Fortegnelser over behandlingsaktiviteter kan snart kun kræves ved høj risiko, og virksomheder under 750 ansatte får markant lempede krav. Dette kan fundamentalt ændre dokumentationsbyrden, men stiller større krav til risikovurderinger og DPIA. Hvad betyder grænsen for din klientportefølje?
Hvad betyder dette i praksis?
Forslaget ændrer GDPR artikel 30, stk. 5, så fortegnelser kun er obligatoriske, når behandlingen sandsynligvis medfører høj risiko efter artikel 35. Undtagelsen udvides til organisationer under 750 ansatte, og en ny præambel præciserer, at behandling efter artikel 9, stk. 2, litra b, ikke i sig selv udløser fortegnelsespligt.
Virksomheder skal nu overveje at skifte fokus fra blanket-registrering til risikobaseret styring: Har I identificeret højrisikoprocesser, opdateret DPIA’er og dokumenteret begrundelser for ikke at føre fortegnelse? Manglende risikovurdering kan fortsat udløse tilsynsreaktioner og sanktioner.
Ændringer af artiklerne 40 og 42 udvider også adfærdskodekser og certificering til SMC’er, så sektorspecifikke løsninger kan tilpasses mindre aktører. Overvej at initiere branchekoder eller certificeringsforløb for at dokumentere efterlevelse på en mindre byrdefuld måde.
Grænseoverskridende krav og næste skridt
EDPB følger samtidig op på vejledningen om artikel 48 om tredjelandes myndighedskrav. Se baggrunden i den tidligere nyhed fra Datatilsynet, og læs EDPB’s pressemeddelelse her.
Endelig vedtog EDPB et arbejdsprogram 2025-2027 om grænsefladerne til konkurrenceret og forbrugerret, hvor Datatilsynet bidrager aktivt. Rådgivere bør forberede klienter på koordinering mellem konkurrencemyndigheder, forbrugerbeskyttelse og datatilsyn i fremtidige sager.
