Digital Omnibus: Så kan EU:s nya förslag förändra GDPR 

11 minuter läsning • Felix Morling • DATASKYDDSFöRORDNINGEN • 20 november 2025
  1. Syftet med Digital Omnibus-förslaget
  2. Viktigaste ändringsförslagen i GDPR – en översikt
  3. Särskilt relevanta förändringar för företag i Sverige
  4. Praktisk påverkan i verksamheten
  5. Morling Consultings expertis inom GDPR-förändringar

EU-kommissionen har lagt fram det så kallade Digital Omnibus-förslaget, som innehåller ett paket av ändringar i flera digitala regelverk – inklusive GDPR. Förslaget syftar till att anpassa GDPR till dagens behov av att använda personuppgifter i företag, AI-utveckling och cookie-landskap, och att minska onödig administration för både företag och myndigheter. Det är ännu bara ett förslag, men redan nu går det att se tydliga linjer i hur arbetet med dataskydd kan behöva förändras framöver och för många verksamheter kan det vara värdefullt att tidigt ta stöd av GDPR-jurister som kan omsätta förslaget i konkreta åtgärder..

Syftet med Digital Omnibus-förslaget

Digital Omnibus är inte en “ny GDPR”, utan en serie justeringar i den befintliga förordningen. Syftet kan grovt delas upp i fyra delar:

  • Göra vissa definitioner mer praktiskt användbara – exempelvis vad som är en personuppgift, hur pseudonymiserade uppgifter ska behandlas och hur forskningsändamål ska bedömas.
  • Minska onödig administration – genom att höja tröskeln för när personuppgiftsincidenter ska anmälas och när information måste lämnas till de registrerade.
  • Harmonisera tillämpningen inom EU – med gemensamma EU-listor för DPIA (konsekvensbedömningar), gemensamma mallar och tydligare roller för Europeiska dataskyddsstyrelsen (EDPB)
  • Integrera fler digitala frågor i GDPR – framför allt a) AI-utveckling och b) cookies/trackers och maskinläsbara sparade samtycken från exempelvis webbläsare.

För företag över hela Europa kan det här innebära att vissa delar av dagens GDPR-arbete kan förenklas, medan andra områden – särskilt AI, automatiserade beslut och cookies – blir mer tekniskt och strategiskt laddade.

Viktigaste ändringsförslagen i GDPR – en översikt

Nedan följer en förenklad genomgång av de mest centrala ändringsförslagen, utan att gå in i full juridisk detalj.

1. Definitionen på vad som är en personuppgift går i linje med rättsutvecklingen

  • Information ska inte automatiskt ses som personuppgift för alla bara för att någon annan aktör kan identifiera personen.
  • Frågan blir i högre grad aktörsberoende: är personen identifierbar med “rimliga medel” för just den organisationen?
  • Kommissionen får mandat att ta fram kriterier för när pseudonymiserade data inte längre ska anses vara personuppgifter för vissa aktörer (ny artikel 41a föreslås).

Praktiskt innebär det att bedömningen av om data är personuppgifter inte bara handlar om vad som är möjligt, utan också om den förmåga och intention just organisationen som har uppgifterna har.

2. Forskning och vidarebehandling

  • Begreppet “vetenskaplig forskning” definieras tydligare och öppnar för att även icke-akademisk forskning kan omfattas, så länge den bidrar till kunskapsutveckling och följer etiska standarder.
  • Vidarebehandling för forskningsändamål klargörs som kompatibel med det ursprungliga ändamålet, utan extra prövning enligt artikel 6.4 GDPR.
  • Informationsskyldigheten kan lättas i vissa forskningssituationer där det är omöjligt eller skulle kräva oproportionerlig insats att informera varje individ.

3. Särskilda kategorier, biometriska uppgifter och AI

  • Nya undantag föreslås för:
    • biometrisk verifiering (exempelvis ansikts- eller fingeravtrycksidentifiering) när uppgifterna eller verktygen är under den registrerades egen kontroll
    • hantering av “residualdata” – känsliga uppgifter som råkar följa med i AI-träning, under strikta tekniska och organisatoriska skyddsåtgärder
  • Ny artikel 88c slår fast att AI-system och AI-modeller och luta sig mot den legala grunden berättigat intresse, under förutsättning att dataminimering, transparens och ett ovillkorligt rätt att invända säkerställs, och att andra lagar inte kräver samtycke.

4. Rättigheter och informationsplikt

  • Informationsskyldigheten kan minska i “lågrisk”-situationer där (det går här att tänka sig hantverkstjänster där hantverkaren behandlar namn och kontaktuppgifter för att kunna ha kontakt med kunden):
    • relationen till den registrerade är tydlig och begränsad,
    • verksamheten inte är särskilt dataintensiv, och
    • det finns goda skäl att anta att den registrerade redan har grundläggande information om behandlingen.
  • Möjligheten att vägra eller ta betalt för uppenbart missbrukade eller överdrivet omfattande användning av rättigheter under GDPR (särskilt tillgång enligt artikel 15) begränsas och missbruk kan exempelvis handla om att rätten används för andra syften än skydd för sina personuppgifter.

