EU lyssnar på nordiska GDPR-förslag, men flera frågetecken återstår
EU-kommissionen föreslår i rask takt regelförenklingar i så kallade Omnibus-förslag. Den digitala omnibusen är ett viktigt steg mot ett mer modernt och proportionerligt dataskydd men når inte EU:s egna förenklingsmål. Administrativa lättnader, användning av pseudonymiserade personuppgifter, undantag av behandling med låg risk och tillåten användning av känsliga personuppgifter som förbättrar AI-träning ingår i förslaget.
Nytt strålkastarljus är satt på GDPR tack vare förslaget till Digital Omnibus, där dataskyddet ses över i ljuset av AI-utveckling och EU:s svaga konkurrenskraft. En majoritet av de nordiska arbetsgivareorganisationernas förslag till förenkling, förtydligande och en effektivare reglering har hörsammats. Åtminstone till viss del.
Omnibusförslaget förtydligar att pseudonymiserade data inte alltid är personuppgifter för alla aktörer. Det innebär att information inte ska betraktas som personuppgift för en aktör som saknar rimliga möjligheter att identifiera individen. Detta öppnar upp för mer databehandling som är högst nödvändig i dagens samhälle, inte minst för utveckling av AI-lösningar. Allvarligt är dock att vidarebehandling av personuppgifter möjliggörs för vetenskaplig forskning, men inte för företagens FoU. Detta stärker inte produkt- och AI-utveckling på ett önskvärt sätt.
Behandling av personuppgifter vid AI-utveckling och träning har varit omdiskuterat. Nu förtydligar EU-kommissionen att berättigat intresse kan användas, särskilt för att förbättra representativitet och motverka bias, men någon generell lättnad för företag införs inte. En ny rättslig grund för behandling av känsliga personuppgifter vid AI-utveckling föreslås, med krav på extra skyddsåtgärder, vilket ligger i linje med det nordiska förslaget.
Omnibus-förslaget förtydligar när automatiserade beslut enligt art 22 GDPR är tillåtna. Ett viktigt förslag är förslag är utökade undantagen från informationsskyldigheten, men här hade man kunnat gå längre vad gäller indirekt insamling och låg risk. För att motverka missbruk och överdrivna förfrågningar om registerutdrag föreslås möjligheten att neka eller ta ut avgift av den registrerade.
Nu startar arbetet med att förankra och förhoppningsvis genomföra förslagen inom det närmsta året.
Helt i linje med de nordiska önskemålen föreslås kraven på incidentrapportering gälla endast vid hög risk, en mall ska införas och tidsfristen för rapportering ska förlängas till 96 timmar. En gemensam rapporteringskanal för flera regelverk (NIS2, GDPR, DORA, CER, eIDAS) föreslås, men inte gemensamt innehåll eller samma tidsfrist, vilket hade förenklat på riktigt.
Harmonisering av DPIA-listor och mallar införs genom att EDPB får i uppdrag att ta fram gemensamma listor och mallar.
Mycket välkommet är att cookietröttheten tycks få en lösning genom nya GDPR-regler om cookies och maskinläsbara samtycken
Men vad togs inte omhand? EU-kommissionen går inte tillräckligt långt i sina förenklingsförslag för att kunna nå sina egna mål om 35 procent minskade administrativa krav för SME:s och 25% för alla företag. Betydligt mer riskbaserade förändringar och minskade dokumentationskrav kunde ha föreslagits. Dessutom saknas förenkling av tredjelandsöverföring som medför mycket byråkrati och kostnader för företagen. Förhoppningarna går i stället till rådet och parlamentets behandling av förslaget, samt kommande fitness-check av gällande regleringar som ska genomföras under 2026.
Nu startar arbetet med att förankra och förhoppningsvis genomföra förslagen inom det närmsta året. Frågan är om Draghirapportens insikter om behov av mindre byråkrati och digital reglering överlever hela lagstiftningsprocessen? Hoppas verkligen det eftersom det inom EU är Nordens konkurrenskraft som är mest beroende av möjligheter i digitaliseringens framkant.
