Teknologiåret 2025: De viktigste nyhetene innen teknologilovgivningen fra året som gikk

Europakommisjonen har foreslått endringer i flere teknologi-relaterte regelverk

Som nevnt innledningsvis i dette nyhetsbrevet, har Europakommisjonen lagt frem en digital omnibuspakke der kommisjonen foreslår endringer i flere regelverk vedrørende personvern, data, kunstig intelligens (AI/KI) og cybersikkerhet. Målet med forslaget er å forenkle og tydeliggjøre lovgivningen, samtidig som det skal bidra til å øke EUs konkurranseevne. Europakommisjonen har blant annet foreslått følgende endringer:

Personvern

Europakommisjonen har foreslått å endre definisjonen av personopplysninger. Dersom en virksomhet ikke har mulighet til å identifisere en person ut fra de dataene de besitter om vedkommende, vil disse dataene ikke lenger regnes som personopplysninger. I tillegg foreslås det endringer i reglene vedrørende bruk av informasjonskapsler ("cookies"), med mål om å redusere antallet cookie-bannere brukere må ta stilling til for å få tilgang til nettsider og applikasjoner. Europakommisjonen foreslår blant annet at brukere skal kunne akseptere og administrere cookies sentralt i sine nettlesere (fremfor å akseptere individuelle cookie-bannere). I tillegg legger Europakommisjonen opp til at selskaper skal kunne benytte informasjonskapsler til å måle antall besøkende på deres nettsider, uten den registrertes samtykke. Det åpnes dessuten for bruk av særlige kategorier personopplysninger i trening av AI-modeller, samt endringer knyttet til plikten til å utarbeide personvernerklæring og utvidet rett til å nekte innsyn i egne personopplysninger.

AI

Forslaget vil gi bedrifter utvidede muligheter til å benytte personopplysninger for å trene AI-modeller, samt for å oppdage og motvirke innebygde fordommer i AI-systemet ("bias detection") . Europakommisjonen har også foreslått å utsette ikrafttredelsen av AI Acts regler vedrørende høyrisiko AI-systemer frem til relevante standarder og malverk for disse systemene er tilgjengeliggjort. Kommisjonen har i tillegg foreslått å utvide virkeområdet til reglene som gir visse virksomheter forenklede krav under AI Act (disse forenklede kravene vil i tillegg til små- og mellomstore bedrifter (SMEs) også gjelder for små "mid-cap-selskaper" ("SMCs")), det vil si selskaper med flere enn 749 ansatte.

Cybersikkerhet

Forslaget innebærer etablering av et felles innrapporteringspunkt for cybersikkerhetshendelser. I dag er selskaper i EU pålagt å følge ulike varslingsregler – eksempelvis Network and Information Security Directive (NIS), GDPR, og Digital Operational Resilience Act – noe som ofte medfører at de må sende flere varsler om én og samme hendelse til flere tilsynsmyndigheter. Med det nye forslaget skal det innføres et samlet rapporteringsgrensesnitt, der alle relevante opplysninger kan rapporteres via én portal.

Data

Forslaget samler flere regelverk og gir virksomheter bedre mulighet til å lagre data for å beskytte forretningshemmeligheter. I tillegg introduseres særskilte fordeler og privilegier for små og mellomstore bedrifter (SMEs) og små til mellomstore vekstselskaper (SMCs).

Omnibuspakken må behandles av Europaparlamentet og Rådet før det eventuelt kan vedtas og tre i kraft.

Utkast til lov om kunstig intelligens: Gjennomføring av AI Act i Norge

Digitaliserings- og forvaltningsdepartementet sendte 30. juni forslag til ny lov om kunstig intelligens (KI-loven) på høring. KI-loven vil implementere EUs KI-forordning, også kjent som AI Act, i norsk rett.

Utkastet til KI-loven gjennomfører AI Act i Norge ved inkorporasjon, noe som innebærer at AI Act vil gjelde uten endringer. Høringsforslaget inneholder også bestemmelser om anvendelsesområde, nasjonal forvaltningsstruktur, overtredelsesgebyr og klagebehandling.

Nasjonal kommunikasjonsmyndighet (Nkom) er utpekt som den nasjonale koordinerende markedstilsynsmyndigheten og vil være et nasjonalt kontaktpunkt mot EU.

