15 januari 2026 trädde Sveriges nya cybersäkerhetslag i kraft, som en implementering av EU:s NIS2-direktiv – ett ramverk för att höja cybersäkerheten i hela EU. Detta innebär betydande förändringar för både offentliga aktörer och privata organisationer inom många sektorer.
Syftet med den nya lagen är att skapa ett enhetligt och högt skydd för nätverks- och informationssystem, genom tydliga krav på riskhantering, säkerhetsåtgärder och rapportering av incidenter. Lagen ersätter den tidigare NIS-lagstiftningen och kommer att omfatta ett betydligt större antal verksamheter.
Vem kommer omfattas av cybersäkerhetslagen?
Cybersäkerhetslagen kommer att gälla för verksamheter inom 18 sektorer som anses samhällsviktiga – t.ex. energi, transport, finans, digital infrastruktur, hälso- och sjukvård samt offentlig förvaltning. Organisationer som levererar viktiga IKT-tjänster, molntjänster, domännamnsregistrering och andra kritiska funktioner kan också omfattas.
Det exakta tillämpningsområdet och vilka verksamheter som ska anmäla sig till MSB kommer att preciseras i föreskrifter och särskilda kriterier som myndigheterna snart fastställer.
De viktigaste kraven
Även om detaljerna i lagtexten och föreskrifterna fortfarande färdigställs, står flera centrala krav tydliga:
- Riskbaserat cybersäkerhetsarbete
Organisationer måste etablera ett systematiskt, riskbaserat arbetssätt för att skydda sina nätverks- och informationssystem. Det innebär att identifiera, bedöma och hantera cybersäkerhetsrisker på ett kontinuerligt sätt.
- Säkerhetsåtgärder och styrning
Det blir krav på lämpliga tekniska och organisatoriska åtgärder, såsom säkerhetskontroller, uppdateringsrutiner och logghantering. Säkerhetsarbetet måste också förankras i ledningen.
- Incidentrapportering
Betydande incidenter ska rapporteras inom 24 timmar till MSB eller relevant tillsynsmyndighet. Uppföljningsinformation kan krävas senare. Se mer i artikel om den nya cyberhetslagen.
- Leverantörskedjor och tredjepartsrisker
Organisationer behöver ha koll på säkerheten i sina leverantörs- och partnerskedjor. Detta kan innebära krav på att leverantörer uppfyller vissa säkerhetskrav.
- Tillsyn och sanktioner
Myndigheter får utökade möjligheter till tillsyn. On compliance-brister kan leda till sanktioner, i vissa fall betydande böter.
Hur bör organisationer förbereda sig?
Cybersäkerhetslagen bygger på ett riskbaserat och verksamhetsanpassat angreppssätt. Det innebär att lagstiftaren i stor utsträckning avstår från detaljerade krav på hur säkerhetsarbetet ska bedrivas, och i stället fokuserar på vilka förmågor och strukturer som ska finnas på plats. Förberedelsearbetet behöver därför utgå från den egna organisationens verksamhet, riskbild och tekniska miljö.
En första central fråga för många organisationer är tillämpningsområdet. Redan nu finns skäl att analysera om verksamheten sannolikt kommer att omfattas av lagen, antingen som direkt reglerad aktör eller genom sin roll i en leverantörskedja. Denna bedömning får betydelse för både ambitionsnivå och prioriteringar i det fortsatta arbetet.
Vidare ställer lagen krav på ett systematiskt och dokumenterat riskhanteringsarbete. I praktiken innebär detta att organisationer behöver ha en strukturerad förståelse för vilka nätverks- och informationssystem som är kritiska för verksamheten, vilka hot dessa är exponerade för och vilka konsekvenser en incident skulle kunna få. För många innebär detta snarare en vidareutveckling av befintliga risk- och säkerhetsprocesser än ett helt nytt arbete.
Ett återkommande tema i både lagstiftning och MSB:s vägledning är styrning och ansvar. Cybersäkerhet ska inte betraktas som en isolerat IT-fråga, utan som en del av organisationens övergripande lednings- och kontrollstruktur. Det förutsätter tydliga ansvarsförhållanden, ledningens involvering och en koppling mellan säkerhetsarbetet och verksamhetens strategiska mål.
Cybersäkerhetslagen innebär också ökade krav på incidenthantering och rapportering. Organisationer behöver därför reflektera över sin förmåga att upptäcka, bedöma och hantera incidenter inom de tidsramar som lagen anger. Detta omfattar såväl tekniska lösningar som organisatoriska processer och intern kommunikation.
Slutligen aktualiserar lagen frågor om leverantörs- och tredjepartsrisker. Många verksamheter är beroende av externa IT-tjänster, molnlösningar och driftleverantörer. Förberedelsearbetet bör därför även innefatta en översyn av hur cybersäkerhetsrisker hanteras i avtalsrelationer och samarbeten.
Sammantaget talar mycket för att organisationer som påbörjar ett strukturerat analys- och förberedelsearbete i god tid står bättre rustade när lagen träder i kraft – inte minst när tillsynsmyndigheternas föreskrifter och praxis successivt klarnas.
Avslutningsvis
Den nya cybersäkerhetslagen innebär ett stort skifte för svenska organisationer. Det handlar om mer än tekniska skydd – det är ett lednings- och styrningsarbete där riskhantering, snabb incidentrapportering och en kultur av cybersäkerhet blir avgörande. Att förbereda sig nu ger organisationer bättre förutsättningar att möta kraven när lagen träder i kraft.
Den nya cybersäkerhetslagen (2025:1506) trädde i kraft den 15 januari 2026 och utgör Sveriges genomförande av EU:s NIS2-direktiv. Lagen syftar till att stärka skyddet för samhällsviktiga och digitala verksamheter mot cyberangrepp, mot bakgrund av den ökade sårbarhet som följer av de utmaningar digitaliseringen medför.
Artikeln redogör för lagens syfte och tillämpningsområde, de centrala krav som ställs på verksamhetsutövare samt de praktiska och rättsliga utmaningar som regleringen kan medföra.
Syftet med den nya cybersäkerhetslagen är att uppnå en högre nivå av cybersäkerhet som en åtgärd mot det ökade cyberhotet mot samhällsviktig verksamhet samt den sårbarhet som följer av digitaliseringen. Mot denna bakgrund syftar cybersäkerhetslagen till att åtgärda brister i det tidigare regelverket och att åstadkomma en gemensam nivå av cybersäkerhet inom EU.
Lagens tillämpningsområde omfattar betydligt fler sektorer än tidigare och innefattar såväl offentliga som privata aktörer samt vissa digitala tjänster. Detta motiveras av dessas systemiska betydelse och de allvarliga samhällskonsekvenser som kan uppstå vid cyberincidenter. I stället för att föreskriva ett generellt tekniskt regelverk bygger regleringen på ett riskbaserat synsätt. Detta innebär att säkerhetsåtgärderna ska stå i proportion till verksamhetens riskprofil.
En av de centrala delarna i lagens system är incidentrapportering, vilken kännetecknas av korta tidsfrister. Syftet är att möjliggöra tidiga åtgärder och effektiv skadebegränsning vid cyberhot. Tillsyns- och sanktionssystemet enligt lagen syftar till att säkerställa efterlevnad av regleringen. Detta sker genom nationella tillsynsmyndigheter, möjligheter till ingripanden, sanktioner vid bristande efterlevnad samt samordning mellan myndigheter, där CSIRT fungerar som nationell kontaktpunkt.
Lagstiftaren markerar att cybersäkerhet inte enbart är en IT-fråga och att ansvaret inte kan delegeras bort. Ledningen tilldelas en central roll genom att godkänna säkerhetsåtgärder, övervaka genomförandet och genomgå relevant utbildning. Genom att tydliggöra ledningsansvaret främjas ett mer strategiskt synsätt på cybersäkerhet.
Rättssäkerhetsutmaningar kan emellertid uppstå till följd av lagens breda tillämpningsområde och relativt öppna formuleringar. Detta kan vara särskilt problematiskt för mindre verksamhetsutövare med begränsade resurser.
Avslutningsvis innebär den nya cybersäkerhetslagen ett betydande steg mot ett mer säkert och hållbart digitalt samhälle. Lagens effektivitet är dock i hög grad beroende av hur den tillämpas i praktiken.
Personuppgiftsbegreppet ses över – vad Digital Omnibus innebär för GDPR, AI-förordningen och övriga regelverk.
Den 19 november 2025 presenterade Europeiska kommissionen sitt förslag Digital Omnibus, ett samlat initiativ för att modernisera och effektivisera EU:s digitala regelverk. Förslaget innebär justeringar av flera centrala rättsakter, däribland GDPR, AI-förordningen och Data Act, samt åtgärder för att förenkla reglerna om datadelning och incidentrapportering. Nedan följer en kort sammanfattning av de viktigaste punkterna i förslaget.
Föreslagna ändringar i den allmänna dataskyddsförordning (GDPR)[1]
- Vad som utgör personuppgifter begränsas:[2] Enligt den nuvarande definitionen räcker det att uppgifter ”direkt eller indirekt” kan identifiera en individ för att de ska utgöra personuppgifter.[3] Förslaget ändrar definitionen av personuppgifter så att den endast omfattar uppgifter som möjliggör identifiering av en individ med hjälp av medel som ”rimligen sannolikt kommer att användas”. Förekomsten av medel som ”rimligen kan förväntas användas” för att fastställa vem uppgifterna avser innebär dock inte i sig att informationen ska betraktas som personuppgifter. Målet är att förenkla efterlevnaden och tydliggöra begreppet. Som en följd av förslaget kan mindre företag och sammanslutningar med låg personuppgiftsbehandling i vissa fall falla utanför GDPR.
Vidare införs vägledande bedömningsgrunder för att avgöra huruvida pseudonymiserade uppgifter utgör personuppgifter enligt GDPR.
