Tech Blog
Tech Blog | maj 22, 2025

Kommissionen föreslår regelförenklingar på dataskyddsområdet

EU-kommissionen presenterade igår sitt fjärde så kallade omnibuspaket, denna gång med visst fokus på dataskydd. Syftet är att förenkla tillämpningen av GDPR, i synnerhet för små och medelstora företag, utan att göra avkall på skyddet för de registrerades rättigheter. Förslaget är en del av det bredare arbetet med att minska den administrativa bördan inom EU, i linje med tidigare paket som bland annat har omfattat hållbarhetsrapportering och redovisningsregler. 

Kommissionen föreslår flera konkreta ändringar i bland annat artikel 30 GDPR: 

  • Utökat undantag för mindre organisationer: Tröskelvärdet för när skyldigheten att föra register ska gälla föreslås höjas från 250 till 750 anställda. Syftet är att minska regelbördan för små och medelstora företag som ofta saknar omfattande resurser för regelefterlevnad.
  • Registret ska i fortsättningen endast behöva omfatta behandlingar som bedöms medföra hög risk för de registrerades rättigheter och friheter. Det innebär att mer rutinmässig eller lågintensiv behandling undantas.
  • Det nuvarande undantaget från skyldigheten att föra register gäller förutsatt att behandlingen inte är tillfällig. Denna förutsättning tolkas typiskt sett som att nästan ingen behandling är tillfällig, vilket gör att undantaget för organisationer som sysselsätter färre än 250 personer sällan får genomslag. Kommissionens förslag innehåller ingen formulering om tillfälliga behandlingar. I stället förtydligas att det är risknivån – inte behandlingens varaktighet – som ska avgöra om den omfattas av registret.
  • Behandling av känsliga personuppgifter ska kunna undantas från registerkrav om behandlingen sker med stöd i en lagstadgad skyldighet. Det innebär att vissa myndigheter och privata aktörer inte längre behöver föra register över denna typ av behandling, så länge den är nödvändig enligt lag och andra skyddsåtgärder finns på plats. 

EDPB och EDPS har i ett gemensamt uttalande välkomnat kommissionens ansats. De lyfter särskilt att förslaget kan underlätta efterlevnaden för mindre aktörer, utan att i sig påverka den övergripande skyldigheten att följa GDPR. Samtidigt betonar de att ett undantag från artikel 30 inte befriar en organisation från skyldigheten att tillämpa andra delar av förordningen.

Förslaget kommer nu att behandlas av Europaparlamentet och rådet. Om det antas i sin nuvarande form kan det innebära ett tydligt skifte i hur dokumentationsskyldigheten enligt GDPR ska tillämpas i praktiken, inte minst för små och medelstora företag.

Vi följer det fortsatta lagstiftningsarbetet noga.

Denna artikel är skriven av Associate Rebecka Undén

Föregående inlägg