Innenfor EU-området har den gradvise ikrafttredelsen av AI Act allerede begynt, og flere deler av forordningen er i kraft, herunder AI Acts:

• Generelle regler
• Regler knyttet til AI literacy
• Regler om GPAI, herunder generativ AI
• Regler om forbudte AI-systemer

AI Act har ekstraterritorielt virkeområde. Forordningen gjelder blant annet for AI systemer som tilbys i EU, uavhengig av om leverandøren er etablert utenfor EU. AI Act gjelder også dersom brukere/idriftsettere av AI-systemer benytter outputen fra systemet i EU-området. Norske virksomheter som tilbyr AI-systemer i EU, eller benytter outputen fra AI-systemer innenfor EU-området, vil derfor allerede nå være underlagt AI Act.

Vi forstår det slik at den norske regjeringen legger opp til at KI-loven vil tre i kraft fra sensommeren 2026, og at den gradvise utrullingen av AI Act vil foregå i parallell i Norge og EU fra dette tidspunktet. Dersom Europakommisjonens omnibuspakke vedtas slik den foreligger, er det estimert at samtlige regler i AI Act vil tre i kraft innen 2028.

Data Act har trådt i kraft i EU

Ikrafttredelse og gjennomføring i Norge

Data Act (eller dataforordningen) trådte i kraft i EU 12. september 2025. På samme måte som AI Act, vil Data Acts regler stegvis bli gjeldende – samtlige regler vil tre i kraft fra 12. januar 2027. Data Act er EØS-relevant, men er foreløpig ikke inntatt i EØS-avtalen. Det er uklart når Data Act vil gjennomføres i norsk rett.

Dataforordningen regulerer både personlige og ikke-personlige data, og skal legge til rette for:

• at forbrukere og virksomheter kan få tilgang til data som genereres ved deres bruk av tilkoblede produkter (for eksempel smarthusapparater, sensorer, medisinsk utstyr og biler) og relaterte tjenester (for eksempel apper som benyttes til å kontrollere de tilkoblede produktene).
• et horisontale rammeverk for datainnehavere som er forpliktet til å dele data.
• vern av mikro-, små-, og mellomstore bedrifter mot urimelige vilkår i avtaler om deling av data.
• at offentlig sektor under nærmere bestemte vilkår kan innhente data fra private virksomheter dersom det foreligger et ekstraordinært behov for dette.
• at kunder av databehandlingstjenester (slik som sky- og edgetjenester) skal kunne bytte til en annen tilbyder av tilsvarende tjeneste.
• innføring av sikkerhetstiltak mot ulovlig overførsel av data til tredjeland.
• utarbeidelse av standarder for interoperabilitet slik at data skal kunne viderebrukes på tvers av sektorer.
• sikring av sammenheng med gjeldende reguleringer innen tilsvarende regelverksområde innenfor EU og EØS.

Data Act: Europakommisjonen har publisert ikke-bindende standardkontrakter vedrørende datatilgang og bruk, samt for skytjenester

I november 2025 publiserte publisert Europakommisjonen veiledende standardkontrakter for datatilgang og -bruk, samt for skytjenester. Kontraktene er laget for å hjelpe aktører, særlig små og mellomstore bedrifter, med å etterleve kravene i dataforordningen.

Bruk av kontraktene er frivillig, og de kan tilpasses etter behov. Selv om de er utarbeidet for avtaler mellom virksomheter, kan de også brukes mellom virksomheter og forbrukere dersom, dersom kontraktene suppleres med kravene som forbrukere kan påberope seg etter forordningen.

For datatilgang og -bruk er det laget tre typer modellkontrakter ("Model Contractual Clauses"): Én mellom dataholder ("data holder") og bruker ("user"), én mellom bruker ("user") og datamottaker ("data recipient"), og én mellom dataholder ("data holder") og datamottaker ("data recipient"). I tillegg finnes også en ekstra kontraktsmal for frivillig datadeling.

For skytjenester er det seks standardkontrakter ("Standard Contractual Clauses"), som dekker blant annet bytte av skytjenesteleverandør, opphør av kontrakt, sikkerhet og ansvarsfordeling mellom partene. Disse skal sikre rettferdige vilkår og hindre ensidige eller urimelige endringer fra leverandørens side.

