Er samtykke alltid det beste behandlingsgrunnlaget i GDPR?

Nei. Samtykke er bare ett av flere behandlingsgrunnlag. Det må være frivillig, spesifikt, informert og mulig å trekke tilbake. I mange arbeidsforhold, kundeavtaler og lovpålagte behandlinger er andre behandlingsgrunnlag mer riktige.

Krever cookies samtykke?

Ikke alle cookies. Strengt nødvendige cookies kan settes uten samtykke, men analyse, markedsføring og sporing krever som hovedregel gyldig samtykke etter ekomloven og GDPR-standarden.

Er AI Act et samtykkeregelverk?

Nei. AI Act handler hovedsakelig om risikoklassifisering, plikter og transparens. Noen KI-brukere må informere personer om at de samhandler med KI eller at innhold er syntetisk, men dette er ikke det samme som GDPR-samtykke.

Samtykke på tvers: GDPR, cookies, ekomloven og AI Act

Tema-oppslag fra ordlisten. Vil du følge med på cookie-regler, AI Act og personvernendringer? Få Regelverksradar, maks én e-post i måneden.

Samtykke er kraftig når det brukes riktig, men svakt når det brukes for å dekke over uklare formål. GDPR stiller krav til gyldig samtykke, ekomloven bruker samme standard for ikke-nødvendige cookies, mens AI Act ofte krever informasjon og merking heller enn samtykke.

GDPR Samtykke er ett behandlingsgrunnlag, ikke en universalnøkkel.

Cookies Ikke-nødvendige cookies krever et aktivt og informert valg.

AI Act Transparenskrav betyr ofte opplysning, ikke samtykke.

Sammenligning

Regelverk	Hva kreves	Når det gjelder	Typisk feil
GDPRSamtykke som behandlingsgrunnlag	Frivillig, spesifikt, informert og utvetydig samtykke, med reell mulighet til å trekke det tilbake	Når virksomheten velger samtykke som behandlingsgrunnlag	Bruke samtykke der behandlingen egentlig bygger på avtale, lovpålagt plikt eller berettiget interesse
EkomlovenCookie-samtykke	Samtykke før lagring eller lesing av ikke-nødvendig informasjon på brukerens utstyr	Analyse, markedsføring, sporing og lignende teknologier; ikke for strengt nødvendige cookies	Forhåndsvalgte bokser, manglende avvis-knapp eller å sette analyse-cookies før valget er tatt
SporingCookies + personopplysninger	Både gyldig cookie-samtykke og GDPR-grunnlag når sporingen behandler personopplysninger	Tredjepartsverktøy, annonsering, analyse, profilering og sporing på tvers av nettsteder	Se på cookie-banneret som hele personvernjobben, uten å vurdere behandlingsgrunnlag, formål og datadeling
AI ActTransparens, ikke samtykke	Opplysning om KI-interaksjon, merking av KI-generert innhold eller deepfake-merking i bestemte tilfeller	Chatboter, syntetisk innhold og noen KI-systemer med begrenset risiko	Tro at en generell "AI consent"-tekst erstatter krav til merking, dokumentasjon eller GDPR-vurdering

Velg samtykke bare når valget er reelt

Samtykke krever at personen faktisk kan si nei uten negative konsekvenser. Det gjør samtykke krevende i arbeidsforhold, i tjenester der behandlingen er nødvendig for avtalen, og der virksomheten egentlig er rettslig forpliktet til å behandle opplysningene.

For cookies er situasjonen strengere i praksis: brukeren skal få et klart valg før ikke-nødvendig teknologi settes. For KI-systemer er spørsmålet ofte et annet: personen må forstå at de møter KI eller at innhold er syntetisk.

Praktisk sjekkliste

Skill behandlingsgrunnlag fra cookie-samtykke

Cookie-samtykke handler om tilgang til brukerens utstyr. GDPR-grunnlaget handler om den videre behandlingen av personopplysninger. Begge kan være nødvendige i samme flyt.

Dokumenter hva brukeren faktisk sa ja til

Samtykke må kunne bevises. Det betyr at teksten, formålet, tidspunktet, valget og muligheten til å trekke tilbake bør dokumenteres.

Ikke kall transparens for samtykke

AI Act-opplysninger og deepfake-merking er ikke det samme som samtykke. De kan likevel måtte kombineres med GDPR-informasjon hvis KI-systemet behandler personopplysninger.

Relaterte oppslag i ordlisten

Dokumentasjon på tversHvordan bevise valg, vurderinger og etterlevelse. Slettefrister og oppbevaringNår tilbaketrekking og formålsoppnåelse utløser sletting. Ledelsesansvar på tversHvem som må eie samtykke- og transparensmodellen. Søk i alle begreperAlle 192 begreper på tvers av regelverk.

Status per 16. juni 2026: GDPR og ekomloven gjelder i Norge. AI Act er fortsatt ikke gjennomført i norsk rett, men transparenskravene er relevante for virksomheter som utvikler eller bruker KI-systemer i EU/EØS-markedet.

Primærkilder og veiledning Datatilsynet om lovlighet og behandlingsgrunnlag· Datatilsynet om cookies· Nkom om informasjonskapsler· EU AI Act

Tilbake til ordlisten

Samtykke på tvers av regelverk