Februaris uppdateringar från FEDMA
Årets första möte i Legal Affairs Committee visar att tempot i EU:s digitala regelutveckling fortsätter att öka. I centrum står rättslig grund för AI-träning, utvecklingen av Digital Omnibus och ett tydligare fokus på transparens, tillsyn och genomförbarhet för näringslivet.
Sammanfattning från LAC den 11 februari 2026
Årets första möte i FEDMAs Legal Affairs Committee kretsade kring AI, ePrivacy och tillsynsutvecklingen i Europa. Den mest centrala frågan gällde rättslig grund för AI-träning. Om anonymiserade uppgifter inte kan användas, vilka alternativ återstår och hur påverkar det Europas konkurrenskraft? Filterlösningar med opt-out nämndes som en möjlig väg, men behovet av tydliga och hållbara ramar kvarstår.
Åldersverifiering diskuterades också, med fokus på hur nya krav kan införas utan att öka användarnas klicktrötthet. EU-kommissionens arbete med en gemensam modell lyftes som relevant. LAC beslutade att analysera konsekvenserna av att flytta artikel 13 i ePrivacy-direktivet till Digital Networks Act, särskilt för opt-out-länder i Norden. FEDMA kommer dessutom att tydligare adressera att dagens system för att godkänna uppförandekoder inte fungerar tillfredsställande.
Arbetet går nu vidare med Digital Fitness Check och ett möjligt samarbete med IAB Europe kring Privacy Enhancing Technologies. Samtidigt rapporteras om skärpt tillsyn och nya regulatoriska initiativ i flera medlemsländer.
CJEU sätter ned foten om EDPB:s beslut och överklaganderätt
EU-domstolen (C-97/23) slog den 10 februari 2026 fast att företag kan överklaga bindande beslut från EDPB direkt. Bakgrunden är tillsynsärendet mot WhatsApp. Efter klagomål om bristande transparens eskalerade den irländska tillsynsmyndigheten ärendet till EDPB enligt artikel 65 GDPR. EDPB:s beslut ledde till skärpta åtgärder och en sanktionsavgift på 225 miljoner euro.
När WhatsApp försökte få beslutet ogiltigförklarat av tribunalen avvisades talan med hänvisning till att beslutet var ett mellanled. EU-domstolen gör nu en annan bedömning. Den slår fast att EDPB:s beslut är bindande, får direkta rättsliga effekter och därför kan prövas i domstol. Domen stärker rättssäkerheten i tillsynssystemet och klargör att EDPB:s beslut inte är enbart förberedande steg, utan rättsakter som kan utmanas rättsligt.
Kommissionen granskar Metas AI-upplägg på WhatsApp
EU-kommissionen har skickat ett Statement of Objections till Meta och signalerar därmed en preliminär bedömning att bolaget kan ha brutit mot EU:s konkurrensregler. Sedan oktober 2025 har Meta i praktiken stängt ute tredjeparts-AI-assistenter från WhatsApp. Från januari 2026 är det endast Metas egen lösning, Meta AI, som är tillgänglig i tjänsten.
Enligt kommissionen riskerar detta att begränsa konkurrensen på den snabbt växande marknaden för AI-assistenter genom att hindra andra aktörer från att få tillgång till plattformens användare. Ärendet är ännu inte avgjort, men det markerar tydligt att hur AI integreras i stora digitala ekosystem nu är en konkurrensrättslig fråga. För plattformsaktörer och AI-leverantörer innebär det att samspelet mellan innovation, tillgång och marknadsmakt hamnar allt mer i regulatoriskt fokus.
CJEU klargör: Observation är direkt insamling enligt GDPR
EU-domstolen har i mål C-422/24 slagit fast att personuppgifter som samlas in genom direkt observation exempelvis via kroppsburna kameror alltid ska anses vara insamlade från den registrerade. Därmed gäller informationsskyldigheten i artikel 13 GDPR. Bakgrunden var att Stockholms kollektivtrafik använde kameror som sparade material i en minut om inte inspelningen aktivt bevarades vid exempelvis hot eller biljettkontroller. Frågan var om sådan övervakning verkligen innebär att uppgifter samlas in “från” individen.
Domstolen är tydlig: det avgörande är källan till uppgifterna. Om de uppstår genom en direkt interaktion mellan individen och den personuppgiftsansvarige, utan mellanhand, är det artikel 13 som gäller. Det spelar ingen roll om uppgifterna lämnas aktivt eller registreras passivt. Artikel 14 blir endast aktuell när uppgifterna kommer från någon annan än den registrerade själv. Domen ger ökad tydlighet för verksamheter som arbetar med kamera, sensorer och annan teknikbaserad datainsamling. Transparenskraven aktualiseras redan vid observationen något som behöver beaktas i både design och implementering av datadrivna lösningar.
TikToks design prövas mot DSA
Den 6 februari 2026 meddelade EU-kommissionen preliminära slutsatser om att TikTok kan ha brutit mot Digital Services Act (DSA). Granskningen gäller plattformens så kallade beroendeframkallande design, inklusive oändlig scroll, autoplay, pushnotiser och en starkt personaliserad rekommendationsmotor. Enligt kommissionen kan TikTok ha brustit i att bedöma och begränsa de risker dessa funktioner innebär för användares fysiska och psykiska hälsa, särskilt för minderåriga. Indikationer på tvångsmässigt användande, såsom nattlig aktivitet och frekventa appöppningar, lyfts fram som otillräckligt hanterade.
Befintliga skyddsåtgärder, exempelvis skärmtidsfunktioner och föräldrakontroller, anses inte tillräckliga. Kommissionen pekar därför på behovet av mer genomgripande förändringar i både design och rekommendationssystem. Ärendet är ännu inte avgjort, men signalen är tydlig: hur digitala tjänster utformas är i dag en regulatorisk kärnfråga. För plattformsaktörer och datadrivna verksamheter innebär det att riskbedömning, transparens och ansvar i designfasen blir alltmer affärskritiska.
Alla artiklar