Kontraktene er utarbeidet i samarbeid med eksperter og næringslivet.

Europakommisjonens publisering av standardkontraktene inngår i kommisjonens arbeid med å veilede næringslivet Data Act. Fremover vil det også komme råd om forordningens bestemmelser vedrørende rimelig kompensasjon for datadeling, samt en hjelpetjeneste for konkrete juridiske spørsmål.

Regjeringen har begynt arbeidet med å gjennomføre EUs Digital Markets Act i norsk rett

I fjor vår begynte regjeringen arbeidet med en ny lov som skal gjennomføre EUs forordning om digitale markeder (Digital Markets Act - DMA). Gjennomføringsloven vil sikre at norske virksomheter og forbrukere får de samme rettighetene som tilsvarende aktører har i EU. For norske virksomheter og forbrukere vil gjennomføringen av DMA i norsk rett blant annet innebære at:

• Virksomheter får bedre tilgang til egne brukerdata fra de store plattformene.
• Tredjepartsløsninger i større grad må kunne fungere med de store plattformeiernes systemer.
• Store aktører ikke lenger kan favorisere egne tjenester framfor andres tjenester på egne plattformer.
• Det vil bli enklere for forbrukere å velge bort standardapper og -tjenester fra de store tech-selskapene.
• Forbrukere får bedre kontroll på egen data – forbrukere vil få rett til å overføre egne data fra en plattform til en annen.

Regjeringen har foreløpig ikke gitt noen signaler om når de tar sikte på å ferdigstille arbeidet med å gjennomføre DMA i norsk rett, dvs. når DMA vil tre i kraft i Norge.

Regjeringen har begynt arbeidet med å gjennomføre EUs Digital Services Act i norsk rett

Regjeringen har også begynt arbeidet med en ny lov som skal gjennomføre EUs Digital Services Act (DSA). Loven skal styrke forbrukernes rettigheter samt gjøre det tryggere å bruke internett. Digital Services Act vil blant annet:

• Forby atferdsbasert, målrettet markedsføring mot mindreårige.
• Forby atferdsbasert reklame basert på sensitive personopplysninger, for eksempel seksuell orientering, etnisitet og religion.
• Forby manipulerende design som gjør at brukere blir lurt til å gi samtykke de ellers ikke ville ha gitt.
• Gjøre det enklere å melde fra om ulovlig innhold, produkter og tjenester på nettet.
• Kreve at reklame skal være tydelig merket, og at det opplyses hvem som står bak reklamen, hvem som har betalt for den, og hvorfor den vises for brukeren.
• Pålegge de største plattformene å gjøre risikovurderinger knyttet til spredning av ulovlig innhold og konsekvenser for grunnleggende rettigheter som personvern og ytringsfrihet, inkludert informasjons- og pressefrihet.
• Kreve risikovurderinger fra plattformene knyttet til valgmanipulasjon og spredning av desinformasjon.

Regjeringen legger opp til at Nkom skal være nasjonal koordinator med hovedansvar for å føre tilsyn med DSA i Norge. Regjeringen har i tillegg utpekt Datatilsynet, Medietilsynet og Forbrukertilsynet som tilsynsmyndigheter på sine respektive fagområder.

Utkastet til den nye gjennomføringsloven ble sendt på høring i juli 2025.

Digitalsikkerhetsloven trådte i kraft 1. oktober 2025

Den nye digitalsikkerhetsloven trådte i kraft 1. oktober 2025. Det er ingen overgangsperiode, og virksomheter som omfattes må etterleve kravene fra første dag.

HVem gjelder loven for?

Loven retter seg mot to hovedgrupper av virksomheter. Først og fremst gjelder den tilbydere av samfunnsviktige tjenester etablert i Norge innen sektorer som energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur. De nærmere kriteriene for hvilke tjenester som regnes som samfunnsviktige gis i digitalsikkerhetsforskriften. Loven omfatter også tilbydere av digitale tjenester. I praksis vil dette si nettbaserte markedsplasser, nettbaserte søkemotorer og skytjenester.

