GDPR 2.0: Mindre omfattende endringer enn ventet

Formålet med GDPR-revisjonen er å forenkle personvernregelverket og redusere de administrative byrdene for små og mellomstore bedrifter og såkalte "small mid-cap"-bedrifter (SMC). Forslaget er del av en større pakke fra EU med sikte på å styrke konkurranseevnen og senke kostnadene for europeiske bedrifter, særlig for SMC-bedrifter som befinner seg i overgangsfasen fra å være små og mellomstore til å bli større selskaper.

Et av de mest sentrale forslagene fra EU-kommisjonen, gjelder kravet i GDPR artikkel 30 til å føre protokoll over behandlingsaktiviteter. Denne behandlingsprotokollen skal fungere som en oversikt over virksomhetens behandling av personopplysninger, og skal inneholde en rekke opplysninger om behandlingen.

I dag er det allerede et unntak fra plikten til å føre protokoll for bedrifter med færre enn 250 ansatte, forutsatt at visse strenge vilkår er oppfylt, herunder at behandlingen sannsynligvis ikke vil medføre "risiko" for de registrertes rettigheter. I realiteten er unntaket så snevert at de færreste bedrifter er unntatt plikten til å føre protokoll. Det nye forslaget utvider unntaket:

• Økt terskel for unntak: Det er foreslått å utvide unntaket, slik at bedrifter med opptil 750 ansatte unntas plikten til å føre behandlingsprotokoll.
• Begrensning knyttet til "høy risiko": I dagens bestemmelse er det presisert at unntaket ikke gjelder for behandling som medfører "risiko" for de registrertes rettigheter og friheter. I det nye forslaget er terskelen hevet til "høy risiko". Dersom risikoen er høy, må bedriften føre behandlingsprotokoll selv om den har under 750 ansatte.
• Ingen automatisk protokollplikt for særlige kategorier personopplysninger: Ifølge forslaget skal behandling av særlige kategorier personopplysninger, for eksempel helsedata, ikke lenger automatisk utløse protokollføringsplikt. Bedriften må likevel vurdere om behandlingen medfører "høy risiko".

Forslaget innebærer at færre bedrifter enn tidligere underlegges krav om å føre behandlingsprotokoll. Dagens unntak for bedrifter med under 250 ansatte omfatter imidlertid 99,5 % av norske bedrifter, og den økte terskelen for unntak vil derfor ha betydning for et lite antall norske bedrifter. Det vil imidlertid ha større praktisk betydning at terskelen for når unntaket ikke gjelder, heves til behandling med "høy risiko".

Bedriftene som unntas fra plikten til å føre protokoll må likevel fortsatt overholde øvrige forpliktelser etter GDPR, inkludert kravet om å ha et gyldig behandlingsgrunnlag. Behandlingsprotokollen skal inneholde en rekke opplysninger, blant annet formålet med behandlingen, hvilke kategorier av personopplysninger som behandles, og hvilket behandlingsgrunnlag som benyttes. Mye av denne informasjonen skal også fremgå av virksomhetens personvernerklæring(er). I praksis innebærer dette at bedriftene uansett må ha oversikt over den informasjonen og de forpliktelsene som normalt skal inngå i en behandlingsprotokoll. For mange bedrifter vil det dermed være nyttig å føre behandlingsprotokoll for å overholde øvrige forpliktelser under GDPR, selv om de ikke er pålagt å føre slik protokoll. Det kan derfor stilles spørsmål ved hvor stor forenkling av bedriftenes forpliktelser den foreslåtte endringen faktisk medfører.

GDPR artikkel 40 oppfordrer til opprettelse av bransjespesifikke atferdsnormer og bransjekoder, spesielt tilpasset små og mellomstore bedrifter. EU-kommisjonen foreslår nå å utvide ordlyden til også å omfatte SMC-bedrifter. SMC sikter til bedrifter som befinner seg i overgangsfasen fra å være små og mellomstore til å bli større selskaper med inntil tre ganger så mange ansatte som bedrifter som vanligvis klassifiseres som små eller mellomstore bedrifter (SMB). Det er også foreslått en definisjon av SMC i GDPR. Ved endringene i artikkel 40 vil man sikre at også de litt større bedriftene blir tatt bedre hensyn til når bransjeorganisasjoner og tilsynsmyndigheter utvikler atferdsnormer.

For norske bedrifter, spesielt de som raskt vokser fra SMB- til SMC-størrelse, kan atferdsnormer gi god veiledning. Atferdsnormer brukes imidlertid i begrenset grad i dag. Atferdsnormer må derfor tas i bruk i større grad før den foreslåtte endringen får stor praktisk betydning.

Også GDPR artikkel 42 om sertifiseringsordninger foreslås endret, for å likestille SMC med SMB. Bedrifter som ønsker å dokumentere at deres sikkerhets- og personverntiltak er i samsvar med GDPR, vil gjennom de reviderte bestemmelsene kunne benytte seg av sertifiseringsordninger som tar hensyn til SMC-bedrifters særskilte behov.

Foreløpig er sertifisering lite utbredt under GDPR, men dette har fått økt fokus fra blant annet Datatilsynet i det siste. Vi vil dermed kunne se økt bruk av sertifiseringsordninger fremover. På nåværende tidspunkt vil imidlertid endringen medføre små forskjeller i praksis for de fleste bedrifter.

Forslaget til "GDPR 2.0" ble lagt frem 21. mai, men det betyr ikke at endringene trer i kraft umiddelbart. Forslaget skal først gjennom lovgivningsprosessen i EU, og deretter må de tre EFTA-landene i EØS, inkludert Norge, innlemme den reviderte forordningen i nasjonalt regelverk. Denne prosessen kan ta tid – men målet fra EUs side er at endringene skal gjelde i EU-landene innen 2026.

Mange er nok skuffet over revisjonsforslaget fra EU-kommisjonen, siden endringene er mer beskjedne enn forventet. Det gjenstår å se om EU-kommisjonen lytter til kritikken og foreslår mer omfattende endringer, eller om det kommer flere forslag til forenklinger i personvernregelverket fremover.

Vi følger lovgivningsprosessen nøye og kan bistå din virksomhet med å tilpasse seg personvernregelverket. På våre nettsider vil du finne oppdatert informasjon når det nye regelverket er vedtatt og jevnlige oppdateringer helt frem til regelverket trer i kraft i Norge.