Den 19 november 2025 presenterade EU-kommissionen förslaget Digital Omnibus, ett paket med förslag på flera förändringar av EU:s regelverk på det digitala området, så som GDPR, AI-förordningen och NIS2. Det omfattande paketet följer av att både betydelsen och omfattningen av EU:s regelverk på området under de senaste åren har ökat snabbt för att följa digitaliseringen...
Den 19 november 2025 presenterade EU-kommissionen förslaget Digital Omnibus, ett paket med förslag på flera förändringar av EU:s regelverk på det digitala området, så som GDPR, AI-förordningen och NIS2. Det omfattande paketet följer av att både betydelsen och omfattningen av EU:s regelverk på området under de senaste åren har ökat snabbt för att följa digitaliseringen av samhället, vilket har gjort regelverken svåra att överblicka och efterleva. Detta hoppas EU-kommissionen råda bot på genom det Digitala Omnibuspaketet, vilket syftar till att förenkla och harmonisera, och att göra regelverken mer anpassade till hur företag faktiskt använder data i praktiken. I sitt pressmeddelande anger EU-kommissionen att visionen är att europeiska företag framöver ska behöva lägga mindre tid och fokus på administrativt arbete och regelefterlevnad, till förmån för mer expansion och innovation.
Förslaget – en överblick
Utgångspunkten är att GDPR-regelverket ska bestå, men med justeringar för att den administrativa bördan för framförallt små och medelstora bolag framöver ska minska, bland annat genom att kraven på interna rutiner och dokumentation ska ställas i förhållande till den faktiska omfattningen av, och risken med, personuppgiftsbehandlingen. Vidare föreläs bland annat att omfattningen av vad som utgör en ”personuppgift” ska begränsas, liksom att en personuppgiftsansvarig ska kunna avslå en enskilds begäran om information (rätten till tillgång) om rättigheten missbrukas för andra syften än det avsedda. Det ska även bli tydligare vilka typer av personuppgiftsbehandling som kräver konsekvensbedömning (DPIA), och hur bedömningen ska genomföras genom tillhandahållande av gemensamma mallar.
Det Digitala Omnibuspaketet innehåller även förslag på centrala förändringar i AI-förordningen, en förordning som trädde i kraft den 1 augusti 2024 men som ännu inte tillämpas fullt ut. Förordningen har kritiserats för att hämma innovation och utveckling genom oproportionerliga administrativa krav, och som svar på detta föreslås bland annat lättnader avseende dokumentationskrav för små och medelstora företag.
Cookies är ett annat område som är föremål för översyn och modernisering. Det diskuteras bland annat att flytta bestämmelserna om cookies till GDPR, undantag från samtycke för lågrisk-cookies och att användare ska kunna spara sina inställningar i webbläsaren. Förhoppningen är att detta ska resultera i färre cookie-banners och pop-ups för en smidigare användarupplevelse, vilket samtidigt ställer högre krav på företag att verkligen förstå och bedöma hur data används för att avgöra i vilka situationer cookie-banners behövs.
För att förenkla regelefterlevnaden föreslår EU-kommissionen även att en gemensam rapporteringskanal ska införas, en s.k. Single Entry Point, för att incidentanmälningar som ska genomföras enligt flera olika regelverk ska kunna uppfyllas genom en enda anmälan. Andra lättnader avseende incidentrapportering som föreslås är att personuppgiftsincidenter endast ska behövas om incidenten sannolikt innebär hög risk för de registrerades rättigheter – och sådana omständigheter ska förtydligas genom en lista antagen på EU-nivå – samt att tidsfristen förlängs från 72 till max 96 timmar från tidpunkten om kännedom om incidenten.
Förenkling eller hot mot dataskyddet?
Det Digitala Omnibuspaketet och förenklingar av EU:s digitala regelverk är efterfrågat av många. EU-kommissionens förslag har dock inte endast mottagits positivt. Vissa kritiker menar att EU:s strävan efter att främja europeiskt näringsliv, innovation och konkurrenskraft sker på bekostnad av de enskildas fri- och rättigheter, medan andra menar att ändringarna bör vara ännu mer omfattande för att ge den efterfrågade effekten.
Vad händer nu?
Det Digitala Omnibuspaketet är ett förslag från EU-kommissionen som ska presenteras för och därefter behandlas av både Europaparlamentet och Rådet innan några föreslagna ändringar och regler kan antas. Det är därför viktigt att komma ihåg att den slutliga utformningen och omfattningen kan komma att ändras. Något fast datum för ikraftträdande finns inte heller i dagsläget, men en optimistisk prognos är att de färdigförhandlade ändringarna går till slutlig omröstning i början av år 2027. Eftersom förslagen har blivit utsatta för kritik är det dock inte otänkbart att förhandlingarna drar ut ytterligare på tiden. EU-kommissionen har vidare tydliggjort att det Digitala Omnibuspaketet endast är det första steget i arbetet med att förenkla EU:s digitala regelverk. Fler lagstiftningsförslag är därför att vänta framöver.
Rosengrens följer utvecklingen inom Digitala Omnibuspaketet, och du är varmt välkommen att kontakta oss om du behöver rådgivning eller har frågor!
[LEGAL DISCLAIMER – Denna artikel har tagits fram i informationssyfte med ett generaliserat/förenklat innehåll och ska därför inte tolkas som eller annars utgöra rådgivning.]