Förenkling av skyldigheten att föra register enligt GDPR är på väg
Som en del av EU:s Omnibus förenklingspaket har EU-kommissionen föreslaget att förenkla vissa GDPR-skyldigheter. Syftet är att minska dokumentationskraven för mindre företag när det gäller skyldigheten att föra register.
EU-kommissionen föreslår olika ändringar för att förenkla skyldigheterna att föra register enligt GDPR. Ändringarna är planerade att ingå i den så kallade "Fjärde Omnibus", som syftar till att minska administrativa bördor och öka konkurrenskraften för små och medelstora företag.
Enkelt uttryckt föreslår EU-kommissionen fyra olika förändringar:
- Utvidgning av undantaget från att föra register genom att utvidga tröskelvärdet för antalet anställda från 250 anställda till 500 anställda
- Ändring av undantaget så tröskelvärdet för anställda inte kan användas om behandlingen sannolikt kommer leda till en "risk" genom att ändra utlösaren till "hög risk"
- Avskaffande av villkoret att behandling som "inte är tillfällig" utlöser skyldigheten att föra register, så att frekvensen av behandlingen inte längre spelar någon roll
- Avskaffande av skyldigheten att föra register vid behandling av särskilda kategorier av uppgifter för att uppfylla rättsliga skyldigheter på bland annat anställningsområdet.
De föreslagna ändringarna kommer inte att påverka andra GDPR-skyldigheter i övrigt.
IUNO menar
Många företag kämpar fortfarande med administrativa bördor för att säkerställa efterlevnad av GDPR. Med tanke på den begränsade omfattningen kommer de föreslagna ändringarna dock endast innebära en begränsad lättnad. Det är också möjligt att förslaget blir föremål för ytterligare ändringar innan det slutligen antas.
På IUNO anser vi att även om de föreslagna ändringarna kan utesluta viss behandling, kommer de flesta behandlingar inom HR eller som sker med hjälp av AI fortfarande att kvalificeras som "hög risk". Det innebär att sådan behandling i vart fall kommer att utlösa skyldigheten att föra register. Därför kommer de flesta företag fortfarande att omfattas av skyldigheten att föra register.
[Skrivelse från EDPB och EDSP till EU-kommissionen av den 8 maj 2025]
EU-kommissionen föreslår olika ändringar för att förenkla skyldigheterna att föra register enligt GDPR. Ändringarna är planerade att ingå i den så kallade "Fjärde Omnibus", som syftar till att minska administrativa bördor och öka konkurrenskraften för små och medelstora företag.
Enkelt uttryckt föreslår EU-kommissionen fyra olika förändringar:
- Utvidgning av undantaget från att föra register genom att utvidga tröskelvärdet för antalet anställda från 250 anställda till 500 anställda
- Ändring av undantaget så tröskelvärdet för anställda inte kan användas om behandlingen sannolikt kommer leda till en "risk" genom att ändra utlösaren till "hög risk"
- Avskaffande av villkoret att behandling som "inte är tillfällig" utlöser skyldigheten att föra register, så att frekvensen av behandlingen inte längre spelar någon roll
- Avskaffande av skyldigheten att föra register vid behandling av särskilda kategorier av uppgifter för att uppfylla rättsliga skyldigheter på bland annat anställningsområdet.
De föreslagna ändringarna kommer inte att påverka andra GDPR-skyldigheter i övrigt.
IUNO menar
Många företag kämpar fortfarande med administrativa bördor för att säkerställa efterlevnad av GDPR. Med tanke på den begränsade omfattningen kommer de föreslagna ändringarna dock endast innebära en begränsad lättnad. Det är också möjligt att förslaget blir föremål för ytterligare ändringar innan det slutligen antas.
På IUNO anser vi att även om de föreslagna ändringarna kan utesluta viss behandling, kommer de flesta behandlingar inom HR eller som sker med hjälp av AI fortfarande att kvalificeras som "hög risk". Det innebär att sådan behandling i vart fall kommer att utlösa skyldigheten att föra register. Därför kommer de flesta företag fortfarande att omfattas av skyldigheten att föra register.
[Skrivelse från EDPB och EDSP till EU-kommissionen av den 8 maj 2025]
Liknande
Ny lag om skydd för visselblåsare på väg