Som vi tidigare har rapporterat om syftar EU-kommissionens så kallade Digital Omnibus-paket till att förenkla och samordna EU:s digitala regelverk genom riktade ändringar i bland annat GDPR; se https://www.gulliksson.se/digital-omnibus-paketet-vad-betyder-det-i-praktiken-for-gdpr-cookies-och-ai/.
I ett gemensamt yttrande (Joint Opinion 2/2026) har Europeiska dataskyddsstyrelsen (EDPB) och Europeiska dataskyddsombudsmannen (EDPS) granskat förslaget. Även om myndigheterna i stort välkomnar förenklingsambitionen riktar de tydlig kritik mot vissa förslag – särskilt när det gäller ändringar av definitionen av personuppgifter.
Förslag som påverkar kärnan i GDPR
Digital Omnibus innehåller ett förslag om att nyansera begreppet personuppgifter genom att större vikt läggs vid vilken aktör som behandlar informationen och vilka möjligheter just den aktören har att identifiera en fysisk person. I praktiken skulle detta kunna innebära att viss information inte betraktas som personuppgifter för en aktör, trots att identifiering är möjlig längre ned i behandlingskedjan.
Enligt EDPB och EDPS riskerar detta att kraftigt minska GDPR:s tillämpningsområde. Myndigheterna betonar att definitionen av personuppgifter är en grundläggande byggsten i EU:s dataskyddslagstiftning och att även till synes begränsade justeringar kan få långtgående konsekvenser för skyddsnivån och rättssäkerheten.
Kritik mot reglering via genomförandeakter
Förslaget innebär även att kommissionen genom genomförandeakter skulle få befogenhet att fastställa när pseudonymiserade uppgifter inte längre ska betraktas som personuppgifter för vissa aktörer.
EDPB och EDPS motsätter sig detta och menar att frågor som direkt påverkar GDPR:s räckvidd inte bör regleras på detta sätt. I stället anser myndigheterna att sådana frågor bör hanteras genom vägledning och rättstillämpning, under tillsynsmyndigheternas och domstolars ansvar.
Slutsatser utifrån kritiken
EDPB och EDPS understryker att förenklingar i det digitala regelverket inte får ske på bekostnad av dataskyddets grundläggande principer. När det gäller definitionen av personuppgifter och effekterna av pseudonymisering uppmanar myndigheterna EU-lagstiftaren att ompröva förslaget för att undvika ökad rättsosäkerhet och en försämrad skyddsnivå för enskilda.
Myndigheternas kritik ger tydliga indikationer på att begreppet ”personuppgifter” tills vidare kommer att tolkas restriktivt för att upprätthålla en hög skyddsnivå. För personuppgiftsansvariga innebär detta att utrymmet för att strukturera verksamhet eller sina dataflöden för att falla utanför GDPR är begränsat och förenat med risk. Redan idag krävs tydlig dokumentation, väl underbyggda juridiska bedömningar och en proaktiv datastrategi, särskilt vid användning av data och AI, och den pågående regulatoriska utvecklingen förstärker snarare detta behov än minskar det. Dataskydd blir därmed i allt större utsträckning en fråga som påverkar vilka affärsbeslut företag kan fatta, inte bara hur regelverket ska följas.
Vi på Gulliksson bevakar utvecklingen av det Digitala Omnibus-paketet och bistår klienter i dataskyddsfrågor. Kontakta oss om du har frågor eller är i behov av rådgivning.
-
Advokat, Senior Associate
070 712 60 25
-
Partner, Advokat & Rechtsanwältin, Office Manager Stockholm
073 316 38 64
