EU Omnibus och nedmonteringen av GDPR
EU-flaggor framför Europeiska kommissionens byggnad i Bryssel. Minns du när GDPR trädde i kraft våren 2018 och många tänkte att nu – nu – skulle medborgarna äntligen få makt över sina data? Företag panikändrade sina användarvillkor, inkorgarna svämmade över av integritetsmeddelanden och nya pop‑up-rutor om kakor dök upp överallt. GDPR (dataskyddsförordningen) hyllades som en seger för integriteten. Men sju år senare, nästan tio år efter att GDPR antogs, planerar EU att stuva om i regelverket. Kritiker varnar för att det sker på ett sätt som riskerar att urholka integritetsskyddet – “death by a thousand cuts”, som den österrikiska integritetsgruppen noyb uttrycker det. Alltså inte en frontalattack på GDPR, utan många små undantag och ändringar som tillsammans kan försvaga medborgarnas dataskydd.
Vad är Digital Omnibus?
EU-kommissionen förbereder ett lagpaket kallat Digital Omnibus som syftar till att modernisera och samordna unionens digitala lagstiftning. Paketet beskrivs som ett sätt att “städa upp” i djungeln av regelverk – att minska dubbelreglering och byråkrati i överlappande lagar inom tech-området. Kommissionen (genom ansvariga kommissionären Henna Virkkunen) presenterar förslaget den 19 november. Digital Omnibus tar sikte på att uppdatera flera centrala regelverk, bland annat GDPR, e‑Privacy-direktivet (den så kallade kaklagen), AI-förordningen (AI Act) och dataförordningen. Paketet är en del av ett större initiativ för att förenkla regler som under de senaste åren mött kritik från både branschen och internationella aktörer (däribland USA) för att vara krångliga eller hindra innovation.
Kort sagt vill EU “framtidssäkra” regelverket så att det både skyddar medborgarna och underlättar för ny teknik som artificiell intelligens. Men just balansen mellan integritetsskydd och innovation är vad striden nu handlar om.
Öppningar för AI-träning och dataanvändning
Enligt uppgifter som läckt ut innehåller Digital Omnibus en rad ändringar i GDPR och angränsande lagar. Flera av dem innebär lättnader som är tänkta att göra det enklare för företag att återanvända data – särskilt för utveckling av AI-modeller. Här är tre nyckelområden:
AI-träning på persondata med “berättigat intresse” I dag krävs oftast samtycke eller annan tungt vägande grund för att få använda en persons data till att träna upp en AI-modell. EU-kommissionen vill nu uttryckligen tillåta att personuppgifter används för AI-träning med stöd av företagets berättigade intresse. Det skulle innebära att aktörer som Google, Meta eller OpenAI kan mata sina AI-system med europeiska användardata utan att först inhämta ett tydligt samtycke från varje individ – något som idag vore juridiskt tveksamt. För företagen vore detta en dröm för att snabbare förbättra sina AI-modeller, men för integriteten kan det innebära att vår data används i sammanhang vi aldrig förutsåg när vi lämnade ifrån oss den.
Lättnader för känsliga personuppgifter GDPR förbjuder som utgångspunkt behandling av känsliga personuppgifter (såsom hälsa, etniskt ursprung, politiska åsikter, med mera) utom i särskilda undantagsfall. I det nya förslaget finns en öppning som skulle undanta AI-utveckling från detta strikta förbud. Företag skulle kunna få analysera vissa känsliga data i syfte att träna eller driva AI, ”för att inte oproportionerligt hindra utvecklingen och driften av AI”, under förutsättning att de har tekniska möjligheter att identifiera och rensa bort känsliga uppgifter. Det kan till exempel handla om att ett system automatiskt filtrerar bort uppenbara hälsodata eller identifierar vilket innehåll som avser särskilda grupper, för att sedan exkludera eller anonymisera det. Kritiker undrar dock om sådana löften verkligen går att lita på i praktiken – och påpekar att syftet med förbudet mot känslig data är att skydda utsatta grupper från diskriminering och intrång.