- Förenklade krav vid anmälan av personuppgiftsincidenter:[4] Tidsfristen för anmälan föreslås förlängas från 72 till 96 timmar från det att den personuppgiftsansvarige fått kännedom om händelsen.[5] Enligt nuvarande reglering är aktörer skyldiga att rapportera till tillsynsmyndigheten (IMY) om det inte är ”osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter”.[6] Förslaget begränsar denna skyldighet till fall där händelsen ”sannolikt kommer att leda till en hög risk”. Europeiska dataskyddsstyrelsen (EDPB) ska vidare utarbeta en gemensam mall för anmälan av personuppgiftsincidenter. Sammantaget bedöms ändringarna leda till att företag i högre grad rapporterar incidenter och att tolkningssvårigheterna minskar.
- Minskad omfattning av samtyckeskrav för cookies:[7] Idag krävs samtycke för användningen av s.k. cookies om den inte är strikt nödvändig för teknisk lagring, kommunikationsöverföring eller för att tillhandahålla en tjänst som användare uttryckligen har begärt.[8] Samtycke inhämtas vanligtvis via popup-meddelanden på webbplatser eller appar. För att minska omfattande samtyckeskrav som medför betydande kostnader för leverantörer av onlinetjänster föreslås undantag från samtyckeskraven vid användning av cookies. Undantag gäller när användningen innebär låg risk för den registrerades rättigheter och friheter eller är nödvändig för att tillhandahålla en begärd tjänst.
Den föreslagna ändringen innebär även en omstrukturering av det rättsliga ramverket för cookies och jämförbar teknik. Användningen av cookies har hittills reglerats genom ett samspel mellan direktivet om integritet och elektronisk kommunikation (ePrivacy)[9] och GDPR. ePrivacy har ställt krav på samtycke för åtkomst till användarens terminalutrustning, medan GDPR har reglerat den efterföljande behandlingen av personuppgifter. I syfte att förenkla regelverket föreslås att regleringen av s.k. cookies och jämförbar teknik i stället ska hanteras inom ramen för GDPR.
- Klarare ramar för användning av personuppgifter vid AI-träning:[10] Förslaget innebär att träning av AI-modeller och AI-system som i utvecklings- och driftsfasen innehåller kvarvarande personuppgifter i vissa fall kan undantas från definitionen av personuppgifter. Detta förutsätter dock att lämpliga tekniska och organisatoriska åtgärder vidtas, bland annat för att säkerställa att särskilda kategorier av personuppgifter inte samlas in och att sådana uppgifter avlägsnas.
Föreslagna ändringar i förordningen för artificiell intelligens (AI-förordningen)[11]
- Uppskjuten tillämpning av krav för högrisk AI-system:[12] En ny och mer flexibel modell för när kraven på AI-system med hög risk ska börja gälla har föreslagits. I stället för att dessa krav ska börja tillämpas den 2 augusti 2026[13] kopplas ikraftträdandet till om det faktiskt finns tillräckligt stöd för efterlevnad, såsom harmoniserade standarder, gemensamma tekniska specifikationer och vägledning från EU-kommissionen. När kommissionen genom ett formellt beslut konstaterar att detta stöd finns på plats inleds en övergångsperiod innan reglerna börjar tillämpas, vilket kan innebära en förskjutning på upp till omkring 16 månader.
- Förlängd övergångsperiod för generativ AI:[14] Förslaget innebär att redan marknadsintroducerade AI-system som genererar artificiellt ljud, bild, video eller text ges ytterligare tid att anpassa sig till de nya märkningskraven för AI-genererat innehåll. För att undvika att införandet av reglerna leder till hastiga förändringar som kan påverka marknaden negativt införs en särskild övergångsperiod. Leverantörer som har tillhandahållit sina system före den 2 augusti 2026 ska därför få sex månader på sig att justera sina rutiner och tekniska lösningar innan märkningskraven blir fullt tillämpliga.
- Ansvar för AI-kunnighet flyttas till offentlig nivå: [15] Ansvaret för att stärka AI-kunnighet flyttas från enskilda leverantörer och användare av AI-system till EU-kommissionen och medlemsstaterna. I stället för att generella och svårtolkade utbildningskrav på alla aktörer ska offentliga insatser främja kunskap och förståelse för AI på ett mer samordnat och sektorsanpassat sätt. Samtidigt kvarstår särskilda utbildningsskyldigheter för aktörer som tillhandahåller AI-system med hög risk.
- Förenklade regler även för små midcapföretag:[16] Lättnader i AI-förordningen för små och medelstora företag (SME-bolag) har utvidgats till att även omfatta små midcapföretag (SME-bolag). Förslaget innebär bland annat förenklade krav på teknisk dokumentation och anpassade sanktionsregler.
Övriga ändringar i dataregelverk[17]
- Dataförordningen (Data Act)[18]: Förordningen om det fria flödet av uppgifter[19], dataförvaltningsakten[20] och direktivet om öppna data[21] samlas i Data Act. Därutöver ges uppgiftsinnehavare möjlighet att vägra utlämnande av information när det finns en hög risk för obehörig åtkomst eller spridning av företagshemligheter. Samtidigt föreslås en mer restriktiv ram för offentliga aktörers rätt att kräva tillgång till data.
- Rapportering av cybersäkerhetsincidenter[22]: I förslaget introduceras en samordnad rapporteringslösning för cybersäkerhetsincidenter som gör det möjligt för organisationer att uppfylla sina rapporteringsskyldigheter enligt flera regelverk via en gemensam kontaktpunkt. Lösningen omfattar bland annat incidentrapportering enligt NIS2[23], GDPR, DORA[24], eIDAS[25] och CER[26] och syftar till att effektivisera efterlevnaden utan att ändra de underliggande säkerhetskraven.
[1] Förordning (EU) 2016/679.
[2] Hämtad från dokument 52025PC0837 i EUR-lex.
[3] Artikel 4.1.
[4] Hämtad från dokument 52025PC0837 i EUR-lex.
[5] Artikel 33.1.
[6] Artikel 33.1.
[7] Hämtad från dokument 52025PC0837 i EUR-lex.
[8] Artikel 5.3 i direktiv (EU) 2002/58/EG.
[9] Direktiv (EU) 2002/58/EG.
[10] Hämtad från dokument 52025PC0837 i EUR-lex.
[11] Förordning (EU) 2024/1689.
[12] Hämtad från dokument 52025PC0836 i EUR-lex.
[13] Artikel 113 i förordning (EU) 2024/1689.
[14] Hämtad från dokument 52025PC0836 i EUR-lex.
[15] Hämtad från dokument 52025PC0836 i EUR-lex.
[16] Hämtad från dokument 52025PC0836 i EUR-lex.
[17] Hämtad från dokument 52025PC0837 i EUR-lex.
[18] Förordning (EU) 2023/2854.
[19] Förordning (EU) 2018/1807.
[20] Förordning (EU) 2022/868.
[21] Förordning (EU) 2019/1024.
[22] Förordning (EU) 2023/2854.
[23] Direktiv (EU) 2022/2555.
[24] Förordning (EU) 2022/2554.
[25] Förordning (EU) 910/2014.
[26] Direktiv (EU) 2022/2557.
Dom från tribunalen i mål T-553/23 | Latombe mot kommissionen
Tribunalen har nyligen prövat ett mål där den franske medborgaren Philippe Latombe försökte få ogiltigförklarat EU-kommissionens beslut från juli 2023 om ett nytt ramverk för överföring av personuppgifter mellan EU och USA. Han hävdade bland annat att den amerikanska instansen Data Protection Review Court (DPRC) inte är oberoende samt att amerikanska underrättelsetjänsters omfattande insamling av persondata strider mot EU-rätten. Bakgrunden är att EU tidigare underkänt två liknande avtal (Schrems I och II), men efter att USA infört nya regler om integritetsskydd och tillsyn, bland annat genom en särskild granskningsdomstol (DPRC), antog kommissionen sommaren 2023 ett nytt adekvansbeslut.
Domstolen avvisade emellertid Latombes talan i sin helhet. Den framhöll att DPRC:s domare omfattas av flera garantier för oberoende, däribland särskilda regler för utnämning och avsked, samt att varken justitieministern eller underrättelseorganen får påverka deras arbete. Dessutom konstaterades att kommissionen är skyldig att fortlöpande följa hur det amerikanska systemet fungerar och har möjlighet att ändra eller upphäva sitt beslut om förutsättningarna förändras.
När det gäller underrättelsetjänsternas datainsamling menade domstolen att Schrems II-domen inte kräver förhandsprövning av en oberoende myndighet, utan att det räcker med en efterhandskontroll. En sådan kontroll finns enligt amerikansk lag genom DPRC:s tillsyn. Därmed ansåg domstolen att det amerikanska systemet uppfyller EU-rättens krav på en i huvudsak likvärdig skyddsnivå.
Slutsatsen blev därför att EU:s nya dataskyddsramverk med USA är giltigt och att Latombes invändningar saknar grund.
Latombe-domen fastslår att adekvansbeslutet mot USA står fast!
Vad innebär detta beslut för organisationer som företag och myndigheter?
Beslutet innebär att ramverket, EU–US Data Privacy Framework, står fast. Organisationer i EU kan därför fortsätta att överföra personuppgifter till USA utan att behöva använda extra skyddsåtgärder (som standardavtalsklausuler eller bindande företagsbestämmelser), så länge mottagaren i USA är ansluten till ramverket. Efter Schrems I och II var det osäkert och riskfyllt att överföra data till USA, eftersom de tidigare ramverken (Safe Harbour och Privacy Shield) ogiltigförklarades. Sedan juli 2023 har vi haft ett adekvansbeslut mellan USA och EU och det står alltså nu fast tills vidare. Detta beslut ger således mer stabilitet för organisationer.
