sandtro.no
23. jan 2026

Oppdatering personvern, GDPR og teknologirett mv. januar 2026

Innhold

Endringer og forenkling av GDPR og AI Act?

Enklere GDPR uten å svekke personvernet? Er det mulig? I november 2025 la EU-kommisjonen frem sin «Digital Omnibus» som er en omfattende pakke med endringer i EU-regelverket, bl.a. GDPR, AI Act og regler for cookies. Pakken inneholder også forslag til en ny European Business Wallet, som skal gjøre det mulig for virksomheter å signere, utveksle og lagre dokumenter digitalt på tvers av EU (og kanskje EØS).

Målet er å forenkle reglene uten å svekke personvernet, men enkelte endringer, særlig rundt innsynsrett og AI, vil nok bli heftig debattert. Max Schrems’ organisasjon noyb er naturlig nok kritisk. Kommisjonen anslår at regelendringene vil gi besparelser på EUR 5 milliarder innen 2029.  

Dette er noen av endringene:

GDPR:

  • Relativt personopplysningsbegrep: Opplysninger som er pseudonymiserte kan være personopplysninger for behandlingsansvarlig, men ikke nødvendigvis for en mottaker som ikke kan re-identifisere den registrerte. Dette kan se ut som en videreføring av SRB-dommen fra september 2025 (se nyhet nedenfor i nyhetsbrevet om saken), og det kan være at dette også vil gjelde databehandlere som mottakere som kan gjøre at man ikke trenger databehandleravtale.
  • Automatiserte avgjørelser: Automatiserte individuelle avgjørelser tillates ved kontrakt (også der avgjørelsen ellers kunne vært truffet manuelt), rettslig forpliktelse eller samtykke gjennom foreslått presisering av GDPR artikkel 22.
  • Misbruk av rettigheter: Ny adgang til å avvise anmodninger fra registrerte der rettighetene misbrukes til andre formål enn vern av personopplysninger. Hva som utgjør «misbruk» er uklart, og bevisbyrden legges på behandlingsansvarlig.
  • Varslingsfrist for brudd: Fristen for å melde brudd på personopplysningssikkerheten foreslås utvidet fra 72 til 96 timer (helgen er reddet…), og meldeplikten begrenses til høyrisikobrudd. Personvernrådet (EDPB) skal utarbeide en liste over hvilke omstendigheter som typisk utgjør høy risiko. Se også oppdatert veileder fra Datatilsynet om melding ved personvernbrudd nedenfor.
  • Ett varslingspunkt: Felles innmeldingspunkt for hendelser etter GDPR, NIS2 og DORA.
  • Ytterligere harmonisering: EDPB skal utarbeide felles oversikt over hva som krever DPIA eller ikke, felles DPIA-maler og metodikk, samt felles mal for avviksmelding.
  • Innskrenket informasjonsplikt: Informasjonsplikten foreslås begrenset i klare og avgrensede relasjoner som ikke er datainntensive (dvs. ikke omfatter mye eller sensitive data), hvor det er rimelig å legge til grunn at den registrerte allerede kjenner behandlingen.
  • Lettelser for forskning: Viderebehandling til forskningsformål skal alltid anses forenelig med opprinnelig formål, og informasjonsplikten kan falle bort der den er umulig eller vil kreve en uforholdsmessig innsats.
  • Se også en omfattende oversikt over endringene laget av László Pók i Deutsche Telecom.

Modernisering av cookie-regler:

  • Færre gjentagende cookie-bannere: Kan ikke be om samtykke igjen før etter seks måneder ved avslag.
  • Ett-klikks samtykke og mulighet for å styre alle samtykker via innstillinger i nettleser/OS. Medievirksomheter slipper å følge disse automatiske innstillingene og kan fortsatt be brukeren direkte om samtykke.
  • Utvidet liste over unntak fra samtykke som for aggregert målingsdata, sikkerhet, overføring av kommunikasjon.

AI Act:

  • Utsatt ikrafttredelse: Reglene for høyrisiko KI foreslås utsatt i inntil 16 måneder, blant annet for å gi tid til ferdigstillelse av standarder.
  • Særlige kategorier: Ny foreslått hjemmel i GDPR artikkel 9(2)(k) åpner for bruk av særlige kategorier personopplysninger i utvikling og drift av KI-systemer, under strenge tekniske og organisatoriske vilkår.
  • Berettiget interesse: GDPR artikkel 6(1)(f) anerkjennes som mulig behandlingsgrunnlag for utvikling av KI, men interesseavveiningen må faktisk gjennomføres (også her…).
  • Biometrisk verifikasjon: Tillatt når opplysningene er under den registrertes kontroll.
  • Lettelser for SMB: Redusert dokumentasjonsplikt, bredere tilgang til regulatoriske sandkasser og senere ikrafttredelse av enkelte krav.

Data Act (dataforordningen):

  • Styrket vern av forretningshemmeligheter: Forslaget gir datainnehavere adgang til å nekte utlevering av data dersom det foreligger en betydelig risiko for ulovlig bruk eller videreformidling av forretningshemmeligheter, særlig til aktører i tredjeland med svakere rettslig beskyttelse. Et avslag må bygge på en konkret vurdering.
  • Innsnevring av myndigheters adgang til å kreve data: Offentlige myndigheter kan kun kreve data ved klart definerte «offentlige nødsituasjoner», ikke generelle «eksepsjonelle behov». Terskelen for tvungen datadeling heves betydelig.
  • Kompensasjon for små virksomheter: Mikro- og små virksomheter får rett til kompensasjon når de pålegges å dele data i nødsituasjoner. Større virksomheter må fortsatt levere uten kompensasjon.
  • Forenkling av B2B-datadeling: Enkelte justeringer i reglene om rimelig vederlag og urimelige kontraktsvilkår for datadeling mellom virksomheter.
  • Justeringer i regler om bytte av skyleverandør og portabilitet: Forenklinger knyttet til bytte av skyleverandør og overgangsordninger.
  • Samling av datalovgivning: Forordningen om fri flyt av ikke-personopplysninger, dataforvaltningsloven og direktivet om åpne data foreslås slått sammen i ett samlet regelverk for gjenbruk av data som offentlige myndigheter besitter, for å redusere overlapp og motstrid.

Forslagene er nå sendt til behandling i Europaparlamentet og Rådet, og deretter – trolig i Q2/Q3 2026 vil det være såkalte trilogforhandlinger mellom Kommisjonen, Parlamentet og Rådet hvor man skal forsøke å komme til enighet om forslaget. Vedtak forventes i 2026, men det kan benyttes en hasteprosedyre som er gjort med tidligere omnibus-pakker og som det kan være press på spesielt for AI-endringene hvor man frykter tapt konkurranse mot andre land, bl.a. USA og Kina. Da kan det allerede bli vedtak i Q1 2026. De ulike deler av forslaget vil imidlertid kunne få forskjellige ikrafttredelsesfrister, som cookie-reglene får f.eks. seks måneders overgangsperiode.

Personvernrådet (EDPB) og EUs datatilsyn (EDPS) har også sluppet et felles forslag for forenkling av reglene under AI Act for å sikre effektiv implementering.

PS! Omnibus er latin som betyr «for alle», som i dette tilfellet da er én enkelt lov som endrer flere andre lover samtidig.

Ny portal for digital sikkerhet og motstandskraft

Regjeringen har lansert sikkert.no, en ny felles myndighetsportal for digital sikkerhet. Portalen skal fungere som én inngang til råd og veiledning om digital sikkerhet for både virksomheter og privatpersoner, og gjøre det enklere å forstå regelverk, ansvar og hvem som kan kontaktes ved digitale sikkerhetshendelser.

Portalen er utviklet av Nasjonal sikkerhetsmyndighet (NSM) i samarbeid med Digitaliseringsdirektoratet, politiet og Datatilsynet, og skal bidra til bedre samordning og forebygging av digitale sikkerhetskriser. Første versjon gir grunnleggende informasjon og oversikt over roller og ansvar, mens målet på sikt er å samle tydelige og entydige råd om digital sikkerhet på ett sted. Tiltaket ses i sammenheng med regjeringens arbeid med økt beredskap og digital motstandskraft i en mer urolig sikkerhetspolitisk situasjon.

