Digital Omnibus Package
Vad innebär EU:s stora översyn av it-rättslig reglering?
Den 19 november 2025 presenterade EU-kommissionen Digital Omnibus Package, ett lagstiftningsinitiativ som samordnar och justerar delar av befintlig digital reglering. I stället för att införa nya regelverk uppdateras bland annat GDPR, ePrivacy-direktivet, NIS2, Data Act och AI Act.
Syftet är att minska administrativa bördor, ta bort överlappande krav och stärka förutsebarheten för både myndigheter och organisationer.
Paketet består av två förordningar:
• Digital Omnibus, med ändringar i GDPR, ePrivacy, NIS2 och Data Act.
• Digital Omnibus on AI, med ändringar av AI Act.
Nedan sammanfattas huvuddragen i förslaget.
GDPR – definitioner, AI-anpassningar och forskningsregler
Personuppgifter och pseudonymisering
Begreppet personuppgifter blir aktörsberoende. Information är endast en personuppgift om organisationen rimligen kan identifiera individen.
Kommissionen får mandat att fastställa kriterier för när pseudonymiserade data inte längre ska betraktas som personuppgifter för vissa aktörer.
AI-utveckling och drift
Behandling av personuppgifter för AI-utveckling kan i högre grad baseras på berättigat intresse, under förutsättning att organisationen:
tillämpar uppgiftsminimering även under träningsfas
använder tekniska skydd som förhindrar att modeller läcker träningsdata
är transparent med hur data används
ger individer rätt att invända mot användning för AI-träning
En särskild regel införs för oavsiktligt förekommande känsliga uppgifter (residual data) i träningsdata. Dessa får endast behandlas under kontrollerade former, exempelvis genom att undvika insamling, radera dem eller, om radering vore oproportionerlig, effektivt blockera dem från att användas eller spridas.
Forskning
Begreppet scientific research tydliggörs och omfattar även kommersiellt driven forskning.
Vidarebehandling för forskningsändamål anses förenlig med det ursprungliga syftet utan krav på en separat prövning enligt 6.4 GDPR.[1]
Informationsplikten kan undantas när individuell information skulle vara oproportionerlig.
Rättigheter och missbruk
Överdrivna eller uppenbart missbrukade begäranden om registerutdrag kan nekas eller avgiftsbeläggas.
Krav på informationgivning kan förenklas i situationer med låg risk, exempelvis standardiserade kund-leverantörsrelationer.
Incidentrapportering och konsekvensbedömning (DPIA)
Endast incidenter med sannolik hög risk behöver rapporteras.
Tidsfristen för rapportering förlängs från 72 till 96 timmar.
Rapportering sker via en gemensam EU-portal, även för NIS2- och DORA-incidenter.
EDPB ska ta fram EU-gemensam vägledning, inklusive listor över incidenter som bör rapporteras, behandlingar som kräver DPIA samt en gemensam DPIA-mall och metodik.
ePrivacy och cookies
Reglerna om lagring och åtkomst till information på användarens enhet harmoniseras närmare GDPR. Samtycke är huvudregel, med undantag för:
tekniskt nödvändig kommunikation
tjänster som användaren uttryckligen begär
förstapartscookies för statistik
säkerhet och felsökning
Ett nej från användaren ska gälla i minst sex månader och kunna ges med ett klick. Webbplatser ska på sikt även respektera maskinläsbara integritetspreferenser från webbläsare och operativsystem.
NIS2 – incidentrapportering
En EU-gemensam portal införs för incidentrapportering enligt NIS2, GDPR, DORA, eIDAS och sektorspecifika regler enligt principen “report once, share many”.
Väsentliga och viktiga entiteter rapporterar via portalen i stället för till varje myndighet.
Frivillig rapportering av ”near misses” och hot kan fortsatt göras via portalen.
AI Act – ändringar genom Digital Omnibus
Lagförslaget gör inte om AI Act i grunden, men flera bestämmelser tydliggörs:
Det införs en uttrycklig rättslig grund som tillåter begränsad behandling av känsliga uppgifter när detta behövs för att kontrollera och motverka bias i AI-modeller.
Medlemsstater och kommissionen får ett tydligare ansvar att aktivt främja AI-kompetens hos både myndigheter och företag.
Små och medelstora företag får lättnader för att underlätta implementering av regelverket.
Tidsplanerna för när högriskkraven ska börja gälla kopplas tydligare till när nödvändiga standarder faktiskt finns tillgängliga.
AI Office får en tydligare och mer central roll i tillsynen.
Konsekvenser för organisationer
Personuppgifter kan användas mer flexibelt i AI-utveckling, men bara under strikta krav på dataminimering, tekniska skydd, transparens och dokumentation.
Forskare får större tydlighet, men också krav på riskbedömningar och skydd för känsliga uppgifter.
Webbplatser kan behöva förenkla sina samtyckeslösningar och i större utsträckning använda förstapartscookies, vilket innebär mindre beroende av tredjepartsleverantörer och enklare integritetsflöden.
Incidenthantering behöver anpassas till en gemensam EU-portal och en högre tröskel för när incidenter ska rapporteras.
Ändringar i Data Act och AI Act kan kräva uppdateringar i avtal, tekniska lösningar och tillsynsprocesser.
Sammanfattning
Digital Omnibus Package är ett omfattande samordningsinitiativ som ska harmonisera och förenkla EU:s digitala regelverk. Genom ändringar i flera centrala lagstiftningar vill kommissionen minska dubbelreglering och skapa större tydlighet för aktörer som arbetar med personuppgifter, AI eller datadrivna tjänster.
Förhandlingar i Europaparlamentet och rådet återstår. Organisationer kan redan nu följa utvecklingen och analysera hur förslaget kan påverka interna processer och framtida regelefterlevnad.
[1] Artikel 6.4 anger när en organisation får använda redan insamlade personuppgifter för ett nytt syfte. Den kräver en bedömning av om det nya syftet är förenligt med det ursprungliga syftet. För att avgöra detta ska man bedöma bl.a.:
kopplingen mellan det ursprungliga och det nya ändamålet, i vilket sammanhang uppgifterna samlades in, vilken typ av personuppgifter det rör sig om, möjliga konsekvenser för de registrerade, och vilka skyddsåtgärder som finns. Om ändamålen inte är förenliga krävs en ny rättslig grund.