Kommissionen måste löpande övervaka att USA upprätthåller det utlovade skyddet. Om skyddsnivån försämras kan kommissionen ändra eller upphäva beslutet, vilket innebär att organisationer behöver hålla sig uppdaterade. Även om tribunalen avvisade LaTombes talan, finns risken att frågan tas upp i EU-domstolen (överklagande pågår eller kan komma). Organisationer bör därför vara medvetna om att rättsläget kan ändras igen, som det gjorde efter Schrems I och II.
Sammanfattningsvis innebär beslutet att det för närvarande är lagligt för organisationer inom EU att överföra personuppgifter till USA under det nya ramverket, så länge de mottagande aktörerna är anslutna till ramverket. Samtidigt bör man följa utvecklingen noga eftersom framtida rättsprocesser kan förändra läget.
OBS! Notera att alla organisationer emellertid behöver göra sin egen riskbedömning i varje enskilt fall.
Dom från tribunalen i mål T-553/23 | Latombe mot kommissionen
Tribunalen har nyligen prövat ett mål där den franske medborgaren Philippe Latombe försökte få ogiltigförklarat EU-kommissionens beslut från juli 2023 om ett nytt ramverk för överföring av personuppgifter mellan EU och USA. Han hävdade bland annat att den amerikanska instansen Data Protection Review Court (DPRC) inte är oberoende samt att amerikanska underrättelsetjänsters omfattande insamling av persondata strider mot EU-rätten. Bakgrunden är att EU tidigare underkänt två liknande avtal (Schrems I och II), men efter att USA infört nya regler om integritetsskydd och tillsyn, bland annat genom en särskild granskningsdomstol (DPRC), antog kommissionen sommaren 2023 ett nytt adekvansbeslut.
Domstolen avvisade emellertid Latombes talan i sin helhet. Den framhöll att DPRC:s domare omfattas av flera garantier för oberoende, däribland särskilda regler för utnämning och avsked, samt att varken justitieministern eller underrättelseorganen får påverka deras arbete. Dessutom konstaterades att kommissionen är skyldig att fortlöpande följa hur det amerikanska systemet fungerar och har möjlighet att ändra eller upphäva sitt beslut om förutsättningarna förändras.
När det gäller underrättelsetjänsternas datainsamling menade domstolen att Schrems II-domen inte kräver förhandsprövning av en oberoende myndighet, utan att det räcker med en efterhandskontroll. En sådan kontroll finns enligt amerikansk lag genom DPRC:s tillsyn. Därmed ansåg domstolen att det amerikanska systemet uppfyller EU-rättens krav på en i huvudsak likvärdig skyddsnivå.
Slutsatsen blev därför att EU:s nya dataskyddsramverk med USA är giltigt och att Latombes invändningar saknar grund.
Latombe-domen fastslår att adekvansbeslutet mot USA står fast!
Vad innebär detta beslut för organisationer som företag och myndigheter?
Beslutet innebär att ramverket, EU–US Data Privacy Framework, står fast. Organisationer i EU kan därför fortsätta att överföra personuppgifter till USA utan att behöva använda extra skyddsåtgärder (som standardavtalsklausuler eller bindande företagsbestämmelser), så länge mottagaren i USA är ansluten till ramverket. Efter Schrems I och II var det osäkert och riskfyllt att överföra data till USA, eftersom de tidigare ramverken (Safe Harbour och Privacy Shield) ogiltigförklarades. Sedan juli 2023 har vi haft ett adekvansbeslut mellan USA och EU och det står alltså nu fast tills vidare. Detta beslut ger således mer stabilitet för organisationer.
Kommissionen måste löpande övervaka att USA upprätthåller det utlovade skyddet. Om skyddsnivån försämras kan kommissionen ändra eller upphäva beslutet, vilket innebär att organisationer behöver hålla sig uppdaterade. Även om tribunalen avvisade LaTombes talan, finns risken att frågan tas upp i EU-domstolen (överklagande pågår eller kan komma). Organisationer bör därför vara medvetna om att rättsläget kan ändras igen, som det gjorde efter Schrems I och II.
Sammanfattningsvis innebär beslutet att det för närvarande är lagligt för organisationer inom EU att överföra personuppgifter till USA under det nya ramverket, så länge de mottagande aktörerna är anslutna till ramverket. Samtidigt bör man följa utvecklingen noga eftersom framtida rättsprocesser kan förändra läget.
OBS! Notera att alla organisationer emellertid behöver göra sin egen riskbedömning i varje enskilt fall.
Dom från tribunalen i mål T-553/23 | Latombe mot kommissionen
Tribunalen har nyligen prövat ett mål där den franske medborgaren Philippe Latombe försökte få ogiltigförklarat EU-kommissionens beslut från juli 2023 om ett nytt ramverk för överföring av personuppgifter mellan EU och USA. Han hävdade bland annat att den amerikanska instansen Data Protection Review Court (DPRC) inte är oberoende samt att amerikanska underrättelsetjänsters omfattande insamling av persondata strider mot EU-rätten. Bakgrunden är att EU tidigare underkänt två liknande avtal (Schrems I och II), men efter att USA infört nya regler om integritetsskydd och tillsyn, bland annat genom en särskild granskningsdomstol (DPRC), antog kommissionen sommaren 2023 ett nytt adekvansbeslut.
Domstolen avvisade emellertid Latombes talan i sin helhet. Den framhöll att DPRC:s domare omfattas av flera garantier för oberoende, däribland särskilda regler för utnämning och avsked, samt att varken justitieministern eller underrättelseorganen får påverka deras arbete. Dessutom konstaterades att kommissionen är skyldig att fortlöpande följa hur det amerikanska systemet fungerar och har möjlighet att ändra eller upphäva sitt beslut om förutsättningarna förändras.
När det gäller underrättelsetjänsternas datainsamling menade domstolen att Schrems II-domen inte kräver förhandsprövning av en oberoende myndighet, utan att det räcker med en efterhandskontroll. En sådan kontroll finns enligt amerikansk lag genom DPRC:s tillsyn. Därmed ansåg domstolen att det amerikanska systemet uppfyller EU-rättens krav på en i huvudsak likvärdig skyddsnivå.
Slutsatsen blev därför att EU:s nya dataskyddsramverk med USA är giltigt och att Latombes invändningar saknar grund.
Latombe-domen fastslår att adekvansbeslutet mot USA står fast!
Vad innebär detta beslut för organisationer som företag och myndigheter?
Beslutet innebär att ramverket, EU–US Data Privacy Framework, står fast. Organisationer i EU kan därför fortsätta att överföra personuppgifter till USA utan att behöva använda extra skyddsåtgärder (som standardavtalsklausuler eller bindande företagsbestämmelser), så länge mottagaren i USA är ansluten till ramverket. Efter Schrems I och II var det osäkert och riskfyllt att överföra data till USA, eftersom de tidigare ramverken (Safe Harbour och Privacy Shield) ogiltigförklarades. Sedan juli 2023 har vi haft ett adekvansbeslut mellan USA och EU och det står alltså nu fast tills vidare. Detta beslut ger således mer stabilitet för organisationer.
Kommissionen måste löpande övervaka att USA upprätthåller det utlovade skyddet. Om skyddsnivån försämras kan kommissionen ändra eller upphäva beslutet, vilket innebär att organisationer behöver hålla sig uppdaterade. Även om tribunalen avvisade LaTombes talan, finns risken att frågan tas upp i EU-domstolen (överklagande pågår eller kan komma). Organisationer bör därför vara medvetna om att rättsläget kan ändras igen, som det gjorde efter Schrems I och II.
Sammanfattningsvis innebär beslutet att det för närvarande är lagligt för organisationer inom EU att överföra personuppgifter till USA under det nya ramverket, så länge de mottagande aktörerna är anslutna till ramverket. Samtidigt bör man följa utvecklingen noga eftersom framtida rättsprocesser kan förändra läget.
OBS! Notera att alla organisationer emellertid behöver göra sin egen riskbedömning i varje enskilt fall.
Den nya cybersäkerhetslagen (2025:1506) trädde i kraft den 15 januari 2026 och utgör Sveriges genomförande av EU:s NIS2-direktiv. Lagen syftar till att stärka skyddet för samhällsviktiga och digitala verksamheter mot cyberangrepp, mot bakgrund av den ökade sårbarhet som följer av de utmaningar digitaliseringen medför.
Artikeln redogör för lagens syfte och tillämpningsområde, de centrala krav som ställs på verksamhetsutövare samt de praktiska och rättsliga utmaningar som regleringen kan medföra.
Syftet med den nya cybersäkerhetslagen är att uppnå en högre nivå av cybersäkerhet som en åtgärd mot det ökade cyberhotet mot samhällsviktig verksamhet samt den sårbarhet som följer av digitaliseringen. Mot denna bakgrund syftar cybersäkerhetslagen till att åtgärda brister i det tidigare regelverket och att åstadkomma en gemensam nivå av cybersäkerhet inom EU.
Lagens tillämpningsområde omfattar betydligt fler sektorer än tidigare och innefattar såväl offentliga som privata aktörer samt vissa digitala tjänster. Detta motiveras av dessas systemiska betydelse och de allvarliga samhällskonsekvenser som kan uppstå vid cyberincidenter. I stället för att föreskriva ett generellt tekniskt regelverk bygger regleringen på ett riskbaserat synsätt. Detta innebär att säkerhetsåtgärderna ska stå i proportion till verksamhetens riskprofil.
En av de centrala delarna i lagens system är incidentrapportering, vilken kännetecknas av korta tidsfrister. Syftet är att möjliggöra tidiga åtgärder och effektiv skadebegränsning vid cyberhot. Tillsyns- och sanktionssystemet enligt lagen syftar till att säkerställa efterlevnad av regleringen. Detta sker genom nationella tillsynsmyndigheter, möjligheter till ingripanden, sanktioner vid bristande efterlevnad samt samordning mellan myndigheter, där CSIRT fungerar som nationell kontaktpunkt.
