Norges personvernlover: GDPR gjennom EOS, personopplysningsloven og Datatilsynet (2026)

Norge håndhever hele EUs personvernforordning (GDPR) gjennom EOS-avtalen, supplert av personopplysningsloven (LOV-2018-06-15-38), i kraft siden 20. juli 2018. Datatilsynet, det nasjonale tilsynsorganet, kan ilegge overtredelsesgebyr på inntil 20 millioner euro eller 4 % av global årsomsetning ved brudd.
Kort svar
Norge anvender hele teksten i EUs personvernforordning (GDPR) gjennom EOS-avtalen, supplert av den norske personopplysningsloven av 2018. Tilsynsorganet er Datatilsynet, som er en av de mer aktive GDPR-håndheverne i Europa. Overtredelsesgebyr kan komme opp i 20 millioner euro eller 4 % av global årsomsetning. Regelverket er innholdsmessig identisk med det som gjelder i EUs medlemsstater, med et fåtall Norge-spesifikke regler om samtykke fra barn, arbeidsforhold og nasjonale identifikasjonsnumre.
Virksomheter som opererer i Norge, eller som retter seg mot personer bosatt i Norge, må overholde de samme reglene som de ville gjort i enhver EU-medlemsstat. Den praktiske forskjellen er strukturell: Norge står utenfor EUs formelle institusjonelle rammeverk, slik at Datatilsynet deltar i Det europeiske personvernrådet (EDPB) som observatør snarere enn som stemmeberettiget medlem, og GDPRs ordning med «one-stop-shop» gjelder ikke for Datatilsynet på samme måte som for EUs ledende tilsynsmyndigheter.
Grunnlovsforankring: § 102
Personvernet i Norge har en grunnlovsforankring. Grunnloven § 102 fastsetter retten til respekt for privatliv, hjem og kommunikasjon, og pålegger uttrykkelig staten å sikre den personlige integriteten. Domstoler og tilsynsmyndigheter behandler denne bestemmelsen som en grunnleggende sikkerhetsventil som gjelder selv der lovgivningen er taus eller uklar.
Det grunnlovfestede vernet er ikke bare symbolsk. Norske domstoler har vist til § 102 i saker om overvåking, innsyn i registre og rekkevidden av arbeidsgiverkontroll. Bestemmelsen virker sammen med GDPR og personopplysningsloven som et forsterkende personvernlag.
Hvordan GDPR gjelder gjennom EOS-avtalen
Norge er ikke medlem av EU og deltar ikke i EUs lovgivningsprosesser. Norge er imidlertid medlem av Det europeiske økonomiske samarbeidsområdet gjennom EOS-avtalen, som utvider EUs indre marked, herunder personvernreglene, til Norge, Island og Liechtenstein.
GDPR ble innlemmet i vedlegg XI til EOS-avtalen ved en beslutning i EØS-komiteen 6. juli 2018. Beslutningen inneholdt en kort tilpasning, som krevde at Norge melder sitt tilsynsorgan til EØS-komiteen i stedet for til Europakommisjonen, og som fastsatte at GDPRs mekanismer for tilsynssamarbeid virker mellom Datatilsynet og EUs medlemsstatsmyndigheter gjennom EOS-spesifikke kanaler.
Den praktiske effekten er nesten fullstendig samsvar. Norsk rett anvender GDPRs definisjoner, prinsipper, behandlingsgrunnlag, rettigheter, forpliktelser og sanksjonsstruktur uten endringer. Behandlingsansvarlige som er underlagt både GDPR (gjennom etablering i EU) og norsk rett (gjennom virksomhet i Norge), står overfor ett samstemt regelverk.
Én strukturell forskjell berører multinasjonale selskaper: GDPRs «one-stop-shop»-ordning gjør at selskaper med hovedetablering i EU først og fremst forholder seg til sin ledende tilsynsmyndighet. Datatilsynet kan koordinere med EUs tilsynsmyndigheter gjennom EDPB, men den formelle one-stop-shop-mekanismen, som kanaliserer klager til én ledende myndighet, gjelder ikke for Datatilsynet på samme måte. I praksis kan og vil Datatilsynet åpne parallelle undersøkelser av det samme selskapet, selv der en ledende EU-myndighet også er involvert.
Personopplysningsloven
Struktur og virkeområde
Personopplysningsloven (lov om behandling av personopplysninger, LOV-2018-06-15-38) trådte i kraft 20. juli 2018 og erstattet den tidligere personopplysningsloven fra 2000. 2018-loven er bevisst kortfattet. I stedet for å gjengi GDPRs forpliktelser i sin helhet, innlemmer den i hovedsak GDPR ved henvisning (gjennom EOS-retten) og regulerer de konkrete områdene der GDPR gir medlemsstatene handlingsrom.
Loven omfatter behandling av personopplysninger med elektroniske hjelpemidler, samt manuell behandling der opplysningene inngår i et register. Den gjelder for behandlingsansvarlige og databehandlere etablert i Norge, og gjennom GDPR artikkel 3, for virksomheter utenfor Norge som behandler opplysninger om personer i Norge når de tilbyr varer eller tjenester til dem eller overvåker deres atferd.
Nasjonale suppleringsregler
Norge har benyttet sitt handlingsrom etter GDPR på flere materielle områder:
Barns digitale samtykke. Lovens § 5 setter den digitale samtykkealderen til 13 år. GDPR gir medlemsstatene adgang til å velge en alder mellom 13 og 16 år. Norge valgte 13 år, den lavest tillatte terskelen, for å maksimere unges digitale deltakelse. For barn under 13 år kreves samtykke fra foreldre eller foresatte.