PS NSM! Portalen har 96 % sikkerhet ifølge Internet.nl. 4 % igjen til helt sikkert 🙂 Se tips fra Per Thorsheim.

Overføring av personopplysninger til tredjeland

Storbritannia beholder adekvansstatus – EU forlenger personverngodkjenningen til 2031

EU-kommisjonen har i desember 2025 besluttet å forlenge Storbritannias adekvansstatus etter GDPR kapittel V. Det innebærer at britisk personvernlovgivning fortsatt anses å gi et tilstrekkelig beskyttelsesnivå, og at personopplysninger kan overføres fra EU/EØS til Storbritannia uten bruk av standardkontrakter (SCC) eller andre supplerende tiltak.

Den opprinnelige godkjenningen fra 2021 skulle utløpe 27. desember 2025, men er nå forlenget med seks år til desember 2031. Personvernrådet (EDPB) støttet forlengelsen, men uttrykte samtidig bekymring for enkelte utviklingstrekk i britisk rett, blant annet lavere terskel for videre overføringer til tredjeland og utvidede fullmakter for britiske myndigheter til å endre personvernreglene. EU-kommisjonen har derfor varslet tett oppfølging av utviklingen fremover.

For virksomheter betyr beslutningen at overføring av personopplysninger til Storbritannia og bruk av britiske leverandører fortsatt kan skje uten ekstra overføringstiltak, men at utviklingen og eventuelle endringer fra EUs side må følges.

Nye utfordringer knyttet til overføringer til USA

Som kjent er overføring av personopplysninger fra Europa til USA forbundet med betydelig rettslig usikkerhet. EU-US Data Privacy Framework (DPF) bygger i likhet med tidligere ordninger på amerikanske rettslige og institusjonelle forutsetninger som allerede har vært gjenstand for kritikk og rettslig prøving i EU.

Nå har det oppstått nye skjær i sjøen. Personvernorganisasjonen noyb har pekt på flere pågående rettsutviklinger i USA som kan få direkte betydning for gyldigheten av dagens overføringsgrunnlag. Sentralt står saker for USAs høyesterett om presidentens adgang til å avsette ledelsen i såkalte uavhengige føderale tilsynsorganer, herunder Federal Trade Commission (FTC).

FTC er et bærende element i EU-kommisjonens vurdering av om USA gir et tilstrekkelig beskyttelsesnivå etter GDPR artikkel 45, ettersom FTC skal fungere som et uavhengig tilsynsorgan for amerikanske virksomheter som mottar personopplysninger fra EU. Dersom domstolen kommer til at FTC i realiteten kan underlegges direkte politisk kontroll, kan dette svekke et sentralt premiss for DPF.

I tillegg reises det spørsmål om den amerikanske klageordningen mot etterretningsovervåking – Data Protection Review Court (DPRC) – som er etablert gjennom presidentordre og ikke ved lov. Endringer i amerikansk konstitusjonell praksis kan få betydning for om ordningen oppfyller kravene til uavhengig og effektivt rettsmiddel etter EU-retten. (Det hersker tvil om Biden undertegnet presidentordren knyttet til DPRC med såkalt «autopen», dvs. automatisert signatur. Trump har varslet at han «kansellerer» alle Bidens ordrer signert med autopen.)

Problemstillingene berører ikke bare DPF, men også overføringer basert på EUs standard kontraktklausuler (SCC), ettersom mange overføringsvurderinger (såkalte TIAer) bygger på de samme rettslige forutsetningene i amerikansk rett. Utviklingen understreker at rettsgrunnlaget for overføringer til USA fortsatt er sårbart, og at virksomheter bør følge situasjonen tett.

Personvernrådet mener Brasil har tilstrekkelig beskyttelsesnivå

Personvernrådet (EDPB) har avgitt sin uttalelse til EU-kommisjonens utkast til tilstrekkelighetsvedtak for Brasil etter GDPR artikkel 45. EDPB mener at brasiliansk personvernlovgivning i hovedsak gir et beskyttelsesnivå som er vesentlig tilsvarende EU-retten, og peker særlig på nær sammenheng med GDPR og EU-domstolens praksis. Samtidig ber EDPB Kommisjonen om enkelte presiseringer, blant annet knyttet til konsekvensutredninger, videreoverføringer og unntak for nasjonal sikkerhet og rettshåndhevelse. Dersom vedtaket vedtas, vil personopplysninger kunne overføres fra EU til Brasil uten bruk av andre overføringsgrunnlag.

Overføring av personopplysninger til Grønland

Nyhetsaktuelt, men kanskje ikke så praktisk… Det danske datatilsynet har publisert en veileder for overføring av personopplysninger mellom Danmark og Grønland, siden det i samarbeidet mellom grønlandske og danske myndigheter regelmessig oppstår tvil om reglene. Grønland er ikke omfattet av en beslutning om tilstrekkelig beskyttelsesnivå etter GDPR artikkel 45 (i motsetning til bl.a. Færøyene), så krever overføring fra Danmark (og Norge) et gyldig overføringsgrunnlag etter GDPR kapittel V, som EUs standard kontraktsbestemmelser (SCC).

Sertifisering og atferdsnormer

Det franske datatilsynet, CNIL, har undersøkt bruken av sertifiseringer og atferdsnormer etter GDPR artikkel 40-43 i EU. De har presentert funnene på to kart samt sider mest knyttet til franske forhold, men hvor de går noe nærmere inn på kravene til sertifiseringer og atferdsnormer og hvordan dette er implementert i EU.

Personvernrådet (EDPB) har også laget en liste over sertifiseringsmekanismene i EU. Norge har imidlertid falt utenfor kartene nedenfor, men Datatilsynet har god informasjon både om sertifisering og atferdsnormer.

Overføring av personopplysninger til kunde i forbindelse med kontrakt

Det danske Datatilsynet har uttalt seg om når leverandører kan dele ansattes personopplysninger med kunde/oppdragsgiver for å dokumentere etterlevelse av arbeidsklausuler i kontrakter. Slike klausuler brukes ofte for å sikre ordnede lønns- og arbeidsvilkår og motvirke sosial dumping.

Tilsynet slår fast at leverandører som hovedregel ikke kan basere slik utlevering på «oppgave i allmennhetens interesse» (GDPR artikkel 6(1)(e)), selv om oppdragsgiver er offentlig. I stedet må hjemmelen normalt være berettiget interesse etter GDPR artikkel 6(1)(f).

Både leverandørens interesse i å oppfylle kontrakten og oppdragsgivers interesse i å kontrollere arbeidsklausuler anses som legitime og ofte tungtveiende. Dette forutsetter likevel at det kun deles nødvendige opplysninger, og at ansattes rettigheter ikke veier tyngre i den konkrete vurderingen.

Datatilsynet legger vekt på at formålet, som å sikre forsvarlige arbeidsvilkår, også i stor grad ivaretar arbeidstakernes interesser. Samtidig understrekes det at det per i dag ikke finnes noen generell lovpålagt plikt for leverandører til å utlevere slike opplysninger.

I praksis betyr dette at leverandører må gjøre en konkret interesseavveining før lønns- og personalopplysninger deles, og at kontraktskrav alene ikke fritar fra å gjøre slik vurdering.

Datatilsynet

Databehandler ble behandlingsansvarlig

Datatilsynet har ilagt selskapet Timegrip, som leverer timeføringssystemer, et overtredelsesgebyr for brudd på retten til innsyn etter GDPR artikkel 15. Saken gjaldt ansatte i en butikkjede som gikk konkurs, og som ikke fikk innsyn i egne timelister fra leverandøren da de skulle dokumentere ubetalt lønn.