Lagstiftaren markerar att cybersäkerhet inte enbart är en IT-fråga och att ansvaret inte kan delegeras bort. Ledningen tilldelas en central roll genom att godkänna säkerhetsåtgärder, övervaka genomförandet och genomgå relevant utbildning. Genom att tydliggöra ledningsansvaret främjas ett mer strategiskt synsätt på cybersäkerhet.
Rättssäkerhetsutmaningar kan emellertid uppstå till följd av lagens breda tillämpningsområde och relativt öppna formuleringar. Detta kan vara särskilt problematiskt för mindre verksamhetsutövare med begränsade resurser.
Avslutningsvis innebär den nya cybersäkerhetslagen ett betydande steg mot ett mer säkert och hållbart digitalt samhälle. Lagens effektivitet är dock i hög grad beroende av hur den tillämpas i praktiken.
Personuppgiftsbegreppet ses över – vad Digital Omnibus innebär för GDPR, AI-förordningen och övriga regelverk.
Den 19 november 2025 presenterade Europeiska kommissionen sitt förslag Digital Omnibus, ett samlat initiativ för att modernisera och effektivisera EU:s digitala regelverk. Förslaget innebär justeringar av flera centrala rättsakter, däribland GDPR, AI-förordningen och Data Act, samt åtgärder för att förenkla reglerna om datadelning och incidentrapportering. Nedan följer en kort sammanfattning av de viktigaste punkterna i förslaget.
Föreslagna ändringar i den allmänna dataskyddsförordning (GDPR)[1]
- Vad som utgör personuppgifter begränsas:[2] Enligt den nuvarande definitionen räcker det att uppgifter ”direkt eller indirekt” kan identifiera en individ för att de ska utgöra personuppgifter.[3] Förslaget ändrar definitionen av personuppgifter så att den endast omfattar uppgifter som möjliggör identifiering av en individ med hjälp av medel som ”rimligen sannolikt kommer att användas”. Förekomsten av medel som ”rimligen kan förväntas användas” för att fastställa vem uppgifterna avser innebär dock inte i sig att informationen ska betraktas som personuppgifter. Målet är att förenkla efterlevnaden och tydliggöra begreppet. Som en följd av förslaget kan mindre företag och sammanslutningar med låg personuppgiftsbehandling i vissa fall falla utanför GDPR.
Vidare införs vägledande bedömningsgrunder för att avgöra huruvida pseudonymiserade uppgifter utgör personuppgifter enligt GDPR.
- Förenklade krav vid anmälan av personuppgiftsincidenter:[4] Tidsfristen för anmälan föreslås förlängas från 72 till 96 timmar från det att den personuppgiftsansvarige fått kännedom om händelsen.[5] Enligt nuvarande reglering är aktörer skyldiga att rapportera till tillsynsmyndigheten (IMY) om det inte är ”osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter”.[6] Förslaget begränsar denna skyldighet till fall där händelsen ”sannolikt kommer att leda till en hög risk”. Europeiska dataskyddsstyrelsen (EDPB) ska vidare utarbeta en gemensam mall för anmälan av personuppgiftsincidenter. Sammantaget bedöms ändringarna leda till att företag i högre grad rapporterar incidenter och att tolkningssvårigheterna minskar.
- Minskad omfattning av samtyckeskrav för cookies:[7] Idag krävs samtycke för användningen av s.k. cookies om den inte är strikt nödvändig för teknisk lagring, kommunikationsöverföring eller för att tillhandahålla en tjänst som användare uttryckligen har begärt.[8] Samtycke inhämtas vanligtvis via popup-meddelanden på webbplatser eller appar. För att minska omfattande samtyckeskrav som medför betydande kostnader för leverantörer av onlinetjänster föreslås undantag från samtyckeskraven vid användning av cookies. Undantag gäller när användningen innebär låg risk för den registrerades rättigheter och friheter eller är nödvändig för att tillhandahålla en begärd tjänst.
Den föreslagna ändringen innebär även en omstrukturering av det rättsliga ramverket för cookies och jämförbar teknik. Användningen av cookies har hittills reglerats genom ett samspel mellan direktivet om integritet och elektronisk kommunikation (ePrivacy)[9] och GDPR. ePrivacy har ställt krav på samtycke för åtkomst till användarens terminalutrustning, medan GDPR har reglerat den efterföljande behandlingen av personuppgifter. I syfte att förenkla regelverket föreslås att regleringen av s.k. cookies och jämförbar teknik i stället ska hanteras inom ramen för GDPR.
- Klarare ramar för användning av personuppgifter vid AI-träning:[10] Förslaget innebär att träning av AI-modeller och AI-system som i utvecklings- och driftsfasen innehåller kvarvarande personuppgifter i vissa fall kan undantas från definitionen av personuppgifter. Detta förutsätter dock att lämpliga tekniska och organisatoriska åtgärder vidtas, bland annat för att säkerställa att särskilda kategorier av personuppgifter inte samlas in och att sådana uppgifter avlägsnas.
Föreslagna ändringar i förordningen för artificiell intelligens (AI-förordningen)[11]
- Uppskjuten tillämpning av krav för högrisk AI-system:[12] En ny och mer flexibel modell för när kraven på AI-system med hög risk ska börja gälla har föreslagits. I stället för att dessa krav ska börja tillämpas den 2 augusti 2026[13] kopplas ikraftträdandet till om det faktiskt finns tillräckligt stöd för efterlevnad, såsom harmoniserade standarder, gemensamma tekniska specifikationer och vägledning från EU-kommissionen. När kommissionen genom ett formellt beslut konstaterar att detta stöd finns på plats inleds en övergångsperiod innan reglerna börjar tillämpas, vilket kan innebära en förskjutning på upp till omkring 16 månader.
- Förlängd övergångsperiod för generativ AI:[14] Förslaget innebär att redan marknadsintroducerade AI-system som genererar artificiellt ljud, bild, video eller text ges ytterligare tid att anpassa sig till de nya märkningskraven för AI-genererat innehåll. För att undvika att införandet av reglerna leder till hastiga förändringar som kan påverka marknaden negativt införs en särskild övergångsperiod. Leverantörer som har tillhandahållit sina system före den 2 augusti 2026 ska därför få sex månader på sig att justera sina rutiner och tekniska lösningar innan märkningskraven blir fullt tillämpliga.
- Ansvar för AI-kunnighet flyttas till offentlig nivå: [15] Ansvaret för att stärka AI-kunnighet flyttas från enskilda leverantörer och användare av AI-system till EU-kommissionen och medlemsstaterna. I stället för att generella och svårtolkade utbildningskrav på alla aktörer ska offentliga insatser främja kunskap och förståelse för AI på ett mer samordnat och sektorsanpassat sätt. Samtidigt kvarstår särskilda utbildningsskyldigheter för aktörer som tillhandahåller AI-system med hög risk.
- Förenklade regler även för små midcapföretag:[16] Lättnader i AI-förordningen för små och medelstora företag (SME-bolag) har utvidgats till att även omfatta små midcapföretag (SME-bolag). Förslaget innebär bland annat förenklade krav på teknisk dokumentation och anpassade sanktionsregler.
Övriga ändringar i dataregelverk[17]
- Dataförordningen (Data Act)[18]: Förordningen om det fria flödet av uppgifter[19], dataförvaltningsakten[20] och direktivet om öppna data[21] samlas i Data Act. Därutöver ges uppgiftsinnehavare möjlighet att vägra utlämnande av information när det finns en hög risk för obehörig åtkomst eller spridning av företagshemligheter. Samtidigt föreslås en mer restriktiv ram för offentliga aktörers rätt att kräva tillgång till data.
- Rapportering av cybersäkerhetsincidenter[22]: I förslaget introduceras en samordnad rapporteringslösning för cybersäkerhetsincidenter som gör det möjligt för organisationer att uppfylla sina rapporteringsskyldigheter enligt flera regelverk via en gemensam kontaktpunkt. Lösningen omfattar bland annat incidentrapportering enligt NIS2[23], GDPR, DORA[24], eIDAS[25] och CER[26] och syftar till att effektivisera efterlevnaden utan att ändra de underliggande säkerhetskraven.
[1] Förordning (EU) 2016/679.
[2] Hämtad från dokument 52025PC0837 i EUR-lex.
[3] Artikel 4.1.
[4] Hämtad från dokument 52025PC0837 i EUR-lex.
[5] Artikel 33.1.
[6] Artikel 33.1.
[7] Hämtad från dokument 52025PC0837 i EUR-lex.
[8] Artikel 5.3 i direktiv (EU) 2002/58/EG.
[9] Direktiv (EU) 2002/58/EG.
[10] Hämtad från dokument 52025PC0837 i EUR-lex.
[11] Förordning (EU) 2024/1689.
[12] Hämtad från dokument 52025PC0836 i EUR-lex.
[13] Artikel 113 i förordning (EU) 2024/1689.
[14] Hämtad från dokument 52025PC0836 i EUR-lex.
[15] Hämtad från dokument 52025PC0836 i EUR-lex.
[16] Hämtad från dokument 52025PC0836 i EUR-lex.
[17] Hämtad från dokument 52025PC0837 i EUR-lex.
[18] Förordning (EU) 2023/2854.
[19] Förordning (EU) 2018/1807.
[20] Förordning (EU) 2022/868.
[21] Förordning (EU) 2019/1024.
[22] Förordning (EU) 2023/2854.
[23] Direktiv (EU) 2022/2555.
[24] Förordning (EU) 2022/2554.
[25] Förordning (EU) 910/2014.
[26] Direktiv (EU) 2022/2557.
