Nyhet2 juni 2026

Rådet backar från förenkling av GDPR-regler

EU:s så kallade Digital Omnibus med syfte att förenkla dataregler har tagit ett steg i helt fel riktning. Förenklingsambitionen är bortblåst och medlemsstaterna förkastar målet att stärka konkurrenskraften. I stället för tydligare regler och ökad förutsebarhet föreslås regler som ger företag osäkerhet, större beroende av icke‑bindande vägledning och en mer restriktiv tillämpning.

Carolina Brånby, jurist och policyansvarig.
Carolina Brånby, jurist och policyansvarig. Foto: Anders Ludvigson / Stefan Tell

I rådets senaste (tredje) utkast från den 21 maj har flera av kommissionens mest centrala reformförslag strukits eller försvagats kraftigt. Resultatet är en text som i hög grad bevarar dagens osäkerhet och belastning, snarare än att lösa dem.

Den mest långtgående förändringen gäller definitionen av personuppgifter i artikel 4(1). Kommissionens förslag om kodifiering av rättspraxis som skulle ha skapat klarhet kring pseudonymiserade och anonymiserade data har strukits i sin helhet. I stället hänvisas frågan till ett framtida yttrande från europeiska dataskyddsstyrelsen (EDPB).

Pseudonymisering utan rättslig tyngd

Kommissionen föreslog att den skulle få befogenhet att anta genomförandeakter om när pseudonymiserade uppgifter inte längre ska betraktas som personuppgifter. Rådet tar bort denna befogenhet och ersätter den med ett yttrande från EDPB.

Att förslaget om lagstadgat klargörande ersätts med icke‑bindande vägledning är ett tydligt steg bakåt. För företag som verkar i flera medlemsstater innebär det att den fragmentering och rättsosäkerhet som präglat tillämpningen av GDPR riskerar att bestå.

Vem som ska hantera frågan har stor betydelse. En genomförandeakt är rättsligt bindande och föremål för politisk kontroll. Ett EDPB‑yttrande är det inte och dessutom utgår inte myndigheten från politiska överväganden. Därmed faller den viktigaste regelförenklingen i Kommissionens förslag. EU-kommissionens ordförande Ursula von Der Leydens utlovade förbättring av regelverken som tynger Europa glider henne ur händerna eftersom medlemsstaterna inte förstår allvaret som tydligt framgår av Draghi-rapporten.

Otydlig rättslig grund för AI

Även på AI‑området sker en tydlig reträtt. Artikel 88c, som skulle ha skapat en tydlig rättslig grund med berättigat intresse vid AI‑utveckling, har helt tagits bort. Kvar finns en snäv undantagsregel i artikel 9(2)(k).

Konsekvensen är att AI‑utvecklare fortsatt saknar en tydlig och praktiskt användbar rättslig grund för personuppgiftsbehandling i EU. Det är svårt att förena med ambitionen att stärka Europas konkurrenskraft inom AI.

Skärpta regler för automatiserat beslutsfattande

Rådet ändrar också artikel 22 om automatiserat beslutsfattande. Kommissionens förslag där sådan behandling tillåts under vissa villkor omvandlas till ytterligare krav och administrativ börda.

Det förskjuter utgångspunkten i regleringen och innebär att företag som använder automatiserade processer måste hantera fler obligatoriska skyddsåtgärder. För verksamheter med storskalig databehandling ökar därmed både komplexitet och rättslig exponering.

Ökad makt till EDPB – minskad politisk kontroll

I flera centrala delar ser man ett genomgående mönster. Där kommissionen föreslog att behålla genomförandebefogenheter flyttar rådet i stället ansvaret till EDPB.

Kommissionens roll reduceras i praktiken till att fastställa mallar utifrån vad EDPB redan har beslutat.

Skiftet är problematiskt. EDPB är en dataskyddsmyndighet, utan uppdrag att väga konkurrenskraft, innovation och ekonomiska konsekvenser. När dessa avvägningar flyttas bort från den politiska nivån minskar också den proportionalitetskontroll som var tänkt att säkerställa en balanserad reglering.

Särskilt tydligt blir detta i reglerna om konsekvensbedömningar (DPIA). Genom att ge EDPB större inflytande över vilka behandlingar som kräver DPIA, utan krav på konsekvensanalys, finns en risk att kraven successivt utökas. Detta går på tvärs med målet att minska administrativa bördor.

Förenklingsambitionen bortblåst

Sammantaget innebär rådets text att stora delar av kommissionens förenklingsagenda urvattnas eller försvinner helt. I stället för tydligare regler och ökad förutsebarhet får företag fortsatt osäkerhet, större beroende av icke‑bindande vägledning och en mer restriktiv tillämpning.

Resultatet är en reglering som inte adresserar de praktiska problem som GDPR har skapat i tillämpningen.

Om EU menar allvar med sina ambitioner om digital konkurrenskraft och AI‑ledarskap krävs en annan riktning. Lagstiftningen måste ge tydlighet, proportionalitet och utrymme för innovation - inte lämna avgörande frågor olösta.

Läs också: Kommentarer på GDPR förslagen

GDPR in Digital Omnibus_Nordic Comments maj 2026.pdf

DataanvändningGDPRArtificiell intelligens
Skriven avCarolina Brånby

Du kanske också vill läsa