Hur påverkar den föreslagna subjektiva definitionen av personuppgifter vår nuvarande efterlevnadskontroll?

Den nya definitionen flyttar fokus från objektiv identifierbarhet till företagets interna avsikt, vilket skapar en juridisk gråzon där GDPR:s tillämplighet blir beroende av företagsinterna beslut snarare än faktiska risker. Detta kräver omedelbar översyn av era klassificeringsprocesser för att undvika att felaktigt anta att data är undantagen från skyddskrav.

Vilka åtgärder bör vi vidta gällande användning av sociala medier-data för AI-träning under den föreslagna opt-out-mekanismen?

Eftersom mekanismen är beskriven som oarbetbar för användare, bör ni inte förlita er på automatisk efterlevnad utan istället införa strikta interna gränser och dokumenterade riskbedömningar innan sådan data används. Det rekommenderas att tillsynsmyndighetens tolkning av 'dataskyddsändamål' beaktas som en säkerhetsmarginal för att undvika rättsprocesser vid avslagen åtkomstansökningar.

Hur hanterar vi risken för böter och juridisk osäkerhet kopplad till pseudonymiserad data under de nya reglerna?

Ni bör anta att en subjektiv definition av pseudonymisering inte automatiskt ger skydd mot GDPR, särskilt om tillsynsmyndigheten senare bedömer att identifiering är möjlig. En proaktiv strategi innebär att behålla höga dataskyddsnivåer även för data som klassificeras som anonymiserad eller pseudonymiserad under de nya förslagen.

EU vill skrota skyddet mot stora techbolag

EU-kommissionen har presenterat sitt förslag "Digital Omnibus", en omfattande reform som civilsamhället och dataskyddsförespråkare kallar ett massivt angrepp mot grundläggande GDPR-principer. Trots starkt motstånd från Europaparlamentet och de flesta medlemsstater driver kommissionen igenom förändringar som i praktiken sänker dataskyddsnivåerna till förmån för stora amerikanska techbolag. För svenska CTO:er och CISO:er signalerar detta en potentiell skiftning där efterlevnad handlar mindre om att skydda individer och mer om att navigera nya luckor designade för storindustrin.

Förslaget förändrar fundamentalt hur "personuppgifter" definieras genom att införa ett subjektivt tillvägagångssätt istället för ett objektivt. Enligt gällande regler skyddas data kopplad till en identifierbar person; det nya utkastet antyder dock att om ett företag hävdar att de inte har för avsikt att identifiera en användare, så kan GDPR inte tillämpas. Detta skapar ett juridiskt gråområde där giltigheten av dataskyddslagen beror på ett företags interna inställning, vilket gör tillsynen nästan omöjlig. Dessutom öppnar planen explicit dörren för att använda stora mängder personuppgifter från sociala medier-profiler för att träna AI-modeller, baserat på en opt-out-mekanism som förespråkare menar är praktiskt taget oarbetbar för användare.

För svenska organisationer är riskerna omedelbara och konkreta. De föreslagna förändringarna kan skapa betydande luckor i efterlevnaden där företag antar att de är undantagna från GDPR-krav endast för att de klassificerar data som "pseudonymiserad" eller hävdar bristande avsikt att identifiera användare. Denna oklarhet inbjuder till juridisk osäkerhet och ökar risken för böter om regeringsmyndigheter senare bestämmer sig för att den subjektiva definitionen inte håller i domstol. Dessutom kan en begränsning av användares rättigheter till strikt "dataskyddsändamål" exponera arbetsgivare och plattformar för rättsprocesser när de avslår ansökningar om åtkomst kopplade till arbetsrättsliga tvister eller kreditprövningar, vilket potentiellt strider mot etablerad praxis från EU-domstolen.

Denna regulatoriska drift understryker en kritisk strategisk prioritet för svenska ledare inom tekniken: behovet av att behandla känslig data lokalt inom EU eller Sverige så ofta som möjligt. Genom att förlita sig på externa API:n som opererar under dessa slappare standarder riskerar företag att deras data absorberas i oöverskådliga träningsdataset med få möjligheter till återvinning. Att upprätthålla strikt kontroll över datasuveränitet genom lokal behandling säkerställer att organisationer förblir föremål för de robusta skydd som den nuvarande GDPR-ramen erbjuder, snarare än att dras in i ett regulatoriskt landskap designat för global skala på bekostnad av individuella rättigheter. Den säkraste vägen framåt är inte att vänta på juridisk klarläggning kring dessa nya luckor, utan att arkitera system där data aldrig lämnar en tillförlitlig jurisdiktion.