Timegrip hadde vært databehandler for butikkjeden, gjennom å levere timeføringssystemet, men nektet å gi innsyn etter konkursen under henvisning til at det ikke lenger fantes en behandlingsansvarlig. Datatilsynet avviser dette, og legger til grunn at det alltid må finnes en behandlingsansvarlig. Tilsynet uttaler at GDPR ikke åpner for at det ikke finnes en behandlingsansvarlig. Det må derfor alltid være noen som er behandlingsansvarlig når det behandles personopplysninger.

Når Timegrip i praksis bestemte over lagring, bruk og utlevering av opplysningene, ble selskapet selv behandlingsansvarlig. Datatilsynet legger særlig vekt på at innsynsretten er en grunnleggende rettighet, og at avslaget rammet rundt 80 ansatte i en sårbar situasjon.

Datatilsynet viser til at GDPR ikke åpner for situasjoner hvor det kun finnes en databehandler uten en behandlingsansvarlig. Dersom databehandler i praksis utøver kontroll over personopplysningene og treffer beslutninger om formål og midler, vil databehandleren etter en konkret vurdering kunne anses som behandlingsansvarlig etter GDPR artikkel 28(10).

I denne saken fortsatte Timegrip å lagre opplysningene og nektet både konkursboet og de registrerte tilgang. Dermed utøvde selskapet reell kontroll over lagring, bruk og utlevering av opplysningene, og ble ansett som behandlingsansvarlig. Som følge av dette hadde Timegrip plikt til å ivareta de registrertes rettigheter, herunder retten til innsyn etter GDPR artikkel 15. Manglende innsyn førte til et overtredelsesgebyr på kr 250.000.

Saken viser altså at behandlingsansvar er et funksjonelt begrep, og at avtalte roller må vike dersom de faktiske forholdene tilsier noe annet, også i konkurssituasjoner.

Lærdommen av saken er at dersom en behandlingsansvarlig går konkurs, må databehandler ta stilling til om personopplysningene som behandles skal slettes eller ikke. Dersom databehandler velger å viderebehandle opplysningene og samtidig utøver faktisk kontroll over formål og midler, kan databehandler bli ansett som behandlingsansvarlig og må da ivareta de registrertes rettigheter. Dette vil også kunne gjelde i andre situasjoner hvor databehandleravtalen opphører.

Datatilsynet varsler pålegg om retting mot Helseplattformen

Datatilsynet har varslet pålegg om retting mot Helseplattformen etter tilsyn med journalløsningen i 2024. I den endelige tilsynsrapporten konkluderer tilsynet med vesentlige mangler i de organisatoriske og tekniske tiltakene, særlig knyttet til styring, ansvarsforhold og sikker bruk av løsningen.

Et sentralt funn er at Helseplattformen, som behandlingsansvarlig, ikke har tilrettelagt godt nok for at løsningen kan brukes på en sikker måte etter regelverket. I praksis har helseforetakene og kommunene som bruker løsningen tatt ansvar de juridisk sett ikke har, blant annet for å kompensere for svakheter i styring og organisering.

Tilsynet peker blant annet på uklare og utilstrekkelige ansvarsforhold, mangler i styringssystemet, svakheter i tilgangsstyring, logging og avvikshåndtering, og tekniske mangler som forsterker de organisatoriske utfordringene.

Datatilsynet understreker at vurderingene gjelder personvern og informasjonssikkerhet, ikke pasientsikkerhet eller hvorvidt løsningen er et godt arbeidsverktøy. Forhold med direkte betydning for pasientsikkerhet følges opp av andre tilsynsmyndigheter.

Varslet pålegg innebærer at Helseplattformen må utarbeide en tidsplan for retting av avvikene. Endelig vedtak er ennå ikke fattet, og selskapet har frist til 6. januar for å uttale seg.

Datatilsynet har også ført tilsyn hos St. Olavs hospital HF og Melhus kommune som brukere av løsningen, men retter kritikken og det varslede pålegget mot Helseplattformen som behandlingsansvarlig.

Saken viser at behandlingsansvar ikke kan skyves over på brukerne av en felles løsning, selv om disse i praksis gjør mye for å få systemet til å fungere. For leverandører og eiere av komplekse plattformer er dette en klar påminnelse om at styring, rolleavklaringer og organisatoriske tiltak er like sentrale som tekniske sikkerhetstiltak.

Tilsyn med kredittopplysningsforetak

Datatilsynet har gjennomført tilsyn med hvordan kredittopplysningsforetak behandler personopplysninger i sine historiske arkiver, dvs. grunndata som er opplysninger som navn, adresse, telefonnummer, fødselsnummer, D-nummer, status i Folkeregisteret m.m., kredittopplysninger som er opplysninger som belyser kredittevnen til en fysisk eller juridisk person, og gjeldsopplysninger som er opplysninger om enkeltpersoners gjeld eller ubenyttet kredittramme (ikke pantesikret gjeld).

Tilsynet ble gjort på bakgrunn av klager og tips, men det ble ikke avdekket kritikkverdige forhold. Erfaringer fra tilsynet førte imidlertid til at Datatilsynet har oppdatert veilederen om kredittopplysningsvirksomheters behandling av personopplysninger i historiske arkiver.

Tilsynet omfattet hva slags opplysninger som kan lagres på lovlig måte, hva som er lovlige formål for behandling av personopplysningene, hvordan og i hvilken grad kredittopplysningsloven, særlig § 25, regulerer behandlingen av personopplysningene og lagringstiden for opplysningene. Se nærmere i rapporten fra tilsynet.

Oppdatert veileder om melding av personvernbrudd

Datatilsynet har oppdatert sin veileder om hva som er brudd på personopplysningssikkerheten og når dette skal meldes til Datatilsynet. Datatilsynet presiserer i veilederen at som utgangspunkt skal alle personvernbrudd meldes (se sak for Personvernnemda (PVN-2025-30) som illustrasjon). I veilederen gir Datatilsynet eksempler på tilfeller som skal meldes, som digitale angrep, at det avdekkes sårbarheter (men merk at bruddet skal ikke meldes om det «sannsynligvis» ikke vil føre til risiko for personvernet til de berørte, så alle sårbarheter som avdekkes skal ikke meldes), uautorisert eller utilsiktet tilgjengeliggjøring av personopplysninger, og andre. Tilsynet minner også på at bruddet skal dokumenteres, og viser til hvordan grenseoverskridende brudd skal håndteres.   

Veilederen har følgende underområder: Hvordan melde brudd på personopplysningssikkerheten (avvik), hva er et brudd på personopplysningssikkerheten, hvem kan melde bruddet til Datatilsynet, informasjon til de berørte, hvordan følge opp bruddet internt og håndtering av personvernet ved digitale angrep. Det er imidlertid bare veiledere på enkelte av disse områdene som er oppdatert.

Oppdatert veileder om retten til å bli slettet («glemt»)

Datatilsynet har også oppdatert sin veileder om retten til å få sine personopplysninger slettet (også omtalt som «retten til å bli glemt»). Dette er en rettighet etter GDPR artikkel 17 om at registrerte, dvs. de som personopplysninger gjelder, normalt enkeltpersoner, mulighet til å be virksomheter om å slette personopplysninger. Retten gjelder blant annet når formålet med behandlingen er oppnådd, samtykke er trukket tilbake, opplysningene er behandlet ulovlig eller når barn ikke lenger ønsker å bruke digitale tjenester. Sletting skal skje «ugrunnet opphold», som vil si så raskt som mulig, og senest innen en måned fra det ble bedt om sletting.

Samtidig understreker tilsynet at retten til sletting ikke er absolutt. Virksomheter kan nekte sletting der opplysningene er nødvendige av hensyn til arkivering, forskning, rettskrav, helse eller trygdeytelser mv. Når sletting skjer, skal virksomheten som hovedregel også varsle andre mottakere av opplysningene. Veiledningen tydeliggjør frister, unntak og praktiske rettigheter for registrerte, inkludert krav om fjerning av søketreff i søkemotorer.

