Komissio julkaisi Digital Omnibuksen 19.11.2025 osana laajempaa Digital Package -kokonaisuuttaan. Tavoitteena on yksinkertaistaa EU:n digitaalisäädösten päällekkäisyyksiä ja vähentää yritysten hallinnollista taakkaa ilman, että suojatasoa muodollisesti heikennetään.
Lyhyesti kokonaisuudesta
Paketti jakautuu kahteen ehdotukseen. Varsinainen Digital Omnibus muuttaa mm. GDPR:ää, ePrivacy-direktiiviä, Data Actia, DGA:ta ja NIS2:ta. Erillinen Digital Omnibus on AI koskee AI Actia (tekoälyasetusta), ja se on eriytetty omakseen aikataulusyistä: AI Actin korkean riskin velvoitteet tulisivat nykyisellään sovellettavaksi 2.8.2026.
Alkuperäisen ehdotuksen keskeisimpiä muutoksia olivat henkilötiedon määritelmän kontekstisidonnainen selkeytys, pseudonymisoidun datan mahdollinen rajaus GDPR:n ulkopuolelle, oikeusperustan muodostaminen tekoälyn kouluttamiselle, tietoturvaloukkausilmoituksen pidentäminen 96 tuntiin korkean riskin tapauksissa sekä yhden kosketuspisteen raportointi ENISAn kautta.
Viimeisimmät muutokset pähkinänkuoressa
Kevään merkittävin käänne on ollut se, että neuvoston kompromissitekstissä useat komission rakenteellisimmista muutoksista on pudotettu pois. Kyse ei ole niinkään hienosäädöstä vaan poistoista: henkilötiedon määritelmän avaus, tieteellisen tutkimuksen määritelmän laajennus, artikla 22:n (automaattinen päätöksenteko) uudelleenkirjoitus sekä komission täytäntöönpanovalta pseudonymisaatiosta ovat kaikki tippuneet neuvottelupöydältä. Pseudonymisaation osalta vastuu siirtyy EDPB:lle, joka saa uutena tehtävänään antaa asiasta ohjeistusta. Muutos on käytännössä merkittävä, koska asia siirtyy asetustason määritelmämuutoksesta ohjeistukseen, joka voi kehittyä teknologian mukana.
Käytännössä GDPR:n soveltamisalaa ei siis olla kaventamassa siihen suuntaan, johon komissio alun perin ohjasi. Kevyemmät hallinnolliset muutokset, kuten tietoturvaloukkausilmoituksen määräajan pidennys 96 tuntiin ja yhden kosketuspisteen raportointi ENISAn kautta, etenevät todennäköisesti sellaisenaan.
Tekoälypuolen kannat ovat lähentyneet toisiaan, ja keskeisin kysymys eli aikataulu on nyt ratkeamassa. AI Actin korkean riskin velvoitteet tulisivat nykyisellään sovellettavaksi 2.8.2026, mutta kaavailujen mukaan Annex III -järjestelmät (esim. biometriikka, työllistäminen, koulutus) saisivat uudeksi takarajakseen 2.12.2027 ja tuotteisiin integroidut Annex I -järjestelmät 2.8.2028. Lopullinen poliittinen sopu tekoälyä koskevasta osasta on tavoitteena saada huhtikuun lopulla.
Artikla 5:een ollaan lisäämässä myös kokonaan uusi kielletty käytäntö: niin kutsutut nudifier-sovellukset eli AI-järjestelmät, joilla voi tuottaa realistisia seksuaalissävytteisiä kuvia tai videoita tunnistettavista henkilöistä ilman suostumusta.
Avoimia kysymyksiä ovat edelleen tekoälylukutaitovelvoitteen muoto (säilyykö velvoite tarjoajilla ja käyttöönottajilla vai korvataanko se puhtaalla kannustinmallilla) sekä synteettisen sisällön merkintävelvoitteen siirtymäaika, jossa ehdotukset vaihtelevat marraskuusta 2026 helmikuuhun 2027.
Mitä tämä tarkoittaa organisaatioille?
Omnibus ei vielä anna aihetta muuttaa dokumentaatiota tai käytäntöjä. Muutama ohjenuora tähän hetkeen:
- Jatka pseudonymisoidun datan käsittelyä henkilötietona. Muutokset tulevat EDPB:n ohjeistuksen kautta, eivät asetustasolla.
- Valmistaudu AI Actin alkuperäiseen 2.8.2026 takarajaan. Jos takaraja siirtyy, uudet päivämäärät ovat todennäköisesti 2.12.2027 ja 2.8.2028.
- Seuraa 28.4. käytäviä trilogineuvotteluja. Tekoälyä koskevat muutokset voivat edetä julkaisuun nopeasti, jos sopu syntyy.
- Pidä tietoturvaloukkausprosessit ja selosteet nykyisellään. Päivitykset ovat todennäköisesti pieniä, kun lopullinen teksti varmistuu.
Lopuksi
Digital Omnibus näyttää tässä vaiheessa siltä, miltä moni odottikin: kohdennetulta hienosäädöltä ennemmin kuin GDPR:n uudelleenavaamiselta. Institutionaalinen vastapaino on toiminut, ja kiistellyimmät ehdotukset ovat siivoutumassa pois.
Huy Pham
Tietosuoja-asiantuntija
huy.pham@lawder.fi
