Nyhet

EU-förslag vill förenkla GDPR för medelstora bolag

Peter Käll
Med:
Peter Käll
23 maj 20254 min lästid
insight featured image
EU-kommissionen har föreslagit ändringar i GDPR och andra EU-förordningar för att förenkla administrativa krav, särskilt för små mid-cap-företag (SMC) som vuxit ur SME-kategorin. Förändringarna i GDPR är dock begränsade.
Innehåll

Vad innebär förändringarna avseende GDPR?

Den 21 maj 2025 presenterade EU-kommissionen ett lagförslag som bland annat innebär följande för GDPR:

Förslaget innebär en utvidgning av undantag från registerföringsskyldighet för företag i tillväxtfasen och kan leda till viss administrativ lättnad för de företag som berörs. Större förändringar av GDPR:s grundläggande krav eller omfattande förenklingar för bredare grupper av företag ingår inte i det nuvarande förslaget. 

– EU-kommissionens förslag innebär en viss administrativ lättnad för växande företag, men förändringarna i GDPR är begränsade och påverkar främst företag som precis vuxit ur SME-kategorin. För majoriteten av små och medelstora företag innebär förslaget ingen större skillnad i det dagliga dataskyddsarbetet, säger Grant Thorntons Peter Käll, Certified Data Privacy Solutions Engineer (CDPSE). 

Förändringarna avseende GDPR i korthet: 

Utvidgat undantag från registerföring

Idag behöver företag med färre än 250 anställda inte föra register över alla personuppgiftsbehandlingar, så länge behandlingen inte innebär särskilda risker. Kommissionen föreslår nu att detta undantag ska omfatta även företag med upp till 750 anställda, förutsatt att behandlingen inte är av sådan art att den innebär “hög risk” för de registrerade (se faktarutan)

Hänsyn till SMC för uppförandekoder och certifiering

När uppförandekoder och dataskyddscertifieringar tas fram ska även SMC-företagens behov beaktas, inte enbart SME.

Det handlar därmed om en viss anpassning av proportionalitetsprincipen, men utan att påverka GDPR:s grundläggande skyldigheter eller göra några bredare undantag för verksamheter med låg risk. 

En del av ett större paket

GDPR-ändringarna är en del av ett större förslagspaket där liknande förenklingar införs i regler om batterier, F-gaser, importskydd och prospekt. På dataskyddsområdet är förändringarna begränsade till utökade undantag från registerföring och hänsyn till SMC för uppförandekoder och certifiering. 

Effekter för svenska företag

Om förslaget går igenom innebär det att fler företag – nu även SMC med upp till 750 anställda – kan undantas från skyldigheten att föra register över sin personuppgiftsbehandling, så länge verksamheten inte innebär hög risk för individens rättigheter och friheter. För övriga företag och verksamheter där personuppgiftsbehandlingen innebär hög risk, eller gäller känsliga personuppgifter i stor omfattning, kvarstår dock dokumentationskraven. 

– Att ha en förteckning med personuppgiftsbehandlingar på frivillig basis ger inte bara god intern kontroll, utan är i praktiken nödvändigt för att kunna efterleva andra EU-regleringar – särskilt inom informationssäkerhetsområdet – där kraven på dokumentation, spårbarhet och ansvarstagande är långtgående, säger Peter Käll.

Begreppet “hög risk” syftar på personuppgiftsbehandling som kan leda till allvarliga konsekvenser för de registrerades rättigheter och friheter. I GDPR (artikel 35) anges att följande exempel ofta innebär hög risk och därmed särskilda krav – till exempel skyldighet till konsekvensbedömning (DPIA):

  • Storskalig behandling av känsliga personuppgifter, som hälsa, religion, politiska åsikter eller biometriska data.
  • Systematisk övervakning av personer i stor omfattning, t.ex. kameraövervakning av offentliga platser.
  • Profilering och automatiserade beslut som har rättslig eller liknande betydande effekt på individer.
  • Samkörning av dataset från olika källor som kan innebära nya risker.

Bedömningen av om behandlingen innebär “hög risk” ska alltid göras utifrån arten, omfattningen, syftet och sammanhanget för behandlingen. Om det råder osäkerhet rekommenderas att genomföra en konsekvensbedömning, och vid behov kontakta dataskyddsombud eller tillsynsmyndighet.

Se även: Förteckning enligt artikel 35.4 i Dataskyddsförordningen 

Tjänster
Vi kan hjälpa er med: Regelefterlevnad
Jag vill veta mer
Vi kan hjälpa er med: Regelefterlevnad
Taggar  
Medverkare

Senaste nytt

Se fler artiklar
Ny praxis: Lägre moms vid nyproduktion i egen regi
Branschnyhet Ny praxis: Lägre moms vid nyproduktion i egen regi
Skatteverket har ändrat synen på moms vid försäljning av nybyggda fastigheter. När säljare kommer överens med köpare om att både sälja marken och utföra en byggnation på marken som köparen tillträder när byggnationen är klar, räknas nu leveransen som gjord först vid köparens tillträde. Moms behöver inte längre redovisas för byggarbeten mellan köpeavtal och tillträde.
Martin Jacobsson
Cecilia Smedfors
| 9 min lästid | 22 okt. 2025
Byggnad som symboliserar svensk lagstiftning kring hållbarhetsrapportering enligt CSRD
Nyhet Regeringen föreslår uppskov av hållbarhetsrapportering enligt CSRD
Den 21 augusti 2025 överlämnade Regeringen en lagrådsremiss som föreslår att kraven på hållbarhetsrapportering enligt CSRD (Corporate Sustainability Reporting Directive) skjuts upp med två år för vissa företag. Förslaget är en del av EU-kommissionens arbete med Omnibusförslaget, där initiativet Stop the Clock syftar till att ge företag mer tid att förbereda sig för de nya rapporteringskraven.
Annika Nygren
Annika Nygren
| 3 min lästid | 10 sep. 2025
Tagit emot statliga stöd? Så förbereder ni er inför återrapportering
Branschnyhet Tagit emot statliga stöd? Så förbereder ni er inför åter­rapportering
Återrapportering och revisorsgranskning är ofta en del av att ta emot statliga bidrag – och kan upplevas som krångligt. Men med rätt förberedelser blir processen både enklare och mer kostnadseffektiv. Här får ni konkreta råd för att undvika fallgropar och skapa goda förutsättningar för en lyckad granskning.
Daniel Gustavsson
Elisabeth Raun
| 5 min lästid | 02 juli 2025
    Se fler artiklar