Nyhet

EU-förslag vill förenkla GDPR för medelstora bolag

Peter Käll
Med:
Peter Käll
23 maj 20254 min lästid
insight featured image
EU-kommissionen har föreslagit ändringar i GDPR och andra EU-förordningar för att förenkla administrativa krav, särskilt för små mid-cap-företag (SMC) som vuxit ur SME-kategorin. Förändringarna i GDPR är dock begränsade.
Innehåll

Vad innebär förändringarna avseende GDPR?

Den 21 maj 2025 presenterade EU-kommissionen ett lagförslag som bland annat innebär följande för GDPR:

Förslaget innebär en utvidgning av undantag från registerföringsskyldighet för företag i tillväxtfasen och kan leda till viss administrativ lättnad för de företag som berörs. Större förändringar av GDPR:s grundläggande krav eller omfattande förenklingar för bredare grupper av företag ingår inte i det nuvarande förslaget. 

– EU-kommissionens förslag innebär en viss administrativ lättnad för växande företag, men förändringarna i GDPR är begränsade och påverkar främst företag som precis vuxit ur SME-kategorin. För majoriteten av små och medelstora företag innebär förslaget ingen större skillnad i det dagliga dataskyddsarbetet, säger Grant Thorntons Peter Käll, Certified Data Privacy Solutions Engineer (CDPSE). 

Förändringarna avseende GDPR i korthet: 

Utvidgat undantag från registerföring

Idag behöver företag med färre än 250 anställda inte föra register över alla personuppgiftsbehandlingar, så länge behandlingen inte innebär särskilda risker. Kommissionen föreslår nu att detta undantag ska omfatta även företag med upp till 750 anställda, förutsatt att behandlingen inte är av sådan art att den innebär “hög risk” för de registrerade (se faktarutan)

Hänsyn till SMC för uppförandekoder och certifiering

När uppförandekoder och dataskyddscertifieringar tas fram ska även SMC-företagens behov beaktas, inte enbart SME.

Det handlar därmed om en viss anpassning av proportionalitetsprincipen, men utan att påverka GDPR:s grundläggande skyldigheter eller göra några bredare undantag för verksamheter med låg risk. 

En del av ett större paket

GDPR-ändringarna är en del av ett större förslagspaket där liknande förenklingar införs i regler om batterier, F-gaser, importskydd och prospekt. På dataskyddsområdet är förändringarna begränsade till utökade undantag från registerföring och hänsyn till SMC för uppförandekoder och certifiering. 

Effekter för svenska företag

Om förslaget går igenom innebär det att fler företag – nu även SMC med upp till 750 anställda – kan undantas från skyldigheten att föra register över sin personuppgiftsbehandling, så länge verksamheten inte innebär hög risk för individens rättigheter och friheter. För övriga företag och verksamheter där personuppgiftsbehandlingen innebär hög risk, eller gäller känsliga personuppgifter i stor omfattning, kvarstår dock dokumentationskraven. 

– Att ha en förteckning med personuppgiftsbehandlingar på frivillig basis ger inte bara god intern kontroll, utan är i praktiken nödvändigt för att kunna efterleva andra EU-regleringar – särskilt inom informationssäkerhetsområdet – där kraven på dokumentation, spårbarhet och ansvarstagande är långtgående, säger Peter Käll.

Begreppet “hög risk” syftar på personuppgiftsbehandling som kan leda till allvarliga konsekvenser för de registrerades rättigheter och friheter. I GDPR (artikel 35) anges att följande exempel ofta innebär hög risk och därmed särskilda krav – till exempel skyldighet till konsekvensbedömning (DPIA):

  • Storskalig behandling av känsliga personuppgifter, som hälsa, religion, politiska åsikter eller biometriska data.
  • Systematisk övervakning av personer i stor omfattning, t.ex. kameraövervakning av offentliga platser.
  • Profilering och automatiserade beslut som har rättslig eller liknande betydande effekt på individer.
  • Samkörning av dataset från olika källor som kan innebära nya risker.

Bedömningen av om behandlingen innebär “hög risk” ska alltid göras utifrån arten, omfattningen, syftet och sammanhanget för behandlingen. Om det råder osäkerhet rekommenderas att genomföra en konsekvensbedömning, och vid behov kontakta dataskyddsombud eller tillsynsmyndighet.

Se även: Förteckning enligt artikel 35.4 i Dataskyddsförordningen 

Tjänster
Vi kan hjälpa er med: Regelefterlevnad
Jag vill veta mer
Vi kan hjälpa er med: Regelefterlevnad
Taggar  
Medverkare

Senaste nytt

Se fler artiklar

CFO‑rollen förändras snabbt – därför blir coachning avgörande för framtidens ekonomiledare

Nyhet

I dag förväntas controllers och CFO:er leda förändring, hantera AI och dataanalys samt presentera värdeskapande beslutsunderlag. Enligt David Wahlund på Grant Thornton blir rollen alltmer ensam och strategiskt krävande. – Med kombinationen av redovisning, analys och CFO-coachning blir Grant Thornton inte bara ett konkret stöd i vardagen i form av redovisningspartner, utan även ett strategiskt bollplank, säger han.

Tobias Ahlstrand
David Wahlund
| 4 min lästid | 14 apr. 2026

Muntliga uppgifter till Skatteverket kan ge skattetillägg – lagändring april 2026

Skattenyhet

Från och med den 1 april 2026 kan även muntliga uppgifter som lämnas till Skatteverket kan ligga till grund för skattetillägg om de bedöms vara oriktiga. Tidigare har skattetillägg i praktiken förutsatt att den oriktiga uppgiften lämnats skriftligen. Våra skatterådgivare guidar i vad ändringen innebär i praktiken.

Mikael Knutsson
Rebecca Mörk
| 4 min lästid | 09 apr. 2026

Har du gjort din 3:12-analys? Nya regler från 2026

Skattenyhet

Sedan 1 januari 2026 gäller nya regler för delägare i fåmansföretag. Det är först i deklarationen 2027 som ägare behöver lämna in en K10-blankett enligt de nya reglerna, men redan nu är det hög tid att analysera vilka förändringar som du eller ditt företag eventuellt måste göra redan nu. Vi har samlat de viktigaste punkterna för delägare att ta ställning till.

Catrin Åkerlund
| 2 min lästid | 26 mars 2026
    Se fler artiklar