5. Automatiserade beslut och profilering

  • Reglerna om automatiserade beslut (artikel 22) omformuleras för att säga att sådana beslut är tillåtna när vissa villkor är uppfyllda.
  • “Nödvändigt för att ingå eller fullgöra avtal” ska inte tolkas så strikt att beslutet måste kunna tas endast automatiserat.

6. Personuppgiftsincidenter

  • Anmälningsskyldigheten till tillsynsmyndigheten begränsas till incidenter som sannolikt leder till en hög risk för de registrerades rättigheter och friheter (nuvarande lydelse är “såvida det inte är osannolikt”).
  • Tidsfristen för anmälan förlängs från 72 till 96 timmar.
  • Ett EU-gemensamt “single entry point” införs för rapportering samt en harmoniserad mall och lista över situationer som troligen innebär hög risk, framtagna av EDPB.

7. DPIA (konsekvensbedömningar)

  • EDPB får i uppdrag att ta fram:
    • en EU-gemensam lista över behandlingar som kräver DPIA,
    • en lista över behandlingar som inte kräver DPIA, samt
    • en gemensam DPIA-mall och metodik.
  • Kommissionen antar dessa som bindande genom genomförandeakter och de ska uppdateras minst vart tredje år.

8. Cookies, trackers och maskinläsbara inställningar

  • GDPR får en ny artikel om lagring och åtkomst av personuppgifter i terminalutrustning (exempelvis cookies och app-identifierare). Det innebär att i praktiken flyttas stora delar av dagens e-privacy-regler in i GDPR.
  • Samtycke krävs som huvudregel, men undantag föreslås för exempelvis:
    • rent tekniskt nödvändiga cookies,
    • tjänster som användaren uttryckligen begärt,
    • viss egen räckvidds- och publikmätning (förstapartscookies), och
    • säkerhet och felsökning.
  • Användaren ska kunna säga “nej” med en enkel “single-click”-lösning, och om användaren nekar samtycke får samma fråga inte ställas igen för samma syfte inom sex månader.
  • En ny artikel 88b GDPR föreslås som kräver att onlinetjänster på sikt ska kunna läsa och respektera standardiserade, maskinläsbara inställningar om samtycke/nej tack, exempelvis från webbläsare och företag som tillhandahåller webbläsare (gäller inte småföretag) skulle bli tvungna att bygga in sådana funktioner.

Särskilt relevanta förändringar för företag i Sverige

Förslaget gäller hela EU och får tydlig praktisk betydelse för företag även i Sverige.

Mindre anmälningsbörda vid personuppgiftsincidenter

IMY får idag många anmälningar om relativt begränsade incidenter. Med kravet på sannolik hög risk för anmälan, och EU-gemensamma riktlinjer på vad som anses vara hög risk, bör en stor del av dagens “långsvans” av incidentanmälningar kunna falla bort. Det kan ge:

  • mindre administrativ börda för både privata och offentliga verksamheter, och
  • mer fokus på de allvarliga incidenterna – både internt och hos IMY.

Offentlig sektor, automatiserade beslut och AI

Svenska myndigheter använder redan idag automatiserade beslut i allt från skattefrågor till socialförsäkring. Förtydligandena kring automatiserade beslut i artikel 22, tillsammans med nya regler för AI-utveckling, blir därför högst praktiska:

  • det blir tydligare att automatiserade beslut är tillåtna om villkoren är uppfyllda,
  • verksamheten måste kunna motivera att den valda lösningen är nödvändig för ändamålet, och
  • AI-träning med personuppgifter kan bygga på berättigat intresse, men måste då omges av starka skydd – särskilt när känsliga uppgifter riskerar att följa med.

Forskningsintensiva miljöer – universitet, hälso- och sjukvård, life science

Sverige har många aktörer som arbetar datadrivet med forskning, inte minst inom vård och life science. Här är tre punkter särskilt viktiga:

  • tydligare definition av vetenskaplig forskning och att kommersiella intressen inte utesluter forskningsändamål,
  • tydligörande om att vidarebehandling för forskning är kompatibel med det ursprungliga ändamålet,
  • möjlighet till lättnader i informationsskyldigheten där full individuell information skulle göra forskning praktiskt omöjlig.

Samtidigt skärps kraven på dokumentation, riskbedömningar och tekniska skydd för känsliga uppgifter.

Svenska webbplatser, media och e-handel

Den föreslagna integreringen av cookie-reglerna i GDPR, tillsammans med krav på enkel “nej tack”-lösning och respekt för maskinläsbara samtycken, kommer exempelvis påverka svenska:

  • medieföretag och annonsfinansierade tjänster,
  • e-handelsaktörer och medlemsportaler, och
  • SaaS-bolag med webbaserade gränssnitt.

Kortsiktigt blir det arbete med att ändra banners, tekniska lösningar och dokumentation. Långsiktigt kan det minska användarens inställning att “klicka på någon knapp för att få bort bannern” om webbläsare och standardiserade signaler tar över en del av jobbet.

