EU:s digitala omnibuspaket: vad betyder det i förhållande till gällande dataskyddsregler?

Bakgrund

Den 19 november presenterade Europeiska kommissionen ett sjunde förenklingspaket under 2025, kallat Digital Omnibus eller det Digitala Omnibuspaketet, denna gång med förslag på ändringar i EU:s gällande digitala regelverk. Ändringarna är tänkta att göra europeiska företag mer innovativa, undanröja hinder för snabb tillväxt och bidra till lägre kostnader för administration och regelefterlevnad. Allt detta i syfte att öka EU:s samlade konkurrenskraft. En central utgångspunkt är att reglerna ska vara moderna och anpassningsbara, så att de kan hålla takt med den snabba teknikutvecklingen.

I denna artikel belyser vi de delar av kommissionens förslag till Digitala Omnibuspaketet som vi bedömer skulle få störst betydelse för företag som behandlar personuppgifter under GDPR och/eller data som omfattas av dataförordningen (2023/2854).

Digitala Omnibuspaketets beståndsdelar

Paketet består av tre huvudsakliga delar där huvudnumret är två ändringsförordningar som, om de antas, medför att ett stort antal digitala regelverk (däribland GDPR och AI-förordningen) kommer att ändras, förenklas eller upphävas.

Ändringsförordningen återföljs av dels en icke-bindande genomförandestrategi kallad Data Union Strategy, dels ett förslag till ny förordning om en digital European Business Wallet i form av ett digitalt verktyg där EU-företag och offentliga myndigheter kan interagera (företag ska kunna styrka sin identitet, underteckna och skicka över officiella handlingar digitalt med fullt rättsligt värde).

Kommissionen har redan tydliggjort att Digitals Omnibuspaketet bara är ett första steg i arbetet med att förenkla EU:s digitala regelverk och göra det mer träffsäkert. Nästa steg har redan påbörjats i form av en så kallad Digital Fitness Check – en översyn av samtliga digitala regelverk för analys av den samlade effekten av dessa regler på EU:s konkurrenskraft. Syftet med översynen är att identifiera ytterligare områden där förenklingsåtgärder kan bli aktuella framöver, troligen för nya lagstiftningsförslag under 2027–2029.

Sammanfattning av de föreslagna ändringarna

Syftet med de föreslagna ändringarna är, som ovan nämnts, att förenkla europeiska företags regelefterlevnad, dels i förhållande till den tid och kostnad som läggs ned på regelefterlevnad, dels genom att undanröja de hinder som gällande regler anses utgöra för företag att växa och bidra till innovation.

Vår bedömning är att de förslag som lagts fram i fråga om dataskyddsregler kan få stor praktisk betydelse särskilt för små- eller medelstora företag (inklusive small and midcaps) i form av mer träffsäkra regler och mindre krångel.

Förslagen innebär även vissa lättnader för alla företag som är personuppgiftsansvariga vid behandling av personuppgifter. Reglerna föreslås även innebära vissa lättnader i incidentrapportering och det införs en möjlighet att behandla personuppgifter för AI och forskningsändamål i högre grad än vad som är tillåtet idag.

Tillsammans med publicering av vägledningar och standarder tror vi att detta paket, om det skulle antas, kommer att innebära kännbara minskningar i arbetsbörda och kostnader för efterlevnaden av GDPR, som i många fall upplevts vara oproportionerlig.

