Vad kommissionen faktiskt har föreslagit
Den 19 november 2025 offentliggjorde Europeiska kommissionen Digital Omnibus, ett paket som skulle ändra GDPR tillsammans med ePrivacy-reglerna, dataakten och annan digital lagstiftning. Det är det första allvarliga försöket att se över GDPR sedan förordningen trädde i kraft i maj 2018. Det uttalade syftet är förenkling: färre administrativa skyldigheter för behandling med lägre risk, tydligare definitioner och en gemensam plats för att rapportera incidenter över flera EU-rättsakter.
Flera ändringar har betydelse för ett ägarlett företag. Skyldigheten att utse ett dataskyddsombud skulle snävas in, så att färre företag skulle vara skyldiga att utse ett. Definitionen av personuppgifter skulle förtydligas, med särskild uppmärksamhet på pseudonymiserade uppgifter, så att information kanske inte räknas som personuppgifter för ett företag som saknar rimliga medel att identifiera personen bakom den. Undantaget från att föra förteckning över behandling skulle höjas mot större personalstyrkor, och anmälan av incidenter skulle flyttas från ett 72-timmarsfönster till ett 96-timmarsfönster och endast gälla när risken för människor är hög.
Varför detta är ett förslag och inte lag
Inget av detta är i kraft. Digital Omnibus är ett förordningsutkast som har gått in i EU:s ordinarie lagstiftningsförfarande, vilket innebär att det måste förhandlas och godkännas av Europaparlamentet och Europeiska unionens råd innan det kan antas. Texter som går in i detta förfarande ändras regelmässigt, och delar av denna text omarbetas redan. Enligt nuvarande tidsplan väntas ett slutligt antagande tidigast i slutet av 2026 eller 2027, och eventuella nya skyldigheter skulle då bära sina egna övergångsdatum.
Reformen är också omstridd bland de organ som övervakar dataskyddet. I ett gemensamt yttrande den 11 februari 2026 välkomnade Europeiska dataskyddsstyrelsen och Europeiska datatillsynsmannen en del av förenklingen, däribland den lättare anmälningsplikten, men motsatte sig bestämt den snävare definitionen av personuppgifter samt den befogenhet den skulle ge kommissionen att genom genomförandeakt avgöra vad som räknas som personuppgifter efter pseudonymisering. Den oenigheten är ett tydligt tecken på att den slutliga lydelsen ännu inte är fastställd.
Vad en ägare bör göra nu
Misstaget är lätt att göra åt båda hållen. Det ena är att helt ignorera reformen och bli tagen på sängen när skyldigheterna till slut ändras. Det andra, mer kostsamma, är att börja montera ner sitt dataskydd nu på grundval av ett förslag: att avveckla ett dataskyddsombud, radera förteckningar eller lätta på anmälningsrutiner medan den gällande GDPR fortfarande är fullt i kraft och fullt möjlig att genomdriva. Fram till antagandet gäller dagens regler fullt ut, och tillsynsmyndigheterna kan fortfarande agera utifrån dem.
Det besinningsfulla svaret är att följa ärendet och planera utifrån det, inte att agera på det. Notera vilka av dina nuvarande skyldigheter som skulle lättas om förslaget går igenom i ungefär sin nuvarande form, och var ändringen faktiskt skulle minska verklig kostnad eller risk för ditt företag. Behåll din nuvarande efterlevnad intakt, följ stegen i parlamentet och rådet samt tillsynens yttranden, och var redo att agera snabbt när en slutlig text och dess övergångsdatum är kända. Disciplinerad beredskap kostar lite. En för tidig nedmontering utsätter dig för risk för en fördel som ännu inte finns.
Läs vidare: Böten på pappret är inte slutgiltig · Din AI-faktura har inte längre något tak