Denne terskelen er under vurdering. I oktober 2024 foreslo den norske regjeringen å heve den digitale samtykkealderen fra 13 til 15 år, med særlig sikte på sosiale medier-plattformer. Forslaget er fortsatt til offentlig høring.
Fødselsnummer. Lovens § 12 fastsetter begrensninger på behandling av norske fødselsnumre, og begrenser bruken til situasjoner med et klart behov, med krav om egnede sikkerhetstiltak. Fødselsnumre anses som sensitive i norsk sammenheng på grunn av den utstrakte bruken i forvaltnings- og finanssystemer.
Personopplysninger i arbeidsforhold. Loven inneholder bestemmelser som tillater behandling av ansattes sensitive personopplysninger der det er nødvendig for å oppfylle arbeidsrettslige plikter eller utøve arbeidsrettslige rettigheter. Arbeidsgivere har egne forpliktelser knyttet til kontroll på arbeidsplassen etter arbeidsmiljøloven og tilhørende forskrifter, som stiller krav til nødvendighet og forholdsmessighet, samt plikt til forhåndsvarsling før et kontrolltiltak innføres.
Forskning, arkiv og statistikk. Lovens § 17 begrenser enkelte av den registrertes rettigheter, herunder innsyn, retting og begrensning, i tilfeller der utøvelsen av disse alvorlig ville hindre behandling for arkiv-, forsknings- eller statistikkformål, forutsatt at behandlingen er underlagt egnede sikkerhetstiltak. § 16 tillater begrensninger i åpenhets- og innsynsrettighetene der utlevering ville true nasjonal sikkerhet, kriminalitetsforebygging eller en annen persons private interesser.
Offentlig innsyn og avveining mot personvern. Norges sterke tradisjon for åpen forvaltning, nedfelt i offentleglova, skaper en tilbakevendende spenning mot personvernkravene. Offentlige organer må avveie åpenhetsplikten mot personvernet ved behandling av innsynskrav, og personopplysningsloven gir et rammeverk for denne avveiningen.
Direkte markedsføring og elektronisk kommunikasjon. Ekomloven begrenser direkte elektronisk markedsføring til enkeltpersoner uten forhåndssamtykke, i tråd med ePrivacy-direktivets rammeverk, som Norge også gjennomfører gjennom sine EOS-forpliktelser. Reservasjonsordninger alene oppfyller ikke samtykkekravet for de fleste kategorier direkte markedsføring.
Datatilsynet: rolle, myndighet og organisering
Uavhengighet og styring
Datatilsynet ble opprettet i 1980, noe som gjør det til et av de eldste personvernorganene i Europa. Det er et uavhengig offentlig organ og er ikke underlagt instruksjon fra regjeringen i enkeltsaker. Tilsynet ledes av en direktør og har om lag 70 ansatte med kompetanse innen jus, teknologi og politikkutforming.
Datatilsynet finansieres over statsbudsjettet, men utøver sin undersøkelses- og håndhevingsmyndighet uavhengig. Det rapporterer årlig til Stortinget gjennom det ansvarlige departementet, men fatter sine egne håndhevingsvedtak uten departementets godkjenning.
Tilsyns- og håndhevingsmyndighet
Etter GDPR artikkel 58 har Datatilsynet hele spekteret av undersøkende, korrigerende og rådgivende fullmakter:
Undersøkende fullmakter omfatter muligheten til å pålegge behandlingsansvarlige og databehandlere å gi opplysninger, tilgang til ethvert lokale (herunder gjennom stedlig tilsyn), og muligheten til å gjennomføre personvernrevisjoner.
Korrigerende fullmakter omfatter å gi advarsler før behandling starter, gi irettesettelser ved overtredelser, pålegge etterlevelse av krav fra registrerte, pålegge retting eller sletting av opplysninger, ilegge midlertidige eller permanente behandlingsforbud, trekke tilbake sertifiseringer og ilegge overtredelsesgebyr.
Rådgivende fullmakter omfatter å avgi uttalelser om lovforslag, publisere retningslinjer og gi veiledning til allmennheten og virksomheter.
Datatilsynet kan også ilegge tvangsmulkt løpende eller periodisk der en behandlingsansvarlig eller databehandler ikke etterkommer et korrigerende pålegg. Denne mekanismen skaper et sterkt økonomisk insentiv til rask etterlevelse, uavhengig av det ordinære overtredelsesgebyret.
Deltakelse i EDPB
Datatilsynet deltar i Det europeiske personvernrådet gjennom EOS-kanaler. Det møter på EDPBs plenumsmøter, kan bidra til bindende beslutninger og retningslinjer, og er underlagt EDPBs samstemmighetsmekanismer. Datatilsynet stemmer imidlertid ikke på samme formelle måte som EUs medlemsstatsmyndigheter, og den formelle tvisteløsningsmekanismen etter artikkel 65 gjelder ikke direkte for Datatilsynet på samme måte som for EUs ledende myndigheter.
Til tross for denne strukturelle forskjellen påvirker Datatilsynet aktivt EDPBs arbeid gjennom skriftlige innspill og deltakelse i arbeidsgrupper. Tilsynets holdning til samtykke og atferdsbasert annonsering, utviklet gjennom Grindr- og Meta-sakene, har påvirket EDPBs veiledning på disse områdene.
