Aktuellt
Artikel
2025.12.16

Förslag till Digital Omnibus – ett omtag av EU:s digitala regelverk

Den 19 november 2025 presenterade EU-kommissionen förslaget Digital Omnibus, ett omfattande paket med förslag på förenklingar av befintliga regler som rör bland annat data, dataskydd, cookies, AI och cybersäkerhet, samt upphävande av vissa regelverk. Förslagen som presenteras i Digital Omnibus har mötts av mycket reaktioner och generellt varit omdiskuterade. Syftet med lagstiftningsinitiativet, som är en del av EU:s digitala strategi, är att förenkla reglerna, minska onödig administration och stärka innovationsförmågan. Här redogör vi översiktligt för några av de ändringar som föreslås i GDPR och AI-förordningen samt för vissa övriga förslag i Digital Omnibus.

Förslag på lättnader avseende GDPR

Vi har tidigare skrivit om att sedan GDPR trädde i kraft 2018 har regelverket varit omdiskuterat då reglerna upplevs vara svårtillämpliga och alltför långtgående. I maj 2025 presenterades ”Omnibus IV” som innebar förenklingar i GDPR avseende kraven på att föra register över behandling av personuppgifter. Läs mer här. Genom Digital Omnibus presenteras nu ytterligare förslag på hur GDPR ska förenklas:

  • Snävare definition av personuppgifter. Definitionen av personuppgifter, som för närvarande omfattar samtliga uppgifter som direkt eller indirekt kan identifiera en individ, föreslås göras snävare. Avgörande för om en uppgift ska anses utgöra en personuppgift föreslås vara om en viss aktör, med medel som är ”rimligen sannolika” att använda, kan identifiera en individ. Pseudonymiserade uppgifter ska i vissa fall kunna falla utanför GDPR, och det införs mekanismer som tydliggör när pseudonymiserade uppgifter inte längre ska anses utgöra personuppgifter.
  • Lättnader i samband med anmälan av personuppgiftsincidenter. Idag ska personuppgiftsincidenter som huvudregel anmälas till tillsynsmyndigheten (IMY) inom 72 timmar efter att den personuppgiftsansvarige har fått vetskap om den. En incident ska anmälas såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter. I Digital Omnibus föreslås i stället att endast incidenter som sannolikt medför hög risk ska behöva anmälas, och tidsfristen förlängs dessutom till 96 timmar. Europeiska Dataskyddsstyrelsen (EDPB) ska ta fram en bindande anmälningsmall, samt exempel på situationer där anmälningsskyldighet föreligger.
  • Intresseavvägning som laglig grund vid träning av AI-system. Ett nytt förtydligande i GDPR föreslås klargöra att personuppgifter kan behandlas med stöd av intresseavvägning som laglig grund för att träna och använda AI-modeller, under vissa förutsättningar, t.ex. att en sedvanlig intresseavvägning görs, att behandlingen är nödvändig och proportionerlig samt tillräckliga säkerhetsåtgärder införs.
  • Begränsningar av rätten till tillgång. Idag gäller att om en begäran om utövande av rätten till tillgång från en registrerad är uppenbart ogrundad eller orimlig, får den personuppgiftsansvarige vägra att tillmötesgå den, eller ta betalt för hanteringen. Detta undantag föreslås utvidgas till att omfatta alla förfrågningar som avser ändamål som saknar koppling till skyddet av den registrerades personuppgifter. Syftet är att motverka att rätten till tillgång används som påtryckningsmedel i andra tvister.
  • Minskade informationskrav. EU-kommissionen föreslår även att skyldigheten för personuppgiftsansvariga att tillhandahålla information till den vars personuppgifter behandlas ska minskas när uppgifterna samlats in inom ramen för en tydlig och avgränsad relation mellan den personuppgiftsansvariga och den registrerade, verksamheten inte är dataintensiv och det finns rimliga skäl att anta att den registrerade redan har grundläggande information om behandlingen.
  • Standardiserade krav för konsekvensbedömningar. EDPB föreslås att få i uppdrag att ta fram EU-gemensamma listor över vilka typer av personuppgiftsbehandling som kräver att en konsekvensbedömning (DPIA) genomförs och vilka behandlingar som inte gör det, samt tillhandahålla gemensamma mallar för hur en DPIA ska genomföras.
  • Regellättnad avseende samtycke till cookies. Bestämmelser om användningen av cookies och liknande tekniker föreslås flyttas från det nuvarande ePrivacy-direktivet till GDPR. Det innebär bland annat att överträdelser kan sanktioneras enligt GDPR:s sanktionspaket. Därtill föreslås bland annat att kravet på att inhämta samtycke till cookies ska förenklas för att undvika ”samtyckeströtthet”. Valet att samtycka eller inte ska kunna göras endast med ett klick, den som inte samtycker ska inte behöva ta ställning till valet av cookies igen för samma ändamål inom sex månader. Onlinetjänster ska även behöva läsa och respektera användares standardinställningar på t.ex. webbläsaren om förinställt samtycke eller avvisande av cookies.