Dom från tribunalen i mål T-553/23 | Latombe mot kommissionen
Tribunalen har nyligen prövat ett mål där den franske medborgaren Philippe Latombe försökte få ogiltigförklarat EU-kommissionens beslut från juli 2023 om ett nytt ramverk för överföring av personuppgifter mellan EU och USA. Han hävdade bland annat att den amerikanska instansen Data Protection Review Court (DPRC) inte är oberoende samt att amerikanska underrättelsetjänsters omfattande insamling av persondata strider mot EU-rätten. Bakgrunden är att EU tidigare underkänt två liknande avtal (Schrems I och II), men efter att USA infört nya regler om integritetsskydd och tillsyn, bland annat genom en särskild granskningsdomstol (DPRC), antog kommissionen sommaren 2023 ett nytt adekvansbeslut.
Domstolen avvisade emellertid Latombes talan i sin helhet. Den framhöll att DPRC:s domare omfattas av flera garantier för oberoende, däribland särskilda regler för utnämning och avsked, samt att varken justitieministern eller underrättelseorganen får påverka deras arbete. Dessutom konstaterades att kommissionen är skyldig att fortlöpande följa hur det amerikanska systemet fungerar och har möjlighet att ändra eller upphäva sitt beslut om förutsättningarna förändras.
När det gäller underrättelsetjänsternas datainsamling menade domstolen att Schrems II-domen inte kräver förhandsprövning av en oberoende myndighet, utan att det räcker med en efterhandskontroll. En sådan kontroll finns enligt amerikansk lag genom DPRC:s tillsyn. Därmed ansåg domstolen att det amerikanska systemet uppfyller EU-rättens krav på en i huvudsak likvärdig skyddsnivå.
Slutsatsen blev därför att EU:s nya dataskyddsramverk med USA är giltigt och att Latombes invändningar saknar grund.
Latombe-domen fastslår att adekvansbeslutet mot USA står fast!
Vad innebär detta beslut för organisationer som företag och myndigheter?
Beslutet innebär att ramverket, EU–US Data Privacy Framework, står fast. Organisationer i EU kan därför fortsätta att överföra personuppgifter till USA utan att behöva använda extra skyddsåtgärder (som standardavtalsklausuler eller bindande företagsbestämmelser), så länge mottagaren i USA är ansluten till ramverket. Efter Schrems I och II var det osäkert och riskfyllt att överföra data till USA, eftersom de tidigare ramverken (Safe Harbour och Privacy Shield) ogiltigförklarades. Sedan juli 2023 har vi haft ett adekvansbeslut mellan USA och EU och det står alltså nu fast tills vidare. Detta beslut ger således mer stabilitet för organisationer.
Kommissionen måste löpande övervaka att USA upprätthåller det utlovade skyddet. Om skyddsnivån försämras kan kommissionen ändra eller upphäva beslutet, vilket innebär att organisationer behöver hålla sig uppdaterade. Även om tribunalen avvisade LaTombes talan, finns risken att frågan tas upp i EU-domstolen (överklagande pågår eller kan komma). Organisationer bör därför vara medvetna om att rättsläget kan ändras igen, som det gjorde efter Schrems I och II.
Sammanfattningsvis innebär beslutet att det för närvarande är lagligt för organisationer inom EU att överföra personuppgifter till USA under det nya ramverket, så länge de mottagande aktörerna är anslutna till ramverket. Samtidigt bör man följa utvecklingen noga eftersom framtida rättsprocesser kan förändra läget.
OBS! Notera att alla organisationer emellertid behöver göra sin egen riskbedömning i varje enskilt fall.
Dom från tribunalen i mål T-553/23 | Latombe mot kommissionen
Tribunalen har nyligen prövat ett mål där den franske medborgaren Philippe Latombe försökte få ogiltigförklarat EU-kommissionens beslut från juli 2023 om ett nytt ramverk för överföring av personuppgifter mellan EU och USA. Han hävdade bland annat att den amerikanska instansen Data Protection Review Court (DPRC) inte är oberoende samt att amerikanska underrättelsetjänsters omfattande insamling av persondata strider mot EU-rätten. Bakgrunden är att EU tidigare underkänt två liknande avtal (Schrems I och II), men efter att USA infört nya regler om integritetsskydd och tillsyn, bland annat genom en särskild granskningsdomstol (DPRC), antog kommissionen sommaren 2023 ett nytt adekvansbeslut.
Domstolen avvisade emellertid Latombes talan i sin helhet. Den framhöll att DPRC:s domare omfattas av flera garantier för oberoende, däribland särskilda regler för utnämning och avsked, samt att varken justitieministern eller underrättelseorganen får påverka deras arbete. Dessutom konstaterades att kommissionen är skyldig att fortlöpande följa hur det amerikanska systemet fungerar och har möjlighet att ändra eller upphäva sitt beslut om förutsättningarna förändras.
När det gäller underrättelsetjänsternas datainsamling menade domstolen att Schrems II-domen inte kräver förhandsprövning av en oberoende myndighet, utan att det räcker med en efterhandskontroll. En sådan kontroll finns enligt amerikansk lag genom DPRC:s tillsyn. Därmed ansåg domstolen att det amerikanska systemet uppfyller EU-rättens krav på en i huvudsak likvärdig skyddsnivå.
Slutsatsen blev därför att EU:s nya dataskyddsramverk med USA är giltigt och att Latombes invändningar saknar grund.
Latombe-domen fastslår att adekvansbeslutet mot USA står fast!
Vad innebär detta beslut för organisationer som företag och myndigheter?
Beslutet innebär att ramverket, EU–US Data Privacy Framework, står fast. Organisationer i EU kan därför fortsätta att överföra personuppgifter till USA utan att behöva använda extra skyddsåtgärder (som standardavtalsklausuler eller bindande företagsbestämmelser), så länge mottagaren i USA är ansluten till ramverket. Efter Schrems I och II var det osäkert och riskfyllt att överföra data till USA, eftersom de tidigare ramverken (Safe Harbour och Privacy Shield) ogiltigförklarades. Sedan juli 2023 har vi haft ett adekvansbeslut mellan USA och EU och det står alltså nu fast tills vidare. Detta beslut ger således mer stabilitet för organisationer.
Kommissionen måste löpande övervaka att USA upprätthåller det utlovade skyddet. Om skyddsnivån försämras kan kommissionen ändra eller upphäva beslutet, vilket innebär att organisationer behöver hålla sig uppdaterade. Även om tribunalen avvisade LaTombes talan, finns risken att frågan tas upp i EU-domstolen (överklagande pågår eller kan komma). Organisationer bör därför vara medvetna om att rättsläget kan ändras igen, som det gjorde efter Schrems I och II.
Sammanfattningsvis innebär beslutet att det för närvarande är lagligt för organisationer inom EU att överföra personuppgifter till USA under det nya ramverket, så länge de mottagande aktörerna är anslutna till ramverket. Samtidigt bör man följa utvecklingen noga eftersom framtida rättsprocesser kan förändra läget.
OBS! Notera att alla organisationer emellertid behöver göra sin egen riskbedömning i varje enskilt fall.
Dom från tribunalen i mål T-553/23 | Latombe mot kommissionen
Tribunalen har nyligen prövat ett mål där den franske medborgaren Philippe Latombe försökte få ogiltigförklarat EU-kommissionens beslut från juli 2023 om ett nytt ramverk för överföring av personuppgifter mellan EU och USA. Han hävdade bland annat att den amerikanska instansen Data Protection Review Court (DPRC) inte är oberoende samt att amerikanska underrättelsetjänsters omfattande insamling av persondata strider mot EU-rätten. Bakgrunden är att EU tidigare underkänt två liknande avtal (Schrems I och II), men efter att USA infört nya regler om integritetsskydd och tillsyn, bland annat genom en särskild granskningsdomstol (DPRC), antog kommissionen sommaren 2023 ett nytt adekvansbeslut.
Domstolen avvisade emellertid Latombes talan i sin helhet. Den framhöll att DPRC:s domare omfattas av flera garantier för oberoende, däribland särskilda regler för utnämning och avsked, samt att varken justitieministern eller underrättelseorganen får påverka deras arbete. Dessutom konstaterades att kommissionen är skyldig att fortlöpande följa hur det amerikanska systemet fungerar och har möjlighet att ändra eller upphäva sitt beslut om förutsättningarna förändras.
När det gäller underrättelsetjänsternas datainsamling menade domstolen att Schrems II-domen inte kräver förhandsprövning av en oberoende myndighet, utan att det räcker med en efterhandskontroll. En sådan kontroll finns enligt amerikansk lag genom DPRC:s tillsyn. Därmed ansåg domstolen att det amerikanska systemet uppfyller EU-rättens krav på en i huvudsak likvärdig skyddsnivå.
Slutsatsen blev därför att EU:s nya dataskyddsramverk med USA är giltigt och att Latombes invändningar saknar grund.
Latombe-domen fastslår att adekvansbeslutet mot USA står fast!
Vad innebär detta beslut för organisationer som företag och myndigheter?
Beslutet innebär att ramverket, EU–US Data Privacy Framework, står fast. Organisationer i EU kan därför fortsätta att överföra personuppgifter till USA utan att behöva använda extra skyddsåtgärder (som standardavtalsklausuler eller bindande företagsbestämmelser), så länge mottagaren i USA är ansluten till ramverket. Efter Schrems I och II var det osäkert och riskfyllt att överföra data till USA, eftersom de tidigare ramverken (Safe Harbour och Privacy Shield) ogiltigförklarades. Sedan juli 2023 har vi haft ett adekvansbeslut mellan USA och EU och det står alltså nu fast tills vidare. Detta beslut ger således mer stabilitet för organisationer.