Personvernnemnda
Datatilsynets vedtak kan påklages til Personvernnemnda, et uavhengig forvaltningsklageorgan. Nemnda overprøver realiteten i Datatilsynets vedtak og kan opprettholde, endre eller oppheve dem. Nemndas avgjørelser kan igjen bringes inn for de ordinære domstolene.
Personvernnemnda har avsagt en rekke betydningsfulle avgjørelser. I Grindr-saken opprettholdt nemnda Datatilsynets gebyr på 65 millioner kroner i september 2023. I PVN-2024-04 (Meta/Facebook) tok nemnda til følge en klage fra Meta Ireland om beregningen av den løpende tvangsmulkten, men opprettholdt det underliggende forbudet mot atferdsbasert annonsering. I PVN-2024-06 avviste nemnda en klage knyttet til en barnevernstjeneste, under henvisning til at den registrerte ikke hadde klagerett over et korrigerende tiltak vedkommende mente var for mildt.
Nemndas avgjørelser publiseres på dens nettsted og på GDPRhub, noe som gjør norsk forvaltningspraksis tilgjengelig for jurister over hele Europa.
Behandlingsgrunnlag
GDPRs seks behandlingsgrunnlag etter artikkel 6 gjelder fullt ut:
Samtykke må være frivillig, spesifikt, informert og utvetydig. I den digitale sammenhengen er forhåndsavkryssede bokser, kombinert samtykke og samtykke oppnådd gjennom villedende grensesnittdesign («dark patterns») ugyldige. Datatilsynet har vært særlig påpasselig med samtykkekvalitet i annonseteknologisammenheng.
Oppfyllelse av avtale tillater behandling som er nødvendig for å oppfylle en avtale med den registrerte, eller for å gjennomføre tiltak på den registrertes anmodning før avtaleinngåelse.
Rettslig forpliktelse omfatter behandling som er påkrevd etter norsk rett eller EOS-rett.
Vitale interesser er et snevert grunnlag som gjelder der behandlingen er nødvendig for å verne noens liv.
Offentlig myndighetsutøvelse omfatter behandling utført av offentlige myndigheter i utøvelsen av offentlige oppgaver fastsatt i lov.
Berettiget interesse krever en trepunktstest: den behandlingsansvarlige må ha en berettiget interesse, behandlingen må være nødvendig for denne interessen, og interessen må ikke overstyres av den registrertes interesser eller grunnleggende rettigheter. Datatilsynet vurderer påberopelser av berettiget interesse nøye, og har avvist argumenter fra annonseselskaper om at atferdsbasert profilering oppfyller denne testen.
For særlige kategorier av personopplysninger, herunder helseopplysninger, biometriske opplysninger, genetiske opplysninger, opplysninger om rasemessig eller etnisk opprinnelse, religiøs overbevisning, politisk oppfatning, fagforeningsmedlemskap og opplysninger om seksuelt liv eller seksuell orientering, må behandlingsgrunnlaget etter artikkel 6 kombineres med ett av vilkårene i artikkel 9. Behandling av opplysninger om straffedommer krever et ytterligere vilkår etter artikkel 10 og er som regel forbeholdt offentlige myndigheter.
Den registrertes rettigheter
Personer bosatt i Norge har hele settet av GDPR-rettigheter, og Datatilsynet håndhever dem aktivt:
Rett til innsyn (artikkel 15). Den registrerte kan be om bekreftelse på om personopplysninger om vedkommende behandles, og motta en kopi. Den behandlingsansvarlige må svare innen én kalendermåned, med mulighet for forlengelse med ytterligere to måneder ved komplekse henvendelser. Den første kopien skal være vederlagsfri; den behandlingsansvarlige kan ta et rimelig gebyr for ytterligere kopier.
Rett til retting (artikkel 16). Den registrerte kan kreve retting av uriktige personopplysninger og supplering av ufullstendige opplysninger.
Rett til sletting (artikkel 17). Retten til å bli glemt gjelder der opplysningene ikke lenger er nødvendige for det opprinnelige formålet, samtykket er trukket tilbake og det ikke finnes annet behandlingsgrunnlag, en innsigelse etter artikkel 21 tas til følge, opplysningene er behandlet ulovlig, eller sletting er påkrevd etter lov. Retten har begrensninger: den gjelder ikke der behandlingen er nødvendig av hensyn til ytrings- og informasjonsfriheten, for oppfyllelse av en rettslig forpliktelse, for oppgaver av allmenn interesse, eller for å fastsette, gjøre gjeldende eller forsvare rettskrav.
Rett til begrensning (artikkel 18). Den registrerte kan kreve en midlertidig stans i behandlingen under nærmere angitte omstendigheter, for eksempel når riktigheten av opplysningene bestrides, eller når en innsigelse om berettiget interesse er under vurdering.
Rett til dataportabilitet (artikkel 20). Der behandlingen er basert på samtykke eller avtale og utføres med automatiserte midler, kan den registrerte motta sine personopplysninger i et strukturert, alminnelig anvendt og maskinlesbart format, og overføre dem til en annen behandlingsansvarlig.
Rett til å protestere (artikkel 21). Den registrerte kan protestere mot behandling basert på berettiget interesse, offentlig myndighetsutøvelse eller direkte markedsføring. Innsigelser mot direkte markedsføring er absolutte; den behandlingsansvarlige må stanse umiddelbart. Innsigelser på andre grunnlag krever at den behandlingsansvarlige påviser tvingende berettigede grunner som overstyrer den registrertes interesser.