I tillegg finnes det unntak og geografiske avgrensninger som er viktige å kjenne til:

• Unntak: Loven omfatter ikke virksomheter som allerede omfattes av lov om elektroniske tillitstjenester. Noen av lovens sentrale forpliktelser for samfunnsviktige tjenester gjelder ikke dersom virksomheten er underlagt strengere krav til sikkerhet og varsling gjelder etter andre lover (for eksempel sikkerhetsloven).
• Geografisk virkeområde: Samfunnsviktige tjenester gjelder for virksomheter etablert i Norge. Digitale tjenester kan omfattes dersom virksomheten har hovedkontor i Norge eller har/skal ha representant i Norge. Utenlandske virksomheter kan med andre ord i noen tilfeller omfattes av loven.

Hvilke krav gjelder?

For de virksomhetene som omfattes, innebærer digitalsikkerhetsloven konkrete krav til risikostyring, sikkerhetstiltak og rapportering. Disse kravene favner både tekniske og organisatoriske tiltak og stiller krav til ledelsesansvar og leverandørstyring.

Hovedkravene omfatter:

• Innmelding: Underlagte virksomheter skal snarest sende inn grunnleggende informasjon om virksomheten til Nasjonal sikkerhetsmyndighet (NSM).
• Risikovurdering: Løpende, systematisk risikovurdering av nettverks‑ og informasjonssystemer.
• Tiltak og hendelseshåndtering: Implementering av tekniske og organisatoriske sikkerhetstiltak tilpasset virksomhetens risiko, samt rutiner for forebygging, avdekking og begrensning av hendelser.
• Ledelsens ansvar: Ledelsen har ansvaret for at virksomheten opprettholder et forsvarlig sikkerhetsnivå innen lovens virkeområde.
• Kontroll av leverandører: Krav om å sikre at leverandører og andre eksterne aktører etterlever virksomhetens sikkerhetskrav.
• Varslingsplikt: Hendelser med betydelig innvirkning på tjenestetilbudet skal varsles til tilsynsmyndigheten innen 24 timer, med oppdatering innen 72 timer. En fullstendig hendelsesrapport skal oversendes innen én måned fra første varsel.

Du kan finne mer informasjon og praktiske råd vedrørende digitalsikkerhetshetsloven i vårt nyhetsbrev, som du kan lese her.

Ny dom vedrørende informasjonssikkerhet: Tapte erstatningssak mot skyleverandør etter cyberangrep

Btec AS ("Btec") tapte i fjor sommer et søksmål mot sin tidligere IT-leverandør Nordlo Haugesund AS ("Nordlo"), der Btec krevde 60 millioner kroner i erstatning etter et omfattende hackerangrep i 2021. Angrepet rammet Nordlos datasenter og førte til at Btec mistet tilgang til virksomhetskritiske data, som resulterte i produksjonsstans, tap av kunder og betydelige kostnader for rekonstruksjon av data. Haugaland og Sunnhordland tingrett tilkjente imidlertid Btec kun 8 000 kroner i erstatning og påla selskapet å dekke motpartens saksomkostninger på 2,2 millioner kroner. Dommen er anket til lagmannsretten.

Btec argumenterte for at Nordlo var erstatningsansvarlig på grunn av utilstrekkelige IT-sikkerhetstiltak, blant annet som følge av mangelfulle rutiner for sikkerhetskopiering, fravær av tvungen tofaktorautentisering og manglende geografiske innloggingsbegrensninger. Ekspertvurderinger i saken viste også svakheter knyttet til utdatert programvare og overvåkning av sikkerhetskopier. Retten erkjente at enkelte løsninger ikke var optimale, men kom likevel til at Nordlo ikke hadde opptrådt uaktsomt og heller ikke kunne holdes ansvarlig etter kontraktsrettslige erstatningsregler. Retten la blant annet vekt på at Nordlo hadde innført flere sikkerhetstiltak, at angrepet var utført av profesjonelle aktører, og at Btec selv hadde unnlatt å ta i bruk tiltak som tofaktorautentisering eller å tegne cyberforsikring.

I 2023 ble tre tidligere Nordlo-kunder dømt til å betale Nordlos saksomkostninger etter tilsvarende søksmål basert på samme cyberangrep. Også her la tingretten til grunn at Nordlo hadde iverksatt tilstrekkelige sikkerhetstiltak, og ikke kunne holdes ansvarlig for et målrettet angrep fra profesjonelle utenlandske aktører. De tre selskapene fikk kun begrenset kompensasjon i samsvar med sine avtaler.

