Bryssel den 9 juli 2025 – Europeiska dataskyddsstyrelsen (EDPB) och Europeiska datatillsynsmannen (EDPS) har i dag avgett ett gemensamt yttrande om kommissionens förslag till förordning om ändring av vissa förordningar, däribland den allmänna dataskyddsförordningen.
Förslaget, som är en del av den fjärde förenklingsomnibusförordningen, syftar till att förenkla EU:s regler och minska den administrativa bördan genom att utvidga vissa riskreducerande åtgärder som finns tillgängliga för små och medelstora företag till små midcap-företag, och omfattar ytterligare förenklingsåtgärder.
Förslaget syftar till att ändra artikel 30.5 i den allmänna dataskyddsförordningen genom att föreskriva ett undantag från skyldigheten att föra register över uppgiftsbehandlingen. För närvarande gäller detta undantag endast företag och organisationer med färre än 250 anställda, utom i vissa fall. Enligt förslaget skulle undantaget gälla ett företag eller en organisation med färre än 750 anställda, såvida inte den behandling som utförs sannolikt kommer att leda till en hög risk för enskildas rättigheter och friheter, i den mening som avses i artikel 35 i den allmänna dataskyddsförordningen.
Genom förslaget införs dessutom en definition av små och medelstora företag och betydande marknadsinflytande i artikel 4 i den allmänna dataskyddsförordningen och tillämpningsområdet för artiklarna 40.1 och 42.1 i den allmänna dataskyddsförordningen utvidgas till att omfatta betydande marknadsinflytande, som hänvisar till uppförandekoder och certifiering. Dessa verktyg är för närvarande utformade för att hjälpa företag och organisationer att visa att de följer den allmänna dataskyddsförordningen, med fokus på de små och medelstora företagens särskilda behov.
Wojciech Wiewiórowski, Europeiska datatillsynsmannen, sade: ”Vi stöder förslagets allmänna mål att minska den administrativa bördan för små och medelstora företag och länder i södra Medelhavsområdet så länge detta inte försämrar skyddet av enskilda personers grundläggande rättigheter, särskilt rätten till integritet och skydd av personuppgifter. I detta syfte välkomnar vi att de föreslagna ändringarna för att förenkla och förtydliga skyldigheten att föra register över behandlingen är riktade och begränsade till sin karaktär och inte påverkar de grundläggande principerna och andra skyldigheter enligt den allmänna dataskyddsförordningen.
Anu Talus, EDPB:s ordförande, sade: ”Dataskyddsstyrelsen stöder förslagets allmänna mål att minska den administrativa bördan för små och medelstora företag och länder i södra Medelhavsområdet och att säkerställa att de i praktiken kan åtnjuta ett undantag från skyldigheten att föra register över behandlingsverksamhet. Det nuvarande undantaget uppnådde inte alltid sitt mål. Samtidigt är registreringen av behandling ett användbart verktyg för att stödja efterlevnaden av andra skyldigheter, såsom öppenhet eller för att ge verkan åt registrerades rättigheter. Förenklingen kommer att ge små och medelstora företag och länder i södra Medelhavsområdet större flexibilitet att välja den lämpligaste metoden för att uppfylla kraven.”
När det gäller de organisationer som omfattas av undantaget förväntar sig EDPB och EDPS, med tanke på att förslaget påverkar lagstiftningen på andra politikområden, ytterligare förtydliganden om varför det nya tröskelvärdet för företag eller organisationer med färre än 750 anställda skulle vara lämpligare enligt den allmänna dataskyddsförordningen, snarare än det tröskelvärde på 500 anställda som ursprungligen övervägdes. Dessutom hänvisar det nya undantaget i artikel 30.5 till ”företag med färre än 750 anställda” utan att hänvisa till de nyligen införda definitionerna av små och medelstora företag och små kapitalförvaltningsbolag, som också innehåller finansiella kriterier. För att säkerställa att undantaget kommer att gynna små och medelstora företag och kapitalförvaltningsbolag rekommenderar EDPB och Europeiska datatillsynsmannen i sitt gemensamma yttrande att man hänvisar till de nyligen införda definitionerna av små och medelstora företag och kapitalförvaltningsbolag.
EDPB och EDPS uppmanar också medlagstiftarna att i förslaget klargöra att begreppet ”organisation”, som omfattas av det föreslagna undantaget enligt artikel 30.5 i den allmänna dataskyddsförordningen, inte omfattar offentliga myndigheter och organ.
Pressmeddelandet som publiceras här har översatts automatiskt från engelska. EDPB garanterar inte att översättningen är korrekt. Vänligen se den officiella texten i den engelska versionen om det finns några tvivel.