Datatilsynet støtter økt informasjonsdeling i finanssektoren, men vil ha snevrere formål og klarere hjemler

Finansdepartementet har sendt på høring forslag om å gi banker og andre finansforetak utvidet adgang til å dele personopplysninger for å forebygge og avdekke økonomisk kriminalitet. Datatilsynet støtter hovedretningen i forslaget, og understreker at personvernreglene ikke er til hinder for slik deling. Samtidig peker tilsynet på behovet for tydeligere og mer avgrensede rammer.

Et sentralt poeng fra Datatilsynet er at formålene for informasjonsdeling fremstår videre enn nødvendig. Mens behovet i høringsnotatet i hovedsak knyttes til bedrageri og svindel, åpner forslaget for deling også ved annen økonomisk kriminalitet og alvorlig kriminalitet. Datatilsynet mener dette krever nærmere begrunnelse og klarere avgrensning.

Datatilsynet mener det bør vurderes ytterligere garantier der delingen omfatter særlige kategorier personopplysninger og opplysninger om straffedommer og lovovertredelser. Tilsynet peker også på at forslaget i finansforetaksforskriften i hovedsak regulerer utlevering av opplysninger, og at det kan være behov for en mer generell hjemmel for behandling av slike opplysninger i arbeidet mot økonomisk kriminalitet.

Til sist fremhever Datatilsynet at eventuell deling med utenlandske finansforetak må forutsette at mottakerne er underlagt tilsvarende rettslige rammer som norske finansforetak.

Taushetsplikt og ikke personvernreglene hindrer deling av opplysninger i bekjempelse av svindel skriver Datatilsynets juridiske direktør Erlend Andreas Methi i et innlegg tilknyttet ovennevnte forslag om endringer i finanslovgivningen åpner for mer deling av opplysninger mellom banker, politi og andre aktører ved endringer i reglene om taushetsplikt. Datatilsynet er som nevnt ovenfor positive til lovendringen, og poengterer altså at det er ikke personvernregelverket som har stått i veien for delingen.

Tips til nye personvernombud

Datatilsynet har oppdatert sine tips til personvernombud på sine nettsider. Det er fem tips som tilsynet kommer med til nye personvernombud:

  1. Skaff deg den kunnskapen du trenger og bygg nettverk.
  2. Kartlegg hva som finnes av rutiner og system for personvern i virksomheten.
  3. Få etablert en arbeids- og rollebeskrivelse for personvernombudet om det ikke finnes.
  4. Få etablert noen formelle strukturer som sikrer at personvernombudsrollen jevnlig får oppmerksomhet.
  5. Gjør deg synlig både internt og eksternt!

Datatilsynet anbefaler også personvernombud om å holde seg oppdatert ved å abonnere på tilsynets nyhetsbrev (og man kan jo abonnere på dette nyhetsbrevet også for å holde seg oppdatert…).

Personvernnemda

Fristen for å melde brudd på personvernet starter straks det er klart at det er brudd og klargjøring av lang saksbehandlingstids betydning for overtredelsesgebyr

Personvernnemda har behandlet en sak (PVN-2025-30) som gjaldt et amerikansk selskap som hadde et sikkerhetsbrudd som omfattet også personopplysninger til selskapets europeiske ansatte. Selskapet meldte bruddet til Datatilsynet i september 2021, som var lenge etter 72-timersfristen for å melde slike brudd etter GDPR artikkel 33.

Selskapet mente imidlertid at de ikke trengte å melde sikkerhetsbruddet før de hadde fullstendig oversikt over hendelsen og alle konsekvensene av den som også var i rutinene til selskapet med henvisning til «uten ugrunnet opphold» i GDPR artikkel 33. Oppholdet var grunnet i undersøkelser, som førte til den sene meldingen. Nemda var ikke enig i dette, og fastslår:

Den behandlingsansvarlige kan derfor ikke vente med å melde fra til vedkommende har full klarhet i alle forhold knyttet til bruddet på personopplysningssikkerheten.

72-timersfristen for meldeplikten starter i utgangspunktet når man blir kjent med bruddet, som er når behandlingsansvarlig har «rimelig grunn til å tro det foreligger et brudd» (ikke sannsynlighetsovervekt, dvs. ikke mer enn 50 %). Det kreves altså ikke at man må være klar over at bruddet er meldepliktig, og her kan man bruke trinnvis melding, ved å melde det man vet og så tilføre mer informasjon senere.

Men bruddet skal bare meldes om det «sannsynligvis» vil medføre en risiko for personvernet til de registrerte (som er sannsynlighetsovervekt, dvs. mer enn 50 %). Melding skal gis straks dette spørsmålet er avklart.

Tilsynet skriver også på sine sider at saken er en påminnelse om at man må ha på plass egnede tiltak for å kunne fastslå om det har funnet sted et brudd. Dette vil være rutiner, og da korrekte rutiner. Selskapet hadde på plass rutiner, men disse var ikke korrekte etter GDPR og praksisen ovenfor.

Selskapet ble ilagt overtredelsesgebyr på kr 1,5 mill. ved at nemda mente at det var en vesentlig uaktsom oversittelse av meldefristen å vente med å melde i to måneder. Da hadde Datatilsynet redusert gebyret med kr 1 mill. pga. lang saksbehandlingstid. Personvernnemda viste til Personvernrådets (EDPB) retningslinjer hvor det skilles mellom «lav», «medium» og «høy» alvorlighetsgrad (Guidelines 04/2022). Overtredelsen her var innenfor «lav» alvorlighetsgrad, som betyr gebyr innenfor 0-10 % av øvre grense for gebyret. Men selv om saksbehandlingstiden var over 4 år, og derfor ikke innen kravet om «uten ugrunnet opphold» som kreves etter forvaltningsloven, så mente nemda at gebyret fra Datatilsynet var riktig.

Personvernnemda valgte dermed å gå bort fra tidligere praksis om at gebyret skal bortfalle om saksbehandlingstiden har vært mer enn tre år, se nedenfor om den nye praksisen.

Lang behandlingstid hos Datatilsynet og Personvernnemda kan redusere overtredelsesgebyret

I saken ovenfor ble det gitt avklaringer på hvor lang behandlingstid som kan gi reduksjon i overtredelsesgebyret, som er:

  • Ca. 1 år: Reduksjon på 0 til 10 %
  • 1-2 år; Reduksjon på 10 til 20 %
  • 3-5 år: Reduksjon på 30 til 50 %

Nemda presiserer at om saksbehandlingstiden (eller «liggetiden» som nemda kaller det) helt unntaksvis er enda lengre, vil det kunne være aktuelt med en større reduksjon. Ovennevnte er bare veiledende utgangspunkter for utmålingen, og i konkrete saker vil reduksjonen kunne bli høyere og lavere enn dette – alt etter hva saken tilsier, som hvor kompleks denne er.

Ulovlig publisering i postjournal og innsyn i varseldokument ga overtredelsesgebyr – taushetsplikt sperrer innsyn og behandlingsgrunnlag

Personvernnemnda har bekreftet (PVN-2024-36) Datatilsynets overtredelsesgebyr på kr 250.000 mot en kommune etter ulovlig utlevering og publisering av personopplysninger i kommunens offentlige postjournal og ved delvis innsyn i et varsel. Kommunen erkjente brudd ved publisering av sluttinnlegg som inneholdt helseopplysninger og økonomiske forhold, og nemnda kom også til at delvis innsyn i varselet var i strid med regelverket.

Det kommer frem i vedtaket at offentleglova § 3 ikke gir grunnlag for utlevering når opplysningene er underlagt taushetsplikt. Nemnda kom, som Sivilombudet, til at opplysningene var taushetsbelagte etter forvaltningsloven § 13, slik at offentleglova § 13 sperret for innsyn. Dermed forelå det heller ikke behandlingsgrunnlag etter GDPR artikkel 6 og 9 for utlevering av opplysningene.

