Bland annat föreslås det undantag att föra register över personuppgiftshanteringar som gäller företag med mindre än 250 anställda (Art. 30(5)) utökas till att gälla företag med färre än 500 anställda.
Den europeiska dataskyddsstyrelsen (EDPB) har uttryckt sitt preliminära stöd för förändringarna i ett brev till kommissionen i maj 2025 men det bör här poängteras att personuppgiftsansvariga organisationer som träffas av det befintliga undantaget som återfinns i Art 30(5) såväl som organisationer som träffas av ett eventuellt utökat undantag, gör klokt i att förlita sig på detta med stor försiktighet.
Idag är undantaget begränsat enbart till situationer där något av följande INTE är för handen:
- Behandlingen resulterar sannolikt i en stor risk för de registrerades rättigheter och friheter; eller
- Behandlingen är inte endast tillfällig; eller
- Behandlingen rör särskilda kategorier av personuppgifter enligt Art 9, eller personuppgifter rörande kriminella handlingar och straff.
Ovanstående begränsningar har kraftigt minskat tillämpningsområdet för undantaget såsom det är utformat idag. Exempelvis innebär ovanstående att:
- Alla sådana behandlingar som innefattar en risk större än den ”normala” risken som kommer med all behandling av personuppgifter, är ej undantagna från kravet på att dokumentera behandlingen i ett register,
- Alla behandlingar som inte utgör en central roll i den personuppgiftsansvariges verksamhet, som endast sker tillfälligt eller vid ett eller flera enstaka tillfällen, är ej undantagna; och
- Alla behandlingar som rör känsliga uppgifter, exempelvis barns personuppgifter, personuppgifter rörande anställda etc. är ej undantagna.
Som synes är det långt ifrån möjligt för ett mindre bolag att idag kategoriskt förlita sig på undantaget att föra register över sina personuppgiftsbehandlingar. En bedömning behöver göras för varje enskild behandling och i många fall är det enklare, eller lika enkelt, att föra register över samtliga behandlingar, inte minst för att underlätta den egna interna hanteringen.
Kommissionen nämner i sitt förslag till lättnader att utöver utökningen till att omfatta organisationer med färre än 500 anställda, föreslås även kvalifikationen under punkt 1 ovan ändras med tillägget ”stor” (risk). Kvalifikationen att behandlingen inte endast är tillfällig föreslås vidare tas bort.
Även om förändringarna tydligt kommer att öka undantagets tillämpbarhet är det enligt min mening fortfarande svårt för en organisation att kategoriskt hävda att kravet på att föra register bortfaller för samtliga behandlingar. En bedömning måste även fortsatt ske för varje enskild behandling och det är mycket sannolikt att alla organisationer även fortsatt kommer att behöva föra register över vissa behandlingar, nämligen de som inte faller in under undantaget. Och då uppstår genast frågan om det inte ändå är både enklast och säkrast att föra register över alla behandlingar, processerna och rutinerna kommer ändå att behöva vara på plats.