Ændringer af GDPR og EUDPR

Ændringer, der giver anledning til betydelig bekymring

Nogle af de foreslåede ændringer giver anledning til betydelig bekymring, da de kan have en negativ indvirkning på det beskyttelsesniveau, som enkeltpersoner nyder godt af, skabe retsusikkerhed og gøre det vanskeligere at anvende databeskyttelseslovgivningen.

Databeskyttelsesrådet og Den Europæiske Tilsynsførende opfordrer kraftigt medlovgiverne til ikke at vedtage de foreslåede ændringer af definitionen af personoplysninger, da de går langt videre end en målrettet eller teknisk ændring af GDPR. Desuden afspejler de ikke nøjagtigt og går klart videre end EU-Domstolens retspraksis , og de vil resultere i en betydelig indsnævring af begrebet personoplysninger. Kommissionen bør ikke have til opgave ved en gennemførelsesretsakt at beslutte, hvad der ikke længere er personoplysninger efter pseudonymisering, da det direkte påvirker anvendelsesområdet for EU's databeskyttelseslovgivning. 

"Forenkling er afgørende for at mindske bureaukratiet og styrke EU's konkurrenceevne — men ikke på bekostning af de grundlæggende rettigheder. Vi glæder os over Kommissionens skridt i retning af større harmonisering, sammenhæng og retssikkerhed. Vi opfordrer dog kraftigt medlovgiverne til ikke at vedtage de foreslåede ændringer i definitionen af personoplysninger, da de risikerer at svække den individuelle databeskyttelse betydeligt."

Formanden for Databeskyttelsesrådet, Anu Talus

"Vi opfordrer kraftigt medlovgiverne til ikke at vedtage de foreslåede ændringer af definitionen af personoplysninger. Disse ændringer er ikke i overensstemmelse med Domstolens retspraksis og vil i væsentlig grad indsnævre begrebet personoplysninger.  Vi skal sikre, at eventuelle ændringer af GDPR og EUDPR rent faktisk præciserer forpligtelserne og skaber retssikkerhed, samtidig med at tilliden og et højt beskyttelsesniveau for individuelle rettigheder og frihedsrettigheder bevares."

Den Europæiske Tilsynsførende for Databeskyttelse, Wojciech Wiewiórowski

Skridt i den rigtige retning

Databeskyttelsesrådet og Den Europæiske Tilsynsførende går ind for en forhøjelse af risikotærsklen, der fører til en forpligtelse til at anmelde et brud på datasikkerheden til den kompetente databeskyttelsesmyndighed, og en forlængelse af fristen for at indgive en sådan anmeldelse. Dette vil i væsentlig grad mindske den administrative byrde for organisationer uden at påvirke beskyttelsen af fysiske personers personoplysninger. Desuden er de foreslåede fælles skabeloner og lister for brud på datasikkerheden og konsekvensanalyser vedrørende databeskyttelse positive. 

Databeskyttelsesrådet og Den Europæiske Tilsynsførende ser også med tilfredshed på den foreslåede indførelse af en ny undtagelse for behandling af særlige kategorier af data til biometrisk autentifikation,  hvor kontrolmidlerne er under den enkeltes enekontrol.

Endelig støtter de harmoniseringen af begrebet "videnskabelig forskning"og andre relaterede ændringer, da de øger retssikkerheden og bidrager til mere harmonisering. 

Ændringer, der kræver finjustering

Som anført i Databeskyttelsesrådets udtalelse 28/2024 om AI-modeller kan legitim interesse i nogle tilfælde anvendes som retsgrundlag i forbindelse med udvikling og udbredelse af AI-modeller eller -systemer. Databeskyttelsesrådet og Den Europæiske Tilsynsførende finder det derfor ikke nødvendigt at medtage en specifik bestemmelse herom i GDPR. 

Databeskyttelsesrådet og Den Europæiske Tilsynsførende ser med tilfredshed på forslagets mål om at indføre en specifik undtagelse fra forbuddet mod at behandle følsomme oplysninger på visse betingelser, der omfatter utilsigtet og resterende behandling af sådanne oplysninger i forbindelse med udvikling og drift af AI-systemer eller -modeller. De anbefaler imidlertid flere forbedringer, f.eks. præcisering af undtagelsens anvendelsesområde og sikring af garantier i hele livscyklussen.

Databeskyttelsesrådet og Den Europæiske Tilsynsførende er enige i Kommissionens mål om at skabe juridisk klarhed for dataansvarlige, hvis de udsættes for registreredes misbrug af rettigheder. De mener imidlertid ikke, at udøvelsen af retten til indsigt til andre formål end beskyttelse af personoplysninger bør være et element, der definerer, hvad et misbrug er. Med hensyn til den nye undtagelse vedrørende gennemsigtighed støtter Databeskyttelsesrådet og Den Europæiske Tilsynsførende en forenkling af oplysningskravene og en reduktion af den administrative byrde, navnlig for SMV'er, men foreslår præciseringer for at sikre retssikkerheden og sikre, at enkeltpersoner stadig kan modtage relevante oplysninger om deres data, når det er nødvendigt. 

Endelig bør ændringer af bestemmelsen om automatisk individuel beslutningstagning præciseres for at gøre disse ændringer meningsfulde og juridisk forsvarlige. 

