Tech Blog
Tech Blog | mars 4, 2026

Digital Omnibus – så här ser läget ut: EDPB/EDPS yttrande och Rådets justeringar

Ny utveckling avseende Digital Omnibus: tillsynsmyndigheterna yttrar sig och rådet lyssnar – men ännu är ingenting avgjort.

Bakgrund

Den 19 november 2025 presenterade EU-kommissionen sitt förslag till en ”Digital Omnibus”, ett av de mest omfattande förslagen till revidering av EU:s digitala ramverk sedan GDPR trädde i kraft 2018. Delphi har tidigare rapporterat om kommissionens förslag här.

I korthet träffar förslaget flera delar av EU:s lagstiftning, inklusive AI, GDPR och cybersäkerhet. I detta inlägg fokuserar vi främst på dataskydd. För dataskydd innebär förslaget förändringar och förenklingar av GDPR, däribland en begränsning av begreppet ”personuppgifter”, utökade möjligheter att träna AI på känsliga personuppgifter, begränsningar av rätten till tillgång samt lättnader i informationskraven. Förslaget omfattar även en modernisering av cookiereglerna.

Sedan förslaget kom har det skett viktig utveckling: både EDPB och EDPS har lämnat ett gemensamt yttrande om förslaget, och läckta dokument ger en indikation på hur rådet ställer sig.

EDPB och EDPS yttrande – visst stöd, men röd linje vid personuppgiftsdefinitionen

Den 11 februari 2026 kom EDPB och EDPS med ett gemensamt yttrande. De stödjer ambitionen att förenkla regelverket och minska den administrativa bördan – men är tydliga med att förenkling inte får ske på bekostnad av dataskyddet.

EDPB och EDPS uttrycker särskild oro för förslagen som kan inskränka definitionen av personuppgifter, vilket de menar riskerar att urholka individers rättigheter och skapa rättslig osäkerhet. Samtidigt är de positiva till vissa praktiska förenklingar, exempelvis gemensamma rapporteringsmallar och justeringar kring anmälan av personuppgiftsincidenter – förutsatt att skyddsnivån inte sänks. De välkomnar också ambitionen att justera ePrivacy-direktivet och förenkla cookiereglerna för att motverka den utbredda ”cookie-fatigue”.

När det gäller definitionen av personuppgifter är EDPB och EDPS emellertid tydliga och lämnar lite utrymme för tolkning:

  • ”In short, the proposed amendment goes far beyond a targeted modification of the GDPR, a ’technical amendment’ or a mere codification of CJEU jurisprudence. In addition, the proposed amendment would also result in a more restrictive interpretation of the concept of personal data, limit the scope of application of the GDPR, and thus negatively affect the protection of the fundamental rights and freedoms of individuals while increasing legal uncertainty for organisations. For these reasons, the EDPB and the EDPS strongly urge the co-legislators to not adopt the proposed changes to the definition of personal data.”

Rådet justerar – vart lutar det?

Läckta dokument publicerade av Euractiv ger en bild av hur EU:s medlemsstater, genom ministerrådet, ställer sig till kommissionens förslag. Rådet har ännu inte publicerat en officiell reviderad version, men nedan anges några exempel från de läckta dokumenten.

Några exempel på rådets ställningstagande i läckta dokument, i korthet:

  • Definitionen av personuppgifter – Rådet har strukit kommissionens förslag om att ändra definitionen, inklusive förslaget om att ge kommissionen makt att anta delegerade akter för att klargöra definitionen. Detta ligger i linje med EDPB:s och EDPS gemensamma yttrande.
  • Känsliga personuppgifter för AI – Förslaget om att känsliga personuppgifter ska kunna användas för drift och utveckling av AI behålls i stort.
  • Biometriska uppgifter – Med vissa justeringar behålls möjligheten att använda biometriska uppgifter för verifiering av en persons identitet (s.k. one-to-one-verifiering).
  • Rätten till tillgång – Med vissa justeringar behålls möjligheten att avslå en registrerads begäran om tillgång när det finns uppsåt att missbruka rättigheten.
  • Informationskraven – Med vissa justeringar behålls förslagen om lättnader i informationskraven enligt artikel 13, det vill säga när en registrerad ska informeras om hur dennes personuppgifter behandlas.
  • Incidentrapportering – Förenklingarna behålls, men 72-timmarsgränsen justeras tillbaka (kommissionen hade föreslagit 96 timmar).
  • DPIA-listan – Rådet har justerat så att EDPB ska ansvara för att publicera en lista över vilka behandlingar som kräver konsekvensbedömning (DPIA) och inte, utan att denna behöver gå via kommissionen. EDPB ges därmed större inflytande och makt.
  • Cookiereglerna – Rådet behåller tilläggen till GDPR som rör cookies och lättnaderna i cookiereglerna. Det kan även antas att inga invändningar finns mot justeringarna i ePrivacy-direktivet, även om detta inte framgår direkt av de läckta dokumenten.

Vad händer härnäst?

Det återstår att rådet publicerar en officiell reviderad version av förslaget, varefter trialogförhandlingar med parlamentet måste genomföras innan något beslut kan fattas. Vi kan därför vänta oss ännu fler justeringar av kommissionens ursprungliga förslag. Delphi fortsätter att bevaka detta samt innebörden av de föreslagna förändringarna och kommer att uppdatera bloggen löpande.

Fortsättning följer!

Denna artikel är skriven av Associate Sebastian Torres.

Föregående inlägg

Nästa inlägg

Relaterat innehåll