EU vill göra det enklare för mindre företag att följa GDPR, genom att lätta på kravet att föra registerförteckning.
Låter positivt – men vad innebär det i praktiken?
Vilka skyldigheter försvinner, och vad behöver ni fortfarande ha koll på?
Här går vi igenom vad förslaget betyder för er – och varför dokumentation fortfarande är en nyckel i ett bra dataskyddsarbete.
Europeiska kommissionen har lagt fram ett förslag om att ändra artikel 30 i GDPR.
Målet? Att minska kravet på att föra detaljerade registerförteckningar över personuppgiftsbehandlingar för mindre företag.
Förslaget riktar sig till organisationer med färre än 500 anställda och kan innebära en betydande lättnad för många.
Redan i dag finns ett undantag för företag med färre än 250 anställda – men det nya förslaget skulle utöka denna gräns till 500 och samtidigt förenkla dokumentationskraven ytterligare.
Men samtidigt väcker förslaget frågor. Hur påverkas dataskyddet i praktiken – och vad måste företag fortsätta att göra oavsett undantag?
I dag måste nästan alla organisationer dokumentera sina behandlingar av personuppgifter enligt artikel 30 i GDPR. Det handlar om att ha en uppdaterad registerförteckning som visar vilka uppgifter som behandlas, i vilket syfte och med vilka mottagare.
Det nya förslaget innebär att detta krav kan slopas för mindre företag, så länge behandlingen inte är omfattande eller gäller känsliga personuppgifter. Syftet är att förenkla GDPR i praktiken – utan att sänka skyddsnivån.
Flera tillsynsmyndigheter, däribland EDPB och EDPS, har uttryckt viss oro. En förenklad skyldighet att dokumentera kan leda till:
Kort sagt: en mindre strikt regelverk kan få stora konsekvenser om det tolkas som att dataskyddsarbetet kan tonas ned.
Förslaget undantar inte alla mindre verksamheter. Företag måste fortfarande dokumentera sina behandlingar om de:
Det innebär att många organisationer, även med färre än 500 anställda, fortfarande omfattas av kravet på en registerförteckning enligt GDPR.
Även om undantaget införs, är det viktigt att komma ihåg: andra krav i GDPR gäller fortfarande. Företag måste fortsatt ha rättslig grund, säkerställa transparens, tillämpa lämpliga skyddsåtgärder och i vissa fall genomföra konsekvensbedömningar (DPIA) enligt artikel 35.
Att ha en uppdaterad registerförteckning är därför inte bara en regel – det är ett verktyg för att kunna leva upp till alla andra skyldigheter.
Kommissionens förslag har ett gott syfte: att minska administrationen för mindre företag. Men förenklingen får inte tolkas som ett frikort. Dataskyddsansvaret ligger kvar, och många verksamheter kommer fortsatt behöva struktur, kontroll och dokumentation för att vara trygga i sin efterlevnad.
Förslaget om förenklade regler kan låta som en lättnad – men i verkligheten ställer det nya krav på att göra rätt avvägningar. Vad måste dokumenteras? Vad kan hoppas över? Och hur ser man till att man inte missar något avgörande?
För många mindre verksamheter är det redan utmanande att hålla koll på alla skyldigheter i GDPR. Att nu dessutom tolka undantag och anpassa sin dokumentation utan att tappa kontrollen kräver mer än god vilja – det kräver struktur, överblick och rätt stöd.
Det räcker inte att bara ha en registerförteckning – den måste vara uppdaterad, relevant och lätt att arbeta med i vardagen. Inte minst när reglerna förändras och kraven blir mer situationsanpassade.
Att skapa en registerförteckning är enkelt – men att hålla den uppdaterad kräver struktur. Med vår digitala lösning får ni:
Ni får kontroll, sparar tid och slipper gissa vad som krävs. Vi visar er gärna hur det fungerar i praktiken.