Den 29 juni 2026 gav Europeiska unionens råd sitt slutgiltiga godkännande till Digital Omnibus för AI, vilket sköt upp EU AI Acts högriskskyldigheter från den 2 augusti 2026 till den 2 december 2027 för fristående system och till den 2 augusti 2028 för AI inbäddad i reglerade produkter. Omröstningen ägde rum fem veckor före den ursprungliga tidsgränsen, efter två misslyckade triloger i april och maj 2026 som lämnade compliance-team att bygga mot en deadline som kanske eller kanske inte skulle överleva.
Förseningen är inte en reträtt från tillsyn. Under samma period 2026 bötfällde Europeiska kommissionen Temu med 200 miljoner euro enligt Digital Services Act, den irländska högsta domstolen fastställde en GDPR-bot på 530 miljoner euro mot TikTok, och nationella tillsynsmyndigheter gick från "observationsläge" till aktiva DORA-inspektioner över bank- och försäkringssektorerna. Europas regelverk för AI, data och plattformar skrivs om och upprätthålls samtidigt, på olika klockor som sällan rör sig i takt.
För AI-styrningsansvariga, dataskyddsombud och digitala compliance-chefer som täcker EU, Storbritannien och Schweiz är den kombinationen, rörliga deadlines plus levande böter, den faktiska operativa miljön för resten av 2026.
Är EU AI Acts högriskdeadline fortfarande den 2 augusti 2026?
Inte när Digital Omnibus för AI publiceras i Europeiska unionens officiella tidning, vilket förväntas i juli 2026, tre dagar efter vilket den träder i kraft. Förordning (EU) 2024/1689 fastställde ursprungligen den 2 augusti 2026 för högrisksystem enligt bilaga III, som täcker rekrytering, kreditprövning, biometrisk identifiering, utbildning, migration och brottsbekämpning, och den 2 augusti 2027 för produktinbäddade system enligt bilaga I. Europaparlamentet godkände Omnibus-texten den 16 juni 2026 med 423 röster för, och rådets godkännande den 29 juni 2026 fastställde de nya datumen till den 2 december 2027 respektive den 2 augusti 2028.
Två skyldigheter rör sig i motsatt riktning. Övergångsperioden för vattenmärkning och märkning av AI-genererat innehåll enligt artikel 50 kortades från sex månader till tre, vilket tidigarelägger en ny deadline till den 2 december 2026 för system som redan finns på marknaden, och Omnibus lägger till ett absolut förbud mot att generera icke-samtyckt sexuellt eller intimt innehåll och AI-genererat material med sexuella övergrepp mot barn, en bestämmelse utan någon fördröjning. Tills texten passerar den officiella tidningen förblir det ursprungliga datumet den 2 augusti 2026 juridiskt bindande, så organisationer som klassificerar system enligt bilaga III kan inte helt enkelt avbryta sitt arbete.
Hur aggressivt upprätthåller Europeiska kommissionen Digital Services Act?
Tillräckligt aggressivt för att ha utfärdat två niosiffriga böter inom sex månader. Den 5 december 2025 bötfällde kommissionen X med 120 miljoner euro, dess första beslut om bristande efterlevnad av DSA, för den vilseledande utformningen av verifieringsmärket med den blå bocken, ett annonsarkiv som inte uppfyllde kraven på offentliggörande i artikel 39, och hinder för forskares tillgång som stred mot artikel 40(12). X fick 60 arbetsdagar på sig att åtgärda problemet med bocken och 90 dagar att lämna in en fullständig åtgärdsplan, och överklagade beslutet till Europeiska unionens tribunal i februari 2026, vilket gör det till det första rättsliga testet av DSA-tillsyn.
Den 28 maj 2026 bötfällde kommissionen Temu med 200 miljoner euro, 0,38 % av dess globala omsättning på 53 miljarder euro, för att inte ha genomfört en adekvat riskbedömning som kunde identifiera olagliga och farliga produkter på dess marknadsplats. Temu har till den 28 augusti 2026 på sig att lämna in en korrigerande åtgärdsplan, och kommissionens bredare utredning av Temus rekommendationssystem och innehållsmoderering förblir öppen. Båda fallen byggde på skyldigheterna gällande systemiska risker i artiklarna 34 och 35, samma bestämmelser som håller varje mycket stor onlineplattform och sökmotor under kontinuerlig granskning av kommissionen, ett område där regulatorisk övervakning per plattform fångar en ny utredning den dag den öppnas snarare än den dag den skapar rubriker.
