Svar
Ja, anvendelse af databeskyttelsesforordningen afhænger ikke af virksomhedens /organisationens størrelse, men af arten af aktiviteter. Aktiviteter, som indebærer store risici for enkeltpersoners rettigheder og frihedsrettigheder, medfører, at der gælder strengere regler, uanset om aktiviteterne udføres af en SMV eller af en større virksomhed. Visse forpligtelser i GDPR gælder dog ikke nødvendigvis for alle SMV’er.
For eksempel skal virksomheder med færre end 250 ansatte ikke føre fortegnelser over deres behandlingsaktiviteter, medmindre behandling af personoplysninger er en regelmæssig aktivitet, udgør en trussel mod den enkeltes rettigheder og frihedsrettigheder eller omhandler følsomme oplysninger eller straffeattester.
Ligeledes skal SMV’er kun udpege en databeskyttelsesrådgiver, hvis de hovedsagelig beskæftiger sig med databehandling, og hvis der er konkrete trusler mod den enkeltes rettigheder og frihedsrettigheder (som for eksempel overvågning af enkeltpersoner eller behandling af følsomme oplysninger eller straffeattester), især fordi det udføres i større omfang.