Färre än 750 anställda? – Då gäller krav på register över behandling

Nytt förslag från EU-kommissionen utvidgar undantag från kravet att föra register över personuppgiftsbehandling.

Enligt GDPR (artikel 30) är den som är personuppgiftsansvarig eller anlitad som personuppgiftsbiträde skyldig att föra ett register över sin behandling av personuppgifter.

Registret ska exempelvis innehålla information om ändamålen med behandlingen, kategorier av registrerade och kategorier av personuppgifter, namn och kontaktuppgifter till ansvariga, kategorier av mottagare till personuppgifterna och om dessa överförs till tredjeland, lagringstider samt, om möjligt, implementerade säkerhetsåtgärder.

Ett företag eller en organisation som sysselsätter färre än 250 personer kan dock undgå kravet på att föra ett register. Undantaget är tillämpligt i den mån behandlingen inte sannolikt bedöms medföra en risk för registrerades fri- och rättigheter, inte är av tillfällig natur eller omfattar särskilda kategorier av uppgifter eller personuppgifter om fällande domar i brottmål samt överträdelser.

EU-kommissionen har nu lagt fram ett förslag om att utvidga undantaget till att gälla företag eller organisationer som sysselsätter färre än 750 personer. Om förslaget går igenom innebär det en förenkling av GDPR, som kan underlätta för många mindre och medelstora företag och organisationer.

Europeiska dataskyddsstyrelsen (EDPB) kommer, tillsammans med Europeiska datatillsynsmannen (EDPS), lämna sitt yttrande över förslaget.

EY Law följer utvecklingen och kan hjälpa ditt företag med juridiska frågor och utmaningar kopplade till dataskydd och regelefterlevnad. Tveka inte att höra av er till oss vid frågor eller funderingar.

Författare:

• Anna Byström, Partner, +46 73 441 71 59
• Elina Elfstrand, Associate, +46 72 963 41 68