EU-kommissionen har föreslagit omfattande ändringar i dataskyddsförordningen (GDPR) som ska implementeras inom ramen för ett bredare paket av lagändringar på det digitala området, den så kallade digitala omnibussen. De föreslagna ändringarna motiveras utifrån ett behov av att förtydliga reglernas innebörd på vissa områden.
De föreslagna ändringarna avser ett flertal bestämmelser i GDPR, bland annat definitioner av nyckelbegrepp, registrerades rättigheter, personuppgiftsincidenter och konsekvensbedömningar avseende dataskydd. Vidare introduceras undantag som i vissa specifika situationer utvidgar möjligheterna att använda personuppgifter för att utveckla och tillhandahålla AI-modeller och AI-system. Därutöver ska det införas nya bestämmelser avseende cookies och liknande teknologier.
En av ändringarna som förväntas leda till långtgående konsekvenser om den blir verklighet avser definitionen av begreppet personuppgift. Enligt förslaget ska definitionen utvidgas med ett tillägg enligt vilket information som rör en fysisk person inte nödvändigtvis är personuppgifter ”för alla andra personer eller enheter, bara för att en annan enhet kan identifiera den fysiska personen”. Enligt tillägget ska information inte utgöra en personuppgift för en viss enhet ”om den enheten inte kan identifiera den fysiska person som informationen rör, med beaktande av de medel som rimligen kan antas användas av den enheten”. Sådan information ska enligt tillägget inte anses utgöra personuppgifter ”för den enheten bara för att en potentiell efterföljande mottagare har medel som rimligen kan antas användas för att identifiera den fysiska person som informationen rör.”
Den ändrade definitionen av begreppet personuppgift kompletteras av en annan ändring som ger EU-kommissionen befogenhet att i vissa fall bestämma när pseudonymiserade personuppgifter ska anses utgöra personuppgifter i GDPR:s mening. Detta ska ske genom att ge EU-kommissionen möjlighet att anta genomförandeakter, en särskild typ av lagstiftning, som bestämmer medlen och kriterierna för när pseudonymiserade personuppgifter ska anses vara personuppgifter.
Enligt Sebastian Berg, jurist och dataskyddsexpert på TechLaw, kan ändringarna leda till långtgående och oförutsebara konsekvenser för företag, myndigheter och andra organisationer som omfattas av GDPR. ”Även om syftet med ändringarna ska vara att förtydliga och förenkla reglerna, kan ogenomtänkta ändringar leda till en motsatt effekt och öka osäkerheten för verksamheter,” säger Sebastian Berg. ”Om de föreslagna ändringarna blir verklighet behöver organisationer som omfattas av GDPR se över hela sitt dataskyddsarbete, från sina register över behandlingar och konsekvensbedömningar till personuppgiftsbiträdesavtal och tredjelandsöverföringar.”
Enligt Sebastian Berg är ändringarna avseende begreppet personuppgift inte de enda som förväntas leda till långtgående och oförutsebara konsekvenser om de skulle bli verklighet. Även ändringarna på andra områden, som exempelvis den nya regleringen av cookies och liknande teknologier, kommer att ha en betydande påverkan på organisationers befintliga dataskyddsarbete och kommer med störst sannolikhet kräva breda insatser.