Svar
Ja, tillämpningen av dataskyddsförordningen beror inte påstorleken på ert företag/er organisation, utan på den typ av verksamhet företaget bedriver. Verksamheter som utgör höga risker för enskilda personers rättigheter och friheter medför att det tillämpas strängare regler, oavsett om de utförs av ett litet eller medelstort företag eller av ett större bolag. Men det kan hända att vissa av skyldigheterna i förordningen inte gäller för alla små och medelstora företag.
Exempelvis behöver företag med färre än 250 anställda inte föra register över sin behandlingsverksamhet såvida inte behandlingen av personuppgifter är en regelbunden verksamhet, utgör ett hot mot enskilda personers rättigheter och friheter eller berör känsliga uppgifter eller brottsregister.
På samma sätt måste små och medelstora företag utse ett dataskyddsombud endast om behandling av personuppgifter är deras huvudverksamhet och detta utgör särskilda hot mot enskilda personers rättigheter och friheter (t.ex. övervakning av enskilda personer eller behandling av känsliga uppgifter eller brottsregister), i synnerhet då behandlingen är av stor omfattning.