Hvad Kommissionen faktisk har foreslået

Den 19. november 2025 offentliggjorde Europa-Kommissionen Digital Omnibus, en pakke der vil ændre GDPR sammen med ePrivacy-reglerne, Data Act og anden digital lovgivning. Det er det første væsentlige forsøg på at revidere GDPR, siden forordningen trådte i kraft i maj 2018. Det erklærede mål er forenkling: færre administrative forpligtelser for behandling med lavere risiko, klarere definitioner og et enkelt sted for indberetning af hændelser på tværs af flere EU-retsakter.

Flere ændringer betyder noget for en ejerledet virksomhed. Pligten til at udpege en databeskyttelsesrådgiver vil blive snævrere, således at færre virksomheder vil være forpligtet til at udpege en. Definitionen af personoplysninger vil blive præciseret med særligt fokus på pseudonymiserede data, således at oplysninger måske ikke tæller som personoplysninger for en virksomhed, der ikke har rimelige midler til at identificere den person, de vedrører. Fritagelsen fra at føre fortegnelser over behandling vil stige mod større medarbejderantal, og anmeldelse af brud vil flytte fra et vindue på 72 timer til 96 timer og kun gælde, hvor risikoen for personer er høj.

Hvorfor dette er et forslag og ikke loven

Intet af dette er i kraft. Digital Omnibus er et forordningsudkast, der er trådt ind i EU's almindelige lovgivningsprocedure, hvilket betyder, at det skal forhandles og vedtages af Europa-Parlamentet og Rådet for Den Europæiske Union, før det kan vedtages. Tekster, der træder ind i denne proces, ændres rutinemæssigt, og dele af denne tekst er allerede ved at blive omarbejdet. Med de nuværende tidsplaner forventes den endelige vedtagelse tidligst i slutningen af 2026 eller i 2027, og eventuelle nye forpligtelser vil derefter have deres egne overgangsdatoer.

Reformen er også omstridt hos de institutioner, der fører tilsyn med databeskyttelse. I en fælles udtalelse den 11. februar 2026 hilste Det Europæiske Databeskyttelsesråd og Den Europæiske Tilsynsførende for Databeskyttelse en del af forenklingen velkommen, herunder den lettere ordning for anmeldelse af brud, men modsatte sig kraftigt den snævrere definition af personoplysninger og den beføjelse, den vil give Kommissionen til ved gennemførelsesretsakt at afgøre, hvad der tæller som personoplysninger efter pseudonymisering. Denne uenighed er et tydeligt signal om, at den endelige ordlyd endnu ikke ligger fast.

Hvad en ejer bør gøre nu

Fejlen kan begås i begge retninger. Den ene er at ignorere reformen fuldstændigt og blive taget uforberedt, når forpligtelserne endelig ændres. Den anden, og dyrere, er at begynde at afvikle sin databeskyttelse nu på baggrund af et forslag: at trække en databeskyttelsesrådgiver tilbage, slette fortegnelser eller løsne procedurer for brud, mens den gældende GDPR fortsat er fuldt i kraft og fuldt håndhævelig. Indtil vedtagelsen gælder dagens regler fuldt ud, og tilsynsmyndighederne kan stadig handle på grundlag af dem.

Det afmålte svar er at følge sagen og planlægge ud fra den, ikke at handle på den. Noter hvilke af dine nuværende forpligtelser der vil blive lettet, hvis forslaget vedtages i noget der ligner dets nuværende form, og hvor ændringen faktisk vil reducere reelle omkostninger eller reel risiko for din virksomhed. Bevar din nuværende compliance intakt, følg faserne i Parlamentet og Rådet samt tilsynets udtalelser, og vær klar til at handle hurtigt, så snart en endelig tekst og dens overgangsdatoer er kendt. Disciplineret beredskab koster lidt. Et for tidligt afviklingsskridt udsætter dig for en fordel, der endnu ikke findes.