Praktisk påverkan i verksamheten

För den som har ansvar för dataskydd i sin roll, är frågan: Vad behöver vi göra annorlunda om förslaget blir verklighet?

Personuppgiftsansvariga och ledning

  • Se över hur ni definierar personuppgifter i praktiken – särskilt i datadelning och analysprojekt. Är personen verkligen identifierbar för er med rimliga medel?
  • Planera för att uppdatera interna policys för:
    • personuppgiftsincidenter (ny tröskel, ny tidsfrist, ny rapporteringskanal),
    • DPIA-processen (kommande EU-gemensam lista och mall)
    • hantering av AI-projekt och automatiserade beslut – både som juridisk grund och som riskfråga.
  • Förbered en övergångsplan: identifiera vilka behandlingar som sannolikt påverkas mest (cookies, AI, forskning, incidenter, DSAR-hantering).

Dataskyddsombud (DSO)

  • Ta fram enkla guider om:
    • när informationsskyldigheten kan förenklas i lågrisk-behandling,
    • hur missbruk av rättigheter ska dokumenteras om ni behöver neka en begäran, och
    • hur AI-projekt och automatiserade beslut ska bedömas och följas upp.
  • Förbered organisationen på att DPIA-arbetet blir mer standardiserat – både positivt (mindre tolkningsutrymme) och utmanande (mindre flexibilitet).
  • Stärk samarbetet med IT, utveckling och informationssäkerhet kring incidenthantering, pseudonymisering och loggning.

Utvecklare och IT-avdelning

  • Räkna med att:
    • pseudonymisering och anonymisering får ökad betydelse, inklusive bedömning av när mottagare inte längre kan identifiera individer på ett rimligt sätt,
    • AI-pipelines måste utformas så att känsliga uppgifter undviks, och att “residualdata” kan upptäckas och skyddas,
    • system behöver kunna läsa och respektera maskinläsbara samtyckes- och “nej tack”-inställningar från webbläsare och andra klienter.
  • Säkerställ att loggning, identifiering av incidenter och incidenthantering är anpassade till nya tidsfrister och risknivåer.

Marknad, produktägare och webbansvariga

  • Planera för:
    • omdesign av cookie-banners så att samtycke ges på ett tydligt sätt och det går att neka med ett klick,
    • hantering av 6-månadersregeln för att inte fråga om samma samtycke igen efter ett nej.
    • övergång från manuella samtyckesval till mer automatiska inställningar från webbläsare eller andra standardiserade lösningar.
  • Se över vilka analys- och marknadsföringsverktyg som används, och om de kan anpassas till de nya reglerna.

En enkel checklista fram till vidare i lagstiftningsprocessen

  • Identifiera era mest berörda områden: AI, forskning, cookies, incidenter, automatiserade beslut.
  • Skapa en intern bevakningspunkt: vem följer utvecklingen av Digital Omnibus och kommande EDPB-mallar?
  • Inventera var ni idag har:
    • många incidentanmälningar,
    • många rättighetsförfrågningar (särskilt tillgång), eller
    • stor beroendegrad av cookies/trackers för affärsmodellen.
  • Påbörja dialog mellan jurister, IT, säkerhet, marknad och verksamhet så att tekniska och organisatoriska förändringar kan planeras i god tid.

Morling Consultings expertis inom GDPR-förändringar

Digital Omnibus är fortfarande ett förslag och både ordalydelse och tolkning kan ändras under den fortsatta lagstiftningsprocessen. För många verksamheter räcker det inte att “vänta och se” – det handlar om att förstå vilka områden som är mest exponerade och att bygga flexibilitet i styrning, avtal och system.

På Morling Consulting kan våra GDPR-jurister hjälpa företag och organisationer med att:

  • kartlägga vilka delar av verksamhetens personuppgiftsbehandling som särskilt påverkas av förslaget på förändringar,
  • uppdatera styrdokument, register och processer för incidenthantering, DPIA och rättigheter,
  • stödja AI-, forsknings- och utvecklingsprojekt med strukturerade rättsliga analyser och praktiska rekommendationer, och
  • ta fram hållbara lösningar för cookies, trackers och samtyckeshantering i nära samspel mellan juridik, teknik och affärsmodell.

Genom att arbeta proaktivt med de förändringar som Digital Omnibus-förslaget pekar mot kan svenska verksamheter både minska risker och utnyttja de förenklingar som förslaget faktiskt öppnar för – utan att göra avkall på ett robust dataskydd.

Senaste inlägg

Två personer skakar hand över ett avtal.

12 december 2025

Så vet du när du behöver stöd av en affärsjurist
Läs mer
tre personer står över ett bord och diskuterar något som finns på en datorskärm.

12 december 2025

När det känns som att GDPR tar all fokus – hyr in en konsult
Läs mer
Bilden visar tre personer i kostym sitter och diskuterar ett dokument.

9 december 2025

Så påverkar penningtvättslagen finansiell reglerad verksamhet
Läs mer