy KKV-hotline. Ezek ma is működő eszközök, függetlenül a Digital Omnibustól.
Az iparág derűlátóbb. Az IVSZ „kevesebb teher, több innováció" címmel üdvözölte a csomagot. A szakértői aggály és az iparági optimizmus közt húzódik a határ, ahol a te döntésed meghúzódik.
Mit mondhatsz magadnak holnap reggel
Az egyszerűsítés jó hír, de nem a felelősség leépítésének az ürügye. A különbség egy mondatban: a Digital Omnibus a papírmunkát teszi könnyebbé, nem az adatvédelmet teszi opcionálissá.
A következő lépés konkrét és ma elvégezhető. Vedd elő a meglévő GDPR-doksijaidat, és tedd őket egy listára. Jelöld meg, melyik kötelező ma — a válasz minden soron ugyanaz: igen. Aztán jelöld meg, melyiknél figyeled a Digital Omnibus sorsát: a nyilvántartást, a süti-bannert, az incidens-folyamatot.
Ennyi. Nem dobsz ki semmit, nem építesz fel semmit feleslegesen. Tudod, mi marad, és tudsz két-három pontot, ahol a jövőre takaríthatsz. A többit Brüsszel még tárgyalja.
Források
- Európai Bizottság — Digital Omnibus csomag (EDPB összefoglaló) — 2025.11.19.
- RoPA-küszöb 250 → 750 fő — Considerati
- SME-mentesség kiterjesztése — Compliance & Risks
- Incidens 72 → 96 óra — White & Case
- EDPB + EDPS közös vélemény (Joint Opinion 01/2025) — 2025.07.09.
- NAIH — Digital Omnibus tervezet közlemény — 2025.11.24.
- NAIH — A GDPR egyszerűen kis- és középvállalkozásoknak (PDF)
- IVSZ — Digital Omnibus kommentár
Hogyan készült ez a cikk Szerző: Boros Réka (Loop Magazin). Peer-interjú nem készült; a magyar szakértői álláspontok nyilvános, forrással linkelt elemzésekből származnak, idézet nélkül. AI-segéd: forrás-pakk, tényellenőrzés, korrektúra. Tartalmi döntéseket ember hozott.