Simplificering af fortegnelseskravet under GDPR-reglerne er på vej
Som del af EU's Omnibusforenklingspakke har Europa-Kommissionen foreslået at simplificere en række GDPR-krav. Målet er er at reducere dokumentationskravene for mindre virksomheders når det kommer til fortegnelseskravet.
Europa-Kommissionen foreslår forskellige ændringer, der skal simplificere kravet til at føre interne fortegnelser efter GDPR. Ændringerne skal være en del af den såkaldte ”Fjerde Omnibus”, der har til formål at reducere administrative byrder for små og mellemstore virksomheder, og samtidig forbedre konkurrenceevnen.
Helt kort foreslår Europa-Kommissionen de følgende fire ændringer:
- Undtagelsen til fortegnelseskravet skal udvides ved at forhøje tærsklen for antallet af ansatte fra 250 til 500
- Opdatering af undtagelsen, sådan at tærsklen ikke kan anvendes, hvis behandling sandsynligvis vil medføre en ”risiko” ved at ændre grænsen til ”høj risiko”
- Sletning af betingelsen om, at ”ikke lejlighedsvise” behandlinger udløser kravet, sådan at behandlingens hyppighed ikke længere spiller en rolle
- Sletning af kravet for behandling af særlige kategorier af data, når behandlingens formål er at overholde retlige krav inden for blandt andet ansættelsesforhold
Ændringerne vedrører kun fortegnelseskravet, og påvirker ikke de øvrige forpligtelser, der følger af GDPR.
IUNO mener
Mange virksomheder kæmper fortsat med de administrative byrder, der følger af at sikre compliance med GDPR. Når det er sagt, er det vores forventning, at de foreslåede ændringer kun vil lette byrden i et mindre omfang. Det er selvfølgelig også muligt, at forslaget vil blive underlagt flere ændringer, før det bliver vedtaget.
Hos IUNO er vores vurdering, at mens ændringerne for flere virksomheder vil kunne lette en del af den administrative byrde, vil de fleste behandlingsaktiviteter, der foregår inden for HR eller ved brug af AI udløse en ”høj risiko”. Af den årsag vil den type behandlingsaktiviteter som udgangspunkt stadig udløse fortegnelseskravet for de fleste virksomheder i et eller andet omfang.
[Brev fra EDPB og EDPS til Europa-Kommissionen af 8. maj 2025]
Europa-Kommissionen foreslår forskellige ændringer, der skal simplificere kravet til at føre interne fortegnelser efter GDPR. Ændringerne skal være en del af den såkaldte ”Fjerde Omnibus”, der har til formål at reducere administrative byrder for små og mellemstore virksomheder, og samtidig forbedre konkurrenceevnen.
Helt kort foreslår Europa-Kommissionen de følgende fire ændringer:
- Undtagelsen til fortegnelseskravet skal udvides ved at forhøje tærsklen for antallet af ansatte fra 250 til 500
- Opdatering af undtagelsen, sådan at tærsklen ikke kan anvendes, hvis behandling sandsynligvis vil medføre en ”risiko” ved at ændre grænsen til ”høj risiko”
- Sletning af betingelsen om, at ”ikke lejlighedsvise” behandlinger udløser kravet, sådan at behandlingens hyppighed ikke længere spiller en rolle
- Sletning af kravet for behandling af særlige kategorier af data, når behandlingens formål er at overholde retlige krav inden for blandt andet ansættelsesforhold
Ændringerne vedrører kun fortegnelseskravet, og påvirker ikke de øvrige forpligtelser, der følger af GDPR.
IUNO mener
Mange virksomheder kæmper fortsat med de administrative byrder, der følger af at sikre compliance med GDPR. Når det er sagt, er det vores forventning, at de foreslåede ændringer kun vil lette byrden i et mindre omfang. Det er selvfølgelig også muligt, at forslaget vil blive underlagt flere ændringer, før det bliver vedtaget.
Hos IUNO er vores vurdering, at mens ændringerne for flere virksomheder vil kunne lette en del af den administrative byrde, vil de fleste behandlingsaktiviteter, der foregår inden for HR eller ved brug af AI udløse en ”høj risiko”. Af den årsag vil den type behandlingsaktiviteter som udgangspunkt stadig udløse fortegnelseskravet for de fleste virksomheder i et eller andet omfang.
[Brev fra EDPB og EDPS til Europa-Kommissionen af 8. maj 2025]