Dommen er en påminnelse om at ansvaret for informasjonssikkerhet ikke uten videre kan overlates til IT-leverandører. Kunder bør som et minimum undersøke avtalevilkår og gjennomføre egne sikkerhetsvurderinger og -tiltak.

Ny ekomlov: Dette er de viktigste endringene

Den nye loven om elektronisk kommunikasjon (ekomloven) trådte i kraft 1. januar 2025, sammen med forskrift om elektroniske kommunikasjonsnett og elektroniske kommunikasjonstjenester (ekomforskriften) og en datasenterforskrift. Den nevnte loven erstatter den gamle loven med samme navn fra 25. juli 2003.

Formålet med ekomloven

Den nye loven om elektronisk kommunikasjon (ekomloven) regulerer mobil- og bredbåndstjenester, meldingstjenester i applikasjoner og sosiale medier, samt andre kommunikasjonstjenester og elektroniske kommunikasjonsnett. I tillegg vil datasentre reguleres for første gang.

Loven skal sikre gode, rimelige og fremtidsrettede kommunikasjonstjenester, fremme bærekraftig konkurranse, styrke forbrukerrettigheter og personvern samt å sikre forsvarlig sikkerhet i datasentre.

Loven er særlig relevant for leverandører av de ovennevnte elektroniske kommunikasjonstjenestene og datasenteroperatører, i tillegg til at cookiereglene gjelder alle virksomheter som har nettsider eller applikasjoner.

Her er en kort oversikt over de viktigste endringene.

Datasentre reguleres for første gang

• Datasenteroperatører må registreres seg hos Nkom før virksomheten starter opp.
• Det stilles krav til forsvarlig sikkerhet og beredskap. Operatørene må dekke kostnadene og dokumentere etterlevelse av kravene.
• Departementet kan pålegge bruksbegrensninger av hensyn til nasjonal sikkerhet og fastsette ytterligere krav. Merkostnader knyttet til sistnevnte kan kreves dekket av staten.

Les vårt nyhetsbrev fra juni i fjor dersom du ønsker mer informasjon om de nye kravene til datasentre.

Styrking av forbrukerrettigheter innen elektronisk kommunikasjon

• Forbud mot diskriminerende krav eller vilkår.
• Rett til informasjon før avtaleinngåelse og avtalesammendrag.
• Kontroll over forbruk og kostnader.
• Rett til å si opp ved endringer.
• Tilgang til e-post etter oppsigelse av abonnementsavtale.
• Nummerportering.
• Lik tilgang til kommunikasjonstjenester for brukere med funksjonsnedsettelse.
• Ny bestemmelse som pålegger departementet et ansvar for å sikre eksistensen av prissammenligningstjenester for internettilgangstjenester og offentlig tilgjengelige nummerbaserte person-til-person-kommunikasjonstjenester.

Flere av de ovennevnte reglene er utvidet slik at de også gjelder for mikroforetak, små foretak og ideelle organisasjoner som kjøper tjenester, og ikke bare forbrukere (slik som tidligere). Mikroforetak, små foretak og ideelle organisasjoner kan imidlertid – i motsetning til forbrukere – samtykke til å frafalle disse rettighetene.

Departementet kan ved forskrift regulere fellesfakturerte tjenester. Dette er varer og tjenester som faktureres sammen med elektroniske kommunikasjonstjenester.

