GDPR ska ses över – förslag om minskade krav för små och medelstora företag 

Sedan GDPR trädde i kraft 2018 har regelverket bemötts av kritik och varit omdiskuterat då reglerna upplevs vara lågtgående och svåra att efterleva i praktiken. Det har särskilt framförts att det är centralt att regleringar är tydliga och proportionerliga för att inte hämma EU:s konkurrenskraft.

I början av 2025 bekräftade IMY:s generaldirektör i en debattartikel kritiken som riktats mot GDPR och påpekade att även om skyddet för vår personliga integritet är viktigt får regleringen inte innebära ett onödigt hinder för innovation och utveckling.

Under 2025 har EU presenterat olika s.k. omnibuspaket som syftar till att förenkla och samordna lagstiftning på olika områden för att minska den administrativa bördan för företag. I maj 2025 publicerades det fjärde omnibuspaketet som anger att EU måste se till att regleringen är proportionerlig, målinriktad och stödjer affärsverksamhet. Paketet innehåller bland annat ett förslag om lättnader i kraven enligt GDPR på att föra register över personuppgiftsbehandling.

Här nedan redogör vi kort för innebörden av förslaget till regellättnader.

Förslag på undantag från skyldigheten att föra register vid personuppgiftsbehandling

Enligt GDPR måste personuppgiftsansvariga och personuppgiftsbiträden föra ett register över sin behandling av personuppgifter, inklusive bland annat syftet med behandlingen, vilken typ av uppgifter som behandlas och om uppgifterna överförs till ett land utanför EU (se artikel 30 GDPR).

Skyldigheten att föra register gäller idag för företag med fler än 250 anställda, men även för mindre företag än så om den personuppgiftsbehandling som utförs medför en risk för den registrerades rättigheter och friheter, om behandlingen omfattar särskilt känsliga personuppgifter, exempelvis uppgifter om hälsa eller religion eller om behandlingen inte är tillfällig – det är därför ovanligt att kravet på registerföring inte är tillämpligt.

Som en del av det fjärde omnibuspaketet föreslår EU-kommissionen att undantaget till registerföring ska vidgas. Resultatet skulle då bli att skyldigheten endast skulle gälla för företag med fler än 750 anställda. I förslaget anges även att vissa begränsningar av undantaget, som att det bara gäller för personuppgiftbehandling som sker tillfälligt, ska tas bort. Ett register ska dock ändå upprättas om en personuppgiftsbehandling medför en hög risk för de registrerades rättigheter och friheter.

Diskussion som förts efter förslaget

Den föreslagna lättnaden är begränsad till just kravet att föra register men visar på en tendens och önskan inom EU att förenkla regelbördan. Europeiska dataskyddsstyrelsen (EDPB) har också i ett gemensamt svar med Europeiska datatillsynsmannen (EDPS) uttryckt sitt stöd för förslaget men betonat att det inte påverkar företagens skyldighet att följa andra bestämmelser i GDPR. Eftersom GDPR i övrigt gäller även om det inte finns en skyldighet att föra ett register kan betydelsen av regellättnaden antas bli begränsad för många verksamheter. Dessutom kan ett register över behandlingsaktiviteter i många fall vara nödvändigt att ha på plats för att i praktiken kunna uppfylla övriga krav som uppställs i GDPR.

EDPB och EDPS väntas nu tillsammans med EU-kommissionen ytterligare utvärdera antalet företag som skulle gynnas av lättnaden i förslaget och dess inverkan på skyddet av personuppgifter. Den vidare granskningen av förslaget handlar om att säkerställa en proportionerlig och rättvis balans mellan skyddet av personuppgifter och intresset hos berörda företag. Se mer om förslaget och EDPB och EDPS svar här. Under EDPB:s plenarmöte den 3-4 juni 2025 framkom att EDPB och EDPS avser att fram ett gemensamt yttrande över förslaget inom åtta veckor.

Vi på Cederquist följer utvecklingen av förslaget. Hör gärna av dig om du har några dataskyddsfrågor eller om hur regellättnaderna skulle kunna påverka ditt företag i framtiden.