Rettigheter knyttet til automatiserte avgjørelser (artikkel 22). Den registrerte har rett til ikke å være gjenstand for avgjørelser som utelukkende er basert på automatisert behandling, herunder profilering, som har rettsvirkning eller på lignende måte i betydelig grad påvirker vedkommende, med mindre bestemte vilkår er oppfylt, som uttrykkelig samtykke eller avtalemessig nødvendighet, sammen med retten til å kreve manuell overprøving.
Særlige kategorier av personopplysninger
GDPRs særlige kategorier (artikkel 9) er gjengitt i norsk rett uten endringer. Forbudet mot å behandle disse kategoriene er strengt, og unntakene tolkes snevert. Datatilsynet har iverksatt håndhevingstiltak mot behandlingsansvarlige som støttet seg på feil behandlingsgrunnlag for helseopplysninger, biometriske opplysninger og opplysninger om seksuell orientering.
Norges arbeidslivsunntak gir arbeidsgivere adgang til å behandle sensitive personopplysninger, herunder helseopplysninger og fagforeningsmedlemskap, der det er nødvendig for å oppfylle arbeidsrettslige plikter. Arbeidsmiljøloven fastsetter de konkrete omstendighetene der kontroll av ansattes helse, gentesting og andre inngripende tiltak er tillatt, som regel begrenset til sikkerhetskritiske stillinger.
Varsling om avvik
Den behandlingsansvarliges plikter
Den behandlingsansvarlige må varsle Datatilsynet om et avvik uten ugrunnet opphold, og der det er mulig, innen 72 timer etter å ha blitt kjent med det. Dersom varsling ikke kan skje innen 72 timer, må den behandlingsansvarlige gi en begrunnelse for forsinkelsen.
Varselet må inneholde en beskrivelse av avvikets art (herunder kategorier og omtrentlig antall registrerte og opplysninger), kontaktopplysninger til personvernombudet eller et annet kontaktpunkt, en beskrivelse av sannsynlige konsekvenser, og en beskrivelse av tiltak som er iverksatt eller foreslått for å håndtere avviket.
Der avviket sannsynligvis vil medføre høy risiko for enkeltpersoners rettigheter og friheter, må den behandlingsansvarlige også varsle de berørte enkeltpersonene uten ugrunnet opphold. Et høyrisikoavvik omfatter typisk sensitive opplysninger, finansiell informasjon, eller omstendigheter der identitetstyveri eller fysisk skade er mulig.
Mindre avvik som ikke sannsynligvis vil medføre risiko for enkeltpersoner, trenger ikke varsles til Datatilsynet, men må dokumenteres internt slik at Datatilsynet kan kontrollere etterlevelsen.
Databehandlerens plikter
Databehandleren må varsle sin behandlingsansvarlige uten ugrunnet opphold etter å ha blitt kjent med et avvik. Databehandlerens varsel til den behandlingsansvarlige utløser den behandlingsansvarliges 72-timersfrist. Databehandlere plikter ikke å varsle Datatilsynet direkte; den plikten ligger hos den behandlingsansvarlige.
Dokumentasjon
Den behandlingsansvarlige må føre interne registre over alle avvik knyttet til personopplysninger, uavhengig av om de er varslet eller ikke. Disse registrene inngår i den dokumentasjonsplikten (ansvarlighetsprinsippet) som Datatilsynet kan kontrollere.
Personvernombud
Når er personvernombud obligatorisk?
Et personvernombud må utpekes der:
- Den behandlingsansvarlige eller databehandleren er et offentlig organ (med begrensede unntak for domstoler i deres dømmende funksjon).
- Kjernevirksomheten består av behandlingsaktiviteter som krever regelmessig og systematisk overvåking av registrerte i stort omfang.
- Kjernevirksomheten består av behandling av særlige kategorier av opplysninger i stort omfang, eller behandling av personopplysninger om straffedommer og lovovertredelser.
Telenor-saken i mars 2025 illustrerte hva som konkret står på spill. Datatilsynet ila Telenor ASA et overtredelsesgebyr på 4 millioner kroner, spesifikt fordi selskapet ikke hadde organisert personvernombudsfunksjonen på en forsvarlig måte: det hadde ikke dokumentert om det var pålagt å utpeke personvernombud, hadde ikke etablert en direkte rapporteringslinje fra personvernombudet til toppledelsen, og hadde ikke sikret personvernombudets operasjonelle uavhengighet. Gebyret var basert på artiklene 37 til 39 og artikkel 24 i GDPR.
Personvernombudets rolle og vern
Personvernombudet må ha ekspertkunnskap om personvernrett og -praksis. Ombudet gir virksomheten råd om GDPR-etterlevelse, følger opp intern etterlevelse, gir veiledning ved personvernkonsekvensvurderinger, samarbeider med Datatilsynet, og fungerer som tilsynets primære kontaktpunkt.
Personvernombud kan ikke avskjediges eller straffes for å utføre sine oppgaver. De må rapportere direkte til virksomhetens øverste ledelse. Der det foreligger en interessekonflikt, for eksempel der personvernombudet også innehar en rolle med beslutningsmyndighet over behandlingen, kan utnevnelsen være ugyldig. Datatilsynet har vist til interessekonflikt som grunnlag for håndhevingstiltak.
