Forenkling av plikten til å føre protokoll etter GDPR er på vei
Som en del av EUs Omnibus-forenklingspakke foreslår Europakommisjonen å forenkle visse forpliktelser etter GDPR. Målet er å redusere dokumentasjonskravene for mindre virksomheter når det gjelder plikten til å føre protokoll over behandlingsaktiviteter.
Europakommisjonen foreslår ulike endringer for å forenkle protokollføringsplikten etter GDPR. Endringene er planlagt som en del av det såkalte «Fjerde Omnibus», som tar sikte på å redusere administrative byrder og styrke konkurranseevnen for små og mellomstore virksomheter.
Enkelt sagt foreslår Europakommisjonen fire ulike endringer:
- Utvidelse av unntaket fra protokollføringsplikten ved å heve terskelen for antall ansatte fra 250 til 500 ansatte.
- Endring av unntaket slik at ansattgrensen ikke kan brukes hvis behandlingen kan medføre en «risiko» ved å endre utløseren til «høy risiko».
- Fjerning av vilkåret om at behandling som «ikke er sporadisk» utløser protokollføringsplikten, slik at hyppigheten av behandling ikke lenger spiller noen rolle.
- Fjerning av kravet om protokollføring for behandling av særlige kategorier av personopplysninger for å overholde rettslige forpliktelser innenfor arbeidsrett og andre områder.
De foreslåtte endringene vil ikke påvirke andre forpliktelser etter GDPR.
IUNO mener
Mange virksomheter sliter fortsatt med de administrative byrdene knyttet til etterlevelse av GDPR. Når det er sagt, vil de foreslåtte endringene, gitt deres begrensede omfang, bare gi begrenset lettelse. Det er også mulig at forslaget vil bli gjenstand for ytterligere endringer før endelig vedtak.
I IUNO mener vi at selv om de foreslåtte endringene kan gjøre enkelte behandlingsaktiviteter unntatt, vil de fleste behandlingsaktiviteter innen HR eller som utføres ved hjelp av kunstig intelligens fortsatt være å anse som «høy risiko». Det betyr at slike behandlingsaktiviteter uansett vil utløse plikten til å føre protokoll. Av den grunn vil de fleste virksomheter fortsatt være underlagt denne plikten.
[Brev fra EDPB og EDPS til Europakommisjonen av 8 mai 2025]
Europakommisjonen foreslår ulike endringer for å forenkle protokollføringsplikten etter GDPR. Endringene er planlagt som en del av det såkalte «Fjerde Omnibus», som tar sikte på å redusere administrative byrder og styrke konkurranseevnen for små og mellomstore virksomheter.
Enkelt sagt foreslår Europakommisjonen fire ulike endringer:
- Utvidelse av unntaket fra protokollføringsplikten ved å heve terskelen for antall ansatte fra 250 til 500 ansatte.
- Endring av unntaket slik at ansattgrensen ikke kan brukes hvis behandlingen kan medføre en «risiko» ved å endre utløseren til «høy risiko».
- Fjerning av vilkåret om at behandling som «ikke er sporadisk» utløser protokollføringsplikten, slik at hyppigheten av behandling ikke lenger spiller noen rolle.
- Fjerning av kravet om protokollføring for behandling av særlige kategorier av personopplysninger for å overholde rettslige forpliktelser innenfor arbeidsrett og andre områder.
De foreslåtte endringene vil ikke påvirke andre forpliktelser etter GDPR.
IUNO mener
Mange virksomheter sliter fortsatt med de administrative byrdene knyttet til etterlevelse av GDPR. Når det er sagt, vil de foreslåtte endringene, gitt deres begrensede omfang, bare gi begrenset lettelse. Det er også mulig at forslaget vil bli gjenstand for ytterligere endringer før endelig vedtak.
I IUNO mener vi at selv om de foreslåtte endringene kan gjøre enkelte behandlingsaktiviteter unntatt, vil de fleste behandlingsaktiviteter innen HR eller som utføres ved hjelp av kunstig intelligens fortsatt være å anse som «høy risiko». Det betyr at slike behandlingsaktiviteter uansett vil utløse plikten til å føre protokoll. Av den grunn vil de fleste virksomheter fortsatt være underlagt denne plikten.
[Brev fra EDPB og EDPS til Europakommisjonen av 8 mai 2025]