Ændringer af e-databeskyttelsesdirektivet

Databeskyttelsesrådet og Den Europæiske Tilsynsførende støtter kraftigt målet om at tilvejebringe en lovgivningsmæssig løsning til håndtering af samtykketræthed og udbredelsen af cookiebannere. Dette vedrører f.eks. de foreslåede krav om anvendelse af automatiserede og maskinlæsbare angivelser af fysiske personers valg med hensyn til behandlingen af deres oplysninger. Brugen af tekniske midler kan forenkle de dataansvarliges overholdelse og hjælpe enkeltpersoner med at gøre deres onlinevalg effektive.

Databeskyttelsesrådet og Den Europæiske Tilsynsførende ser også med tilfredshed på de begrænsede yderligere undtagelser fra det generelle forbud mod at lagre eller få adgang til personoplysninger i terminaludstyret og opfordrer endvidere medlovgiverne til at tilskynde til kontekstuel reklame snarere end adfærdsbaseret reklame ved at tilføje en specifik undtagelse omgivet af visse garantier.

Databeskyttelsesrådet og Den Europæiske Tilsynsførende glæder sig over, at tilsynet med sådanne spørgsmål vil blive overdraget til databeskyttelsesmyndighederne. 

Samtidig fremhæver Databeskyttelsesrådet og Den Europæiske Tilsynsførende de juridiske og tekniske vanskeligheder, der opstår som følge af sameksistensen af to forskellige ordninger for personoplysninger og andre data end personoplysninger. De indeholder også yderligere anbefalinger for at øge retssikkerheden, minimere risikoen og fremme ansvarlig innovation.

Ændringer af gældende EU-ret på dataområdet

Databeskyttelsesrådet og Den Europæiske Tilsynsførende støtter forenklingen af gældende EU-ret om data gennem integration i dataforordningen af datastyringsforordningen og reglerne i direktivet om åbne data om videreanvendelse af data og dokumenter, som offentlige myndigheder er i besiddelse af.

Med hensyn til adgang, der gives af offentlige organer med henblik på videreanvendelse, anbefaler de at bevare den klarhed, som den nuværende retlige ramme giver, nemlig at den ikke forpligter offentlige myndigheder til at tillade videreanvendelse, og at den heller ikke udgør et retsgrundlag for at give adgang.

Med hensyn til offentlige nødsituationer anbefaler Databeskyttelsesrådet og Den Europæiske Tilsynsførende, at det bekræftes, at personoplysninger kun kan deles i pseudonymiseret form med offentlige myndigheder i tilfælde, hvor anonyme data er utilstrækkelige til at reagere på den offentlige nødsituation.

Med hensyn til dataformidlingstjenester og dataaltruistiske organisationer fremhæver Databeskyttelsesrådet og Den Europæiske Tilsynsførende betydningen af pålidelig og ansvarlig datadeling. De anbefaler, at der opretholdes specifikke sikkerhedsforanstaltninger, der fremmer gennemsigtighed og tilsyn.

Databeskyttelsesrådet og Den Europæiske Tilsynsførende anbefaler en yderligere strømlining af bestemmelserne om håndhævelse (f.eks. ved at muliggøre udveksling på tværs af lovgivningen af oplysninger om håndhævelse, herunder med databeskyttelsesmyndighederne, og præcisere databeskyttelsesmyndighedernes rolle i håndhævelsen af dataforordningen).

Databeskyttelsesrådet og Den Europæiske Tilsynsførende ser med tilfredshed på forslagets bekræftelse af Det Europæiske Datainnovationsråds (EDIB's) rolle med hensyn til at støtte en konsekvent anvendelse af dataforordningen. Med hensyn til udarbejdelsen af retningslinjer anbefaler de, at Kommissionen bemyndiges til at udstede retningslinjer om ethvert emne vedrørende dataforordningen, og at EDIB's rolle med hensyn til at bistå Kommissionen i denne proces præciseres. Dette vil gøre det muligt for Kommissionen at udvikle fælles retningslinjer med Databeskyttelsesrådet og give EDIB mulighed for at rådgive og bistå Kommissionen med udarbejdelsen af sådanne retningslinjer.

Note til redaktørerne:

*Den 19. november 2025 vedtog Kommissionen et forslag til en digital omnibus om ændring af et stort korpus af EU's digitale lovgivning, herunder GDPR, EUDPR, dataforordningen, e-databeskyttelsesdirektivet og NIS 2-direktivet.

Den 25. november 2025 hørte Kommissionen formelt Databeskyttelsesrådet og Den Europæiske Tilsynsførende i overensstemmelse med artikel

42, stk. 2, i EUDPR og anmodede om en udtalelse om aspekterne vedrørende GDPR, EUDPR, e-databeskyttelsesdirektivet og gældende EU-ret på dataområdet.

Den 20. januar 2026 vedtog Databeskyttelsesrådet og Den Europæiske Tilsynsførende efter anmodning fra Kommissionen også en  fælles udtalelse om den "digitale omnibus om kunstig intelligens".

** "datareglerne", som er en del af forslaget om en digital omnibus, har til formål at ophæve forordningen om datastyring, direktivet om åbne data og forordningen om fri udveksling af andre data end personoplysninger og integrere de ændrede relevante bestemmelser i disse retsakter i dataforordningen.