”Baka in” kaklagen i GDPR
En annan omtalad ändring gäller e‑Privacy-direktivet, ofta kallat kaklagen, som idag är separat från GDPR. Den har gett oss det ständiga flödet av cookie-samtyckesrutor när vi surfar. EU-kommissionen vill nu i princip föra in e‑Privacy-reglerna under GDPR och slopa kravet på uttryckligt samtycke i flera fall. I praktiken kan det betyda att vad som sker på och i din enhet – exempelvis att ett företag läser av identifierare på din telefon eller lagrar data i din webbläsare – skulle kunna tillåtas med hänvisning till berättigat intresse eller breda undantag. Itxaso Dominguez de Olazabal från European Digital Rights (EDRi) beskriver det som att företagen då kan få tillgång till våra enheter utan att fråga först, med generella motiveringar som ”säkerhet”, ”bedrägeribekämpning” eller ”räckviddsmätning” . Färre pop‑up-fönster lär applåderas av användarna – men det innebär också att kontrollen flyttas från individen till företagen och myndigheterna, som själva får avgöra när de anser sig ha legitima skäl att samla in data.
Tunga protester från integritetsrörelsen
De föreslagna ändringarna har tänt alla varningslampor hos Europas integritetsförespråkare. Noyb – den ideella organisation som drivs av den kände integritetsaktivisten Max Schrems – beskriver utkastet i hårda ordalag: förslagen skulle innebära ”en massiv nedgradering av européers privatliv, tio år efter att GDPR antogs”, säger Schrems. Organisationen menar att EU-kommissionen i praktiken försöker göra det som vissa storföretag lobbat för länge: luckra upp principerna i GDPR för att lättare kunna exploatera data i stor skala. Det sker inte genom en total omskrivning av lagen, utan genom en lång rad mindre justeringar: “The draft Digital Omnibus proposes countless changes… in combination this amounts to a death by a thousand cuts,” varnar Noyb. Med andra ord, summan av alla små undantag riskerar bli ett rejält hål i integritetsskyddet.
Även paraplyorganisationen European Digital Rights (EDRi) har slagit larm. De är särskilt kritiska till planen att foga in kaklagen i GDPR. “Dessa förslag skulle ändra hur EU skyddar vad som händer inuti din telefon, dator och dina uppkopplade prylar”, skriver EDRi-rådgivaren Itxaso Dominguez de Olazabal och noterar att tillgång till data på våra enheter plötsligt skulle kunna baseras på företagens egna intressen eller vaga undantag som säkerhet och bedrägeribekämpning. Det skulle innebära en drastisk kursändring från dagens regimen där användarens informerade samtycke är kärnan.
Integritetsorganisationerna hävdar också att kommissionens förslag strider mot etablerad rättspraxis i EU. Mycket av GDPR:s nuvarande styrka vilar på avgöranden i EU-domstolen som betonat individens rättigheter och stränga villkor för undantag. Att då införa nya generella undantag – exempelvis att göra AI-träning till ett berättigat intresse – “skulle köra över EU-domstolens praxis”, menar kritikerna. Max Schrems liknar kommissionens framfart vid en övertänd jakt på att vinna AI-kapplöpningen: man har fått tunnelseende på att underlätta AI-utveckling och glömmer att GDPR skyddar långt mer än bara AI-relaterad data. “Skyddet för hälsodata, minoriteter eller anställda kan ryka på kuppen”, varnar Schrems.
Det råder med andra ord en ovanligt skarp ton mellan integritetsförespråkarna och EU-kommissionen i denna fråga. Noyb kallar det rentav ett försök till smygavreglering – en avveckling av grundläggande dataskydd under förevändning av teknisk uppdatering. Kommissionen å sin sida framhåller att syftet är att förenkla reglerna för alla aktörer, inte minst små och medelstora företag som tyngs av dagens administrativa bördor. Kritikerna köper dock inte det argumentet: de påpekar att de viktigaste ändringarna i Digital Omnibus främst gynnar de allra största tech-bolagen som sysslar med AI-träning på miljardtals datapunkter – företag som Google, Meta, Amazon, Microsoft och OpenAI. Småföretag har sällan den typen av datamängder eller AI-projekt, så för dem skulle effekten vara marginell. “Allt tal om att det här handlar om småföretag är mest rökridå; kärnan i förslaget är en massiv avreglering som gynnar datajättarna”, anser Schrems och varnar för att 40 års principfast europeisk integritetstradition riskerar kastas omkull.