Förslag till centrala förändringar i AI-förordningen

AI-förordningen trädde i kraft den 1 augusti 2024 och har ännu inte börjat tillämpas fullt ut. Förordningen har kritiserats för att hämma innovation. Digital Omnibus innehåller flera förslag som syftar till att förenkla AI-förordningen. Bland annat föreslås lättnader för små och medelstora företag, exempelvis avseende dokumentationskrav. Därutöver föreslås ändringar som innebär att vissa krav skjuts upp eller helt slopas:

  • Krav på AI-system med hög risk dröjer. För vissa AI-system som klassificeras som ”hög risk”, som t.ex. AI inom rekrytering och kreditbedömningar, gäller idag att reglerna börjar tillämpas den 2 augusti 2026. Digital Omnibus föreslår att tillämpningen skjuts upp med upp till 16 månader så att reglerna börjar gälla först när EU-kommissionen bedömer att det finns tillräckligt stöd i form av standarder, riktlinjer och tekniska lösningar.
  • Förlängd anpassningstid för syntetiskt innehåll. AI-system som genererar artificiellt ljud, bild, video eller text och som finns på marknaden före den 2 augusti 2026 får en ytterligare sexmånadersperiod för att uppfylla vissa krav på att märka AI-genererat innehåll.
  • Slopad registreringsplikt för vissa icke-högrisk-system. Leverantörer av AI-system som bedömer att deras AI-system är undantagna kraven för AI-system med hög risk föreslås inte behöva registrera denna bedömning i den centrala databasen som ska tillhandahållas på EU-nivå, men ska fortsatt dokumentera bedömningen internt och kunna visa upp den vid tillsyn.

Övriga ändringar – reglering av data och gemensam rapporteringskanal

Utöver förslag på ändringar i GDPR och AI-förordningen föreslås också ändringar i regelverk som rör data. Bland annat föreslås ändringar i dataakten (Data Act) som började delvis tillämpas 12 september 2025 och som syftar till att skapa en mer rättvis digital inre marknad samt att tillgängliggöra data. De föreslagna ändringarna innebär bland annat att datainnehavare i vissa fall ska kunna vägra att lämna ut information när det finns en betydande risk för olaglig åtkomst till eller spridning av företagshemligheter och att offentliga aktörers tvingande åtkomst till data föreslås begränsas. Vi har tidigare skrivit om dataakten som du kan läsa mer om här och här.

Genom Digital Omnibus föreslås också att tre andra rättsakter som alla reglerar data (förordningen om fri rörlighet för icke-personuppgifter, Data Governance Act och Open Data Directive) ska konsolideras i dataakten.

EU-kommissionen föreslår även att en gemensam rapporteringskanal ska införas –”Single Entry Point” (SEP) – för vissa incidentanmälningar som ska genomföras enligt de olika digitala regelverken. Den gemensamma rapporteringskanalen ska göra det möjligt att uppfylla flera rapporteringsskyldigheter genom en enda anmälan.

Vad händer nu?

Digital Omnibus är fortfarande endast ett förslag från EU-kommissionen som ska presenteras för och behandlas av Europaparlamentet och rådet innan några föreslagna ändringar och regler kan antas.

Vi på Cederquist håller oss uppdaterade på rättsutvecklingen kring Digital Omnibus. Om ni har några frågor är du välkommen att kontakta oss.

Relevant Läsning

Kontakt

Malin Allard

Partner

malin.allard@cederquist.se
+46 8 522 065 10
+46 739 60 65 10

Info

Henrik Lindstrand

Partner

henrik.lindstrand@cederquist.se
+46 8 522 066 43
+46 739 60 66 43

Info

Robin Nappo Svensson

Associate

robin.nappo.svensson@cederquist.se 
+ 46 8 522 065 91
+ 46 739 60 65 91

Info

Agnes Norrby

Associate

agnes.norrby@cederquist.se
+46 8 522 065 56
+46 739 60 65 56

Info

Hittar du inte vad du letar efter?

bg