Vedtaket er praktisk viktig fordi nemnda tydelig slår fast at Datatilsynet har kompetanse til å vurdere om vilkårene for behandlingsgrunnlag er oppfylt, og at dette i praksis innebærer å ta stilling til taushetspliktspørsmålet når det er nødvendig for å avgjøre om innsyn/utlevering var rettmessig.

Når det gjelder reaksjonen, legger nemnda til grunn at overtredelsen var alvorlig (sensitive opplysninger gjort tilgjengelig for ubestemt krets), men plasserer den i kategorien «moderat» alvorlighetsgrad etter EDPBs retningslinjer, se om disse ovenfor. Personvernnemnda stadfestet gebyret på kr 250.000, men uttalte at overtredelsen isolert sett tilsvarte et gebyr på kr 500.000, og at Datatilsynet hadde gitt for stor reduksjon som følge av lang saksbehandlingstid (50 %). Nemnda antyder veiledende intervaller for reduksjon basert på liggetid (over 4 år), men kunne ikke øke gebyret (til kommunens ugunst) fordi forvaltningsloven § 34(3) sperret for endring til skade.

Avgjørelsen viser at offentlige virksomheter bør behandle postjournal/publisering og innsyn som et område med høy personvernrisiko. Det må etableres rutiner som sikrer korrekt taushetspliktvurdering, kvalitetssikret anonymisering/sladding og notoritet for konkrete vurderinger, spesielt ved varselsaker.

Innsyn etter GDPR artikkel 15 krever mer enn en opplisting av opplysninger

Personvernnemnda har behandlet en klage mot Datatilsynets beslutning om å avslutte en sak om innsyn i personopplysninger hos Jehovas vitner (PVN-2024-28). Avgjørelsen avklarer rekkevidden av retten til innsyn og kopi etter GDPR artikkel 15, og om hvilke krav som stilles til behandlingsansvarlige som hevder at bestemte opplysninger ikke lagres.

Nemnda er enig med Datatilsynet i at en punktvis oppregning av hvilke personopplysninger som behandles kan oppfylle innsynsretten etter artikkel 15(1). Samtidig slår nemnda fast at dette ikke nødvendigvis oppfyller kravet til kopi etter artikkel 15(3). Retten til kopi innebærer enten kopi av dokumenter eller dokumentutdrag som inneholder opplysningene, eller en nøyaktig og forståelig gjengivelse eller avskrift av de konkrete personopplysningene, hvilket følger av praksis fra EU-domstolen. En generell beskrivelse eller en sammenstilling av opplysninger fra ulike kilder, uten kontekst eller kildeangivelse, vil normalt ikke være tilstrekkelig.

Nemnda legger også vekt på at opplysningene må presenteres på en måte som gjør det mulig for den registrerte å forstå sammenhengen de inngår i og effektivt utøve sine rettigheter. I denne saken mente nemnda at den oversikten som var gitt ikke ga tilstrekkelig informasjon om hvor opplysningene stammet fra eller hvilken kontekst de var behandlet i, og dermed ikke oppfylte kravene etter artikkel 15(3).

Videre tar nemnda stilling til spørsmålet om Jehovas vitner lagrer opplysninger om klagerens seksuelle forhold. Her kommer nemnda til at trossamfunnet foreløpig ikke har sannsynliggjort at slike opplysninger ikke lagres. Nemnda viser blant annet til interne retningslinjer i den såkalte Eldsteboka, som tilsier at opplysninger om tredjepersoner kan innhentes, nedtegnes og arkiveres i forbindelse med behandling i såkalte dømmende utvalg. Etter nemndas syn taler disse retningslinjene for at det kan ha blitt samlet inn og lagret opplysninger som omfattes av særlige kategorier personopplysninger. At slike opplysninger eventuelt oppbevares i en «lukket konvolutt» i et menighetsarkiv, utelukker ikke at det foreligger behandling etter personvernregelverket, så lenge opplysningene inngår i et system med formål om gjenfinning.

Nemnda understreker at når det finnes konkrete holdepunkter for at opplysninger kan være behandlet, er det ikke tilstrekkelig å vise til generelle benektelser. Behandlingsansvarlig må kunne redegjøre nærmere for faktisk praksis og arkivrutiner før saken kan avsluttes. På dette punktet mener nemnda at Datatilsynets utredning ikke var tilstrekkelig, og denne delen av saken sendes tilbake for videre behandling.

Saken viser at skillet mellom innsyn etter artikkel 15(1) og retten til kopi etter artikkel 15(3) har selvstendig betydning i praksis, og at behandlingsansvarlige ikke kan nøye seg med summariske oversikter når det bes om kopi. Den viser også at påstander om at bestemte opplysninger ikke lagres må kunne underbygges, særlig der interne rutiner eller retningslinjer tilsier at slik behandling kan ha funnet sted.

Ikke klagerett på Datatilsynets valg av reaksjon

Personvernnemnda avgjorde i sak PVN-2024-01 at en person ikke hadde klagerett etter forvaltningsloven § 28. Etter at Sivilombudet mente at klagerett kunne følge av GDPR artikkel 78(1) har Personvernnemda vurdert klageretten igjen. Nemnda kom likevel til samme konklusjon som tidligere om at klagerett foreligger ikke i dette tilfellet.

Nemnda legger til grunn at retten til et effektivt rettsmiddel etter GDPR artikkel 78 bare gjelder rettslig bindende avgjørelser som gjelder klageren selv, se også fortalepunkt 143. Når Datatilsynet har realitetsbehandlet saken og truffet vedtak om korrigerende tiltak overfor arbeidsgiver, er arbeidstakeren som hovedregel ikke part og har derfor ikke klagerett med mindre vedtaket har påviselige faktiske virkninger for klagerens egen personvernsituasjon.

Nemnda presiserer at klagerett normalt foreligger dersom Datatilsynet avviser en sak, eller konkluderer med at det ikke foreligger brudd på regelverket. Der krenkelsen har opphørt, og klagen i realiteten gjelder ønske om strengere reaksjon, gir verken forvaltningsloven eller GDPR artikkel 78 grunnlag for klagerett. EU-domstolens avgjørelser i SCHUFA- og Land Hessen-sakene endrer ikke dette utgangspunktet.

Avgjørelsen tydeliggjør grensene for klagerett etter GDPR artikkel 78, og avklarer at man som klager ikke automatisk kan overprøve Datatilsynets skjønn ved valg av reaksjon.

Ikke rett til å bli glemt for eldre straffedom i Google-søk

I en annen sak har Personvernnemnda behandlet krav om sletting av søketreff i Google som leder til artikler om en straffedom fra 2014 (PVN-2024-29). Selv om forholdet lå 11 år tilbake i tid, kom nemnda til at allmennhetens interesse veide tyngre enn den registrertes interesse i sletting. Det ble lagt avgjørende vekt på at opplysningene gjaldt økonomisk kriminalitet knyttet til klagerens yrkesutøvelse, at han fortsatt er virksom i samme bransje, og at opplysningene ikke var uriktige eller utdaterte.

Avgjørelsen ligger i tråd med EU-domstolens praksis helt siden Google Spain-dommen fra 2014 (C-131/12), hvor det ble fastslått at retten til sletting av søketreff forutsetter en konkret interesseavveining, og at allmennhetens informasjonsinteresse i enkelte tilfeller må gå foran den registrertes personverninteresser.

Nav hadde adgang til å gjøre interne oppslag i en brukers journal når dette var nødvendig for å besvare henvendelser og utføre lovpålagte oppgaver ifølge avgjørelse av Personvernnemda (PVN-2025-14059). Personvernnemnda legger til grunn at oppslag i fagsystemer er behandling av personopplysninger, men at dette kan skje lovlig etter GDPR artikkel 6(1)(e) når det foreligger tilstrekkelig supplerende hjemmel i nasjonal rett, her i sosialtjenesteloven § 43 a og NAV-loven § 4a. Det avgjørende var at oppslagene hadde et reelt tjenstlig formål, og at det var en nær tidsmessig sammenheng mellom brukerens henvendelser og oppslagene. Saken viser at flere ansatte enn den formelle saksbehandleren kan ha lovlig tilgang til personopplysninger, så lenge oppslagene er nødvendige og saklig begrunnet i arbeidsoppgavene, og ikke fremstår som unødvendige eller private «snokeoppslag».