Bredbånd til alle

• Loven gir hjemmel til å pålegge leveringsplikt for bredbånd. Leveringsplikt vil først være aktuell dersom andre mindre inngripende virkemidler ikke fører frem (som for eksempel bredbåndsstøtteordningen).
• Tilbyder med sterk markedsstilling kan pålegges å gi konkurrentene tilgang til sine nett dersom tilgang til anleggsinfrastruktur ikke er tilstrekkelig til å fremme bærekraftig konkurranse.
• Nasjonal kommunikasjonsmyndighet (Nkom) gis kompetanse til å fastsette vilkår for tilgangen. Tilbyder med sterk markedsstilling kan selv påvirke forpliktelsene Nkom pålegger ved å påta seg forpliktelser om saminvesteringer med andre tilbydere i nye nett med svært høy kapasitet.
• Tilbydere med sterk markedsstilling som kun er aktiv i grossistmarkedet gis lettelser i reguleringen.
• Loven regulerer også prisen ved terminering av tale (avslutning av en samtale i et annet nett enn der samtalen starter) i mobilnett og fastnett.
• Overgangen fra eldre til nyere infrastruktur reguleres for å ivareta konkurranse og sluttbrukernes rettigheter. Nkom gis kompetanse til å pålegge særskilte plikter på tilbyder med sterk markedsstilling. Pliktene kan for eksempel pålegges i forbindelse med overgang fra kobberinfrastruktur til fiber for å ivareta hensynet til konkurransen og sluttbrukernes rettigheter.

Skjerpede krav til bruk av informasjonskapsler/"cookies"

Også den nye ekomloven fastsetter at det ikke er tillatt å lagre eller skaffe tilgang til opplysninger i brukerens kommunikasjonsutstyr (eksempelvis ved bruk av cookies) uten samtykke.

Den nye ekomloven skjerper kravene til samtykke. Samtykke må oppfylle kravene i GDPR. Dette innebærer blant annet at samtykke må gis aktivt av brukeren, og ikke gjennom forhåndsutfylte ruter eller opt-out-løsninger.

Samtykke skal kunne trekkes tilbake like lett som det er gitt.

Som tidligere vil det gjelde unntak fra samtykkekravet for teknisk lagring av, eller adgang til, opplysninger utelukkende for det formål å overføre kommunikasjon i et elektronisk kommunikasjonsnett, eller som er strengt nødvendig for å levere en informasjonssamfunnstjeneste etter den aktuelle sluttbrukerens eller brukerens uttrykkelige forespørsel.

Styrket sikkerhet

Kravet til forsvarlig sikkerhet utvides til å gjelde datasenteroperatører.

Nytt klageorgan

Det vil etableres et nytt klageorgan for å avgjøre klager over vedtak fattet av Nkom.

Rekordbot blir stående: Grindr fikk ikke medhold i lagmansretten

Grindr ble i 2021 ilagt et overtredelsesgebyr på 65 000 000 kr av Datatilsynet for å ha delt personopplysninger om brukere med annonsepartnere uten gyldig behandlingsgrunnlag. Datatilsynet kom til at utleveringen omfattet særlige kategorier av personopplysninger, som følge av at den registrertes brukerforhold hos Grindr i seg selv kunne være en indikasjon på vedkommendes legning. Grindr hadde basert behandlingen på samtykke, blant annet gjennom informasjon gitt i sin personvernerklæring. Datatilsynet kom til at dette ikke kunne regnes som et frivillig, spesifikt og informert samtykke etter GDPR artikkel 6, og heller ikke oppfylte kravet om uttrykkelig samtykke etter artikkel 9. Delingen av personopplysningene var derfor ulovlig.

Lagmansretten

Grindr gikk til søksmål mot staten ved Personvernnemnda for Oslo tingrett. Personvernnemnda ble frifunnet i denne rettssaken, og Grindr valgte deretter å anke dommen til Borgarting lagmannsrett.

Grindr anførte følgende:

• Tingrettens rettsanvendelse og bevisvurdering var feil, da det etter deres syn ikke stemte at Grindr delte sensitive personopplysninger med annonsepartnere.
• Det er også feil, ifølge Grindr, at det å bruke appen i seg selv med stor sannsynlighet innebærer at brukeren har en annen seksuell orientering enn flertallet.
• Videre mener Grindr at det forelå gyldig samtykke, fordi samtykkene var frivillige. Brukerne kunne selv velge å bruke appen, trekke tilbake samtykket, og bruke betalingsversjonene av appen.

Staten ved personvernnemda anførte:

• Opplysningene som ble delt regnes som informasjon om "en fysisk persons seksuelle forhold eller seksuelle orientering" i henhold til artikkel 9 i personvernforordningen (GDPR).
• Selv om appen er tilgjengelig for alle, er Grindr utviklet og markedsført spesielt som en dating-app rettet mot personer basert på deres seksuelle orientering og relasjoner.
• Det var ikke gitt gyldige samtykker, ettersom det å måtte akseptere personvernerklæringen for å bruke plattformen ikke kan regnes som et frivillig samtykke.