Vilken tillsynsmyndighet beslutar egentligen i ett GDPR-fall när data korsar gränser?
Under mekanismen för en enda kontaktpunkt är det dataskyddsmyndigheten där företaget har sitt huvudsakliga etableringsställe i EU, och för de flesta globala plattformar betyder det Irland. Den irländska dataskyddskommissionens beslut av den 2 maj 2025 bötfällde TikTok med 530 miljoner euro, 45 miljoner för att inte ha informerat användarna korrekt enligt artikel 13(1)(f) och 485 miljoner för olagliga överföringar av EES-användardata till Kina enligt artikel 46(1), efter att ha funnit att TikTok inte kunde verifiera att dess standardavtalsklausuler gav EES-dataskydd som i huvudsak motsvarade vad GDPR kräver. Den 3 juni 2026 fastställde den irländska högsta domstolen både ansvarsfrågan och bötesbeloppet, även om den skickade tillbaka beslutet att avbryta framtida överföringar till tillsynsmyndigheten för omprövning, vilket lämnar TikTok med möjligheten att fortsätta flytta europeisk data till Kina medan den specifika punkten ses över.
Den irländska dataskyddskommissionens kumulativa böter uppgår nu till 4,04 miljarder euro sedan 2018, fortfarande ledda av Meta-beslutet på 1,2 miljarder euro från 2023. Över alla EU:s tillsynsmyndigheter uppskattar DLA Pipers undersökning från januari 2026 att tillsynen under 2025 uppgick till cirka 1,2 miljarder euro, vilket matchar 2024 och driver det blockövergripande totalbeloppet sedan GDPR trädde i kraft 2018 till 7,1 miljarder euro. För en compliance-chef är den praktiska lärdomen att valet av ansvarig tillsynsmyndighet inte är administrativt hushållsarbete, det avgör vilken tillsynsmyndighets inställning, tidslinje och aptit för gränsöverskridande böter som faktiskt styr ärendet.
Skrivs GDPR i sig om vid sidan av AI Act?
Ja, genom samma Digital Omnibus-paket, som kommissionen föreslog den 19 november 2025 som COM(2025) 837. Förslaget skulle omdefiniera personuppgifter så att pseudonymiserade data inte betraktas som personuppgifter för en enhet som saknar medel för att återidentifiera individen, låta företag förlita sig på GDPR:s grund för berättigat intresse för att träna eller driva AI-modeller underkastade skyddsåtgärder, flytta regler för samtycke till cookies från e-integritetsdirektivet till GDPR med ett klicks samtycke giltigt i sex månader, och skapa en enda rapporteringspunkt för dataintrång och cybersäkerhetsincidenter.
Europeiska dataskyddsstyrelsen och Europeiska datatillsynsmannen utfärdade ett gemensamt yttrande i februari 2026 som stödde de administrativa förenklingarna samtidigt som de uttryckligen uppmanade medlagstiftarna att inte anta omdefinieringen av personuppgifter, och varnade för att det skulle inskränka den grundläggande rätten till dataskydd utöver vad en teknisk ändring bör göra. I mitten av 2026 förblir ärendet i det ordinarie lagstiftningsförfarandet, med industri- och medborgarrättsutskotten gemensamt ansvariga i parlamentet, vilket innebär att den GDPR-text ett företag följer idag kanske inte är den GDPR-text som är i kraft när ett AI-träningsprogram som de utformar nu tas i drift.
Vad tillför Digital Markets Act, Data Act och DORA utöver AI Act och GDPR?
Digital Markets Act tillhandahåller sitt eget tillsynsspår mot samma grindvakter. Den 22 april 2025 bötfällde kommissionen Apple med 500 miljoner euro för överträdelser gällande styrning enligt artikel 5(4) och Meta med 200 miljoner euro för dess betala-eller-samtyck-annonseringsmodell enligt artikel 5(2), de första böterna för bristande efterlevnad som utfärdats under DMA. Kommissionens första treåriga översyn, levererad den 3 maj 2026 som COM(2026) 178, fann att regelverket var ändamålsenligt och att ingen lagändring behövdes, medan specifikationsförfaranden som inleddes mot Google Play och Google Search i januari 2026 förblir aktiva.
