IT-JUSS | Personvern
Letter GDPR-byråkratiet for norske bedrifter?
EU-kommisjonen har foreslått å forenkle enkelte krav i personvernforordningen (GDPR). Målet er å kutte dokumentasjonskrav for europeiske bedrifter, slik at de kan konkurrere bedre internasjonalt. Hvis forslaget vedtas, vil det også påvirke norske virksomheter.
Etter år med nye og omfattende regler fra EU, er fokuset nå på å styrke europeiske virksomheters konkurranseevne. Derfor jobbes det med å lette på reguleringene på flere områder, deriblant forenklinger av GDPR.
Endringsforslagene som kom 21. mai 2025 er mindre omfattende enn mange hadde håpet, men vil ha særlig betydning for én type virksomheter.
Hvilke virksomheter påvirkes?
EU inndeler virksomheter basert på antall ansatte og omsetning. Dette avgjør hvilke administrative krav og regler en virksomhet må oppfylle. Frem til nå har bedrifter med færre enn 250 ansatte (kalt SMB) hatt litt forenklede GDPR-krav og andre regulatoriske krav å forholde seg til sammenlignet med større bedrifter.
Dette har gitt en brå overgang for bedrifter som bikker 250-grensen. Det er derfor foreslått en ny kategori: «Small Mid-Cap Enterprises» (SMC) for bedrifter med 250-750 ansatte, der målet er å gjøre overgangen fra mellomstor til stor bedrift jevnere. Det er altså disse SMC-ene som vil merke de største endringene hvis det nye forslaget blir vedtatt.
Hva er de viktigste endringsforslagene?
Først og fremst blir det enklere å slippe unna plikten til å føre behandlingsprotokoll. Dette er en detaljert oversikt over hvilke personopplysninger virksomheten samler inn, hvorfor og hvordan personopplysningene brukes. I dag er bedrifter med mindre enn 250 ansatte som hovedregel fritatt fra plikten til å føre behandlingsprotokoll, mens det nå foreslås også å unnta SMC med inntil 750 ansatte fra denne plikten.
Etter dagens regler må virksomheter, uavhengig av størrelse, uansett føre behandlingsprotokoll dersom behandlingen av personopplysningene medfører en «risiko» for de berørte. Nå foreslås å heve terskelen til «høy risiko». Etter dagens regler må virksomheten automatisk føre protokoll dersom det behandles sensitive personopplysninger. I det nye forslaget gir ikke dette en automatisk plikt. Virksomheten slipper likevel ikke unna en vurdering av om behandlingen av disse sensitive dataene medfører «høy risiko». Er svaret ja må det fortsatt føres behandlingsprotokoll.
Etter dagens GDPR oppfordres det til at ulike bransjer lager egne atferdsregler for hvordan bransjen skal håndtere personopplysninger. Nå vil EU at det også skal tas hensyn til behovene til SMC-virksomhetene på mellom 250 og 750 ansatte ved utarbeidelse av nye adferdsregler. Også for personvernsertifiseringer for personvern foreslås det tilpasninger til SMC-virksomheter.
Er endringsforslaget gode nyheter?
Endringsforslaget vil kunne lette den regulatoriske byrden for bedrifter med mellom 250 og 750 ansatte. De fleste norske virksomheter er likevel under 250 ansatte, slik at endringen dessverre antagelig vil ha liten betydning for norsk næringsliv.
Norske virksomheter må ellers fortsette å følge alle de andre kravene etter GDPR, for eksempel kravet om behandlingsgrunnlag for å behandle personopplysninger. Man kan derfor spørre seg hvor stor endring forenklingen egentlig får i praksis, og forslaget har høstet kritikk for å ikke gå hardere til verks. Det blir spennende å se om EU-kommisjonen tar til seg kritikken og kommer med flere forslag til forenklinger fremover.
