EU-kommissionen har presenterat ett omfattande Digitalt Omnibus-paket som innebär stora förändringar i flera centrala regelverk, bland annat GDPR, AI-förordningen och NIS 2. Syftet med förslaget är att minska den administrativa bördan för företag genom att förenkla reglerna, vilket i sin tur ska främja innovation och stärka konkurrenskraften inom EU. Kommissionen framhåller att man fortsatt upprätthåller ”högsta standard” för dataskydd och säkerhet. Men förslaget har snabbt blivit ett av de mest omdiskuterade initiativen på länge.
Kritiken mot förslaget
Trots kommissionens ambitioner har förslaget mötts av starka reaktioner. 127 organisationer, däribland noyb (None of Your Business, grundat av Max Schrems), har gått ut med skarp kritik. De menar att förslaget innebär:
- Den största nedskärningen av integritetsrättigheter på flera år
Grundprinciper i GDPR riskerar att skäras ner, vilket kan få långtgående konsekvenser för individers rättigheter. - Gynnar Big Tech – inte småföretag
Förändringarna öppnar nya kryphål för amerikanska techjättar, medan små och medelstora europeiska företag får få eller inga fördelar. - Brist på transparens och konsekvensanalys
Förslaget har tagits fram utan en ordentlig konsekvensanalys, vilket väcker frågor om rättssäkerhet och demokratiska processer.
Vad innebär förslaget i praktiken?
Nedan följer några av de föreslagna ändringarna i det Digitala Omnibuspaketet tillsammans med risker som har lyfts fram:
- Ändrad definition av ”personuppgifter”
EU-kommissionen vill ändra GDPR:s definition av ”personuppgifter” genom att införa ett subjektivt synsätt. Det innebär att om ett företag säger att det inte kan eller inte avser att identifiera en person, så skulle GDPR inte gälla för dessa uppgifter.
Risk: Kan skapa osäkerheter kring när GDPR blir tillämpbart och inte då det blir mer från “fall” till “fall”. Företag skulle även kunna hävda att de inte avser att identifiera en person och därmed kringgå GDPR:s krav.
- Större möjligheter att träna AI-modeller på särskilda kategorier av personuppgifter utan samtycke.
EU-kommissionen föreslår att techföretag ska få använda personlig information, exempelvis inlägg från sociala medier som kan vara över 15 år gamla, för att träna AI-modeller.
Risk: I praktiken innebär detta att techindustrin kan använda AI för att kartlägga de mest privata detaljerna om en person och bygga modeller baserade på dessa uppgifter. Detta står i direkt konflikt med de grundläggande principerna som GDPR bygger på idag.
- Möjlighet att avslå begäran om tillgång till personuppgifter med hänvisning till ”missbruk”
EU-kommissionen vill begränsa rätten till tillgång, det vill säga varje medborgares rätt att kunna begära tillgång till sina personuppgifter. Enligt Max Schrems finns inget utbrett missbruk av GDPR från medborgare utan problemet ligger snarare i företagens bristande efterlevnad.
Risk: Exempelvis så kan en anställd som behöver sina tidrapporter för en tvist om obetalda timmar nekas.
Vad händer nu?
I ett nästa steg kommer Kommissionens förslag att behandlas av rådet och Europaparlamentet. EDPB kommer att yttra sig över förslaget tillsammans med Europeiska datatillsynsmannen, EDPS.
DirSys fortsätter att bevaka utvecklingen av det Digitala Omnibus Paketet.
Författare Louise Andersson,
Konsult Dataskydd och informationssäkerhet på DirSys AB
