Täsmämuutoksia tietosuojasääntelyyn: Euroopan tietosuojaviranomaiset tukevat pienten ja keskikokoisten yritysten velvollisuuksien helpottamista

Julkaisuajankohta 11.7.2025 8.56
Tyyppi:Tiedote

Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu ovat antaneet lausunnon komission ehdotuksesta, jonka tavoitteena on helpottaa tiettyjä EU-lainsäädännön vaatimuksia pienille ja keskikokoisille yrityksille. Tietosuojaviranomaiset suhtautuvat myönteisesti siihen, että EU:n tietosuoja-asetukseen kuuluvaa velvollisuutta kirjata ylös henkilötietojen käsittelytoimia helpotetaan. Samalla ne toivovat selvennyksiä ehdotuksen muotoiluun.

Euroopan komissio haluaa laajentaa EU:n lainsäädännön helpotuksia pienille yrityksille koskemaan myös keskikokoisia yrityksiä. Komissio ehdottaa helpotusta tietosuoja-asetuksen 30 artiklan sääntöön, jonka mukaan organisaation on tehtävä kirjallinen seloste siitä, miten se käsittelee henkilötietoja.

Tällä hetkellä velvollisuus ei pääsääntöisesti koske alle 250 työntekijän organisaatioita. Tätä poikkeusta laajennettaisiin myös keskikokoisiin, alle 750 työntekijän organisaatioihin. Säännöstä poikkeaminen edellyttäisi, että yrityksen tekemä henkilötietojen käsittely ei aiheuta suurta riskiä ihmisille.

Lisäksi tietosuoja-asetukseen tullaan täsmentämään pk-yritysten ja keskikokoisten, niin sanottujen midcap-yritysten määritelmää.

Tietosuojaviranomaiset pitävät vaatimusten helpottamista tervetulleena. Ne peräänkuuluttavat kuitenkin täsmennyksiä ja perusteluja keskikokoisten yritysten määrittelyyn. Lisäksi tietosuojaviranomaiset pyytävät komissiota tarkentamaan, että helpotus koskee ainoastaan yrityksiä, ei julkishallinnon toimijoita.

”Tuemme tavoitetta vähentää yritysten hallinnollista taakkaa. On tärkeää, että pienempiä yrityksiä koskeva kevennys toteutuu myös käytännössä”, Euroopan tietosuojaneuvoston puheenjohtaja, Suomen tietosuojavaltuutettu Anu Talus toteaa.

”Pienetkin yritykset voivat kuitenkin hyödyntää käsittelytoimien kirjaamista esimerkiksi avoimuuden tukena. Velvollisuuksien yksinkertaistaminen antaa pienille ja keskikokoisille yrityksille enemmän joustovaraa valita itselleen sopivimmat keinot tietosuojasääntöjen noudattamiseen”, Talus sanoo.

Komissio yksinkertaistaa EU-sääntelyä Omnibus-hankkeilla

Euroopan komission Omnibus-hankkeet ovat lainsäädäntöpaketteja, joilla sujuvoitetaan ja selkeytetään yhdellä kertaa useita EU-asetuksia. Muutokset EU:n yleiseen tietosuoja-asetukseen ovat osa komission neljättä yksinkertaistamiseen tähtäävää Omnibus-hanketta. Se sisältää sujuvoittamisehdotuksia myös muuhun kuin tietosuojasääntelyyn.

Lisätietoja

​​​​​​​Euroopan tietosuojaneuvoston tiedote neuvoston verkkosivuilla englanniksi: Targeted modifications of the GDPR: EDPB & EDPS welcome simplification of record keeping obligations and request further clarifications (9.6.2025)

Tietoa henkilötietojen käsittelytoimista tehtävästä selosteesta verkkosivuillamme

Euroopan tietosuojaneuvosto (EDPB) on riippumaton EU:n elin, joka koostuu EU:n kansallisista tietosuojaviranomaisista ja Euroopan tietosuojavaltuutetun edustajista. Myös ETA-maat Islanti, Norja ja Liechtenstein ovat tietosuojaneuvoston jäseniä. Euroopan tietosuojaneuvosto vastaa EU:n yleisen tietosuoja-asetuksen sekä poliisi- ja rikosoikeusviranomaisia koskevan tietosuojadirektiivin yhdenmukaisesta soveltamisesta.