EDPB og EDPS lægger op til en reel lettelse: Fortegnelser efter GDPR skal kun kræves, når behandlinger sandsynligvis indebærer høj risiko for registreredes rettigheder. Det kan skære betydelige administrative byrder for mindre virksomheder uden at rokke ved principperne i forordning 2016/679.
Hvad betyder dette i praksis?
Virksomheder skal nu kortlægge behandlingsaktiviteter og afgøre, hvilke der er høj risiko, fastholde en målrettet fortegnelse for dem og dokumentere resten via politikker, logs og DPIA’er. Overvej, om en slank ROPA kombineret med risikobaseret governance giver tilstrækkelig sporbarhed over for tilsyn.
Tærsklen på 750 medarbejdere efterlyses begrundet, og definitioner af SMV og SMC ønskes indarbejdet. Det samme gælder en afklaring af, om offentlige myndigheder er omfattet af organisationsbegrebet. Se den fulde vurdering: Læs EDPB og EDPS’ fælles udtalelse (engelsk) her og Læs EDPB’s pressemeddelelse (engelsk) her.
Baggrunden for Kommissionens forslag og processen siden maj kan læses her. Spørgsmålet er: Hvor langt kan forenklingen gå, uden at svække ansvarlighedsprincippet – og hvordan dokumenterer du effektivt, når du ikke fører fuld fortegnelse?