EDPB

Anbefaling om opprettelse av konto i nettbutikker

EUs personvernråd (EDPB) har sendt på høring nye anbefalinger om når nettbutikker lovlig kan kreve at brukere oppretter konto før de får handle. I anbefalingene presiserer EDPB at obligatorisk kontoopprettelse bare kan begrunnes i et snevert antall tilfeller, for eksempel ved abonnementstjenester eller tilgang til eksklusive tilbud. I mange vanlige kjøpssituasjoner mener EDPB at verken kontrakt, rettslig forpliktelse eller berettiget interesse gir tilstrekkelig behandlingsgrunnlag etter GDPR. EDPB peker derfor på «gjestekjøp» som hovedregel som den mest personvernvennlige løsningen, i tråd med kravene til innebygd personvern og personvern som standardinnstilling. Høringen er frem til 12. februar 2026.

EU-domstolen

Nyhetsbrev som markedsføring: EU-domstolen strammer inn og peker mot GDPR-samtykke

EU-domstolen (C-654/23) har hatt en sak som gjelder noe mange kjenner: Brukere oppretter en gratis konto for å få litt ekstra innhold, og får deretter «nyhetsbrev» på e-post.

Domstolen legger til grunn at et slikt nyhetsbrev kan være direkte markedsføring, selv om innholdet fremstår «redaksjonelt» eller informativt. Når e-posten samtidig er egnet til å dytte mottakeren mot betalt innhold eller abonnement, er man i markedsføringssporet – og da blir terskelen for lovlig utsendelse høyere.

Hvis nyhetsbrevet har et kommersielt formål, bør man derfor normalt basere utsendelsen på et gyldig GDPR-grunnlag og ikke basere seg på at «det er bare informasjon».

Dommen er også en nyttig påminnelse om at «gratis» registrering ikke nødvendigvis gjør behandlingen mindre kommersiell. Hvis gratis-kontoen er del av en betalingsmodell (f.eks. tilgang til noen artikler, med tydelig oppgradering til abonnement), kan det trekke i retning av at e-postadressen er samlet inn som del av et kundeforhold/kommersielt løp, men uten at dette i seg selv fritar fra kravene til frivillighet, dokumentasjon og enkel reservasjon.

Sendes det ut nyhetsbrev, bør man derfor kritisk vurdere om e-postene reelt sett er markedsføring (også lenker), har man et tydelig, dokumenterbart grunnlag (ofte samtykke), er det i tilfellet informert om at man kan og hvordan man kan avmelde seg nyhetsbrevet og er avmelding like enkel som påmelding – og respekteres den umiddelbart?

EU-domstolens vurdering er i tråd med Markedsrådets praksis, som lenge har lagt til grunn at nyhetsbrev og lignende kommunikasjon må vurderes etter sitt reelle kommersielle formål – også når innholdet fremstår som informativt eller redaksjonelt.

For ordens skyld: Dette nyhetsbrevet vil ikke ha dere til å betale for innhold, noensinne, og uansett har dere gitt samtykke for å motta det 😊.

Opptak fra kroppskamera omfattes av artikkel 13 og ikke artikkel 14

EU-domstolen (C-422/24) har avklart hvilken informasjonsplikt som gjelder når personopplysninger samles inn ved bruk av kroppskamera (dvs. kroppsbåret kamera). Saken gjaldt billettkontrollører i kollektivtrafikken som brukte kroppskamera under kontroller.

Domstolen slår fast at opptak fra kroppskamera regnes som personopplysninger so samles inn direkte fra den registrerte. Det betyr at GDPR artikkel 13 i personvernforordningen gjelder, ikke artikkel 14. Virksomheten må derfor gi informasjon til de registrerte på tidspunktet for innsamlingen.

Artikkel 13 gjelder når personopplysninger samles inn direkte fra den registrerte, og krever at informasjon gis på tidspunktet for innsamlingen. Artikkel 14 gjelder når opplysningene er hentet fra andre kilder, og åpner for at informasjon kan gis senere.

Bakgrunnen var at et svensk transportselskap hadde fått gebyr for mangelfull informasjon til passasjerer som ble filmet. Svensk domstol mente artikkel 13 ikke kom til anvendelse, men EU-domstolen er uenig og gir tilsynsmyndigheten medhold. Domstolen understreker at feil bruk av artikkel 14 i slike situasjoner kan føre til at personer ikke blir informert om overvåkingen når den skjer, noe som kan åpne for skjult overvåking i strid med personvernforordningens krav til åpenhet.

Samtidig peker domstolen på at informasjonsplikten etter artikkel 13 kan oppfylles gjennom en lagdelt løsning, som for eksempel tydelig skilting eller varsling først, kombinert med mer utfyllende informasjon digitalt eller på annet lett tilgjengelig sted. Domstolen påpeker også at uten informasjon så er det en risiko for skjult overvåkning, som vil være i strid med grunnleggende rettigheter for personvern.

Ifølge domstolen er det avgjørende skillet mellom artikkel 13 og 14 hvor personopplysningene kommer fra. Når opplysningene samles inn direkte fra personen, som ved bruk av kroppsbåret kamera, så er det artikkel 13 som gjelder.

Dommens betydning i praksis er at de som bruker kameraer eller annen observasjon for å samle inn personopplysninger, og ikke bare i tilknytning til kollektivtrafikk som i denne saken, bør legge artikkel 13 til grunn, og at informasjon gis når kameraet brukes, ikke først i etterkant.

Dommen er i tråd med Datatilsynets veileder for kroppskamera, hvor bildet nedenfor er hentet fra omtale av veilederen i tidligere nyhetsbrev.

Innsyn i logger: Ingen plikt til å lage nye opplysninger

EU-domstolen (T-318/24 og T-362/24) har behandlet en sak om innsyn i personopplysninger knyttet til bruk av IT-systemer i en rekrutteringsprosess. Dommen gir nyttige avklaringer om hva innsynsretten faktisk omfatter, særlig når det gjelder loggopplysninger og forventninger til tekniske systemer.

Saken gjaldt en kandidat som krevde omfattende innsyn, blant annet i loggdata om hvem som hadde hatt tilgang til opplysningene hans, når tilgangene hadde skjedd og formålet med dem. Det ble også krevd innsyn i interne e-poster, Teams-meldinger og møtereferater, samt gjenoppretting av opplysninger som allerede var slettet.

Retten slår fast at loggopplysninger kan være personopplysninger og dermed omfattes av innsynsretten. Samtidig presiserer domstolen at innsynsretten bare gjelder personopplysninger som faktisk behandles. Den gir ikke grunnlag for å kreve at virksomheten må etablere mer detaljerte logger eller fremskaffe opplysninger som ikke finnes. Innsynsretten innebærer med andre ord ikke en plikt til å «skape» nye opplysninger for å besvare et innsynskrav.

Domstolen understreker også at retten til innsyn gjelder personopplysninger, ikke dokumenter som sådanne. Krav om innsyn i for eksempel e-poster, chattelogger eller møtereferater må derfor vurderes ut fra om dokumentene inneholder personopplysninger om den som ber om innsyn, og ikke som en generell rett til dokumentutlevering.

Videre slår retten fast at regelverket ikke gir noen rett til å få slettede personopplysninger gjenopprettet. Med «gjenoppretting» menes å hente frem slettede personopplysninger, for eksempel fra sikkerhetskopier eller andre historiske lagringer, noe innsynsretten ikke gir krav på. Når opplysninger er lovlig slettet og ikke lenger behandles, kan de heller ikke kreves utlevert gjennom innsynsretten.

Retten tar utgangspunkt i C-579/21 Pankki S, men presiserer at avgjørelsen ikke kan forstås slik at innsynsretten gir krav på mer omfattende logging enn det som faktisk foreligger.

