Aktuellt
Artikel
2026.03.11

EU:s dataskyddsmyndigheter har uttalat sig om Digital Omnibus

Den 19 november 2025 presenterade EU‑kommissionen förslaget Digital Omnibus, ett omfattande paket med förenklingar av befintliga regler om bland annat data, dataskydd, cookies, AI och cybersäkerhet samt upphävande av vissa regelverk. Syftet med förslaget är att förenkla regelbördan, minska onödig administration och stärka innovationsförmågan. Läs mer om Digital Omnibus i vår tidigare artikel: Förslag till Digital Omnibus – ett omtag av EU:s digitala regelverk – Cederquist.

Efter en formell begäran från kommissionen har EU:s dataskyddsmyndigheter, Europeiska dataskyddsstyrelsen (”EDPB”) och Europeiska datatillsynsmannen (”EDPS”), granskat förslaget och antog den 10 februari 2026 ett gemensamt yttrande (Joint Opinion 2/2026).

I det följande går vi kortfattat igenom vissa medskick som görs i det gemensamma yttrandet.

Förenklingar i GDPR och i cookieregelverket (ePrivacy-direktivet)

EDPB och EDPS välkomnar ett antal förenklingar i Digital Omnibus, bland annat en höjd tröskel och längre frist för incidentanmälningar samt gemensamma EU‑mallar för incidentrapportering och konsekvensbedömningar. De ser även positivt på vissa preciseringar av reglerna om behandling för bland annat vetenskapliga forskningsändamål och ett nytt undantag som möjliggör behandling av biometriska uppgifter för autentiseringsändamål.

När det gäller ePrivacy‑direktivet och reglerna för användning av cookies är EDPB och EDPS positiva till att förenkla reglerna om cookies och hantera problemet med ”samtyckeströtthet”, men föreslår ändå vissa förtydliganden och skärpningar i de presenterade förslagen.

Särskild kritik mot justerad definition av personuppgifter

I sitt utlåtande riktar EDPB och EDPS framför allt kritik mot den föreslagna nya definitionen av ”personuppgifter”, enligt vilken uppgifter inte ska anses vara personuppgifter för en aktör som själv saknar realistiska möjligheter att identifiera personen, även om en mottagare längre fram kan komma att kunna göra det. Myndigheterna menar att den nya definitionen skulle innebära ett snävare tillämpningsområde för GDPR och i praktiken riskera att försämra enskildas dataskydd. Därtill anses den föreslagna definitionen kunna leda till kringgåenden i praktiken genom att aktörer kan flytta identifieringsmöjligheter sinsemellan. De föreslagna ändringarna anses inte vara av enbart teknisk karaktär eller en kodifiering av EU‑domstolens praxis, utan i stället utgöra materiella förändringar som går längre än EU-domstolens praxis i frågan. EDPB och EDPS uppmanar därför lagstiftarna att inte gå vidare med den föreslagna ändringen av personuppgiftsdefinitionen.

Sedan EDPB och EDPS publicerade sitt utlåtande har också framkommit att ett kompromissutkast från Europeiska unionens råd läckt, i vilket rådet bland att föreslår att den föreslagna nya definitionen av ”personuppgifter” i GDPR helt tas bort. Det kan därför antas vara sannolikt att kommissionens förslag till justering av definitionen inte kommer hålla hela vägen.

I utlåtandet riktas också kritik mot att kommissionen vill kunna anta så kallade genomförandeakter om när pseudonymiserade uppgifter inte längre ska anses vara personuppgifter. En sådan möjlighet skulle, enligt EDPB och EDPS, i praktiken ge kommissionen inflytande över var gränsen för dataskyddets tillämplighet går, vilket är något som bör ligga hos oberoende tillsynsmyndigheter och domstolar.

AI-förordningen och dataregelverk

Rörande personuppgiftsbehandling i samband med utveckling av AI-verktyg bekräftar EDPB och EDPS att berättigat intresse kan vara en möjlig rättslig grund och att det därför inte är nödvändigt att införa en särskild artikel i GDPR som reglerar det på det sätt som föreslagits i Digital Omnibus. Om en sådan artikel ändå ska införas påpekar myndigheterna att vissa förtydliganden bör göras, bland annat kring transparenskrav och krav i samband med intresseavvägning. Därtill välkomnas en rätt för enskilda att invända mot behandling av personuppgifter i AI-modeller.

EDPB och EDPS välkomnar också ett särskilt undantag för oavsiktlig behandling eller ”restbehandling” av särskilda kategorier av uppgifter, såsom uppgifter om hälsa eller religion, vid träning, testning och validering av vissa AI‑modeller, där det i praktiken inte går att helt undvika att känsliga uppgifter förekommer.

När det gäller datarättsliga regelverk välkomnar EDPB och EDPS att dataförvaltningsakten (Data Governance Act) och öppna data-direktivet (Open Data Directive) i stället integreras i dataakten (Data Act) för att förenkla efterlevnaden och tillämpningen av reglerna.

Avslutande kommentar

Det återstår att se vilka regellättnader och justeringar som kommer att införas i slutändan genom Digital Omnibus. Vi håller oss uppdaterade på utvecklingen och ni är välkomna att höra av er om ni har några frågor eller funderingar.

Relevant Läsning

Kontakt

Henrik Lindstrand

Partner

henrik.lindstrand@cederquist.se
+46 8 522 066 43
+46 739 60 66 43

Info

Malin Allard

Partner

malin.allard@cederquist.se
+46 8 522 065 10
+46 739 60 65 10

Info

Agnes Norrby

Associate

agnes.norrby@cederquist.se
+46 8 522 065 56
+46 739 60 65 56

Info

Hittar du inte vad du letar efter?

bg