AI Act skärper kraven – öppnar EU nu en bakdörr?
Tidspunkten för EU-kommissionens utspel är minst sagt paradoxal. Med ena handen har EU nyligen klubbat AI-förordningen (AI Act) – en omfattande lagstiftning för att reglera AI-system, särskilt de med hög risk. Där talas det om hårda krav på transparens, riskbedömningar, tillsyn och i vissa fall rena förbud (exempelvis mot AI för social poängsättning som i Kina). “AI skapar många nyttor för samhället men vi måste samtidigt hantera riskerna. Social poängsättning, bedrägerier och desinformation är några exempel på hur AI kan skada samhället”, betonade civilminister Erik Slottner nyligen i samband med den svenska AI-utredningens betänkande. AI-förordningen ska se till att AI-utvecklingen sker på samhällets villkor – att medborgarnas grundläggande rättigheter inte trampas på av algoritmerna.
Med andra handen tycks EU nu vilja lätta på ett av de främsta regelverken som skyddar dessa rättigheter, just för att underlätta för AI. Digital Omnibus-förslaget skulle, om det antas, ge friare tyglar åt samma stora aktörer som AI-lagstiftningen är tänkt att tygla. Det är lätt att se konflikten: Samtidigt som EU skärper kontrollen över hur AI används, öppnar man för att ge aktörerna större frihet vad gäller datat de får använda. Integritet kontra innovation – den eviga balansakten – har hamnat mitt i EU:s lagstiftningsmaskineri.
Förespråkare av de nya ändringarna skulle säga att justeringarna behövs för att europeiska företag inte ska halka efter i AI-utvecklingen. Det talas om att Europa måste kunna “mata” sina AI-modeller med massvis av data för att konkurrera globalt, och att nuvarande GDPR skrämmer bort vissa datadrivna initiativ. Kritiker svarar att innovation inte automatiskt uteblir bara för att man respekterar privatlivet – och att EU snarare borde satsa på privacy-by-design och teknikutveckling som både kan vara kraftfull och hålla sig inom integritetens ramar.
Vad betyder detta för Sverige och offentlig sektor?
Frågan är högaktuell även för Sverige. Vår regering har uttryckt att man vill vara “på tåget” med AI, men utan att ge avkall på grundläggande värden. Den statliga AI-utredningen (SOU 2023:65) föreslår att Post- och telestyrelsen (PTS) blir samordnande tillsynsmyndighet för AI-förordningen i Sverige, med elva andra myndigheter på tåget för att bevaka olika sektorer. Inriktningen i Sverige – liksom i flera nordiska länder – har varit att följa EU:s AI-regler minimalt invasivt: man vill inte lägga på extra svenska krav utöver EU-lagstiftningen, för att inte hämma innovation och konkurrenskraft i onödan. Tech-branschen här hemma drog faktiskt en lättnadens suck när utredningen nyligen föreslog just en ”minimiimplementation” av AI Act. Undvik särsvenska regler, håll nere regelbördan, var budskapet – något regeringen verkar lyssna på.
Men hur rimmar detta med att EU parallellt kan komma att sänka trösklarna för dataanvändning i AI? Om Digital Omnibus blir verklighet kan det påverka även svenska myndigheter och kommuner. Offentlig sektor sitter på enorma mängder data – från patientjournaler och skolfakta till trafikflöden och energiförbrukning. Hittills har GDPR satt tydliga gränser för hur sådana personuppgifter får användas, särskilt om de är känsliga. Det har till exempel ansetts otänkbart att en kommun skulle låta en molntjänst mata sig med invånarnas socialtjänstakter för att träna en AI, eller att ett sjukhus skulle dela patientdata rakt av för att förbättra en diagnos-AI. Man har varit hänvisad till syntetiska data, anonymisering eller individens uttryckliga samtycke i pilotprojekt.
