Nyhet

EU-förslag vill förenkla GDPR för medelstora bolag

Peter Käll
Med:
Peter Käll
23 maj 20254 min lästid
insight featured image
EU-kommissionen har föreslagit ändringar i GDPR och andra EU-förordningar för att förenkla administrativa krav, särskilt för små mid-cap-företag (SMC) som vuxit ur SME-kategorin. Förändringarna i GDPR är dock begränsade.
Innehåll

Vad innebär förändringarna avseende GDPR?

Den 21 maj 2025 presenterade EU-kommissionen ett lagförslag som bland annat innebär följande för GDPR:

Förslaget innebär en utvidgning av undantag från registerföringsskyldighet för företag i tillväxtfasen och kan leda till viss administrativ lättnad för de företag som berörs. Större förändringar av GDPR:s grundläggande krav eller omfattande förenklingar för bredare grupper av företag ingår inte i det nuvarande förslaget. 

– EU-kommissionens förslag innebär en viss administrativ lättnad för växande företag, men förändringarna i GDPR är begränsade och påverkar främst företag som precis vuxit ur SME-kategorin. För majoriteten av små och medelstora företag innebär förslaget ingen större skillnad i det dagliga dataskyddsarbetet, säger Grant Thorntons Peter Käll, Certified Data Privacy Solutions Engineer (CDPSE). 

Förändringarna avseende GDPR i korthet: 

Utvidgat undantag från registerföring

Idag behöver företag med färre än 250 anställda inte föra register över alla personuppgiftsbehandlingar, så länge behandlingen inte innebär särskilda risker. Kommissionen föreslår nu att detta undantag ska omfatta även företag med upp till 750 anställda, förutsatt att behandlingen inte är av sådan art att den innebär “hög risk” för de registrerade (se faktarutan)

Hänsyn till SMC för uppförandekoder och certifiering

När uppförandekoder och dataskyddscertifieringar tas fram ska även SMC-företagens behov beaktas, inte enbart SME.

Det handlar därmed om en viss anpassning av proportionalitetsprincipen, men utan att påverka GDPR:s grundläggande skyldigheter eller göra några bredare undantag för verksamheter med låg risk. 

En del av ett större paket

GDPR-ändringarna är en del av ett större förslagspaket där liknande förenklingar införs i regler om batterier, F-gaser, importskydd och prospekt. På dataskyddsområdet är förändringarna begränsade till utökade undantag från registerföring och hänsyn till SMC för uppförandekoder och certifiering. 

Effekter för svenska företag

Om förslaget går igenom innebär det att fler företag – nu även SMC med upp till 750 anställda – kan undantas från skyldigheten att föra register över sin personuppgiftsbehandling, så länge verksamheten inte innebär hög risk för individens rättigheter och friheter. För övriga företag och verksamheter där personuppgiftsbehandlingen innebär hög risk, eller gäller känsliga personuppgifter i stor omfattning, kvarstår dock dokumentationskraven. 

– Att ha en förteckning med personuppgiftsbehandlingar på frivillig basis ger inte bara god intern kontroll, utan är i praktiken nödvändigt för att kunna efterleva andra EU-regleringar – särskilt inom informationssäkerhetsområdet – där kraven på dokumentation, spårbarhet och ansvarstagande är långtgående, säger Peter Käll.

Begreppet “hög risk” syftar på personuppgiftsbehandling som kan leda till allvarliga konsekvenser för de registrerades rättigheter och friheter. I GDPR (artikel 35) anges att följande exempel ofta innebär hög risk och därmed särskilda krav – till exempel skyldighet till konsekvensbedömning (DPIA):

  • Storskalig behandling av känsliga personuppgifter, som hälsa, religion, politiska åsikter eller biometriska data.
  • Systematisk övervakning av personer i stor omfattning, t.ex. kameraövervakning av offentliga platser.
  • Profilering och automatiserade beslut som har rättslig eller liknande betydande effekt på individer.
  • Samkörning av dataset från olika källor som kan innebära nya risker.

Bedömningen av om behandlingen innebär “hög risk” ska alltid göras utifrån arten, omfattningen, syftet och sammanhanget för behandlingen. Om det råder osäkerhet rekommenderas att genomföra en konsekvensbedömning, och vid behov kontakta dataskyddsombud eller tillsynsmyndighet.

Se även: Förteckning enligt artikel 35.4 i Dataskyddsförordningen 

Tjänster
Vi kan hjälpa er med: Regelefterlevnad
Jag vill veta mer
Vi kan hjälpa er med: Regelefterlevnad
Taggar  
Medverkare

Senaste nytt

Se fler artiklar

Har du gjort din 3:12-analys? Nya regler från 2026

Skattenyhet

Sedan 1 januari 2026 gäller nya regler för delägare i fåmansföretag. Det är först i deklarationen 2027 som ägare behöver lämna in en K10-blankett enligt de nya reglerna, men redan nu är det hög tid att analysera vilka förändringar som du eller ditt företag eventuellt måste göra redan nu. Vi har samlat de viktigaste punkterna för delägare att ta ställning till.

Catrin Åkerlund
| 2 min lästid | 26 mars 2026

Checklista inför bolagsförsäljning – säkerställ att redovisningen är redo

Nyhet

Står bolaget inför en möjlig försäljning? När intresset från potentiella köpare ökar är det helt rätt tid att förbereda en stark och trygg exit. Men även lönsamma och växande bolag kan tappa värde i en affär om den ekonomiska hanteringen upplevs som spretig eller ofullständig. Följ vår tio-stegs checklista för att vara deal ready.

Agnes Dahllöf
Frida Wallentheim
Jonas Björkman
| 4 min lästid | 24 mars 2026

Vanliga frågor i bokslutstider – och varför det lönar sig att ha en erfaren revisor

Tips och råd

När bokslutet närmar sig uppstår ofta återkommande frågor kring hur olika avtal, ersättningar och finansiella placeringar ska redovisas. Oavsett bransch eller storlek på bolag är det många företag som hanterar komplexa situationer där regelverket inte alltid är självklart. Nedan går vi igenom tre områden där vi ofta stöttar våra kunder – och där rätt redovisning är avgörande för både rapportering och regelefterlevnad.

Marcus Jonasén
Malin Inestam
Mathias Ljung
Camilla Norberg
| 4 min lästid | 23 mars 2026
    Se fler artiklar