EU og reguleringPublisert 15. juli 2026
EDPB stiller tre krav for å trene AI på nettdata
EUs personvernråd slår fast at GDPR gjelder fullt ut ved web-skraping til generativ AI, og at helseopplysninger og politiske meninger krever individuell vurdering — ingen generell unntaksregel
EUs personvernråd (EDPB) vedtok 7. juli 2026 de første felles europeiske reglene for hvordan selskaper lovlig kan hente nettdata til trening av generative AI-modeller. Retningslinjene avviser antagelsen om at offentlig tilgjengelig innhold er fritt tilgjengelig for maskinlæring, og gjelder alle virksomheter i EØS som bygger eller kjøper inn AI-systemer trent på skrapt nettinnhold.
EDPB — det europeiske personvernrådet som koordinerer alle EUs datatilsyn — vedtok 7. juli 2026 retningslinjene «03/2026 om web-skraping i kontekst av generativ AI». Dokumentet på 22 sider er det første paneuropeiske rammeverket som adresserer innsamling av treningsdata direkte.
GDPR gjelder fullt ut ved web-skraping når prosessen inkluderer operasjoner med personopplysninger — innsamling, lagring, organisering og gjenfinning — uavhengig av om innholdet er offentlig synlig. Retningslinjene ligger ute til offentlig høring frem til 30. oktober 2026, men innholdet er allerede veiledende.
Berettiget interesse krever tre trinn
Bransjepraksis har lenge vært å lene seg på «berettiget interesse» som rettslig grunnlag — bestemmelsen i GDPR artikkel 6(1)(f) som tillater behandling uten samtykke når tre vilkår er oppfylt. EDPB bekrefter at dette fortsatt er det eneste realistiske grunnlaget for de fleste private AI-utviklere, men skjerper kravene til dokumentasjon.
Vurderingen må gjøres for hvert enkelt prosjekt — ingen blankett-godkjenning dekker all AI-trening på nettdata. Selskapet må dokumentere: (1) at det foreligger en reell og spesifikk interesse, (2) at skrapingen er nødvendig for å oppnå den — ikke bare hendig — og (3) at en konkret interesseavveining viser at selskapets behov ikke overstyres av de registrertes rettigheter. Avveiningen skal ta hensyn til tiltak mot memorisering og direkte reproduksjon av persondata i modellens output.
Retningslinjene anbefaler at selskaper kun skraper fra pålitelige kilder, registrerer tidsstempel og validerer dataene før trening. Der det er gjennomførbart, bør virksomheter erstatte ekte persondata med syntetiske datasett, eller anonymisere og pseudonymisere opplysningene.
Særlige kategorier: individuell vurdering i hvert tilfelle
Behandling av særlige kategorier av personopplysninger — helseopplysninger, politiske meninger, religiøs overbevisning og lignende — er det vanskeligste punktet for mange AI-utviklere. Slike data opptrer i nettinnhold uten at en web-skraper nødvendigvis planlegger å samle dem inn: en forumtråd om kreftbehandling, en kommentar om stemmegivning.
EDPB slår fast at behandling av slike opplysninger krever både et rettslig grunnlag etter artikkel 6 og et særskilt unntak etter artikkel 9(2). Rådet peker på at EU-domstolsavgjørelsen GC & Others (C-136/17) kan gi noe handlingsrom der innsamlingen er rent tilfeldig og residual, men understreker at det ikke finnes noen generell unntaksregel: hvert tilfelle må vurderes individuelt, og selskapet må iverksette tekniske og organisatoriske tiltak for å hindre spredning av slike data.
EDPB forventer at kontrollansvarlige bygger inn tiltak gjennom hele livssyklusen: presise filtreringskriterier før innsamling, umiddelbar sletting av sensitive data etter innsamling, og oppdaterte output-filtre og begrensninger på prompts under og etter modelldeployering.
Anonymisering: tre kriterier må alle være oppfylt
Parallelt vedtok EDPB separate retningslinjer om anonymisering — også disse på høring til 30. oktober. Vellykket anonymisering er den eneste måten å behandle data helt utenfor GDPR-regelverkets rekkevidde.
EDPB bygger på EU-domstolens dom i sak C-413/23 P (EDPS mot SRB) fra september 2025 og etablerer en tredelt test: data er anonyme kun dersom (1) ingen enkeltperson kan isoleres og identifiseres, (2) dataene ikke kan kobles til annen informasjon for å identifisere den samme personen, og (3) ingen pålitelige slutninger kan trekkes om identifiserbare individer. Alle tre kriterier må være oppfylt samtidig.
Selskaper kan velge mellom to tilnærminger: en kontekstuell modell som vurderer hvilke ressurser en potensiell angriper faktisk har, og en forenklet modell som ser bort fra slike forskjeller. Den forenklede gir høyest sikkerhet, men kan innebære at faktisk anonymiserte data likevel behandles som personopplysninger — ikke ulovlig, men compliance-byrden øker.
Norsk EØS-ramme: samme regler, samme tilsyn
GDPR gjelder i Norge gjennom EØS-avtalen og personopplysningsloven. Datatilsynet er tilsynsmyndighet og kan ilegge overtredelsesgebyr på inntil 20 millioner euro eller fire prosent av global omsetning. For grensekryssende saker samarbeider Datatilsynet med de øvrige europeiske tilsynsmyndighetene gjennom EDPB.
Retningslinjene gjelder uavhengig av hvor det skrapede nettstedet eller AI-utvikleren befinner seg geografisk, så lenge GDPR-jurisdiksjon inntreffer. Et norsk selskap som skraper internasjonale nettsteder, og et utenlandsk selskap som skraper norske nettsteder for å trene en modell rettet mot EØS-markedet, faller begge innenfor rammen.
Retningslinjene slutter seg til et mønster der europeiske datatilsyn — i Italia, Irland, Nederland og Frankrike — allerede har iverksatt individuelle håndhevingstiltak mot AI-selskaper. EDPB oppgir at de nye retningslinjene gir alle nasjonale myndigheter én felles standard å håndheve.
Høringsfrist 30. oktober
Frem til 30. oktober 2026 kan norske virksomheter, bransjeorganisasjoner og enkeltpersoner sende høringssvar direkte til EDPB via rådets nettsted. Innspillene publiseres åpent. Juridiske analytikere vurderer det som lite sannsynlig at retningslinjenes arkitektur endres vesentlig, men presiseringer på enkeltpunkter er mulig.
For AI-prosjekter som allerede er i gang, er den praktiske konsekvensen umiddelbar: dokumentasjonskravet til berettiget interesse-vurderingen gjelder nå og kan ikke rekonstrueres i etterkant. Selskaper som planlegger å starte web-skraping til modelltrening i løpet av høsten, bør innrette dataarkitekturen etter de nye kravene fra første dataset.
De viktigste AI- og reguleringssakene, oversatt til hva de betyr for din virksomhet. Gratis.
Kilde: https://www.edpb.europa.eu/news/news_en
Bakgrunnskilder: EDPB Guidelines 03/2026 on web scraping in the context of generative AI (PDF, versjon 1.0) · EDPB: Offentlig høring — Guidelines 03/2026, frist 30. oktober 2026 · EDPB-nyhet: Anonymisering og web-skraping for generativ AI, 8. juli 2026 · Legiscope: GDPR og personvern i Norge 2026 — komplett guide · Pinsent Masons: EU guidance helps clarify AI web scraping requirements