Personvernkonsekvensvurderinger
Den behandlingsansvarlige må gjennomføre en personvernkonsekvensvurdering (DPIA) før behandling som sannsynligvis vil medføre høy risiko for enkeltpersoner. Datatilsynet har publisert en liste over behandlingstyper som alltid krever en DPIA, herunder systematisk overvåking av offentlig tilgjengelige områder i stort omfang, storskala behandling av særlige kategorier, og bruk av ny teknologi med usikre personvernkonsekvenser.
Der en DPIA avdekker en høy restrisiko som den behandlingsansvarlige ikke kan redusere, må den behandlingsansvarlige rådføre seg med Datatilsynet før behandlingen igangsettes. Datatilsynet vil gi en skriftlig uttalelse og kan i siste instans forby behandlingen.
Grenseoverskridende overføring av personopplysninger
Overføringer innenfor EOS
Personopplysninger flyter fritt mellom Norge og alle EU- og EOS-land. Det kreves ingen ytterligere overføringsmekanisme, vurdering eller garanti for overføringer innenfor denne sonen.
Overføringer til tredjeland
Overføring av personopplysninger fra Norge til land utenfor EOS krever ett av følgende:
Beslutning om tilstrekkelig beskyttelsesnivå. Europakommisjonen har anerkjent flere land som å gi et tilstrekkelig beskyttelsesnivå, herunder Japan, Storbritannia, Sveits, Canada (kommersielle virksomheter), Sør-Korea, New Zealand, Israel, Uruguay, Argentina og Færøyene. Overføringer til sertifiserte virksomheter i USA dekkes av EU-USA personvernrammeverket (Data Privacy Framework), som Kommisjonen vedtok i juli 2023.
Egnede garantier. Der det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå, må den behandlingsansvarlige innføre egnede garantier. De vanligste mekanismene er standard personvernbestemmelser (SCC), oppdatert av Kommisjonen i juni 2021, og bindende virksomhetsregler for overføringer innad i konsern. Atferdsnormer og sertifiseringsordninger godkjent etter artikkel 46 kan også fungere som garantier.
Vurdering av overføringens konsekvenser. Etter EU-domstolens avgjørelse i Schrems II-saken må behandlingsansvarlige som bruker standard personvernbestemmelser, gjennomføre en vurdering av overføringens konsekvenser (Transfer Impact Assessment) for å kontrollere at rettssystemet i mottakerlandet ikke undergraver beskyttelsen i bestemmelsene. Datatilsynet har gitt veiledning om slike vurderinger og har iverksatt håndhevingstiltak der virksomheter brukte Google Analytics til å overføre opplysninger til USA uten å ha gjennomført tilstrekkelige vurderinger av amerikansk overvåkingslovgivning.
Unntak. Unntakene etter artikkel 49 gjelder for enkeltstående, ikke-repeterende overføringer basert på uttrykkelig samtykke, avtalemessig nødvendighet, vitale interesser, viktige allmenne interesser eller rettskrav. Datatilsynet behandler disse unntakene som snevre unntaksregler og har advart mot å bruke dem som en erstatning for å innføre ordentlige overføringsmekanismer.
Overføring til USA (veiledning fra 2025). I februar 2025 utga Datatilsynet spesifikk veiledning om overføringer til USA i lys av utviklingen i amerikansk myndighetstilgang. Tilsynet oppfordret behandlingsansvarlige til å følge med på utviklingen, dokumentere sine vurderinger av overføringens konsekvenser grundig, og innføre supplerende tekniske tiltak der det er mulig. EU-USA personvernrammeverket gjelder fortsatt, men Datatilsynet påpekte at dets tilstrekkelighet kan påvirkes av endringer i amerikansk rett.
Sanksjoner og håndheving
Struktur for overtredelsesgebyr
GDPRs topartsstruktur gjelder:
Nivå 1 (mindre alvorlige overtredelser): Inntil 10 millioner euro eller 2 % av samlet global årsomsetning for foregående regnskapsår, avhengig av hva som er høyest. Dette nivået omfatter brudd på databehandlerens plikter, personvernombudsplikter, sertifiseringsplikter og varslingsplikter ved avvik.
Nivå 2 (mer alvorlige overtredelser): Inntil 20 millioner euro eller 4 % av samlet global årsomsetning, avhengig av hva som er høyest. Dette nivået omfatter brudd på de grunnleggende prinsippene for behandling, brudd på vilkårene for samtykke, brudd på registrertes rettigheter, ulovlige overføringer og brudd på medlemsstatenes forpliktelser.
Tvangsmulkt
I tillegg til overtredelsesgebyr kan Datatilsynet ilegge tvangsmulkt løpende inntil en behandlingsansvarlig eller databehandler etterkommer et korrigerende pålegg. Denne mulkten løper uavhengig av overtredelsesgebyret og er ment å fremme rask etterlevelse fremfor å straffe tidligere atferd.
Strafferettslige sanksjoner
Personopplysningsloven åpner for straffeforfølgning ved forsettlige eller grovt uaktsomme overtredelser. Strafferettslige reaksjoner kan omfatte bot og fengsel, men strafferettslig håndheving forekommer sjelden. Straffesaker oversendes påtalemyndigheten av Datatilsynet og behandles av de ordinære domstolene.