Kommissionen måste löpande övervaka att USA upprätthåller det utlovade skyddet. Om skyddsnivån försämras kan kommissionen ändra eller upphäva beslutet, vilket innebär att organisationer behöver hålla sig uppdaterade. Även om tribunalen avvisade LaTombes talan, finns risken att frågan tas upp i EU-domstolen (överklagande pågår eller kan komma). Organisationer bör därför vara medvetna om att rättsläget kan ändras igen, som det gjorde efter Schrems I och II.
Sammanfattningsvis innebär beslutet att det för närvarande är lagligt för organisationer inom EU att överföra personuppgifter till USA under det nya ramverket, så länge de mottagande aktörerna är anslutna till ramverket. Samtidigt bör man följa utvecklingen noga eftersom framtida rättsprocesser kan förändra läget.
OBS! Notera att alla organisationer emellertid behöver göra sin egen riskbedömning i varje enskilt fall.
Den 19 november 2025 presenterade Europeiska kommissionen sitt förslag Digital Omnibus, ett samlat initiativ för att modernisera och effektivisera EU:s digitala regelverk. Förslaget innebär justeringar av flera centrala rättsakter, däribland GDPR, AI-förordningen och Data Act, samt åtgärder för att förenkla reglerna om datadelning och incidentrapportering. Nedan följer en kort sammanfattning av de viktigaste punkterna i förslaget.
Föreslagna ändringar i den allmänna dataskyddsförordning (GDPR)[1]
- Vad som utgör personuppgifter begränsas:[2] Enligt den nuvarande definitionen räcker det att uppgifter ”direkt eller indirekt” kan identifiera en individ för att de ska utgöra personuppgifter.[3] Förslaget ändrar definitionen av personuppgifter så att den endast omfattar uppgifter som möjliggör identifiering av en individ med hjälp av medel som ”rimligen sannolikt kommer att användas”. Förekomsten av medel som ”rimligen kan förväntas användas” för att fastställa vem uppgifterna avser innebär dock inte i sig att informationen ska betraktas som personuppgifter. Målet är att förenkla efterlevnaden och tydliggöra begreppet. Som en följd av förslaget kan mindre företag och sammanslutningar med låg personuppgiftsbehandling i vissa fall falla utanför GDPR.
Vidare införs vägledande bedömningsgrunder för att avgöra huruvida pseudonymiserade uppgifter utgör personuppgifter enligt GDPR.
- Förenklade krav vid anmälan av personuppgiftsincidenter:[4] Tidsfristen för anmälan föreslås förlängas från 72 till 96 timmar från det att den personuppgiftsansvarige fått kännedom om händelsen.[5] Enligt nuvarande reglering är aktörer skyldiga att rapportera till tillsynsmyndigheten (IMY) om det inte är ”osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter”.[6] Förslaget begränsar denna skyldighet till fall där händelsen ”sannolikt kommer att leda till en hög risk”. Europeiska dataskyddsstyrelsen (EDPB) ska vidare utarbeta en gemensam mall för anmälan av personuppgiftsincidenter. Sammantaget bedöms ändringarna leda till att företag i högre grad rapporterar incidenter och att tolkningssvårigheterna minskar.
- Minskad omfattning av samtyckeskrav för cookies:[7] Idag krävs samtycke för användningen av s.k. cookies om den inte är strikt nödvändig för teknisk lagring, kommunikationsöverföring eller för att tillhandahålla en tjänst som användare uttryckligen har begärt.[8] Samtycke inhämtas vanligtvis via popup-meddelanden på webbplatser eller appar. För att minska omfattande samtyckeskrav som medför betydande kostnader för leverantörer av onlinetjänster föreslås undantag från samtyckeskraven vid användning av cookies. Undantag gäller när användningen innebär låg risk för den registrerades rättigheter och friheter eller är nödvändig för att tillhandahålla en begärd tjänst.
Den föreslagna ändringen innebär även en omstrukturering av det rättsliga ramverket för cookies och jämförbar teknik. Användningen av cookies har hittills reglerats genom ett samspel mellan direktivet om integritet och elektronisk kommunikation (ePrivacy)[9] och GDPR. ePrivacy har ställt krav på samtycke för åtkomst till användarens terminalutrustning, medan GDPR har reglerat den efterföljande behandlingen av personuppgifter. I syfte att förenkla regelverket föreslås att regleringen av s.k. cookies och jämförbar teknik i stället ska hanteras inom ramen för GDPR.
- Klarare ramar för användning av personuppgifter vid AI-träning:[10] Förslaget innebär att träning av AI-modeller och AI-system som i utvecklings- och driftsfasen innehåller kvarvarande personuppgifter i vissa fall kan undantas från definitionen av personuppgifter. Detta förutsätter dock att lämpliga tekniska och organisatoriska åtgärder vidtas, bland annat för att säkerställa att särskilda kategorier av personuppgifter inte samlas in och att sådana uppgifter avlägsnas.
Föreslagna ändringar i förordningen för artificiell intelligens (AI-förordningen)[11]
- Uppskjuten tillämpning av krav för högrisk AI-system:[12] En ny och mer flexibel modell för när kraven på AI-system med hög risk ska börja gälla har föreslagits. I stället för att dessa krav ska börja tillämpas den 2 augusti 2026[13] kopplas ikraftträdandet till om det faktiskt finns tillräckligt stöd för efterlevnad, såsom harmoniserade standarder, gemensamma tekniska specifikationer och vägledning från EU-kommissionen. När kommissionen genom ett formellt beslut konstaterar att detta stöd finns på plats inleds en övergångsperiod innan reglerna börjar tillämpas, vilket kan innebära en förskjutning på upp till omkring 16 månader.
- Förlängd övergångsperiod för generativ AI:[14] Förslaget innebär att redan marknadsintroducerade AI-system som genererar artificiellt ljud, bild, video eller text ges ytterligare tid att anpassa sig till de nya märkningskraven för AI-genererat innehåll. För att undvika att införandet av reglerna leder till hastiga förändringar som kan påverka marknaden negativt införs en särskild övergångsperiod. Leverantörer som har tillhandahållit sina system före den 2 augusti 2026 ska därför få sex månader på sig att justera sina rutiner och tekniska lösningar innan märkningskraven blir fullt tillämpliga.
- Ansvar för AI-kunnighet flyttas till offentlig nivå: [15] Ansvaret för att stärka AI-kunnighet flyttas från enskilda leverantörer och användare av AI-system till EU-kommissionen och medlemsstaterna. I stället för att generella och svårtolkade utbildningskrav på alla aktörer ska offentliga insatser främja kunskap och förståelse för AI på ett mer samordnat och sektorsanpassat sätt. Samtidigt kvarstår särskilda utbildningsskyldigheter för aktörer som tillhandahåller AI-system med hög risk.
- Förenklade regler även för små midcapföretag:[16] Lättnader i AI-förordningen för små och medelstora företag (SME-bolag) har utvidgats till att även omfatta små midcapföretag (SME-bolag). Förslaget innebär bland annat förenklade krav på teknisk dokumentation och anpassade sanktionsregler.
Övriga ändringar i dataregelverk[17]
- Dataförordningen (Data Act)[18]: Förordningen om det fria flödet av uppgifter[19], dataförvaltningsakten[20] och direktivet om öppna data[21] samlas i Data Act. Därutöver ges uppgiftsinnehavare möjlighet att vägra utlämnande av information när det finns en hög risk för obehörig åtkomst eller spridning av företagshemligheter. Samtidigt föreslås en mer restriktiv ram för offentliga aktörers rätt att kräva tillgång till data.
- Rapportering av cybersäkerhetsincidenter[22]: I förslaget introduceras en samordnad rapporteringslösning för cybersäkerhetsincidenter som gör det möjligt för organisationer att uppfylla sina rapporteringsskyldigheter enligt flera regelverk via en gemensam kontaktpunkt. Lösningen omfattar bland annat incidentrapportering enligt NIS2[23], GDPR, DORA[24], eIDAS[25] och CER[26] och syftar till att effektivisera efterlevnaden utan att ändra de underliggande säkerhetskraven.
[1] Förordning (EU) 2016/679.
[2] Hämtad från dokument 52025PC0837 i EUR-lex.
[3] Artikel 4.1.
[4] Hämtad från dokument 52025PC0837 i EUR-lex.
[5] Artikel 33.1.
[6] Artikel 33.1.
[7] Hämtad från dokument 52025PC0837 i EUR-lex.
[8] Artikel 5.3 i direktiv (EU) 2002/58/EG.
[9] Direktiv (EU) 2002/58/EG.
[10] Hämtad från dokument 52025PC0837 i EUR-lex.
[11] Förordning (EU) 2024/1689.
[12] Hämtad från dokument 52025PC0836 i EUR-lex.
[13] Artikel 113 i förordning (EU) 2024/1689.
[14] Hämtad från dokument 52025PC0836 i EUR-lex.
[15] Hämtad från dokument 52025PC0836 i EUR-lex.
[16] Hämtad från dokument 52025PC0836 i EUR-lex.
[17] Hämtad från dokument 52025PC0837 i EUR-lex.
[18] Förordning (EU) 2023/2854.
[19] Förordning (EU) 2018/1807.
[20] Förordning (EU) 2022/868.
[21] Förordning (EU) 2019/1024.
[22] Förordning (EU) 2023/2854.
[23] Direktiv (EU) 2022/2555.
[24] Förordning (EU) 2022/2554.
[25] Förordning (EU) 910/2014.
[26] Direktiv (EU) 2022/2557.
Dom från tribunalen i mål T-553/23 | Latombe mot kommissionen
Tribunalen har nyligen prövat ett mål där den franske medborgaren Philippe Latombe försökte få ogiltigförklarat EU-kommissionens beslut från juli 2023 om ett nytt ramverk för överföring av personuppgifter mellan EU och USA. Han hävdade bland annat att den amerikanska instansen Data Protection Review Court (DPRC) inte är oberoende samt att amerikanska underrättelsetjänsters omfattande insamling av persondata strider mot EU-rätten. Bakgrunden är att EU tidigare underkänt två liknande avtal (Schrems I och II), men efter att USA infört nya regler om integritetsskydd och tillsyn, bland annat genom en särskild granskningsdomstol (DPRC), antog kommissionen sommaren 2023 ett nytt adekvansbeslut.
