Sött och salt när EU föreslår lättnader i digitaliseringsregleringar

I dagarna presenterade EU-kommissionen ett nytt digitalt paket: Digital Omnibus. Syftet är att förenkla EU:s digitala regelverk, som många idag beskriver som krångligt, bland annat eftersom lagar såsom AI-förordningen, GDPR, NIS2 och Data Act, överlappar varandra.

Genom att exempelvis införa en enda ingång för cybersäkerhetsincidenter, ska den administrativa bördan, särskilt för små och medelstora företag, minska. Det ska frigöra tid för innovation och utveckling i stället för administration. Samtidigt är man noga med att poängtera att samma höga krav på dataskydd och säkerhet bibehålls.

Och i AI-förordningen AI Act föreslås senareläggningar från augusti 2026 till december 2027 av regleringar inom bland annat kreditvärdering, brottsbekämpning och biometrisk identifiering.

– Europa har inte hittills skördat de fulla fördelarna av den digitala revolutionen. Och vi har inte råd att betala priset för att inte hålla jämna steg med kraven från en föränderlig värld, sade ekonomikommissionär Valdis Dombrovskis vid onsdagens presskonferens, enligt nyhetssajten Europaportalen.se

IMY: "Det går snabbt"

Det nya förslaget har väckt mycket debatt, rapporterar Reuters. Ett av de regelverk som EU-kommissionen vill förenkla är dataskyddsförordningen, GDPR.

– Det som föreslås är substantiella förändringar av GDPR och större ändringar än vad vi såg framför oss för bara några månader sedan. Det går alltså snabbt. Nu är det viktigt att analysera kommissionens förslag närmare för att ta ställning till om förslagen är en positiv modernisering och anpassning av GDPR. IMY ser behov av att regelverket blir tydligare och i högre grad utgår från ett riskbaserat synsätt, säger Eric Leijonram, generaldirektör för Integritetsskyddsmyndigheten (IMY), i ett pressmeddelande.

"Skyddar grundläggande värden"

Förslaget innebär att delar av GDPR justeras för att bli enklare att förstå och följa, men att den grundläggande nivån av personuppgiftsskydd behålls oförändrad. Syftet är att göra det lättare för organisationer att uppfylla kraven så att tid och kraft kan läggas på innovation och utveckling av nya digitala lösningar.

En konkret förenkling av nuvarande regelverk är att företag ska få använda personuppgifter för att träna AI-modeller med stöd av så kallade “legitima intressen”, utan att alltid behöva be om samtycke. Företag ska även kunna rapportera dataintrång via en gemensam EU-plattform, i stället för flera parallella system (GDPR, NIS2, DORA). Ytterligare ett förändringsförslag handlar om att tidsfristen för anmälan vid högriskincidenter förlängs från 72 timmar till 96 timmar.

– GDPR är ett centralt regelverk som skyddar vår personliga integritet men också grundläggande europeiska värden. Att värna GDPR är därför självklart. Samtidigt ligger det i sakens natur att sju års tillämpning av GDPR ger oss erfarenheter och perspektiv som kan motivera ändringar utan att försämra integritetsskyddet, säger Eric Leijonram.

Regleringslättnad välkomnas av Arba Kokalari...

Europaparlamentsledamoten Arba Kokalari (M) säger till Svenska Dagbladet att det är "en vinst för Sverige" att data- och AI-regler förenklas.

– Vi behöver ha en bättre balans mellan innovation och risk när det gäller vår techreglering.

– Ett stort problem varför svenska och europeiska företag har halkat efter gentemot amerikanska och kinesiska konkurrenter är för att vi har varit för överreglerade, säger hon till tidningen.

...men ratas av Max Schrems

Alla håller dock inte med. Max Schrems – som tillsammans med sin organisation Noyb (None of your business) ligger bakom ett par EU-domar (Schrems och senast Schrems II) kopplade till överföring av data till tredjeland – är mycket kritisk till förslaget.

Nyob skriver enligt SvD på sin sajt att detta är ”den största attacken mot européers digitala rättigheter på flera år”, eftersom man anser att de nya förslagen innebär lägre skydd för europeiska medborgare.

Även kommissionens Socialdemokratiska S&D-grupp är kritisk.

– Två viktiga frågor står på spel med kommissionens digital omnibus. För det första, den oacceptabla avregleringen och försvagningen av EU:s digitala regler såsom dataskydd, AI och cybersäkerhet. Dessa politikområden har införts demokratiskt för att skydda våra företag, människor och deras data, sade S&D:s vice ordförande Alex Agius Saliba i ett uttalande, enligt Europaportalen.

EU-kommissionens förslag ska nu diskuteras och ses över av bland annat IMY och Europaparlamentet, samt av Europeiska dataskyddsstyrelsen, EDPB, och Europeiska datatillsynsmannen, EDPS. Förslagen måste godkännas av medlemsländerna och Europaparlamentet innan de kan implementeras. Förslaget är prioriterat, men i dagsläget finns ingen exakt tidsplan. Vissa delar, som ändringar i AI-förordningen, har dock preliminära datum till 2027–2028.