Europeiska dataskyddsstyrelsen (European Data Protection Board, EDPB) och Europeiska datatillsynsmannen (European Data Protection Supervisor, EDPS) har utfärdat ett gemensamt yttrande om EU-kommissionens förslag till förordning om ändring av dataskyddsförordningen (GDPR).
Förslaget syftar till att förenkla EU:s regler och minska den administrativa bördan, utvidga vissa begränsande åtgärder som är tillgängliga för små och medelstora företag till små och medelstora företag, och innehåller ytterligare förenklingsåtgärder.
Enligt förslaget ska artikel 30.5 GDPR ändras, vilket ger ett undantag från skyldigheten att föra ett register över behandlingen av personuppgifter som sker i verksamheten. För närvarande gäller detta undantag endast för företag och organisationer med färre än 250 anställda, utom i vissa fall. Enligt förslaget ska undantaget gälla för företag eller organisationer med färre än 750 anställda, såvida inte den behandling som utförs sannolikt leder till en hög risk för enskildas rättigheter och friheter, i den mening som avses i artikel 35 GDPR.
Dessutom införs i förslaget en definition av små och medelstora företag och små och medelstora organisationer i artikel 4 GDPR. Även tillämpningsområdet för artiklarna 40.1 och 42.1 GDPR, som hänvisar till uppförandekoder och certifiering, utvidgas till att omfatta små och medelstora organisationer. Dessa verktyg är för närvarande utformade för att hjälpa företag och organisationer att visa att de följer GDPR med fokus på de små och medelstora företagens särskilda behov.
När det gäller de organisationer som omfattas av undantaget förväntar sig EDPB och EDPS, med tanke på att förslaget påverkar lagstiftningen på andra politikområden, ytterligare klargöranden om varför det nya tröskelvärdet för företag eller organisationer som sysselsätter färre än 750 personer skulle vara lämpligare enligt GDPR, snarare än det tröskelvärde på 500 anställda som ursprungligen övervägdes.