Sentrale håndhevingssaker
Grindr LLC (65 millioner kroner, 2021, opprettholdt 2025). Datatilsynet ila Grindr et gebyr på 65 millioner kroner i desember 2021 for å ha delt brukeres personopplysninger med annonsepartnere uten gyldig samtykke. Delingen omfattet presise posisjonsdata og opplysninger som avslørte seksuell orientering, en særlig kategori etter artikkel 9. Personvernnemnda opprettholdt gebyret i september 2023. Oslo tingrett bekreftet det i 2024. Borgarting lagmannsrett opprettholdt det på ny i oktober 2025, og avviste Grindrs anførsler på samtlige punkter. Saken slo fast at Datatilsynet vil forfølge betydelige gebyrer mot store internasjonale teknologiselskaper, og at norske domstoler vil støtte slike gebyrer ved anke.
NAV (20 millioner kroner, mars 2024). Datatilsynet ila NAV (Arbeids- og velferdsetaten) et gebyr på 20 millioner kroner etter et tilsyn som avdekket strukturelle svakheter i tilgangsstyring og loggkontroll. Tilsynet avdekket at NAV ikke hadde gitt personvernet tilstrekkelig prioritet og ressurser på ledelsesnivå, noe som resulterte i uautorisert tilgang til sensitive velferds- og helseopplysninger. NAV påklaget vedtaket; saken lå hos Personvernnemnda ved utgangen av 2024.
Telenor ASA (4 millioner kroner, mars 2025). Datatilsynet ila Norges største teleselskap et gebyr på 4 millioner kroner for svikt knyttet til personvernombudet. Telenor hadde ikke dokumentert om selskapet var pålagt å utpeke personvernombud, hadde ikke etablert en direkte rapporteringslinje fra personvernombudet til toppledelsen, og hadde ikke sikret personvernombudets uavhengighet og involvering i beslutninger om behandling. Saken er viktig som et signal om at Datatilsynet vil forfølge strukturelle styringssvikt, ikke bare enkeltstående avvik.
Tilsyn med sporingspiksler (2025). Datatilsynet gransket seks nettsteder og fant at samtlige delte besøkendes personopplysninger med tredjeparter, herunder Meta og Snapchat, gjennom sporingspiksler uten gyldig behandlingsgrunnlag. De seks nettstedene var 116111.no (et offentlig tilbud til sårbare barn), apotekfordeg.no (apotektjeneste), bibel.no (kristent innhold), drdropin.no (medisinske tjenester), ifengsel.no (barn med foreldre i fengsel) og nhi.no (helseinformasjon). Datatilsynet ila 116111.no et gebyr på 250 000 kroner og ga de øvrige irettesettelser. Saken understreket særlig bekymring for sporingspiksler på nettsteder som håndterer barns opplysninger og sensitiv helseinformasjon.
Universitetet i Agder (150 000 kroner, september 2024). Datatilsynet ila UiA et gebyr for manglende egnede tekniske og organisatoriske tiltak for å beskytte personopplysninger ved bruk av Microsoft Teams, i strid med GDPR artikkel 32.
Grue kommune og Eidskog kommune (250 000 kroner hver, 2024). Begge kommuner ble ilagt gebyr for GDPR-brudd: Grue for en taushetspliktsvikt i offentlige dokumenter, og Eidskog for å ha behandlet personopplysninger uten gyldig behandlingsgrunnlag.
Datatilsynets regulatoriske sandkasse for KI
Siden 2020 har Datatilsynet drevet en regulatorisk sandkasse for kunstig intelligens, en av de første personvernspesifikke KI-sandkassene i Europa. Programmet tilbyr gratis, ekspertveiledning til en liten gruppe utvalgte virksomheter mot full åpenhet om deres KI-systemer og personvernvurderinger.
Sandkassen skal stimulere til innebygd personvern (privacy by design) i KI-utvikling og hjelpe Datatilsynet med å bygge regulatorisk kompetanse. Innsikt fra sandkasseprosjekter inngår i Datatilsynets publiserte veiledninger om KI og deles med EDPB.
Sandkasseprosjekter har omfattet maskinlæring for helsediagnostikk, føderert læring for hvitvaskingsbekjempelse, læringsanalyse, risikoprofilering av ansattes cybersikkerhet, digital identitetsverifisering og analyse av Microsoft Copilot for Office 365. I sin femte runde (2024) valgte Datatilsynet ut fire nye prosjekter med spesifikt fokus på generativ KI og store språkmodeller.
Sandkassen er åpen for virksomheter av alle størrelser og bransjer. Søknader vurderes ut fra nyhetsverdi, allmenn interesse, potensielle personvernrisikoer og søkerens vilje til å dele funnene offentlig. Deltakende virksomheter mottar skriftlige vurderinger som kan fungere som uformell veiledning for lignende prosjekter i det bredere markedet.
EUs KI-forordning og Norge
Norge har forpliktet seg til å innlemme EUs KI-forordning i EOS-avtalen, noe som vil gjøre den bindende i norsk rett på linje med GDPR. EUs KI-forordning ble kunngjort i Den europeiske unions tidende 12. juli 2024 og trådte i kraft i EU 1. august 2024, med de mest betydningsfulle forpliktelsene gjeldende fra august 2026.
I juni 2025 publiserte den norske regjeringen et høringsnotat med forslag til en nasjonal KI-lov for å gjennomføre EU-forordningen. Høringsfristen var 30. september 2025, og regjeringen har uttalt at loven er ment å tre i kraft sommeren 2026, i tråd med EUs egen innfasingsplan.
