GDPR förenklas – skyldigheten att föra register kan begränsas
Företag och organisationer med färre än 750 anställda kommer förhoppningsvis inte längre att behöva skapa eller uppdatera sina befintliga register över vilka typer av behandling av personuppgifter man gör såvida inte behandlingen innebär en hög risk för de registrerades rättigheter och friheter.
I förra årets konsultation om GDPR fick EU-kommissionen många kommentarer om att undantaget från registreringsskyldigheten enligt artikel 30.5 i GDPR är för snävt. Därför meddelade kommissionen i sin konkurrenskraftskompass att ett förslag skulle läggas fram för att förenkla dokumentationsskyldigheterna. Och det är just det som man nu genomfört.
Enligt gällande GDPR måste den personuppgiftsansvarige och personuppgiftsbiträdet, det vill säga den som behandlar personuppgifter, föra ett register över sin behandling av personuppgifter. Syftet med behandlingen, vilken typ av uppgifter som behandlas eller om uppgifterna överförs till ett land utanför EU ska finnas med i registret som ska vara tillgängligt för dataskyddsmyndigheterna.
Denna skyldighet är dock inte obligatorisk för företag eller organisationer med färre än 250 anställda, såvida inte enhetens behandling sannolikt kommer att medföra en risk för de registrerades rättigheter, behandlingen inte är tillfällig eller behandlingen omfattar känsliga personuppgifter eller uppgifter om brott.
Det nya förslaget innebär en klar förbättring eftersom bland annat det svårdefinierade begreppet tillfällig behandling tas bort. I stället hänvisas till artikel 35 som handlar om krav på konsekvensbedömning för typer av behandlingar som kan medföra hög risk för personuppgiftsskyddet. Exempel på hög risk är användning av ny teknik och om omfattningen av behandlingen sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Om så är fallet ska bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifterna genomföras och, med det nya förslaget, ett register enligt artikel 35 upprättas oavsett storlek på företag.
Detta förslag är en del av en bredare ansats i EU- kommissionens arbetsprogram från den 11 februari om en rad ”omnibusförslag” som är inriktade på överlappande, överdrivna eller föråldrade regler som skapar onödiga bördor. Målet är att minska de administrativa bördorna med minst 25 procent – och minst 35 procent för små och medelstora företag – i slutet av denna mandatperiod.
Så kan den nya formuleringen bli
Artikel 30 anger vilka skyldigheter personuppgiftsansvariga och personuppgiftsbiträden har att föra register över sin behandling av personuppgifter.
Förslag på ny formulering av artikel 30.5 i GDPR: De skyldigheter som avses i punkterna 1 och 2 ska inte gälla för ett företag eller en organisation med färre än 750 anställda, såvida inte den behandling som utförs av företaget kan antas medföra en hög risk för de registrerades rättigheter och friheter i den mening som avses i artikel 35.
Att jämföra med nuvarande formulering: 5. De skyldigheter som anges i punkterna 1 och 2 ska inte gälla för ett företag eller en organisation som sysselsätter färre än 250 personer såvida inte den behandling som utförs sannolikt kommer att medföra en risk för registrerades rättigheter och friheter, behandlingen inte är tillfällig eller behandlingen omfattar särskilda kategorier av uppgifter som avses i artikel 9.1 eller personuppgifter om fällande domar i brottmål samt lagöverträdelser som innefattar brott, som avses i artikel 10.
DU KANSKE OCKSÅ VILL LÄSA
