Den 19 november 2025 presenterade EU-kommissionen ett förslag på omfattande ändringar i dataskyddsförordningen (GDPR), den så kallade digitala omnibus-förordningen. Denna artikel analyserar de föreslagna ändringarna som rör behandling av personuppgifter för utveckling och drift av AI-system.
Berättigat intresse och AI
För det första föreslås en ny bestämmelse i GDPR som förtydligar att behandling av personuppgifter för utveckling och drift av AI-modeller och AI-system kan, under vissa omständigheter, baseras på ett berättigat intresse i enlighet med artikel 6.1 f GDPR. Enligt förslaget ska bestämmelsen ha följande ordalydelse (icke-officiell översättning från engelska):
Om behandlingen av personuppgifter är nödvändig för den personuppgiftsansvariges intressen i samband med utveckling och drift av ett AI-system enligt definitionen i artikel 3.1 i förordning (EU) 2024/1689 eller en AI-modell, får sådan behandling ske för berättigade intressen i den mening som avses i artikel 6.1 f i förordning (EU) 2016/679, där så är lämpligt, utom när andra unionslagar eller nationella lagar uttryckligen kräver samtycke, och när sådana intressen åsidosätts av den registrerades intressen eller grundläggande rättigheter och friheter som kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
All sådan behandling ska omfattas av lämpliga organisatoriska och tekniska åtgärder samt skyddsåtgärder för den registrerades rättigheter och friheter, såsom att säkerställa respekt för dataminimering under fasen för urval av källor och utbildning och testning av ett AI-system eller en AI-modell, att skydda mot icke-offentliggörande av kvarvarande data i AI-systemet eller AI-modellen, att säkerställa ökad transparens för de registrerade samt att ge de registrerade en ovillkorlig rätt att invända mot behandlingen av deras personuppgifter.
Känsliga personuppgifter
Utöver införandet av ovanstående bestämmelse föreslår EU-kommissionen även ett AI-specifikt undantag från förbudet att behandla känsliga personuppgifter i artikel 9 GDPR. Enligt förslaget ska undantaget utformas på följande sätt (icke-officiell översättning från engelska):
Punkt 1 [förbudet mot behandling av känsliga personuppgifter] ska inte tillämpas om något av följande gäller: […] k) behandling i samband med utveckling och drift av ett AI-system enligt definitionen i artikel 3.1 i förordning (EU) 2024/1689 eller en AI-modell, på de villkor som anges i punkt 5.
Undantaget ska kompletteras av en ny punkt i artikel 9 GDPR med följande innebörd (icke-officiell översättning från engelska):
För behandling som avses i punkt 2 k ska lämpliga organisatoriska och tekniska åtgärder vidtas för att undvika insamling och annan behandling av särskilda kategorier av personuppgifter. Om den personuppgiftsansvarige, trots att sådana åtgärder har vidtagits, identifierar särskilda kategorier av personuppgifter i de datamängder som används för träning, testning eller validering eller i AI-systemet eller AI-modellen, ska den personuppgiftsansvarige radera sådana uppgifter. Om borttagandet av dessa uppgifter kräver oproportionerliga ansträngningar ska den personuppgiftsansvarige under alla omständigheter utan onödigt dröjsmål effektivt skydda sådana uppgifter från att användas för att producera resultat, från att lämnas ut eller på annat sätt göras tillgängliga för tredje part.
Förhållandet till teknikneutralitet
De föreslagna ändringarna innebär ett avsteg från den princip om teknikneutralitet som genomsyrar GDPR. Teknikneutralitet syftar bland annat till att säkerställa att lagstiftning inte gynnar vissa tekniker på bekostnad av andra. Principen fungerar även som ett skydd mot att regelverk över tid blir föråldrade och därigenom hämmar innovation.
Mot denna bakgrund är det särskilt problematiskt att bestämmelserna knyts till AI-förordningens definition av begreppet AI-system, vilken exkluderar vissa typer av AI-system, samtidigt som begreppet AI-modell inte ges någon formell definition. Regleringens tillämpningsområde blir därmed beroende av teknikklassificering snarare än av behandlingens karaktär.
Rättsliga och praktiska implikationer
Förslaget kan leda till paradoxala tillämpningsscenarier. Exempelvis kan behandling av känsliga personuppgifter vara tillåten inom ramen för ett AI-system, medan motsvarande behandling i ett annat IT-system, såsom ett kalkylprogram, eller i manuell form inte är tillåten.
Enligt EU-kommissionen är syftet med ändringarna att bidra till ökad AI-innovation inom EU. För de AI-system och AI-modeller som omfattas av bestämmelserna kan ändringarna bidra till att uppnå detta mål. Samtidigt innebär förslaget ett nytt lager av komplexitet i lagstiftningen, vilket riskerar att leda till ökad rättslig osäkerhet. Organisationer som behandlar personuppgifter i samband med utveckling eller drift av AI-system kan därför behöva avsätta betydande resurser för rättslig analys, riskbedömning och intern styrning.
De föreslagna ändringarna skapar således nya möjligheter för AI-utveckling, men också nya rättsliga bedömningar och risker. Organisationer som utvecklar eller använder AI-system behöver analysera laglig grund, hantering av känsliga personuppgifter, dataminimering och tekniska skyddsåtgärder i ljuset av både GDPR och AI-förordningen.
Hos Techlaw kombinerar vi spetskompetens inom dataskydd och artificiell intelligens. Vi bistår med rättsliga analyser, konsekvensbedömningar och utformning av styrningsstrukturer som möjliggör innovation med bibehållen regelefterlevnad. För ytterligare information om hur förslaget kan påverka er verksamhet är ni välkomna att kontakta oss.