Er GDPR ved at blive mere smidig? Hvad HR og ledere skal vide om EU’s kommende ændringer

I en tid, hvor AI, datastrømme og compliance konstant er på ledelsesdagsordenen, arbejder EU nu på at lempe nogle af de mest administrative byrder i GDPR – især for mindre og mellemstore virksomheder. Det betyder ikke, at persondata bliver mindre beskyttet – men det betyder, at HR og ledere skal forstå, hvordan balancen mellem dokumentation og databeskyttelse er ved at blive justeret.

Baggrund: EU’s “smidige GDPR”

I maj 2025 fremlagde EU-Kommissionen forslag om at opdatere og “modernisere” dele af GDPR-lovgivningen som led i den større “Omnibus IV”-pakke. Målet er klart: reducér unødvendig administration og gør det lettere for SMV’er og “small mid-caps” (SMC’er) at overholde reglerne – uden at gå på kompromis med datasikkerheden.

Det sker i en virkelighed, hvor digitaliseringen er accelereret, og hvor AI-løsninger i stigende grad genererer, analyserer og automatiserer behandling af persondata – også i HR.

Hovedændringerne: Hvad foreslår EU?

Det betyder konkret, at mange HR-afdelinger vil få færre krav til dokumentation og risikovurdering – medmindre de behandler følsomme eller højrisiko-data som helbredsoplysninger, fagforeningsforhold eller biometriske data.

Hvad betyder det for HR?

Her er, hvad du som HR-chef, HRBP eller leder bør vide – og gøre:

1. Mindre bureaukrati – men stadig stort ansvar

Hvis jeres virksomhed har under 750 ansatte og ikke behandler højrisiko-persondata, vil kravene til dokumentation blive mindre omfattende. Det kan f.eks. betyde, at HR ikke længere skal føre detaljerede fortegnelser over al databehandling. Men det fritager jer ikke for at have styr på datasikkerheden – tværtimod.

2. Fokus flyttes til reelt risikofyldte behandlinger

Helbredsdata, fagforeningsoplysninger, psykologiske tests, eller AI-analyser af adfærd i performance management – disse områder vil fortsat være omfattet af de skrappe krav. Her skal HR stadig føre fortegnelser, lave konsekvensanalyser og sikre teknisk og organisatorisk datasikkerhed.

3. Kerneprincipperne gælder stadig

Der sker ingen ændringer i grundprincipperne: dataminimering, formålsbegrænsning, ret til indsigt, transparens og datasikkerhed. Disse udgør fortsat fundamentet i GDPR – og det gælder også HR’s arbejde med rekruttering, ansættelse, løn, udviklingssamtaler, og offboarding.

GDPR for HR – status før og efter

Hvad bør HR gøre nu?

1. Kortlæg jeres databehandling i HR
   Hvilke HR-systemer har I? Hvilke data behandler I – og er der højrisikoområder? Start med et internt GDPR-check for HR.
2. Opdater privatlivspolitikker og dataprocedurer
   Hvis reglerne ændres, skal jeres interne procedurer og information til medarbejdere tilpasses. Det gælder især onboarding-materiale og samtykkeerklæringer.
3. Skab awareness og træning
   Uanset om kravene lettes, er GDPR stadig gældende lov. Træn HR-medarbejdere i håndtering af medarbejderdata, risikovurdering og kommunikation.
4. Vurder jeres AI-initiativer
   HR’s brug af AI – fx i rekruttering, analyse eller engagement-tracking – skal gennemgås i lyset af GDPR. Hvis der bruges AI-modeller med beslutningskraft, kan der være krav om forklarbarhed og konsekvensvurderinger.

Konklusion: Mindre papirarbejde – samme ansvar

EU er i gang med at gøre GDPR lettere at administrere – men ikke mindre vigtigt. For HR betyder det en kærkommen reduktion i dokumentationskrav, men ikke en fritagelse for ansvar.

Persondata i HR er fortsat en højrisiko-disciplin. Og med AI, globale HR-platforme og øget fokus på datasuverænitet er det vigtigere end nogensinde, at HR både er compliant og kompetent.