Bryssel den 11 februari - Europeiska dataskyddsstyrelsen (EDPB) och Europeiska datatillsynsmannen (EDPS) har antagit ett gemensamt yttrande om förslaget till den digitala omnibusförordningen.* Detta förslag syftar till att förenkla EU:s digitala regelverk, minska den administrativa bördan och öka de europeiska organisationernas konkurrenskraft.
EDPB och EDPS fokuserar på de aspekter som rör den allmänna dataskyddsförordningen, dataskyddsförordningen för EU-institutionerna, direktivet om integritet och elektronisk kommunikation och dataregelverket.** Mer specifikt bedömer de om förslaget 1) leder till verklig förenkling och underlättar efterlevnaden, 2) medför större rättssäkerhet och 3) påverkar enskildas grundläggande rättigheter.
Ändringar av GDPR och EUDPR
Förändringar som ger anledning till stor oro
Vissa föreslagna ändringar ger upphov till betydande farhågor eftersom de kan inverka negativt på den skyddsnivå som enskilda åtnjuter, skapa rättsosäkerhet och göra det svårare att tillämpa dataskyddslagstiftningen.
EDPB och EDPS uppmanar medlagstiftarna att inte anta de föreslagna ändringarna av definitionen av personuppgifter eftersom de går långt utöver en riktad eller teknisk ändring av den allmänna dataskyddsförordningen. Dessutom återspeglar de inte på ett korrekt sätt och går tydligt utöver EU-domstolens rättspraxis , och de skulle leda till en betydande inskränkning av begreppet personuppgifter. Europeiska kommissionen bör inte ges i uppdrag att genom en genomförandeakt besluta vad som inte längre är personuppgifter efter pseudonymisering, eftersom det direkt påverkar tillämpningsområdet för EU:s dataskyddslagstiftning.
”Förenkling är avgörande för att minska byråkratin och stärka EU:s konkurrenskraft – men inte på bekostnad av de grundläggande rättigheterna. Vi välkomnar kommissionens steg mot större harmonisering, konsekvens och rättssäkerhet. Vi uppmanar dock medlagstiftarna att inte anta de föreslagna ändringarna av definitionen av personuppgifter, eftersom de riskerar att avsevärt försvaga skyddet av enskildas personuppgifter.”
EDPB:s ordförande, Anu Talus
”Vi uppmanar medlagstiftarna att inte anta de föreslagna ändringarna av definitionen av personuppgifter. Dessa ändringar är inte i linje med domstolens rättspraxis och skulle avsevärt begränsa begreppet personuppgifter. Vi måste se till att alla ändringar av den allmänna dataskyddsförordningen och dataskyddsförordningen för EU-institutionerna faktiskt klargör skyldigheter och skapar rättssäkerhet samtidigt som förtroendet och en hög skyddsnivå för enskildas rättigheter och friheter upprätthålls.”
Europeiska datatillsynsmannen, Wojciech Wiewiórowski
Steg i rätt riktning
EDPB och EDPS är positiva till en höjning av risktröskeln som leder till en skyldighet att anmäla en personuppgiftsincident till den behöriga dataskyddsmyndigheten och en förlängning av tidsfristen för att lämna in en sådan anmälan. Detta skulle avsevärt minska den administrativa bördan för organisationer utan att påverka skyddet av enskildas personuppgifter. Dessutom är de föreslagna gemensamma mallarna och förteckningarna för personuppgiftsincidenter och konsekvensbedömningar avseende dataskydd positiva.
EDPB och EDPS välkomnar också det föreslagna införandet av ett nytt undantag för behandling av särskilda kategorier av uppgifterför biometrisk autentisering, där kontrollmedlen står under den enskildes kontroll.
Slutligen stöder de harmoniseringen av begreppet ”vetenskaplig forskning” och andra relaterade förändringar, eftersom de ökar rättssäkerheten och bidrar till ökad harmonisering.
Förändringar som behöver finjusteras
Såsom anges i EDPB:s yttrande 28/2024 om AI-modeller kan legitimt intresse i vissa fall användas som rättslig grund i samband med utveckling och införande av AI-modeller eller AI-system. EDPB och EDPS anser därför inte att det är nödvändigt att införa en särskild bestämmelse om detta i den allmänna dataskyddsförordningen.
EDPB och EDPS välkomnar förslagets syfte att införa ett särskilt undantag från förbudet mot att behandla känsliga uppgifter, på vissa villkor, som omfattar oavsiktlig och kvarstående behandling av sådana uppgifter i samband med utveckling och drift av AI-system eller AI-modeller. De rekommenderar dock flera förbättringar, såsom att klargöra undantagets tillämpningsområde och säkerställa skyddsåtgärder under hela livscykeln.
EDPB och EDPS instämmer i kommissionens mål att skapa rättslig klarhet för personuppgiftsansvariga när de utsätts för registrerades missbruk av rättigheter. De anser dock att utövandet av rätten till tillgång för andra ändamål än skydd av personuppgifter inte bör vara en faktor som definierar vad som utgör missbruk. När det gäller det nya undantaget för transparens stöder EDPB och EDPS en förenkling av informationskraven och en minskning av den administrativa bördan, särskilt för små och medelstora företag, men föreslår förtydliganden för att säkerställa rättssäkerhet och säkerställa att enskilda fortfarande kan få relevant information om sina uppgifter vid behov.
