Bryssel 9. heinäkuuta 2025 – Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu antoivat tänään yhteisen lausunnon Euroopan komission ehdotuksesta asetukseksi tiettyjen asetusten, myös yleisen tietosuoja-asetuksen, muuttamisesta.
Ehdotuksella, joka on osa neljättä yksinkertaistamista koskevaa koontiasetusta, pyritään yksinkertaistamaan EU:n sääntöjä ja vähentämään hallinnollista rasitusta laajentamalla tiettyjä pienille ja keskisuurille yrityksille (pk-yrityksille) tarjolla olevia lieventäviä toimenpiteitä pieniin midcap-yrityksiin. Ehdotukseen sisältyy myös muita yksinkertaistamistoimenpiteitä.
Ehdotuksen tarkoituksena on muuttaa yleisen tietosuoja-asetuksen 30 artiklan 5 kohtaa ja säätää poikkeuksesta velvollisuuteen pitää kirjaa tietojenkäsittelytoimista. Tällä hetkellä tätä poikkeusta sovelletaan vain yrityksiin ja organisaatioihin, joissa on alle 250 työntekijää, lukuun ottamatta tiettyjä tapauksia. Ehdotuksen mukaan poikkeusta sovellettaisiin yritykseen tai organisaatioon, jonka palveluksessa on vähemmän kuin 750 työntekijää, paitsi jos suoritettu käsittely todennäköisesti aiheuttaa yleisen tietosuoja-asetuksen 35 artiklassa tarkoitetun suuren riskin yksilöiden oikeuksille ja vapauksille.
Lisäksi ehdotuksella lisätään yleisen tietosuoja-asetuksen 4 artiklaan pk-yritysten ja eteläisen Välimeren maiden määritelmä ja laajennetaan yleisen tietosuoja-asetuksen 40 artiklan 1 kohdan ja 42 artiklan 1 kohdan soveltamisala koskemaan eteläisen Välimeren maita, joissa viitataan käytännesääntöihin ja sertifiointiin. Nämä välineet on tällä hetkellä suunniteltu auttamaan yrityksiä ja organisaatioita osoittamaan, että ne noudattavat yleistä tietosuoja-asetusta, keskittyen pk-yritysten erityistarpeisiin.
Euroopan tietosuojavaltuutettu Wojciech Wiewiórowski totesi seuraavaa: ”Tuemme ehdotuksen yleistä tavoitetta vähentää pk-yritysten ja eteläisen Välimeren maiden hallinnollista taakkaa, kunhan tämä ei heikennä yksilöiden perusoikeuksien, erityisesti yksityisyyttä ja henkilötietojen suojaa koskevien oikeuksien, suojaa. Tätä varten olemme tyytyväisiä siihen, että ehdotetut muutokset, joilla yksinkertaistetaan ja selkeytetään velvoitetta pitää kirjaa käsittelystä, ovat kohdennettuja ja luonteeltaan rajoitettuja eivätkä vaikuta yleisen tietosuoja-asetuksen keskeisiin periaatteisiin ja muihin velvoitteisiin.”
Euroopan tietosuojaneuvoston puheenjohtaja Anu Talus totesi seuraavaa: ”Euroopan tietosuojaneuvosto tukee ehdotuksen yleistä tavoitetta vähentää pk-yritysten ja eteläisen Välimeren maiden hallinnollista taakkaa ja varmistaa, että ne voivat käytännössä saada poikkeuksen velvollisuudesta pitää kirjaa käsittelytoimista. Nykyisellä poikkeuksella ei aina saavutettu tavoitetta. Samalla käsittelytoimien kirjaaminen on hyödyllinen väline, jolla tuetaan muiden velvollisuuksien, kuten läpinäkyvyyden, noudattamista tai rekisteröidyn oikeuksien toteutumista. Yksinkertaistaminen antaa pk-yrityksille ja pienille ja keskisuurille yrityksille enemmän joustovaraa valita vaatimustenmukaiseksi sopivin menetelmä.”
Kun otetaan huomioon, että ehdotus vaikuttaa muiden politiikanalojen lainsäädäntöön, poikkeuksen soveltamisalaan kuuluvien organisaatioiden osalta Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu odottavat lisäselvennyksiä siihen, miksi alle 750 henkilöä työllistävien yritysten tai organisaatioiden uusi kynnysarvo olisi yleisen tietosuoja-asetuksen mukaan asianmukaisempi kuin alun perin tarkasteltu 500 työntekijän kynnysarvo. Lisäksi 30 artiklan 5 kohdassa olevassa uudessa poikkeuksessa viitataan ”yrityksiin, joiden palveluksessa on vähemmän kuin 750 työntekijää”, viittaamatta äskettäin käyttöön otettuihin pk-yritysten ja SMC:n määritelmiin, jotka sisältävät myös taloudelliset kriteerit. Sen varmistamiseksi, että poikkeus hyödyttää pk-yrityksiä ja eteläisen Välimeren maita, Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutetun yhteinen lausunto suosittavat viittaamista äskettäin käyttöön otettuihin pk-yritysten ja eteläisen Välimeren maiden määritelmiin.
Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu pyytävät myös lainsäätäjiä selventämään ehdotuksessa, että yleisen tietosuoja-asetuksen 30 artiklan 5 kohdan nojalla ehdotetun poikkeuksen soveltamisalaan kuuluva käsite ”organisaatio” ei kata viranomaisia ja elimiä.
Täällä julkaistu lehdistötiedote on käännetty automaattisesti englanniksi. Tietosuojaneuvosto ei takaa käännöksen oikeellisuutta. Ole hyvä ja tutustu viralliseen tekstiin sen englanninkielisessä versiossa, jos siitä on epäilyksiä.