Dataskydd – lever ert företag upp till EDPBs nya krav?

Nya riktlinjer om forskning och personuppgifter

EDPB har publicerat nya riktlinjer om hur personuppgifter får behandlas inom forskning enligt GDPR. Även om ni inte bedriver forskning i traditionell mening kan riktlinjen ändå vara värd att känna till eftersom företag ofta använder data på sätt som ibland liknar forskning. Många verksamheter arbetar exempelvis med kundanalys, produktutveckling och affärsintelligens. I vissa fall har sådana aktiviteter kallats "forskning", vilket väckt frågor om man kan använda de särskilda GDPR-reglerna som gäller forskning.

EDPB:s nya riktlinjer förtydligar nu

• vad som faktiskt krävs för att en behandling ska kunna klassificeras som forskning

• när ett företag kan åberopa de särskilda reglerna för forskning

• när dessa undantag inte gäller

Riktlinjerna berör frågor som många företag behöver hantera i sin vardag, till exempel :

• vidareanvändning av kunddata (t.ex. analys och segmentering)

• hur länge personuppgifter får sparas (lagringstider)

• samtycke och rättslig grund för olika typer av behandling

Gränsdragningen mellan analys, produktutveckling och forskning är en fråga som ofta faller mellan stolarna i organisationer, där ansvaret kan ligga på IT, marknad och juridik samtidigt, utan tydlig samordning. Med EDPB:s förtydliganden finns nu bättre förutsättningar att reda ut dessa gränsdragningar och kunna visa att ni har en tydlig bedömning och korrekt rättslig grund.

EDPB:s fortsatta fokus 2026-2027

EDPB har publicerat sitt arbetsprogram för 2026/2027. Programmet visar vilka frågor som kommer att driva utvecklingen inom GDPR och dataskydd de kommande åren och vilka områden företag bör prioritera. Arbetsprogrammet innehåller bland annat:

• uppdaterade GDPR-riktlinjer och nya verktyg som ska göra reglerna lättare att tillämpa

• bättre hantering av gränsöverskridande ärenden inom EU

• samordnad tillsyn 2026 med särskilt fokus på öppenhet och tydlig information till registrerade

• mer samarbete mellan tillsynsmyndigheter kopplade till andra regelverk (DMA, DSA och AI-förordningen)

• utökat internationellt samarbete kring tredjelandsöverföringar

Dataskydd kopplas allt tydligare till AI och andra regelverk

En av de tydligaste trenderna är att dataskydd inte längre hanteras isolerat. EDPB kopplar i allt högre grad samman GDPR med AI-reglering, datadelning och forskning och innovation.

För företag som investerar i digitalisering, AI-verktyg eller datadrivna affärsmodeller är detta centralt. Dataskydd kan inte längre delegeras till en person eller en sidofunktion. Det behöver vara integrerat i:

• affärsstrategi och beslutsprocesser

• IT-arkitektur och informationssäkerhet

• Produktutveckling och inköp av system (privacy by design).

Helhetstillsyn där flera regelverk granskas samtidigt

Tillsynen av efterlevnad blir mer helhetsorienterad, vilket innebär att efterlevnad inte bedöms utifrån ett enskilt regelverk i taget utan av flera regelverk parallellt.

Företagen behöver allt oftare ha kunskap om flera regelverk samtidigt. I praktiken betyder det till exempel att:

• GDPR måste beaktas även inom ramen för ett företags arbete med efterlevnad av AI Act

• AI Act-perspektivet behöver finnas med i dataskyddsarbetet

Vad bör företag göra nu?

1. Kartlägg och se över hur ni faktiskt använder data. Används personuppgifter på fler sätt eller i fler sammanhang än det ursprungliga syftet? Säkerställ att varje användning vilar på en tydlig rättslig grund och dokumentera era resonemang.

2. Förtydliga kommunikationen till kunder och användare. Transparens är ett av EDPB:s tydligaste fokusområden för 2026. Se över era integritetsmeddelanden och er kommunikation kring hur ni samlar in data. Är den faktiskt begriplig för en genomsnittlig kund?

3. Se över er dokumentation och interna styrning. Uppdatera ert behandlingsregister så att det speglar hur ni faktiskt använder personuppgifter. Se över era konsekvensbedömningar och säkerställ att ni har dokumenterat de bakomliggande resonemangen till era beslut.

4. Arbeta tvärfunktionellt med regelefterlevnad. Dataskydd hänger i allt högre grad samman med andra regelefterlevnadsområden såsom AI-reglering och informationssäkerhet. Se till att GDPR-kompetens inkluderas i andra regelefterlevnadsprojekt i verksamheten och att omvända perspektivet också gäller: att relevanta dataskyddsfrågor fångas upp när ni arbetar med exempelvis IT-säkerhet, nya system eller affärsavtal. Silostrukturer där juridik, IT och verksamhet arbetar parallellt utan samordning är en av de vanligaste orsakerna till att dataskyddsproblem uppstår.

5. Integrera dataskydd i kärnverksamheten. Dataskydd bör inte hanteras som en reaktiv juridisk fråga utan integreras i det dagliga arbetet. Tänk på privacy by design vid produktutveckling och systemanskaffning, beakta dataskyddsperspektivet vid investeringar och partnerskap, och utbilda regelbundet, inte bara juridik, utan även IT, HR och affärsutveckling.

Det som händer inom EDPB är inte en ny regelstorm utan det är en tydlig signal om att GDPR nu ska tillämpas på allvar, enhetligt och med ökade krav på dokumentation och transparens. Detta innebär:

• mindre utrymme att argumentera för okunskap eller otydliga regler

• högre krav på intern struktur och tydliga ansvarsroller

• mer konkret vägledning att förhålla sig till

Ni som följer utvecklingen och anpassar er verksamhet i tid skapar ett tydligt försprång, juridiskt, operativt och affärsmässigt.

Fondia hjälper er

Kontakta vårt team av experter inom dataskydd för en genomgång av era rutiner och säkerställ att ni uppfyller kraven enligt GDPR. Kontakta oss här.