Lagmansretten ga personvernnemda medhold i saken. Retten konkluderte altså med at det var deling av personopplysninger om seksuell legning og seksuelle forhold, at det ikke forelå gyldig samtykke etter artikkel 9, og at overtredelsen var grov, noe som talte for at gebyret burde være betydelig. Lagmannsretten dom ble ikke anket av Grindr og er nå rettskraftig.

EDPB velger fokusområde for 2026: Informasjon og åpenhet

Det europeiske personvernrådet (EDPB) har valgt informasjon og åpenhet – dvs. virksomheters etterlevelse av GDPR artikler 12, 13 og 14 – som sitt fokusområde for såkalt "Coordinated Enforcement Framework". Dette betyr at samtlige datatilsyn i EU og EØS vil følge opp personvernerklæringer og cookie-bannere gjennom koordinerte tilsynsaktiviteter i 2026.

Vi anbefaler derfor at virksomheter sørger for at deres personvernerklæringer og cookie-bannere etterlever kravene i GDPR og ekomloven § 3-15. I dette ligger at virksomheter også bør sjekke at deres personvernerklæringer og cookie-bannere er oppdaterte, dvs. inneholder en korrekt beskrivelse av hvilke personopplysninger virksomheten behandler, samt hvordan disse opplysningene blir behandlet.

Vi minner om at den nye ekomloven – herunder ekomloven § 3-15 vedrørende bruk av cookies/informasjonskapsler – trådte i kraft i januar 2025. Etter ekomloven § 3-15 anses ikke lenger implisitt samtykke til (ikke-essensielle) cookies som et gyldig samtykke. Cookie-bannere som fastslår at individer samtykker til cookies simpelthen ved å besøke/bruke den aktuelle nettsiden oppfyller derfor ikke lenger gyldige etter ekomloven § 3-15.

Vi minner også om at Datatilsynet i 2025 publiserte en ny veiledning om bruk av cookies, særlig med fokus på utformingen av cookie-banneret i seg selv. Veilederen er i tråd med lignende veiledninger fra andre tilsynsmyndigheter i Europa, men legger seg på en streng linje hva gjelder utforming og granularitet.

EU-domstolen klargjør hvordan begrepet "foretak" skal tolkes ved beregning av overtredelsesgebyr

EU-domstolen publiserte 13. februar sin avgjørelse i sak C-638/23 hvor hovedspørsmålet var hvilke deler av et konsern som skulle medregnes når en bot etter GDPR skulle beregnes. GDPR artikkel 83(4)-(6) fastslår at brudd på GDPR sanksjoneres med overtredelsesgebyr på henholdsvis 2% eller 4% av den samlede globale årsomsetningen i det forutgående regnskapsåret, dersom bruddet er foretatt av et "foretak" ("undertaking" på engelsk).

I den aktuelle saken hadde danske domstoler bedt EU-domstolen ta stilling til om dette begrepet skulle tolkes på samme måte som i konkurranseretten, hvor man i mange år har anvendt det samme begrepet men da i betydningen konsern som er involvert i samme økonomiske aktivitet/enhet (dvs. gruppe av selskaper uavhengig av juridisk status dem imellom) og ikke bare den enkelte juridiske enheten. EU-domstolens svar på dette spørsmålet har med andre ord vesentlig innvirkning på hvordan overtredelsesgebyr for brudd på GDPR skal beregnes.

EU-domstolen konklusjon er at hele konsernets omsetning må legges til grunn, forutsatt at det foreligger ansvarsgrunnlag i andre deler av konsernet jf. GDPR art. 83(1)-(2) (og ikke kun i den juridiske enheten som har brudt GDPR), samt at konsernets kapasitet til å betale overtredelsesgebyret må tas i betraktning. Dette er typisk relevant når et morselskap bestemmer hvordan alle datterselskapene skal behandle personopplysninger, for eksempel ved at morselskapet kjøper inn et HR-system som alle datterselskapene må bruke i tråd med morselskapets instrukser. Vi mener denne avgjørelsen er en fornuftig og logisk anvendelse av reglene, da man ellers kunne unngått økonomisk ansvar ved å opprette mange isolerte aksjeselskaper med begrenset kapital.