Når KI-forordningen er innlemmet, vil den innføre gradvise forpliktelser basert på risikonivået til KI-systemene. Høyrisiko-KI-systemer, som dekker områder som biometrisk identifisering, kritisk infrastruktur, utdanning, arbeidsliv, viktige private tjenester, rettshåndhevelse, migrasjonsforvaltning og rettspleie, vil kreve samsvarsvurderinger, registrering i en EU-database og løpende overvåking. Forbudte KI-praksiser, herunder sosial poengsetting av offentlige myndigheter og biometrisk sanntidsovervåking på offentlig sted (med snevre unntak), vil bli forbudt i Norge på samme måte som i EU.
Datatilsynet forventes å fungere som kompetent markedstilsynsmyndighet for KI-systemer som involverer behandling av personopplysninger, i samarbeid med andre norske markedstilsynsorganer.
Kontroll på arbeidsplassen
Norge har noe av den mest detaljerte reguleringen av kontroll på arbeidsplassen i Europa. Arbeidsgivere kan ikke innføre kontroll av ansatte uten å oppfylle kravene i både arbeidsmiljøloven og GDPR:
Nødvendighet og forholdsmessighet. Kontrolltiltaket må være nødvendig for et legitimt formål. Datatilsynet har konsekvent lagt til grunn at hensynet til forretningsmessig effektivitet alene ikke rettferdiggjør inngripende kontroll. Overvåking av ansatte må stå i forhold til det konkrete formålet.
Forhåndsvarsel. Arbeidsgivere må informere ansatte og tillitsvalgte før et kontrolltiltak innføres. På fagorganiserte arbeidsplasser kreves som regel drøfting med tillitsvalgte.
Tillatte former for kontroll. Regelverket skiller mellom ulike typer kontrolltiltak. Kameraovervåking av arbeidsplassen er tillatt der det er nødvendig av sikkerhets- eller ulykkesforebyggende hensyn, men ikke for generell overvåking av ansatte. Kontroll av e-post og internettbruk er bare tillatt under bestemte, snevert avgrensede omstendigheter. GPS-sporing av tjenestebiler er tillatt for ruteplanlegging og sikkerhetsformål, men ikke for kontinuerlig posisjonsovervåking av ansatte.
Sektorspesifikke regler. Helse-, finans- og sikkerhetssektorene har egne sektorspesifikke regler for ansattes opplysninger. Forskriften om kontrolltiltak i arbeidslivet, gitt med hjemmel i arbeidsmiljøloven, gir det overordnede rammeverket.
Sjekkliste for virksomheters etterlevelse
Virksomheter som behandler personopplysninger i Norge, bør sikre:
-
Dokumentasjon av behandlingsgrunnlag. Enhver behandlingsaktivitet i protokollen over behandlingsaktiviteter må ha et klart definert behandlingsgrunnlag. Vurderinger av berettiget interesse må være skriftlige og dokumenterte.
-
Rutiner for den registrertes rettigheter. Virksomheter må ha definerte rutiner for å håndtere krav om innsyn, retting, sletting, begrensning, portabilitet og innsigelse innenfor énmånedsfristen. Henvendelser mottatt på norsk må besvares på norsk.
-
Utnevnelse og styring av personvernombud. Avklar om personvernombud er påkrevd. Dersom ja, dokumenter utnevnelsen, etabler en direkte rapporteringslinje til styret eller toppledelsen, og sørg for at personvernombudet ikke har interessekonflikter.
-
Beredskap for varsling av avvik. Oppretthold en hendelseshåndteringsrutine som kan utløse en varsling til Datatilsynet innen 72 timer. Utpek hvem som er ansvarlig for å sende avviksvarsler.
-
Prosess for personvernkonsekvensvurderinger. Identifiser behandlingsaktiviteter som krever en DPIA før de tas i bruk. Bruk Datatilsynets publiserte liste over obligatoriske utløsende faktorer, og gjennomfør DPIA-er for ny teknologi, KI-systemer og storskala sporing.
-
Overføringsmekanismer. Kartlegg all dataflyt ut av EOS. Kontroller at beslutninger om tilstrekkelig beskyttelsesnivå fortsatt gjelder, at standard personvernbestemmelser er i 2021-versjonen, og at vurderinger av overføringens konsekvenser er gjennomført for overføringer til høyrisikojurisdiksjoner.
-
Samtykkehåndtering. Gjennomgå samtykkeløsninger for informasjonskapsler, sporing og markedsføring. Sørg for at samtykket er detaljert, frivillig og dokumentert. Bruk en samtykkehåndteringsplattform som fører en revisjonssti.
-
Barns personopplysninger. Innfør skjerpede sikkerhetstiltak for tjenester som kan brukes av barn. Verifiser alder der tjenesten er rettet mot, eller sannsynligvis vil tiltrekke seg, personer under 15 år (i påvente av den foreslåtte aldersøkningen).
-
KI-styring. Forbered virksomheten på KI-forordningen. Kategoriser KI-systemer etter risikonivå og identifiser hvilke systemer som vil kreve samsvarsvurderinger eller registrering under EU-rammeverket.
-
Datatilsynets veiledning. Følg med på Datatilsynets nettsted for oppdaterte retningslinjer og håndhevingsvedtak. Tilsynet publiserer engelskspråklig veiledning om de fleste større etterlevelsestemaer.
For en relatert gjennomgang av norsk opptaks- og samtykkerett, se vår veiledning om Norges opptakslover.