Data Act blev tillämplig den 12 september 2025, vilket ger användare av anslutna produkter och tjänster rätten att få tillgång till data som dessa produkter genererar och, där det är genomförbart, att få dem delade med tredje part i realtid. Designskyldigheter som kräver att anslutna produkter gör data tillgängliga som standard träder i kraft den 12 september 2026, och rättvisa, rimliga och icke-diskriminerande avtalsvillkor gäller för alla B2B-datadelningsavtal som undertecknats efter september 2025, vilket utvidgas till vissa äldre avtal med lång varaktighet från september 2027. Där personuppgifter är inblandade följer Data Act-påföljderna GDPR-nivåerna, upp till 20 miljoner euro eller 4 % av den globala omsättningen.
För finansiella enheter specifikt slutade DORA:s övergångsperiod med 2025. Sedan första kvartalet 2026 har ECB, BaFin, AMF, CSSF och andra nationella behöriga myndigheter gått från beredskapsgranskningar till formella tillsynsbedömningar av IKT-riskhantering, tredjepartsavtal och incidentrapportering, uppbackade av böter på upp till 2 % av den globala omsättningen för institutioner och upp till 1 miljon euro personligen för medlemmar i ledningsorgan som underlåter att agera på IKT-riskrapporter.
| Instrument | Status (juli 2026) | Viktigt datum att bevaka |
|---|---|---|
| AI Act, bilaga III högrisk | Omnibus antagen, väntar på publicering i officiella tidningen | 2 december 2027 (var 2 augusti 2026) |
| AI Act, artikel 50 transparens | Övergångsperiod förkortad av Omnibus | 2 december 2026 |
| DSA tillsyn av systemiska risker | Aktiv, två böter utfärdade, en överklagad | 28 augusti 2026 (Temu åtgärdsplan) |
| GDPR (TikTok-överföringsfallet) | Ansvar och böter fastställda, åtgärd återupptagen | Irländska dataskyddskommissionens omprövning pågår |
| GDPR-reform (Digital Omnibus) | I ordinarie lagstiftningsförfarande | Inget antagandedatum fastställt |
| DMA grindvaktsskyldigheter | Två böter utfärdade, översyn klar, inga ändringar | Google specifikationsförfaranden pågår |
| Data Act designskyldigheter | Kärnregler tillämpliga sedan sept 2025 | 12 september 2026 |
| DORA tillsynsåtgärder | Övergångsperiod över, aktiva bedömningar | Pågående, per nationell behörig myndighet |
Åtta instrument, åtta tidslinjer, och minst tre av dem ändrades väsentligt bara under första halvan av 2026. En compliance-funktion som spårar detta via kalkylblad är ett missat pressmeddelande från rådet bort från att bygga ett program kring en deadline som inte längre gäller, vilket är exakt den klyfta Obsidians AI-följeslagare är byggd för att överbrygga: inte ett substitut för juridisk bedömning, utan en verifierad regulatorisk följeslagare som flaggar i samma ögonblick som en delegerad akt passerar granskning eller en bot blir slutgiltig.
Vad bör ett compliance-team göra härnäst?
Börja med att separera AI Acts bindande text från dess väntande ändringar: fortsätt klassificeringsarbetet enligt bilaga III med antagandet att den 2 augusti 2026 fortfarande kan gälla, samtidigt som ni spårar Omnibus mot publicering i den officiella tidningen så att det nya datumet den 2 december 2027 bekräftas snarare än antas. Parallellt bör ni behandla DSA- och DMA-tillsyn som bevis på vad tillsynsmyndigheter faktiskt prioriterar, bedömningar av systemiska risker och styrningsrestriktioner, snarare än att enbart förlita er på förordningarnas text.
För team som hanterar GDPR-exponering över flera EU-etableringar, bekräfta vilken tillsynsmyndighet som har huvudansvaret för varje behandlingsaktivitet och övervaka Digital Omnibus-förhandlingarna för ändringar i definitionen av personuppgifter som kan påverka AI-träningsprogram som redan är igång. Obsidians MCP för AI-assistenter låter den spårningen köras inuti de verktyg compliance-team redan använder, och aktuella planer visar hur övervakning per jurisdiktion håller jämna steg med ett regelverk som ändrades tre gånger under första halvan av 2026.