EU varsler GDPR 2.0: Dette er de forventede endringene

GDPR ble utviklet for å harmonisere personvernreglene i EØS og gi enkeltpersoner større kontroll over egne personopplysninger. I det store bildet er GDPR-regelverket fremdeles relativt ungt, men både teknologisk utvikling, deling av data på tvers av landegrenser og internasjonal konkurranse er faktorer som tilsier at regelverket bør revideres. I tillegg har man erfart at byrdene GDPR påfører mindre bedrifter er uforholdsmessig store og kan hemme økonomisk vekst.

EU-kommisjonens forslag til revisjon offentliggjøres først 21. mai. Det er likevel forventet at disse punktene kan bli en del av revisjonen:

• Forenklede GDPR-krav for små og mellomstore bedrifter: EU-kommisjonen har uttrykt at GDPR-kravene er for omfattende og kompliserte for små og mellomstore bedrifter. Det er derfor forventet forenklinger for denne gruppen, for eksempel gjennom mindre omfattende dokumentasjonsplikter og enklere prosedyrer der det er lav risiko. Det er blant annet uttrykt et ønske om at kun virksomheter med over 500 ansatte skal underlegges krav om å ha behandlingsprotokoll.
• Nye retningslinjer for AI: Det har skjedd en enorm utvikling innen kunstig intelligens siden 2018, og EUs forordning om kunstig intelligens (AI Act) ble vedtatt i 2024. Det er forventet at GDPR-regelverket tilpasses utviklingen innen kunstig intelligens og justeres i tråd med reglene i AI Act. Endringene kan for eksempel gjelde strengere regler for gjenbruk av data til automatiserte avgjørelser.
• Enklere håndhevelse over landegrenser: GDPR har regler for samarbeid mellom tilsynsmyndighetene i ulike medlemsland, men disse reglene oppleves trege og byråkratiske. Det er derfor mulig reglene om samarbeid mellom tilsynsmyndigheter endres i nye GDPR.
• Forenkle samspill med overlappende regelverk: Det kommer en rekke nye EU-regelverk innenfor det digitale området som overlapper. Det er forventet at GDPR skal tilpasses disse andre regelverkene for å forhindre dobbeltarbeid.

Forslaget til "GDPR 2.0" legges frem 21. mai, men det betyr ikke at endringene trer i kraft umiddelbart. Forslaget skal først gjennom lovgivningsprosessen i EU, og deretter må de tre EFTA-landene i EØS, inkludert Norge, innlemme den nye forordningen i nasjonalt regelverk. Denne prosessen kan ta tid – alt fra måneder til et par år, avhengig av hvor omfattende endringene blir og politisk konsensus i EU-landene. Uavhengig av hvor lang tid revisjonen tar, vil forenklinger i regelverket være kjærkomne endringer for små og mellomstore bedrifter.

Vi følger lovgivningsprosessen nøye og kan bistå din virksomhet med å tilpasse seg det reviderte personvernregelverket. På våre nettsider vil du også finne oppdatert informasjon når det nye regelverket er lagt frem og jevnlige oppdateringer helt frem til regelverket trer i kraft i Norge.