Domstolen avvisade emellertid Latombes talan i sin helhet. Den framhöll att DPRC:s domare omfattas av flera garantier för oberoende, däribland särskilda regler för utnämning och avsked, samt att varken justitieministern eller underrättelseorganen får påverka deras arbete. Dessutom konstaterades att kommissionen är skyldig att fortlöpande följa hur det amerikanska systemet fungerar och har möjlighet att ändra eller upphäva sitt beslut om förutsättningarna förändras.
När det gäller underrättelsetjänsternas datainsamling menade domstolen att Schrems II-domen inte kräver förhandsprövning av en oberoende myndighet, utan att det räcker med en efterhandskontroll. En sådan kontroll finns enligt amerikansk lag genom DPRC:s tillsyn. Därmed ansåg domstolen att det amerikanska systemet uppfyller EU-rättens krav på en i huvudsak likvärdig skyddsnivå.
Slutsatsen blev därför att EU:s nya dataskyddsramverk med USA är giltigt och att Latombes invändningar saknar grund.
Latombe-domen fastslår att adekvansbeslutet mot USA står fast!
Vad innebär detta beslut för organisationer som företag och myndigheter?
Beslutet innebär att ramverket, EU–US Data Privacy Framework, står fast. Organisationer i EU kan därför fortsätta att överföra personuppgifter till USA utan att behöva använda extra skyddsåtgärder (som standardavtalsklausuler eller bindande företagsbestämmelser), så länge mottagaren i USA är ansluten till ramverket. Efter Schrems I och II var det osäkert och riskfyllt att överföra data till USA, eftersom de tidigare ramverken (Safe Harbour och Privacy Shield) ogiltigförklarades. Sedan juli 2023 har vi haft ett adekvansbeslut mellan USA och EU och det står alltså nu fast tills vidare. Detta beslut ger således mer stabilitet för organisationer.
Kommissionen måste löpande övervaka att USA upprätthåller det utlovade skyddet. Om skyddsnivån försämras kan kommissionen ändra eller upphäva beslutet, vilket innebär att organisationer behöver hålla sig uppdaterade. Även om tribunalen avvisade LaTombes talan, finns risken att frågan tas upp i EU-domstolen (överklagande pågår eller kan komma). Organisationer bör därför vara medvetna om att rättsläget kan ändras igen, som det gjorde efter Schrems I och II.
Sammanfattningsvis innebär beslutet att det för närvarande är lagligt för organisationer inom EU att överföra personuppgifter till USA under det nya ramverket, så länge de mottagande aktörerna är anslutna till ramverket. Samtidigt bör man följa utvecklingen noga eftersom framtida rättsprocesser kan förändra läget.
OBS! Notera att alla organisationer emellertid behöver göra sin egen riskbedömning i varje enskilt fall.
Dom från tribunalen i mål T-553/23 | Latombe mot kommissionen
Tribunalen har nyligen prövat ett mål där den franske medborgaren Philippe Latombe försökte få ogiltigförklarat EU-kommissionens beslut från juli 2023 om ett nytt ramverk för överföring av personuppgifter mellan EU och USA. Han hävdade bland annat att den amerikanska instansen Data Protection Review Court (DPRC) inte är oberoende samt att amerikanska underrättelsetjänsters omfattande insamling av persondata strider mot EU-rätten. Bakgrunden är att EU tidigare underkänt två liknande avtal (Schrems I och II), men efter att USA infört nya regler om integritetsskydd och tillsyn, bland annat genom en särskild granskningsdomstol (DPRC), antog kommissionen sommaren 2023 ett nytt adekvansbeslut.
Domstolen avvisade emellertid Latombes talan i sin helhet. Den framhöll att DPRC:s domare omfattas av flera garantier för oberoende, däribland särskilda regler för utnämning och avsked, samt att varken justitieministern eller underrättelseorganen får påverka deras arbete. Dessutom konstaterades att kommissionen är skyldig att fortlöpande följa hur det amerikanska systemet fungerar och har möjlighet att ändra eller upphäva sitt beslut om förutsättningarna förändras.
När det gäller underrättelsetjänsternas datainsamling menade domstolen att Schrems II-domen inte kräver förhandsprövning av en oberoende myndighet, utan att det räcker med en efterhandskontroll. En sådan kontroll finns enligt amerikansk lag genom DPRC:s tillsyn. Därmed ansåg domstolen att det amerikanska systemet uppfyller EU-rättens krav på en i huvudsak likvärdig skyddsnivå.
Slutsatsen blev därför att EU:s nya dataskyddsramverk med USA är giltigt och att Latombes invändningar saknar grund.
Latombe-domen fastslår att adekvansbeslutet mot USA står fast!
Vad innebär detta beslut för organisationer som företag och myndigheter?
Beslutet innebär att ramverket, EU–US Data Privacy Framework, står fast. Organisationer i EU kan därför fortsätta att överföra personuppgifter till USA utan att behöva använda extra skyddsåtgärder (som standardavtalsklausuler eller bindande företagsbestämmelser), så länge mottagaren i USA är ansluten till ramverket. Efter Schrems I och II var det osäkert och riskfyllt att överföra data till USA, eftersom de tidigare ramverken (Safe Harbour och Privacy Shield) ogiltigförklarades. Sedan juli 2023 har vi haft ett adekvansbeslut mellan USA och EU och det står alltså nu fast tills vidare. Detta beslut ger således mer stabilitet för organisationer.
Kommissionen måste löpande övervaka att USA upprätthåller det utlovade skyddet. Om skyddsnivån försämras kan kommissionen ändra eller upphäva beslutet, vilket innebär att organisationer behöver hålla sig uppdaterade. Även om tribunalen avvisade LaTombes talan, finns risken att frågan tas upp i EU-domstolen (överklagande pågår eller kan komma). Organisationer bör därför vara medvetna om att rättsläget kan ändras igen, som det gjorde efter Schrems I och II.
Sammanfattningsvis innebär beslutet att det för närvarande är lagligt för organisationer inom EU att överföra personuppgifter till USA under det nya ramverket, så länge de mottagande aktörerna är anslutna till ramverket. Samtidigt bör man följa utvecklingen noga eftersom framtida rättsprocesser kan förändra läget.
OBS! Notera att alla organisationer emellertid behöver göra sin egen riskbedömning i varje enskilt fall.
Dom från tribunalen i mål T-553/23 | Latombe mot kommissionen
Tribunalen har nyligen prövat ett mål där den franske medborgaren Philippe Latombe försökte få ogiltigförklarat EU-kommissionens beslut från juli 2023 om ett nytt ramverk för överföring av personuppgifter mellan EU och USA. Han hävdade bland annat att den amerikanska instansen Data Protection Review Court (DPRC) inte är oberoende samt att amerikanska underrättelsetjänsters omfattande insamling av persondata strider mot EU-rätten. Bakgrunden är att EU tidigare underkänt två liknande avtal (Schrems I och II), men efter att USA infört nya regler om integritetsskydd och tillsyn, bland annat genom en särskild granskningsdomstol (DPRC), antog kommissionen sommaren 2023 ett nytt adekvansbeslut.
Domstolen avvisade emellertid Latombes talan i sin helhet. Den framhöll att DPRC:s domare omfattas av flera garantier för oberoende, däribland särskilda regler för utnämning och avsked, samt att varken justitieministern eller underrättelseorganen får påverka deras arbete. Dessutom konstaterades att kommissionen är skyldig att fortlöpande följa hur det amerikanska systemet fungerar och har möjlighet att ändra eller upphäva sitt beslut om förutsättningarna förändras.
När det gäller underrättelsetjänsternas datainsamling menade domstolen att Schrems II-domen inte kräver förhandsprövning av en oberoende myndighet, utan att det räcker med en efterhandskontroll. En sådan kontroll finns enligt amerikansk lag genom DPRC:s tillsyn. Därmed ansåg domstolen att det amerikanska systemet uppfyller EU-rättens krav på en i huvudsak likvärdig skyddsnivå.
Slutsatsen blev därför att EU:s nya dataskyddsramverk med USA är giltigt och att Latombes invändningar saknar grund.
Latombe-domen fastslår att adekvansbeslutet mot USA står fast!
Vad innebär detta beslut för organisationer som företag och myndigheter?
Beslutet innebär att ramverket, EU–US Data Privacy Framework, står fast. Organisationer i EU kan därför fortsätta att överföra personuppgifter till USA utan att behöva använda extra skyddsåtgärder (som standardavtalsklausuler eller bindande företagsbestämmelser), så länge mottagaren i USA är ansluten till ramverket. Efter Schrems I och II var det osäkert och riskfyllt att överföra data till USA, eftersom de tidigare ramverken (Safe Harbour och Privacy Shield) ogiltigförklarades. Sedan juli 2023 har vi haft ett adekvansbeslut mellan USA och EU och det står alltså nu fast tills vidare. Detta beslut ger således mer stabilitet för organisationer.
Kommissionen måste löpande övervaka att USA upprätthåller det utlovade skyddet. Om skyddsnivån försämras kan kommissionen ändra eller upphäva beslutet, vilket innebär att organisationer behöver hålla sig uppdaterade. Även om tribunalen avvisade LaTombes talan, finns risken att frågan tas upp i EU-domstolen (överklagande pågår eller kan komma). Organisationer bör därför vara medvetna om att rättsläget kan ändras igen, som det gjorde efter Schrems I och II.
