Hur påverkar förslaget om att snäva in definitionen av personuppgifter vår nuvarande arkitektur för pseudonymisering och datalagring?

Om definitionen ändras så att data upphör att skyddas när identiteten inte kan fastställas med nuvarande verktyg, måste ni omedelbart granska er pseudonymiseringsstrategi. Ni riskerar att mista GDPR-skyddet för stora delar av ert datamaterial om ni inte säkerställer att återidentifiering alltid är tekniskt möjlig.

Kan vi fortsätta använda tredjeparts LLM-API:er baserat på 'berättigat intresse' enligt det nya utkastet?

Nej, risken är stor att den rättsliga grunden kollapsar då förslaget tillåter AI-träning på personuppgifter under detta skäl men suddar ut distinktionen mot känsliga data. Ni bör omedelbart genomföra en dataskyddspåverkananalys (DPIA) och förbereda er för att behöva byta leverantörer eller implementera striktare lokala bearbetningsmetoder.

Vilka omedelbara åtgärder bör vi vidta gällande hantering av känsliga uppgifter i våra interna verktyg?

Ni måste kartlägga exakt vilken känslig data (t.ex. hälsa eller politiska åsikter) som bearbetas och säkerställa att ni har explicit samtycke eller annan stark rättslig grund, snarare än att lita på 'berättigat intresse'. Förslaget minskar skydden för dessa kategorier, vilket gör era nuvarande interna HR- och analysverktyg potentiellt icke-lagliga om de inte omedelbart uppgraderas.

EU:s utkast kan kullkasta GDPR:s skydd för AI

Europakommissionen har i smyg utkastat till en omfattande reform av GDPR, maskerad som ett förenklande initiativ kallat ”Digital Omnibus”. Läckta dokument avslöjar att detta snabbspårade förslag syftar till att omdefiniera vad som räknas som personuppgifter och svaga skydden för känslig information. I praktiken ger det AI-jättar som OpenAI, Google och Meta ett blankocheck för att behandla europeiska användares data. För svenska techledare är detta inte bara byråkratiskt brus; det utgör ett direkt hot mot den rättsliga grundvalen för era databehandlingar.

Den största faran ligger i hur utkastet snävar in definitionen av personuppgifter och begränsar registrerades rättigheter. Förslaget antyder att om ett företag inte kan identifiera en person med nuvarande verktyg, upphör datan att skyddas. Detta skulle möjliggöra för bolag att kringgå GDPR-krav genom att enbart använda pseudonymer eller ID:n. Vidare vill man begränsa rätten till insyn och radering till ”dataskyddsändamål”, vilket potentiellt kan spärra anställda eller journalister från att utnyttja dessa rättigheter för juridiska eller granskande ändamål. Det mest kritiska är dock förslaget om att tillåta träning av AI på personuppgifter under ”berättigat intresse”. Enligt integritetsaktivister strider detta mot grundläggande EU-rättigheter och gällande rättspraxis.

För svenska CTO:er och CISO:er innebär den omedelbara risken regulatorisk osäkerhet och potentiella luckor i efterlevnaden. Om utkastet blir lag kan den rättsliga grunden för att använda tredjeparts LLM-API:er kollapsa, eftersom distinktionen mellan personuppgifter och icke-personuppgifter suddas ut. Ni kan snabbt upptäcka att datatransfer till amerikanska AI-leverantörer inte längre är berättigade enligt nuvarande tolkningar. Förslaget svajar även skydden för känsliga uppgifter, såsom hälsodata eller politiska åsikter, vilket innebär att era interna HR- eller analysverktyg plötsligt kan behandla skyddade kategorier utan tillräckliga säkerhetsåtgärder. Att ignorera denna signal är farligt; att lita på status quo medan reglerna förändras under fötterna inbjuder till hårda sanktioner när dammet lagt sig.

Denna regulatoriska kaos bekräftar varför lokal bearbetning inom EU inte längre bara är ett önskemål utan en strategisk nödvändighet. När Bryssel tillåter data att flöda fritt till globala AI-modeller är det enda sättet att behålla kontrollen, säkerställa integriteten och undvika efterlevnadskatastrofer att hålla datan inom landet. Lokal bearbetning eliminerar risken för att bli offer för avreglerade gränsöverskridande flöden och säkerställer att organisationen förblir i linje med andan i de europeiska grundläggande rättigheterna. Säkra er datainfrastruktur nu, innan det rättsliga landskapet förändras permanent till storteknikens fördel.