EU-kommisjonen foreslår GDPR-forenkling for små og mellomstore bedrifter og selskaper

EUs nye indre markedsstrategi ble nylig lagt frem, og EU-kommisjonen introduserte samtidig et forenklingsforslag, Omnibus IV, som blant annet tar sikte på å forenkle GDPR-kravene for små og mellomstore bedrifter (SMB-er). EU-kommisjonen introduserer også en ny kategori, «Small Mid-Cap Companies (SMC-er)», som utvider forenklingstiltakene til å gjelde flere virksomheter. Målet med forenklingsforslagene i GDPR er å gjøre det lettere for mindre virksomheter å drive næringsvirksomhet i EU ved å redusere den administrative byrden, samtidig som beskyttelsesnivået for personopplysninger opprettholdes.

SMC-kategorien vil utgjøre bedrifter med mellom 250 og 750 ansatte, og som har enten € 150 millioner i omsetning eller opp til € 129 millioner i forvaltningskapital.

Utvidet unntak for plikten til å føre behandlingsprotokoll

Et av de mest betydningsfulle forslagene gjelder GDPR artikkel 30 og plikten til å føre protokoll over behandlingsaktiviteter. Artikkel 30 nr. 5 oppstiller allerede unntak fra denne plikten for virksomheter med færre enn 250 ansatte, med mindre visse vilkår er oppfylt – for eksempel at behandlingen av personopplysninger sannsynligvis vil medføre en risiko for de registrertes rettigheter og friheter eller omfatter særlige kategorier av personopplysninger. Unntaket fra denne protokollføringsplikten utvides med det nye forslaget.

For det første er det foreslått at unntaket utvides til også å gjelde SMC-er med opptil 750 ansatte. For det andre er det foreslått å heve terskelen for når slike virksomheter likevel må føre protokoll fra situasjoner hvor behandlingen sannsynligvis vil medføre en «risiko» for de registrertes rettigheter og friheter til «høy risiko». Det betyr at virksomheter med under 750 ansatte bare trenger å protokollføre «høyrisiko»-behandling av personopplysninger. For det tredje er det foreslått at behandling av særlige kategorier av personopplysninger, i tråd med artikkel 9 nr. 2 bokstav b, i seg selv ikke lenger skal utløse en protokollføringsplikt med mindre behandlingen medfører «høy risiko» for de registrerte.

Forslaget er ment å være en lettelse for mindre selskaper som ofte har begrensede ressurser til å håndtere omfattende dokumentasjonskrav. Imidlertid kan det stilles spørsmål ved hvor stor lettelse den foreslåtte endringen faktisk medfører. Mange virksomheter anser behandlingsprotokollen som et nyttig verktøy som gir dem oversikt over alle behandlingsaktiviteter og setter dem i stand til å oppfylle andre krav i GDPR. I tillegg må mye av informasjonen som skal inn i behandlingsprotokollen allerede dokumenteres andre steder for å oppfylle andre krav i GDPR, for eksempel i en personvernerklæring eller i en DPIA. I praksis må derfor virksomhetene i mange tilfeller uansett ha oversikt over og dokumentere informasjonen som kreves i en behandlingsprotokoll, slik at dokumentasjonskravet ikke reelt vil lettes med forslaget.

Inkludering av SMC-behov i atferdsnormer og sertifiseringsordninger

EU-kommisjonens forslag tar også sikte på å tilpasse enkelte deler av GDPR, slik at regelverket også hensyntar behovet til SMC-er. Det er derfor foreslått å innta referanser til SMC-er i artikkel 40 om atferdsnormer og i artikkel 42 om sertifisering, slik at det også må tas hensyn til de særlige behovene til SMC-er ved utarbeidelse av atferdsnormer og sertifiseringer.

Verken atferdsnormer eller sertifisering brukes i stor grad i dag, og forslaget har med det begrenset effekt på nåværende tidspunkt.

Veien videre

EU-kommisjonens forslag skal nå behandles av Rådet og Europaparlamentet. Denne prosessen kan være tidkrevende, men målet er at endringene skal tre i kraft i EU i løpet av 2026. Før endringene kan tre i kraft i EFTA-statene Norge, Island og Liechtenstein må den reviderte forordningen også inntas i EØS-avtalen og innlemmes i det nasjonale regelverket.

Det europeiske Personvernrådet (EDPB) og datatilsynsmyndigheten for EU-organene (EDPS) har allerede uttrykt en forsiktig og foreløpig støtte til forslaget som gjelder behandlingsprotokoll i et brev til EU-kommisjonen, men vil i løpet av sommeren komme med en formell uttalelse.

Mange mener nok at forslaget ikke treffer der skoen trykker for bedriftene, og at forslaget i realiteten ikke vil minske den administrative byrden. Det blir interessant å se hvordan forslaget blir seende ut til slutt, og om EU-kommisjonen vil foreslå mer betydelige endringer i tiden fremover. Vi følger lovgivningsprosessen tett og kan bistå din bedrift med å tilpasse seg personvernregelverket.

Har du spørsmål til GDPR, ta kontakt med enten Trine Smedbold eller Kristin Haram Førde.