Slutligen bör ändringar av bestämmelsen om automatiserat individuellt beslutsfattande förtydligas för att göra dessa ändringar meningsfulla och rättsligt sunda.
Ändringar av direktivet om integritet och elektronisk kommunikation
EDPB och EDPS stöder helhjärtat målet att tillhandahålla en regleringslösning för att hantera samtyckeströtthet och spridningen av cookiebanners. Detta gäller till exempel de föreslagna kraven på användning av automatiserade och maskinläsbara uppgifter om enskilda personers val när det gäller behandlingen av deras uppgifter. Användningen av tekniska medel kan förenkla personuppgiftsansvarigas efterlevnad och hjälpa enskilda personer att göra sina onlineval effektiva.
EDPB och EDPS välkomnar också de begränsade ytterligare undantagen från det allmänna förbudet mot att lagra eller få tillgång till personuppgifter i terminalutrustningen och uppmanar vidare medlagstiftarna att uppmuntra kontextuell reklam snarare än beteendestyrd reklam genom att lägga till ett särskilt undantag omgivet av vissa skyddsåtgärder.
EDPB och EDPS välkomnar att tillsynen av sådana frågor kommer att anförtros dataskyddsmyndigheterna.
Samtidigt framhåller EDPB och EDPS de rättsliga och tekniska svårigheter som uppstår på grund av att det finns två olika system för personuppgifter och icke-personuppgifter. De ger också ytterligare rekommendationer för att öka rättssäkerheten, minimera risken och främja ansvarsfull innovation.
Ändringar av dataregelverket
EDPB och EDPS stöder förenklingen av dataregelverket genom att i dataakten integrera dataförvaltningsaktens och direktivet om öppna datas regler om vidareutnyttjande av data och handlingar som innehas av offentliga myndigheter.
När det gäller tillgång som beviljas av offentliga organ för vidareutnyttjande rekommenderar de att man behåller den tydlighet som den nuvarande rättsliga ramen erbjuder, nämligen att den inte ålägger offentliga myndigheter att tillåta vidareutnyttjande och inte heller ger någon rättslig grund för att bevilja tillgång.
När det gäller allmänna nödsituationer rekommenderar EDPB och EDPS att man bekräftar att personuppgifter endast kan delas i pseudonymiserad form med offentliga myndigheter, i fall där anonyma data är otillräckliga för att hantera det allmänna nödsituationen.
När det gäller dataförmedlingstjänster och dataaltruismorganisationer betonar EDPB och EDPS vikten av tillförlitlig och ansvarsfull datadelning. De rekommenderar att särskilda skyddsåtgärder bibehålls, vilket främjar öppenhet och tillsyn.
EDPB och EDPS rekommenderar att bestämmelserna om verkställighet rationaliseras ytterligare (t.ex. genom att möjliggöra gränsöverskridande informationsutbyte om verkställighet, även med dataskyddsmyndigheter, och klargöra dataskyddsmyndigheternas roll i genomförandet av dataakten).
EDPB och EDPS välkomnar förslagets bekräftelse av Europeiska datainnovationsstyrelsens (EDIB) roll när det gäller att stödja en konsekvent tillämpning av dataakten. När det gäller utarbetandet av riktlinjer rekommenderar de att kommissionen ges befogenhet att utfärda riktlinjer i alla frågor som rör dataakten och att EDIB:s roll när det gäller att bistå kommissionen i denna process klargörs. Detta skulle göra det möjligt för kommissionen att utarbeta gemensamma riktlinjer tillsammans med EDPB och göra det möjligt för EDIB att ge råd till och bistå kommissionen vid utarbetandet av sådana riktlinjer.
Anmärkning till redaktörer:
*Den 19 november 2025 antog kommissionen ett förslag till digital samlingsförordning om ändring av en stor del av EU:s digitala lagstiftning, inbegripet den allmänna dataskyddsförordningen, dataskyddsförordningen, dataakten, direktivet om integritet och elektronisk kommunikation och NIS 2-direktivet.
Den 25 november 2025 samrådde kommissionen formellt med EDPB och EDPS i enlighet med artikel
42.2 i dataskyddsförordningen för EU-institutionerna och begärde ett yttrande om de aspekter som rör dataskyddsförordningen, dataskyddsförordningen för EU-institutionerna, direktivet om integritet och elektronisk kommunikation och dataregelverket.
Den 20 januari 2026 antog EDPB och EDPS, på begäran av kommissionen, också ett gemensamt yttrande om den digitala samlingsförordningen om AI.
** Dataregelverket, som ingår i förslaget till digital samlingsförordning, syftar till att upphäva dataförvaltningsakten, direktivet om öppna data och förordningen om det fria flödet av andra data än personuppgifter och integrerar ändrade relevanta bestämmelser i dessa akter i dataakten.
Pressmeddelandet som publiceras här har översatts automatiskt från engelska. EDPB garanterar inte att översättningen är korrekt. Vänligen se den officiella texten i den engelska versionen om det finns några tvivel.