Förslag till ändringar i Dataförordningen:

• Konsolidering: tre EU-rättsakter upphävs, nämligen förordning 2018/1807 om det fria flödet av andra data än personuppgifter, förordning 2022/868 om dataförvaltning (mer känd som Data Governance Act) och direktiv 2019/1024 om öppna data och vidareutnyttjande av information från den offentliga sektorn. Dessa rättsakter bakas istället in i dataförordningen, som alltså får ett mer omfattande tillämpningsområde.
• Utökat skydd för affärshemligheter: datahållare får vägra åtkomst till data för dataanvändaren eller tredjeparter om åtkomsten innebär hög risk för att datan olovligen delas med, förvärvas eller används av företag eller myndigheter som kontrolleras av länder utanför EU med lägre skydd för data än EU.
• Lättnader i bytesskyldigheter: skräddarsydda databehandlingstjänster som avtalats före den 12 september 2025 (dagen då förordningen blev tillämplig) behöver inte omförhandlas/ändras för att anpassas till dataförordningen. Samma lättnad gäller även generellt för små- och medelstora företag samt för small mid-caps (SMC). Det införs uttrycklig möjlighet för företag att trots skyldigheten att fasa ut avgifter för byte, i avtalsvillkoren ange proportionerlig straffavgift för avtal med fast löptid som avslutas i förtid.
• Förtydligande om B2G-ramverket: möjligheten för offentlig sektor att begära att företag delar med sig av data gäller enbart i allmänna nödlägen, enligt förordningens definition, inte vid ”exceptionellt behov” i bredare bemärkelse.

Förslag till ändringar i GDPR (artikel per artikel):

• Förtydligat tillämpningsområde: definitionen av ”personuppgifter” i artikel 4.1 förtydligas så att det framgår att uppgifter endast utgör personuppgifter om uppgiftshållaren själv kan identifiera den fysiska personen som uppgifterna tillhör. Om uppgiftshållaren inte kan identifiera personen med hjälp av de medel som denne rimligen kan tänkas använda för det syftet, utgör uppgifterna inte personuppgifter och uppgiftshållaren omfattas då inte av GDPR.
• Behandling av personuppgifter för AI-syften: dels införs undantag i ny artikel 9.2.k för behandling av känsliga personuppgifter för utveckling och drift av AI-system och modeller, under särskilda villkor om säkerhetsåtgärder, dels klargörs att behandling av personuppgifter i samband med utveckling/drift av AI-system och modeller kan baseras på berättigat intresse (artikel 6.1.f) som laglig grund.
• Mindre snäv ändamålsbegräsning för forskning: det tydliggörs vidarebehandling av personuppgifter som samlats in för forskningssyften ska enligt artikel 5.1.b anses förenlig med det ursprungliga syftet med insamlingen, och att forskning inte utesluter att kommersiella intressen främjas.
• Begränsning i rätten till tillgång: personuppgiftsansvariga får ta ut avgift för eller vägra tillmötesgå registrerades begäran om tillgång enligt artikel 12.5 om den registrerade missbrukar denna rättighet för andra syften än dataskydd.
• Lättnad i informationsplikt: undantaget i artikel 13.4 för personuppgiftsansvarige från informationsplikt ang. syften, laglig grund och rättigheter ska omfatta situationer då personuppgifterna insamlats för lågriskbehandlingar inom ramen för ett tydligt förhållande mellan den ansvarige och den registrerade. Undantag från informationsplikt införs även under vissa villkor för behandling i forskningssyften.
• Ökad möjlighet till automatiserat beslutsfattande/profilering: företag bereds möjlighet att enligt artikel 22.2.a fatta automatiserad individuella beslut inom ramen för ett avtalsförhållande med den registrerade även i de fall där företaget skulle kunna fattat beslutet med andra medel, till exempel beslut fattat av en människa.
• Lättnader i anmälan om personuppgiftsincident: anmälan enligt artikel 33.1 är nödvändig endast om incidenten sannolikt innebär hög risk för registrerades rättigheter och friheter. En lista över omständigheter som gör att behandling sannolikt innebär hög risk ska beslutas på EU-nivå. Anmälningsfristen förlängs med 24 timmar, till max 96 timmar från det ansvarige fick kännedom om incidenten. Anmälan ska göras EU:s single-entry form (se ovan).
• Vägledning om konsekvensbedömningar: en lista över vilka behandlingar som kräver föregående konsekvensbedömning enligt artikel 35 ska beslutas på EU-nivå.
• Klargöranden om pseudonymisering: i ny artikel 41a ges kommissionen mandat att anta rättsakter om medel och villkor för att avgöra huruvida uppgifter som pseudonymiserats fortsatt utgör personuppgifter, som ska tydliggöra för företag vad som krävs för att pseudonymisering innebär att uppgifterna upphör att utgöra personuppgifter.
• Samtycke vid användning av cookies: bestämmelsen om att behandling av personuppgifter i samband med lagring eller tillgång till personuppgifter i terminalutrustning (exv. smarta telefoner, datorer) kräver den registrerades samtycke flyttas över från e-Privacydirektivet (artikel 5.3) till GDPR (ny artikel 88a). Vidare ska kommissionen ta fram en standard för hur insamlingen av sådant samtycke kan se ut. Tillhandahållare av webbläsare som inte faller under kategorin små- eller medelstora företag, åläggs skyldighet att ta fram funktion som låter registrerade ge sitt samtycke i webbläsaren och att detta val ska respekteras när personen surfar på olika webbsidor genom den webbläsaren.
• Rättslig grund för AI: det preciseras att behandling av personuppgifter i samband med utveckling eller drift av AI-system och AI-modeller kan baseras på den ansvariges berättigade intressen (artikel 6.1.f). Övriga villkor i artikeln måste dock vara uppfyllda och särskilda säkerhetsåtgärder måste vidtas.