Om nu GDPR ändras så att AI-träning kan motiveras med berättigat intresse och vissa känsliga data får användas under kontroll – ja, då kommer förmodligen också trycket öka på offentliga aktörer att “hänga med”. Tänk dig en leverantör som knackar på hos en kommun och säger: “Nu är det lugnt, lagen har ändrats – vi kan träna vårt AI-system på era medborgardata för att förutsäga vilka barn som riskerar hamna i kriminella gäng, eller för att optimera socialtjänstens insatser. Inga problem med GDPR längre!”. För en pressad kommunchef kan det låta frestande: äntligen få använda all den data man har samlat på sig för något gott syfte, utan att bromsas av jurister. Samma resonemang kan gälla statliga myndigheter – exempelvis Skatteverket eller Försäkringskassan som med AI skulle kunna jaga fusk och felutbetalningar mer effektivt om de fick väva samman register fritt.
Frågan blir då: Ska man bara för att det är lagligt? Sverige har en stark tradition av både öppenhet och integritet. Myndigheters förtroende hos allmänheten är en grundpelare – vi lämnar ifrån oss mycket känslig information till välfärdssystemet just för att vi litar på att den hanteras varsamt. Ett vårdlös övertagande av tech-jättarnas metoder riskerar att skada det förtroendet. Även om lagen skulle tillåta mer generös dataanvändning, kan svenska myndigheter och kommuner självmant välja en striktare linje. Till exempel genom interna etiska riktlinjer, konsekvensbedömningar med integritet i fokus, och dialog med medborgarna om vilken nivå av dataanvändning som är okej. Det skulle kunna bli en ”Nordisk linje” – där vi fortsätter värna hög integritet och transparens, samtidigt som vi utnyttjar AI där det verkligen gör nytta och är proportionerligt. Som alltid med teknik är det inte antingen eller, utan frågan om vilken avvägning vi väljer.
Fortsättning följer – striden om dataskyddet i EU
Digital Omnibus är än så länge ett förslag. Vägen till att det blir giltig lag är lång. EU-parlamentet och medlemsstaternas regeringar i ministerrådet ska säga sitt, och det lär bli hård dragkamp om varje paragraf. Integritetsvännerna hoppas förstås att flera av de mest långtgående ändringarna stoppas eller tämjs – kanske kan länder som Frankrike eller just de nordiska länderna ta strid för att behålla ett starkt dataskydd. Samtidigt finns trycket från andra håll: Tyskland sägs ha lobbat för vissa av dessa ändringar , och många företag – samt säkert även EU-kommissionens egen tillväxtavdelning – vill få igenom förenklingar så snart som möjligt. Vi ska heller inte glömma att EU står inför ett valår 2024, och att en ny EU-kommission tillträder därefter. Det ger ett tajt fönster om man vill baxa igenom kontroversiella förändringar innan den politiska kartan ritas om.
Oavsett utgång blir det här en vattendelare. GDPR har varit ett slags grundlag för datahantering i Europa sedan 2018, något som inspirerat lagstiftning världen över. Om EU nu börjar peta upp undantag i GDPR för AI:ns skull, signalerar det en prioritering: att innovation och konkurrenskraft ges företräde framför integritetsprinciper när de två krockar. Är det rätt väg? Eller riskerar vi undergräva det förtroende som både medborgare och omvärlden haft för “GDPR-Europa”? Som så ofta ligger svaret någonstans mittemellan ytterligheterna. Men en sak är säker: debatten om hur våra data får användas lär bara intensifieras. Våra personuppgifter har blivit en råvara i AI-eran – frågan är vilka spelregler vi ska ha för den handeln, tio år efter att EU lovade oss kontroll över våra egna data.