Sammanfattningsvis innebär beslutet att det för närvarande är lagligt för organisationer inom EU att överföra personuppgifter till USA under det nya ramverket, så länge de mottagande aktörerna är anslutna till ramverket. Samtidigt bör man följa utvecklingen noga eftersom framtida rättsprocesser kan förändra läget.
OBS! Notera att alla organisationer emellertid behöver göra sin egen riskbedömning i varje enskilt fall.
Dom från tribunalen i mål T-553/23 | Latombe mot kommissionen
Tribunalen har nyligen prövat ett mål där den franske medborgaren Philippe Latombe försökte få ogiltigförklarat EU-kommissionens beslut från juli 2023 om ett nytt ramverk för överföring av personuppgifter mellan EU och USA. Han hävdade bland annat att den amerikanska instansen Data Protection Review Court (DPRC) inte är oberoende samt att amerikanska underrättelsetjänsters omfattande insamling av persondata strider mot EU-rätten. Bakgrunden är att EU tidigare underkänt två liknande avtal (Schrems I och II), men efter att USA infört nya regler om integritetsskydd och tillsyn, bland annat genom en särskild granskningsdomstol (DPRC), antog kommissionen sommaren 2023 ett nytt adekvansbeslut.
Domstolen avvisade emellertid Latombes talan i sin helhet. Den framhöll att DPRC:s domare omfattas av flera garantier för oberoende, däribland särskilda regler för utnämning och avsked, samt att varken justitieministern eller underrättelseorganen får påverka deras arbete. Dessutom konstaterades att kommissionen är skyldig att fortlöpande följa hur det amerikanska systemet fungerar och har möjlighet att ändra eller upphäva sitt beslut om förutsättningarna förändras.
När det gäller underrättelsetjänsternas datainsamling menade domstolen att Schrems II-domen inte kräver förhandsprövning av en oberoende myndighet, utan att det räcker med en efterhandskontroll. En sådan kontroll finns enligt amerikansk lag genom DPRC:s tillsyn. Därmed ansåg domstolen att det amerikanska systemet uppfyller EU-rättens krav på en i huvudsak likvärdig skyddsnivå.
Slutsatsen blev därför att EU:s nya dataskyddsramverk med USA är giltigt och att Latombes invändningar saknar grund.
Latombe-domen fastslår att adekvansbeslutet mot USA står fast!
Vad innebär detta beslut för organisationer som företag och myndigheter?
Beslutet innebär att ramverket, EU–US Data Privacy Framework, står fast. Organisationer i EU kan därför fortsätta att överföra personuppgifter till USA utan att behöva använda extra skyddsåtgärder (som standardavtalsklausuler eller bindande företagsbestämmelser), så länge mottagaren i USA är ansluten till ramverket. Efter Schrems I och II var det osäkert och riskfyllt att överföra data till USA, eftersom de tidigare ramverken (Safe Harbour och Privacy Shield) ogiltigförklarades. Sedan juli 2023 har vi haft ett adekvansbeslut mellan USA och EU och det står alltså nu fast tills vidare. Detta beslut ger således mer stabilitet för organisationer.
Kommissionen måste löpande övervaka att USA upprätthåller det utlovade skyddet. Om skyddsnivån försämras kan kommissionen ändra eller upphäva beslutet, vilket innebär att organisationer behöver hålla sig uppdaterade. Även om tribunalen avvisade LaTombes talan, finns risken att frågan tas upp i EU-domstolen (överklagande pågår eller kan komma). Organisationer bör därför vara medvetna om att rättsläget kan ändras igen, som det gjorde efter Schrems I och II.
Sammanfattningsvis innebär beslutet att det för närvarande är lagligt för organisationer inom EU att överföra personuppgifter till USA under det nya ramverket, så länge de mottagande aktörerna är anslutna till ramverket. Samtidigt bör man följa utvecklingen noga eftersom framtida rättsprocesser kan förändra läget.
OBS! Notera att alla organisationer emellertid behöver göra sin egen riskbedömning i varje enskilt fall.
Artikel 4 i AI-förordningen trädde i kraft den 2 februari 2025, vilket innebär att kravet på att säkerställa AI-kompetens hos personal redan gäller. Reglerna kring tillsyn och verkställande trädde i kraft den 2 augusti 2025.
Enligt den nya AI-förordningen är det obligatoriskt för leverantörer och användare av AI-system att vidta nödvändiga steg för att garantera att deras personal och andra som ansvarar för drift och användning av AI har tillräcklig kompetens inom AI. Detta ska anpassas efter individernas tekniska bakgrund, erfarenhet och utbildning, samt med hänsyn till det specifika sammanhang där AI-systemen används, liksom de personer eller grupper som påverkas av dessa system.
Med AI-kompetens avses enligt AI-förordningen den kunskap, förståelse och förmåga som gör det möjligt för leverantörer, användare och andra berörda parter att på ett välgrundat sätt implementera AI-system. Det innebär även en medvetenhet om både möjligheter och risker med AI samt om de potentiella skador som kan uppstå.
Syftet med lagkravet på ”AI-kunnighet” är att skydda grundläggande rättigheter, hälsa och säkerhet samt att möjliggöra demokratisk kontroll över användningen av AI. AI-kompetens ska utrusta alla inblandade med de nödvändiga begreppen för att kunna fatta informerade beslut kring AI-system. Dessa begrepp varierar beroende på sammanhanget och kan omfatta allt från korrekt användning av tekniska komponenter under utvecklingsfasen, till nödvändiga åtgärder under driftsfasen, tolkning av AI-systemets resultat och – för de som påverkas av AI-beslut – förståelse för hur dessa beslut kan påverka dem.
Vidare påpekas i motiveringen att AI-kompetens ska ge samtliga aktörer i AI-ekosystemet den insikt som krävs för att säkerställa korrekt efterlevnad av förordningen. Genom att brett implementera åtgärder för att höja AI-kompetensen och införa passande uppföljning, kan man även förbättra arbetsmiljön och stödja utvecklingen av pålitlig AI inom EU.
Kravet på AI-kompetens är en central del i att säkerställa att alla som är leverantörer eller ansvariga för driften av AI-system förser sin personal med rätt kunskap och förståelse för de system de arbetar med. Det omfattar alla i organisationen som är direkt involverade med AI-systemen och stärker därmed även reglerna om transparens (artikel 13) och mänsklig tillsyn (artikel 14) i AI-förordningen. Samtidigt bidrar detta krav till att skydda de individer som påverkas, eftersom det möjliggör en effektiv implementering av förordningens regler.
2025-04-11
Det är viktigt att organisationer nu bevakar utvecklingen i USA och om EU kommissionen beslutar att ogiltigförklara adekvansbeslutet som gäller mot USA.
Att överföra personuppgifter till ett land utanför EU/EES ska uppfylla vissa villkor. Sedan 2023 finns ett beslut om adekvat skyddsnivå för USA. Mellan EU-USA finns en överenskommelse hur uppgifter ska skyddas i USA så kallad EU-U.S. Data Privacy Framework. Personuppgifter får överföras till amerikanska verksamheter som är registrerade i Data Privacy Framework List. Övriga regler i dataskyddsförordningen, GDPR måste följas.
I EU kommissisonens beslut om adekvat skyddsnivå betonar kommissionen vikten av Privacy and Civil Liberties Oversight Board (PCLOB). PCLOB har till uppgift att övervaka den amerikanska underrättelsetjänsten och se till att insamlade personuppgifter hanteras korrekt.
För närvarande finns dock endast en kvarvarande ledamot i PCLOB, eftersom majoriteten har blivit avskedade av USA:s president. Detta innebär att PCLOB saknar beslutanderätt, vilket väcker frågan om hur detta kan påverka EU-kommissionens bedömning av en adekvat skyddsnivå. EU övervakar löpande situationen i de länder där ett beslut om adekvat skyddsnivå har fastställts. Om det visar sig att skyddsnivån inte längre är tillräcklig kan kommissionen besluta att ändra, återkalla eller upphäva sitt tidigare beslut.
Ett beslut om adekvat skyddsnivå förblir giltigt tills EU-kommissionen antingen ändrar, drar tillbaka eller upphäver det, alternativt om EU-domstolen ogiltigförklarar det. Det betyder att förändringar i USA inte automatiskt påverkar beslutets status. Däremot följer EU-kommissionen kontinuerligt utvecklingen och gör regelbundna bedömningar av eventuella förändringar. Vår svenska tillsynsmyndighet, IMY, ingen befogenhet att upphäva ett beslut om adekvat skyddsnivå eller stoppa dataöverföringar som genomförs enligt ett sådant beslut.
2025-04-10
1 april 2025 trädde nya regler om kameraövervakning i kraft. Kameraövervakning tillåts utan ansökan hos IMY. Dokumenterad intresseavvägning ska göras för ansökan om tillstånd i fortsatt samråd med IMY innan känslig bevakning införs. Kraven omfattarar all bevakning i verksamhet, inte bara tillståndspliktig. Den som har behövt ansöka om tillstånd tidigare om bevakning ska intresseavväga själv mellan bevakningsintresset och den enskildes intresse att inte bli bevakad. Intresseavvägning ska dokumenteras och bevakare ska ha förteckning med viss information om kamerabevakning eller sådan kamerabevakning som har upphört de senaste fem åren.
Myndigheter som kamerabevakar i brottsbekämpande syfte får utökade befogenheter att kamerabevaka. Kommuner, regioner och andra myndigheter ska göra en bedömning om det är tillåtet att börja med bevakning. De som redan har ett tillstånd för bevakning från IMY gäller tillståndet, om omständigheterna inte ändrats sedan godkännande.
BARZEY ADVOKATBYRÅ AB
Vi erbjuder våra klienter ett kvarts sekels kunskap.
Kontakta ossBarzey Advokatbyrå AB | Box 5216, 102 45 Stockholm | Besök: Nybrogatan 34