EDPB positiv till ändringar av GDPR

Inom ramen för det fjärde Omnibus-paketet, har EU-kommissionen lagt fram ett förslag till förordning om ändring av vissa EU-regelverk, däribland dataskyddsförordningen, GDPR. Syftet med kommissionens förslag är att förenkla EU-regler och minska den administrativa bördan för företag. Förslaget innebär en ändring av artikel 30.5 i GDPR, som handlar om undantag från skyldigheten att föra register över vilka behandlingar av personuppgifter som sker i verksamheten. I nuläget gäller detta undantag endast företag och organisationer med färre än 250 anställda, under vissa förutsättningar. Enligt förslaget skulle undantaget i framtiden gälla företag eller organisationer med färre än 750 anställda, såvida inte den behandling som sker sannolikt leder till en hög risk för individers rättigheter och friheter. Idag krävs också att personuppgiftsbehandlingen är tillfällig för att undantaget ska gälla. Detta krav föreslås tas bort.

Europeiska dataskyddsstyrelsen (EDPB) och Europeiska datatillsynsmannen (EDPS) har nu offentliggjort ett gemensamt yttrande om dessa förslag där man instämmer i behovet av att minska den administrativa bördan för företag och ser positivt på att undantagsbestämmelsen i artikel 30.5 förtydligas och förenklas. EDPB och EDPS pekar samtidigt på det värde som en förteckning kan ha för att uppfylla andra skyldigheter i GDPR och uppger att företag som omfattas av undantaget nu får mer flexibilitet när det gäller att välja vilken metod som passar bäst för att efterleva reglerna i GDPR. 

EDPB och EDPS önskar samtidigt ytterligare förtydliganden om varför gränsen på färre än 750 anställda skulle vara mer lämplig än den tidigare övervägda gränsen på 500 anställda och lämnar en del andra kommentarer på förslaget i sitt yttrande.