Dommens praktiske betydning er at den tydelig avgrenser innsynsretten. Det skal gis reelt innsyn i personopplysninger som behandles, også loggopplysninger der de finnes, men innsynsretten kan ikke brukes til å tvinge frem nye logger, nye sammenstillinger eller gjenoppretting av historiske opplysninger.

Annonsering på nett kan gi felles behandlingsansvar

I en annen dom fra EU-domstolen (C-492/23) avklares ansvaret for personopplysninger i annonser publisert på nettbaserte markedsplasser. Saken gjaldt en annonse publisert av en anonym bruker som inneholdt uriktige og sterkt krenkende opplysninger om en privatperson, herunder bilder og telefonnummer, og som ble videre kopiert til andre nettsteder.

Domstolen slår fast at operatøren av en nettbasert markedsplass kan være behandlingsansvarlig for personopplysninger i annonser som publiseres på plattformen, selv om innholdet er lagt inn av brukere. Når plattformen fastsetter rammene for publisering, gjør innholdet tilgjengelig for et ubestemt publikum og utnytter det kommersielt, deltar den i å bestemme formål og midler for behandlingen.

Samtidig bekrefter dommen at både annonsøren og plattformen kan være felles behandlingsansvarlige etter GDPR artikkel 26. Ansvarsfordelingen kan være ulik, men begge må oppfylle sine plikter etter personvernforordningen. Det er ikke avgjørende om partene har truffet en formell felles beslutning; det er tilstrekkelig at deres handlinger samlet sett påvirker behandlingen.

Et viktig poeng for praksis er at virksomheter ikke kan fraskrive seg ansvar ved å publisere annonser via tredjepartsplattformer. Den som annonserer må sikre behandlingsgrunnlag for personopplysningene som publiseres, og være særlig oppmerksom dersom annonsen inneholder sensitive opplysninger.

Domstolen presiserer også at reglene om ansvarsfritak for hostingtjenester i e-handelsdirektivet ikke kan brukes til å omgå plikter etter personvernforordningen. Plattformens rolle som mellommann gir ikke vern mot ansvar for brudd på GDPR.

Selv om saken gjaldt en markedsplass, har dommen bredere betydning: Den tydeliggjør at både annonsører og plattformer må vurdere roller, ansvar og behandlingsgrunnlag nøye ved publisering av personopplysninger, og at felles behandlingsansvar lett kan oppstå i digitale økosystemer. Dommen viser også at felles behandlingsansvar kan oppstå der både annonsør og plattform har et felles mål med behandlingen, for eksempel økt synlighet eller omsetning, selv om rollene og ansvaret ikke er likt fordelt.

SRB-saken er avsluttet

Saken mellom Single Resolution Board (SRB) og EUs datatilsyn (EDPS) om pseudonymisering og personopplysningsbegrepet (som er omtalt i tidligere nyhetsbrev) er nå avsluttet uten ny realitetsavgjørelse. Etter at EU-domstolen i øverste instans i september 2025 avsa dom i sak C-413/23 P (EDPS v SRB) og ga bindende avklaringer om personopplysningsbegrepet, informasjonsplikt og vurdering av re-identifikasjonsrisiko, ble saken sendt tilbake til EU-domstolen i første instans. Før ny behandling fant sted, ble saken imidlertid trukket av partene, og EU-domstolen aksepterte tilbaketrekkingen i desember 2025. Det innebærer at domstolens avgjørelse i øverste instans står som gjeldende rettslig avklaring. Avgjørelsen er særlig relevant i lys av forhandlingene om Digital Omnibus (se ovenfor i nyhetsbrevet), hvor nettopp pseudonymisering og definisjonen av personopplysninger er sentrale spørsmål.

Europeiske tilsynsmyndigheter utpeker kritiske tredjepartsleverandører under DORA

De europeiske finanstilsynene EBA, EIOPA og ESMA har publisert den første listen over kritiske tredjepartsleverandører av IKT-tjenester under DORA-forordningen (forordning (EU) 2022/2554). Utpekingen skjer i medhold av DORA kapittel V, særlig artiklene 31 og 33, som etablerer et eget tilsynsregime for tredjepartsleverandører som anses kritiske for finanssektorens digitale operasjonelle motstandsdyktighet.

Utpekingen er foretatt av de europeiske tilsynsmyndighetene etter en samlet vurdering av leverandørenes systemiske betydning, rolle i kritiske funksjoner og om de kan erstattes. Vurderingen bygger på informasjon innhentet gjennom tilsynsmyndighetenes arbeid, herunder opplysninger som følger av finansforetakenes IKT-registreringsplikt etter DORA artikkel 28.

Selv om listen retter seg mot leverandørene, har finansforetakene fortsatt et selvstendig ansvar for å sikre tilstrekkelig styring og kontroll av IKT-risiko i egne leverandørforhold etter DORA artikkel 28 og 29.

Listen inneholder stort sett større globale aktører som Amazon Web Services (AWS), Google Cloud, IBM, Microsoft, Oracle og SAP, samt en del andre leverandører.

Øvrige nyheter

EDPB oppdaterer anbefalingene for Processor Binding Corporate Rules (BCR-P). EDPB har vedtatt oppdaterte anbefalinger for Processor Binding Corporate Rules, som brukes ved konserninterne overføringer av personopplysninger til databehandlere utenfor EØS etter GDPR artikkel 47. Anbefalingene presiserer blant annet at BCR-P kun kan brukes for interne overføringer mellom databehandlere og avklarer forholdet til GDPR artikkel 28(4). Endringene er særlig relevante for større konsern som benytter eller vurderer BCR som overføringsgrunnlag, men som nevnt i forrige nyhetsbrev anbefaler ikke Datatilsynet bruk av BCR.

Sak mot Norge om manglende gjennomføring av NIS1. EFTAs overvåkingsorgan (EFTA Surveillance Authority eller ESA) har anlagt sak mot Norge om manglende gjennomføring av NIS1-direktivet innen fristen den 17. oktober 2024. Norge har erkjent forsinkelsen og vist til at nødvendige lovendringer er under arbeid, men ESA hadde fortsatt ikke mottatt bekreftelse på gjennomføring da fristen utløp. ESA ber nå EFTA-domstolen konstatere traktatbrudd og pålegge Norge å dekke saksomkostningene.

Grindr-dommen er rettskraftig. I forrige nyhetsbrev ble Grindr-dommen i lagmannsretten omtalt, der Grindr tapte. Nå har Grindr besluttet å ikke anke avgjørelsen til høyesterett, og dommen er derfor rettskraftig. Da blir det (foreløpige) største overtredelsesgebyret i Norge på kr 65 mill. stående.

EU-kommisjonen har publisert første utkast til retningslinjer for merking av AI-generert innhold. EU-kommisjonen publiserte 17. desember 2025 første utkast til en atferdskodeks for merking av AI-generert og manipulert innhold, i tråd med kravene i AI Act artikkel 50. Utkastet skiller mellom plikter for leverandører av generative AI-systemer og for profesjonelle brukere, blant annet krav om tydelig merking av deepfakes og AI-generert innhold om saker av offentlig interesse. Kommisjonen ber om innspill innen 23. januar, og tar sikte på å ferdigstille kodeksen innen juni 2026. Reglene om åpenhet trer i kraft 2. august 2026, og det foreslås midlertidig bruk av et enkelt AI-ikon inntil en felles EU-merking er på plass. (For øvrig: Samtlige AI-genererte bilder i dette nyhetsbrevet er merket som anbefalt av EU-kommisjonen).

Oversikt over bøter etter GDPR og databrudd. Advokatfirmaet DLA Piper har publisert sin årlige oversikt over GDPR-bøter og databrudd, som viser at tilsynsaktiviteten i Europa fortsatt er høy. I 2025 ila europeiske tilsynsmyndigheter bøter for om lag EUR 1,2 mrd., som er på nivå med året før. Samlet bøtesum siden GDPR trådte i kraft har nå passert EUR 7 mrd. Samtidig økte antallet meldte personopplysningsbrudd med 22 %, til i gjennomsnitt 443 varsler per dag. Rapporten peker særlig på økt cybertrussel, flere regelverk med varslingsplikt og økt oppmerksomhet rundt informasjonssikkerhet, leverandørkjeder og internasjonale dataoverføringer.