Det bör dock noteras att de ändringar som listats ovan alltså utgör förslag på lagändring, de har inte ännu antagits. De kan däremot användas som en fingervisning om hur kommande dataskyddsregler kan komma att se ut och vilka delar av existerande regelverk som anses för långtgående för en konkurrenskraftig inre marknad. Kommissionen föreslår att de flesta ändringarna ska bli tillämpliga omedelbart efter antagandet, förutom de bestämmelser som kan kräva mer tid för förberedelser, såsom de med betydelse för cookies och single-entry point och de bestämmelser som kräver att kommissionen eller andra EU-organ lägger fram förslag (listorna över behandlingar som kräver konsekvensbedömningar, över högriskbehandlingar).

Nästa steg?

Parallellt med lagstiftningsprocessen har Kommissionen öppnat ett samråd för att samla in synpunkter på Digital Omnibus, där allmänheten kan lämna synpunkter på förslaget fram till och med 4 februari 2026.

Kommissionens förslag har i enlighet med lagstiftningsprocessen skickats till Europaparlamentet och Rådet för behandling. När dessa fattat varsin position kommer förslagen förhandlas mellan de tre institutionerna. Det går inte i dagsläget att med säkerhet säga när eller ens om ändringarna kommer att antas, eller hur antagna lagändringar kommer att se ut. En optimistisk prognos är att de färdigförhandlade ändringarna går till slutlig omröstning i början av 2027 men det är inte otänkbart att förhandlingarna drar ut på tiden då förslagen är föremål för kritik från olika håll.

Sedan Kommissionens förslag lades fram har det fått utstå både ris och ros. Kritiker anser att EU:s strävan efter att främja innovation och konkurrenskraft sker på bekostnad av enskildas fri- och rättigheter. Kommissionens förslag är de mest omfattande ändringsförslagen som lagts fram sedan GDPR trädde i kraft 2018. Från näringslivshåll har paketet istället välkomnats av flera som ett viktigt steg mot att stärka konkurrenskraften inom EU. Vissa röster anser dock att Kommissionens förslag kunde och borde ha gått längre.

För en analys av vad Digitala Omnibuspaketet innebär i praktiken för företag som hanterar personuppgifter, se vår artikel.

Vinge följer utvecklingen noggrant. Har du frågor är du välkommen att höra av dig till Hedvig Josefson, Emelie Svensäter Jerntorp och Mathilda Persson.