Denne artikkelen er kun ment som generell informasjon og utgjør ikke juridisk rådgivning. Personvernretten endres hyppig, og virksomheter bør rådføre seg med en kvalifisert advokat for råd tilpasset sin konkrete situasjon.

Frequently Asked Questions
Gjelder GDPR i Norge selv om Norge ikke er medlem av EU?
Ja. Norge er medlem av Det europeiske økonomiske samarbeidsområdet, og GDPR ble innlemmet i EOS-avtalen ved en beslutning i EØS-komiteen 6. juli 2018. Den norske personopplysningsloven av 2018 gjennomfører GDPR formelt i nasjonal rett. Resultatet er et regelverk som innholdsmessig er identisk med det i EUs medlemsstater, håndhevet av Datatilsynet.
Hva er det største GDPR-gebyret i norsk historie?
Det største gebyret er 65 millioner kroner (om lag 5,8 millioner euro), ilagt Grindr LLC i desember 2021 for å ha delt brukeres personopplysninger, herunder posisjonsdata og seksuell orientering, med annonsepartnere uten gyldig samtykke. Borgarting lagmannsrett opprettholdt gebyret i oktober 2025, og bekreftet dermed Datatilsynets myndighet til å ilegge betydelige sanksjoner mot internasjonale teknologiselskaper.
Hva er den digitale samtykkealderen for barn i Norge?
Dagens alder er 13 år, fastsatt i personopplysningsloven § 5, den laveste terskelen GDPR tillater. Barn fra og med 13 år kan gi gyldig samtykke til behandling av sine personopplysninger for informasjonssamfunnstjenester. For yngre barn kreves samtykke fra foreldre eller foresatte. Den norske regjeringen foreslo i oktober 2024 å heve denne til 15 år; forslaget er til offentlig høring.
Kan personopplysninger overføres fritt mellom Norge og EU-land?
Ja. Norge er en del av EOS, slik at personopplysninger flyter fritt mellom Norge og alle EU- og EOS-land uten ytterligere overføringsmekanismer. Overføringer utenfor EOS krever en beslutning om tilstrekkelig beskyttelsesnivå, standard personvernbestemmelser, bindende virksomhetsregler, eller en annen garanti etter artikkel 46, de samme reglene som gjelder for EUs medlemsstater.
Trenger jeg et personvernombud i Norge?
Et personvernombud er obligatorisk dersom virksomheten er en offentlig myndighet, driver systematisk overvåking av enkeltpersoner i stort omfang, eller behandler særlige kategorier av personopplysninger i stort omfang. Datatilsynet ila Telenor ASA et gebyr på 4 millioner kroner i mars 2025 for svikt i styringen av personvernombudet, herunder manglende dokumentasjon, fravær av en direkte rapporteringslinje til ledelsen, og bekymringer om interessekonflikt.
Hva er Datatilsynets KI-sandkasse?
Datatilsynet driver en regulatorisk sandkasse for kunstig intelligens, der en liten gruppe utvalgte virksomheter mottar gratis ekspertveiledning om innebygd personvern i KI-utvikling. Sandkassen har vært i drift siden 2020 og er i sin femte runde per 2024, med fokus på generativ KI og store språkmodeller. Deltakende virksomheter samtykker til full åpenhet om sine systemer; funnene publiseres og inngår i bredere regulatorisk veiledning.
Når vil EUs KI-forordning gjelde i Norge?
Norge arbeider med å innlemme EUs KI-forordning i EOS-avtalen. Den norske regjeringen publiserte et høringsnotat for en nasjonal KI-lov i juni 2025, med sikte på ikrafttredelse sommeren 2026, i tråd med EUs egen tidsplan for etterlevelse. Datatilsynet forventes å bli den kompetente myndigheten for KI-systemer som involverer behandling av personopplysninger.
Hvordan håndterer Norge brudd på personopplysningssikkerheten?
Behandlingsansvarlige må varsle Datatilsynet uten ugrunnet opphold og, der det er mulig, innen 72 timer etter å ha blitt kjent med et avvik. Der avviket sannsynligvis vil medføre høy risiko for enkeltpersoner, må de berørte registrerte også varsles uten opphold. Databehandlere må varsle sin behandlingsansvarlige umiddelbart. Alle avvik må dokumenteres internt, uavhengig av om de er meldt til tilsynet.
Sources and References
- Datatilsynet, det norske tilsynsorganet for personvern(datatilsynet.no).gov
- Personopplysningsloven (LOV-2018-06-15-38), Lovdata(lovdata.no).gov
- Datatilsynets regulatoriske sandkasse for KI(datatilsynet.no).gov
- Datatilsynet: vedtak om overtredelsesgebyr og pålegg overfor NAV (2024)(datatilsynet.no).gov
- Datatilsynet: sanksjoner mot Telenor ASA (2025)(datatilsynet.no).gov
- Datatilsynet: lagmannsretten opprettholder gebyret mot Grindr (2025)(datatilsynet.no).gov
- Datatilsynet: håndheving vedrørende sporingspiksler (2025)(datatilsynet.no).gov
- Det europeiske personvernrådet (EDPB)(edpb.europa.eu).gov
- DLA Piper: personvernlovgivning i verden, Norge(dlapiperdataprotection.com)
- CMS ekspertguide: personvern- og datasikkerhetsrett i Norge(cms.law)
- CMS GDPR-håndhevingsoversikt, Norge(cms.law)
- DataGuidance: oversikt over personvern i Norge(dataguidance.com)