Norge er med i rapporten med totalt EUR 11,845 millioner (ca. kr 137 mill.) og basert på rapporten ser jeg følgende forhold som er spesielt interessant for Norge:

  • Datatilsynet vil forvente flere avviksmeldinger: Økningen i Europa bekrefter at terskelen for varsling også i Norge i praksis er lav, særlig ved cyberhendelser og leverandørsvikt.
  • Sikkerhetsbrudd er det klart viktigste risikoområdet i Norge: Mangelfulle tekniske og organisatoriske tiltak (GDPR artikkel 32) er og blir hovedgrunnlaget for tilsynsreaksjoner – også etter Datatilsynets prioriteringer.
  • Leverandørstyring er en norsk akilleshæl: Norske virksomheter er sterkt avhengige av IT- og skyleverandører. At også databehandlere bøtelegges i EU, styrker forventningen om aktiv oppfølging – ikke bare kontrakt.
  • Internasjonale overføringer er et høyrisikoområde også for Norge: Norske virksomheter er fullt eksponert for usikkerheten rundt overføringer til USA og må kunne dokumentere reelle vurderinger, ikke bare standardtekster.
  • Erstatningskrav vil bli mer aktuelle også i Norge: EU-domstolens praksis gjør det enklere å kreve erstatning for ikke-økonomisk skade, noe norske domstoler og advokater i økende grad vil måtte forholde seg til.

Oversikt over bøter i 2025 fra DLA Piper.

Forbud mot nudification-tjenester. EU-kommisjonen vurderer å forby alle tjenester hvor man kan lage bilder av personer nakne (dvs. digitalt «kle av» mennesker, også kalt «nudification»). Den mest kjente av disse er Elon Musks tjeneste Grok fra X (tidligere Twitter).

Lite inndrivelse av bøter av det irske datatilsynet. Det irske datatilsynet (DPC), som har ilagt de fleste bøter i beløp av de europeiske datatilsynene totalt (se rapporten omtalt ovenfor), er ikke spesielt flink til å inndrive bøtene. Kun 0,5 % av bøtene som er gitt de siste 6 årene er innbetalt. DPC er kritisert for å være for milde på de store it-gigantene som er etablert i landet (pga. liberal skattelovgivning), og nå er det avdekket at kun en minimal del av bøtene som er ilagt er innbetalt. 20 mill. EUR er betalt av 4 mrd. EUR. Dette kommer på toppen av at DPC kun ilegger bøter i 0,26 % av sakene mellom 2018 og 2023, som er totalt 59 bøter. Siden de fleste store amerikanske selskap er etablert i Europa i Irland, er dette veldig lite i antall bøter og i den totale summen av bøter. DPCs svar på dette er at de fleste sakene er brakt inn for domstolene.

Veileder for vurdering av grunnleggende rettigheter ved bruk av høyrisiko KI. Danish Institute for Human Rights og European Centre for Not-for-Profit Law har gitt ut en praktisk veileder for gjennomføring av Fundamental Rights Impact Assessments (FRIA) etter AI Act. Veilederen er rettet mot virksomheter og offentlige myndigheter som tar i bruk høyrisiko KI-systemer, og bygger på internasjonale standarder som FNs veiledende prinsipper for næringsliv og menneskerettigheter. Den er strukturert i fem faser og inkluderer en nedlastbar FRIA-mal. Etter AI Act må enkelte aktører, særlig offentlige organer som bruker KI innen blant annet utdanning, arbeidsliv, tilgang til grunnleggende tjenester og rettshåndhevelse, gjennomføre FRIA for å identifisere og håndtere risiko for brudd på grunnleggende rettigheter. Veilederen fremhever også at gode FRIAs kan bidra til bedre KI-styring, økt tillit hos interessenter og redusert omdømme- og søksmålsrisiko.

Personvern og integrert kunstig intelligens: En studie av arbeid med etterlevelse av personvernlovverket ved implementering av Microsoft 365 Copilot. Aksel Mellingen har skrevet en utgave i CompLex-serien (CompLex er bøker innenfor skjæringspunktet mellom juss og teknologi) som er basert på hans masteroppgave. Boken tar for seg å kartlegge hvordan Copilot vil behandle personopplysninger og hvordan disse behandlingene kan vurderes i lys av det sentrale personvernlovverket, samt å avdekke hvordan Arbeids- og velferdsetaten har jobbet med og løst disse personvernutfordringene i praksis gjennom sin implementering av Copilot. Det behandles tre problemstillinger i boken: I hvilken grad og på hvilken måte kan M365 Copilot brukes til å behandle personopplysninger, hvordan kan M365 Copilot vurderes i lys av personvernprinsippene, hvordan har Arbeids- og velferdsetaten jobbet med personvern ved implementeringen av M365 Copilot, og hvordan har personvernregelverket påvirket valgene som ble tatt?

Og til slutt…

Det lønner seg ikke å bruke KI til å prosedere rettssaker. I en sak for Sør-Rogaland tingrett om tvist rundt et boligkjøp krevde kjøperen av boligen heving. Vedkommende var imidlertid selvprosederende og brukte KI («AIsociate»?) til å produsere dokumenter og bistå med argumentasjonen. Problemet var at bruken av KI genererte over 700 sider prosesskrift, som igjen medførte så mye arbeid for motpartens advokat at denne brukte 150 timer på arbeidet. Boligkjøperen tapte saken, og da er regelen at man dekker motpartens saksomkostninger, som ble betydelig pga. merarbeidet.

Domstolen uttaler følgende om timeforbruket for advokatene som representerte motparten:

Når det gjelder timeforbruket er dette blitt svært høyt – totalt 150,25 timer. En grunn ligger i at det, tross sakens begrensede tema, er produsert og fremlagt en lang rekke dokumenter – totalt teller hovedutdraget 1068 sider og tilleggsutdraget 17 sider. I all hovedsak skyldes dette As mange og omfattende prosesskriv, som det tar betydelig tid å sette seg inn i og forstå. (…) Retten vil dømme A til å dekke Bs saksomkostninger med kr 443.812,50.»

Advokatfullmektigen som prosederte saken, Sondre Knudsen uttalte seg om saken på Linkedin:

«Saksøkte var «assistert og supplert» av kunstig intelligens, som angivelig var en «meget effektiv sparringpartner». Hva sier dette meg? Feil bruk av KI betyr mer støy og høyere konfliktnivå. KI har en tendens til å bekrefte brukerens premisser. Spør du ledende, får du ledende svar. Å “spare” penger ved å erstatte juridisk bistand med KI kan bli dyrt: lengre dokumenter, mer arbeid, høyere sakskostnader. For motparten ble to dager i retten en dyr affære.

Det er mye snakk om prisene til advokater, men i dette tilfellet ville nok kjøper ha spart penger på å ha brukt advokat.

* * *

Og en påminnelse på hvor viktig det er med personvernerklæring (overalt!):

Dette nyhetsbrevet og tidligere versjoner kan også leses på mine nettsider, sandtro.no, hvor det også finnes mer om GDPR, med oversikt over personvernforordningen (GDPR) med relevante fortalepunkter og informasjon knyttet til hver enkelt artikkel samt dokumenter, maler, sjekklister osv. som kan lastes ned.

For rettigheter og bruk av innholdet over, se her: https://sandtro.no/rettigheter/.

Litt legal stuff: Ovenfor er det kun nyheter og informasjon som ikke må forstås som juridiske råd. Overholdelse av lover og regler er en vurdering som den enkelte må gjøre basert på den konkrete behandlingen av personopplysninger, eventuelt gjennom å søke om ekspertise.

← Tilbake til nyhetsbrev