מועצת הרשויות הלאומיות להגנת מידע באיחוד האירופי (EDPB) והממונה על הגנת מידע במוסדות האיחוד האירופי (EDPS) פרסמו חוות דעת משותפת על אודות הצעת הנציבות האירופית לפשט את העומס הרגולטורי תחת ה-GDPR עבור חברות קטנות ובינוניות.

מוקד מרכזי בהצעה של נציבות האיחוד הוא הרחבת הפטור מחובת ניהול רשומות של עיבוד מידע (Records of Processing Activities) לפי סעיף 30(5) ל-GDPR. כיום, פטור זה חל על גופים עם פחות מ-250 עובדים שעומדים בשורה של תנאים נוספים. ההצעה תרחיב זאת לכל החברות והארגונים המעסיקים פחות מ-750 אנשים, אלא אם כן העיבוד שלהם "צפוי לגרום לסיכון גבוה" לזכויות ולחירויות של נושאי המידע. ההצעה גם מסירה את התנאי שלפיו עיבוד קטגוריות מיוחדות של מידע אישי מידע על הרשעות פליליות יפעיל אוטומטית את חובת ניהול רשומות עיבוד מידע עבור גופים קטנים יותר.

למרות שה-EDPB וה-EDPS תומכים במטרה הכללית של הפחתת העומס האדמיניסטרטיבי, הם מדגישים בנייר העמדה שלהם כי ההקלה לא צריכה לפגוע בהגנה על זכויות נושא המידע. הם מציינים את העדרו של תסקיר על ההשלכות של השינוי המוצע על זכויות היסוד.

חוות הדעת המשותפת מדגישה שאפילו כאשר בהעדר חובה משפטית, רשומות של עיבוד מידע הם "שימושיים מאוד" להבטחת ציות לחובות GDPR אחרות ולאחריותיות. רשומות כאלה מסייעות בזיהוי בסיס חוקי, זכויות נושאי נתונים, בחינת החובה למינוי DPO, העברות בינלאומיות של המידע ועוד. ה-EDPB וה-EDPS מבקשים מהנציבות הבהרה נוספת מדוע הסף שנבחר על 750 עובדים הוא הולם, ומציעים להבהיר שהמונח "ארגון" שעבורו נועד הפטור לא כולל רשויות ציבוריות וגופים ציבוריים, בהתחשב בתפקידם המיוחד.