Vid sitt senaste plenarmöte den 3-4 juni 2025 diskuterade Europeiska dataskyddsstyrelsen (European Data Protection Board, EDPB), tillsammans med Europeiska datatillsynsmannen (European Data Protection Supervisor, EDPS), bland annat ett gemensamt yttrande om EU-kommissionens förslag till förordning om ändring av ett antal befintliga rättsakter i syfte att förenkla vissa åtgärder för små och medelstora företag (SME) och små midcap-företag (SMC). Förslaget innehåller en ändring av artikel 30.5 dataskyddsförordningen (GDPR), som handlar om undantag från kravet på att föra ett register över behandling.
För närvarande är organisationer och företag med färre än 250 anställda undantagna från kravet på att föra ett register i artikel 30.1 och 30.2 GDPR, såvida inte den behandling som utförs av organisationen eller företaget sannolikt leder till en risk för de registrerades rättigheter och friheter, behandlingen inte är tillfällig eller behandlingen omfattar särskilda kategorier av uppgifter eller personuppgifter som rör fällande domar i brottmål och överträdelser.
Förslaget syftar till att förenkla och förtydliga undantaget i artikel 30.5 GDPR genom att göra förteckningen obligatorisk endast när behandlingen sannolikt kommer att leda till en hög risk för de registrerades rättigheter och friheter enligt definitionen i artikel 35 GDPR. Dessutom utvidgas undantaget till att omfatta organisationer och små och medelstora företag med färre än 750 anställda.
I ett relaterat skäl i ingressen, som kommer att ingå i ändringsförordningen, kommer det också att anges att behandling av särskilda kategorier av personuppgifter enligt artikel 9.2 (b) GDPR inte i sig utlöser skyldigheten att föra ett register över behandlingen.
Förslaget innebär också en mindre ändring av artiklarna 40 och 42 GDPR. Tillämpningsområdet för dessa bestämmelser utvidgas till att omfatta små och medelstora företag så att deras särskilda behov också beaktas vid utarbetandet av uppförandekoder och certifieringar.