Bakgrunnen for saken var et overtredelsesgebyr vedtatt overfor en danske møbelkjede knyttet til manglende sletting av kundedata. I denne konkrete saken var omsetningen til konsernet cirka 881 millioner euro, mens det aktuelle datterselskapets omsetning var cirka 241 millioner euro.

Sitat fra avgjørelsen: "I lys av de foregående betraktningene er svaret på de stilte spørsmålene at artikkel 83(4) til (6) i GDPR, tolket i lys av betraktning 150 i denne forordningen, må forstås slik at begrepet "foretak" i disse bestemmelsene tilsvarer begrepet "foretak" i betydningen av artiklene 101 og 102 i TFEU (dvs. konkurranseretten, red.anm.). Dette medfører at når en bot for brudd på GDPR ilegges en behandlingsansvarlig som er eller utgjør en del av et foretak, skal den maksimale boten fastsettes på grunnlag av en prosentandel av foretakets totale globale årlige omsetning i det foregående regnskapsåret. Begrepet "foretak" må også tas i betraktning for å vurdere den faktiske eller materielle økonomiske kapasiteten til mottakeren av boten, og dermed fastslå om boten samtidig er effektiv, proporsjonal og avskrekkende."

Vi antar at EU-domstolen vil legge samme tolkning til grunn under andre lignende regelverk, som Data Act, Digital Services Act, Digital Markets Act og AI Act.

Ny EU-dom om direktemarkedsføring

Utsendelse av markedsføring på e-post eller tekstmelding krever som hovedregel samtykke, med mindre det foreligger et "eksisterende kundeforhold" der den næringsdrivende har mottatt kundens elektroniske adresse i forbindelse med salg, og markedsføringen kun gjelder den næringsdrivendes egne varer og tjenester som er tilsvarende det kunden tidligere har kjøpt (jf., Art. 13 nr 2 i e-privacy direktivet som er gjennomført i norsk rett gjennom § 15 markedsføringsloven). Forbrukertilsynet har i sin veileder tolket dette unntaket slik at kunden må ha foretatt et kjøp, og at det ikke er tilstrekkelig at kunden har oppgitt sine kontaktopplysninger i forbindelse med gratis gaver eller tjenester.

EU-domstolen avsa nylig dom i sak C-654/23 (Inteligo Media) der det åpnes for at tilbydere av gratistjenester i visse tilfeller også kan sende markedsføringshenvendelser på e-post eller tekstmelding uten kundens forutgående samtykke. Intelligo Media tilbyr en tjeneste der de – mot betaling – gir sine abonnementer en oversikt over lovendringer og regelverksoppdateringer. Individer kan – i tillegg til denne "premium-tjenesten" – abonnere på en "freemium-tjeneste". Freemium-tjenesten innebærer at kunden får tilgang til et begrenset antall nyhetssaker fra Intelligo Media, samt løpende nyhetsbrev med oversikt over nye lovendringer mv. Dette nyhetsbrevet ble ansett for å være en markedsføringshenvendelse etter e-privacy direktivet (og dermed også etter markedsføringsloven). Dersom kunden ønsker å lese ytterligere saker, må kunden betale for dette.

For å få tilgang til Intelligo Medias freemium-tjeneste, må kunden registrere sin epostadresse og opprette en bruker (som altså er gratis), samt akseptere vilkårene for både premium- og freemium-tjenesten. EU-domstolen kom frem til at disse forholdene innebar at Intelligo Media hadde mottatt gratisbrukernes epostadresse i forbindelse med et salg, og at Intelligo Media kunne sende sine nyhetsbrev uten brukernes forutgående samtykke. EU-domstolen viste i denne forbindelse til at Intelligo Media indirekte vil få vederlag for sin freemium-tjeneste hvis brukerne kjøper tilgang til saker som ikke dekkes av gratistjenesten.

Avslutningsvis uttalte EU-domstolen at det ikke nødvendig med et behandlingsgrunnlag for å sende markedsføring på epost eller tekstmelding etter GDPR dersom utsendelsen oppfyller kravene i e-privacy direktivet. Merk at andre krav etter GDPR fortsatt vi være gjeldende, for eksempel det som gjelder dataminimering og tilgang til informasjon.