Forordning om supplerende saksbehandlingsregler for håndheving av personvernforordningen i grenseoverskridende saker
Parlaments- og Rådsforordning (EU) 2025/2518 av 26. november 2025 om supplerende saksbehandlingsregler for håndheving av forordning (EU) 2016/679.
Regulation of the European Parliament and of the Council (EU) 2025/2518 of 26 November 2025 on laying down additional procedural rules relating to the enforcement of Regulation (EU) 2016/679.
EØS-notat | 21.04.2026 | EØS-notatbasen
Sakstrinn
- Faktanotat
- Foreløpig posisjonsnotat
- Posisjonsnotat
- Gjennomføringsnotat
Opprettet 21.04.2026
Spesialutvalg: Kommunikasjoner
Dato sist behandlet i spesialutvalg:
Hovedansvarlig(e) departement(er): Digitaliserings- og forvaltningsdepartementet
Vedlegg/protokoll i EØS-avtalen: Vedlegg XI. Elektronisk kommunikasjon, audiovisuelle tjenester og informasjonssamfunnstjenester
Kapittel i EØS-avtalen:
Status
Status i EU
Rettsakten ble vedtatt i EU 26. november 2025, og trådte i kraft 1. januar 2026. Forordningen vil få anvendelse i EU fra 2. april 2027.
Status i Norge og EØS
Rettsakten er merket EØS-relevant og er til vurdering i EØS-EFTA-statene.
Sammendrag av innhold
Personvernforordningen (GDPR) inneholder en samarbeidsmekanisme for håndheving av grenseoverskridende saker, ofte kalt «one-stop-shop»-mekanismen. Håndheving av slike saker skal ledes av datatilsynet i det landet der virksomheten har hovedetablering, mens datatilsynsmyndighetene i land som er berørt av saken skal involveres. Samarbeidsmekanismen skal benyttes i saker der minst ett av følgende vilkår er oppfylt:
-
Behandlingen av personopplysninger skjer i forbindelse med en virksomhets etableringer i flere EØS-stater.
-
Behandlingen av personopplysninger skjer i forbindelse med en virksomhets etablering i én EØS-stat, men behandlingen (sannsynligvis) påvirker personer i flere EØS-stater i betydelig grad.
Forordning (EU) 2025/2518 gir supplerende saksbehandlingsregler i slike grenseoverskridende saker, og vil gjelde parallelt med reglene i personvernforordningen. Formålet er å effektivisere og harmonisere håndhevingen av grenseoverskridende saker. Forordningen oppstiller blant annet en rekke konkrete saksbehandlingsfrister, utfyllende krav til samarbeid mellom tilsynsorganer og supplerende regler for å effektivisere tvisteløsning via Det europeiske personvernrådet (Personvernrådet, EDPB). Forordningen klargjør også partenes rettigheter, inkludert retten til å bli hørt på ulike stadier i saksbehandlingen og retten til partsinnsyn.
Nærmere om forordningen
Kapittel 1 oppstiller blant annet prinsipper ved håndheving av grenseoverskridende saker. Datatilsynsmyndighetene skal behandle slike saker på en hensiktsmessig og effektiv måte, og bistå hverandre ved å blant annet besvare hverandres henvendelser uten opphold. Den som klager inn en sak skal kunne forholde seg utelukkende til den datatilsynsmyndigheten vedkommende har klaget til.
Kapittel 2 oppstiller blant annet innholdsmessige krav til klager i grenseoverskridende saker. Tilsynsmyndigheten som har mottatt klagen skal vurdere om saken er grenseoverskridende, og i så fall enten avvise klagen innen to uker, om den ikke inneholder den påkrevde informasjonen, eller videresende saken til ledende tilsynsmyndighet innen seks uker. Ledende tilsynsmyndighet skal bekrefte sin kompetanse innen seks uker etter mottakelse eller, ved uenighet, bringe inn spørsmålet for Personvernrådet.
Det oppstilles en mulighet for å benytte en prosedyre for «tidlig løsning» av saker som gjelder enkeltindividers rettigheter etter personvernforordningen kapittel III. Hvis den påståtte overtredelsen er opphørt, kan saken løses via denne prosedyren. Prosedyren kan benyttes av både den tilsynsmyndigheten som mottar klagen og den ledende tilsynsmyndigheten – avhengig av hvor saken ligger. Klageren kan fremsette innsigelse mot at prosedyren brukes.
Kapittel 3 oppstiller nærmere regler om samarbeid mellom ledende og berørte tilsynsmyndigheter, og supplerer personvernforordningen artikkel 60.
Av delkapittel 1 fremgår at den ledende tilsynsmyndigheten, etter nærmere vilkår, kan samarbeide med berørte tilsynsmyndigheter via en forenklet samarbeidsprosedyre. En slik prosedyre kan for eksempel benyttes i saker som reiser ukompliserte faktiske og rettslige spørsmål. Den ledende tilsynsmyndigheten skal i så fall forelegge et utkast til avgjørelse for de berørte tilsynsmyndighetene, innen en nærmere angitt frist. Hvis en av de berørte tilsynsmyndighetene er uenig i at saken skal behandles etter den forenklede prosedyren, skal saken behandles i tråd med de ordinære reglene i kapittel III.
Ledende og berørte tilsynsmyndigheter skal utveksle all relevant informasjon seg imellom og bestrebe å oppnå enighet ved behandling av grenseoverskridende saker. Dette følger av personvernforordningen artikkel 60 nr. 1. Delkapittel 2 gir utfyllende regler i den forbindelse. Ledende tilsynsmyndighet får blant annet plikt til å utarbeide et sakssammendrag som skal forelegges de berørte tilsynsmyndighetene, innen tre måneder, slik at disse kan inngi sine kommentarer. Formålet er å redusere uenigheter mellom tilsynsmyndighetene og legge til rette for felles forståelse av saken på et tidlig stadium. Videre skal den ledende tilsynsmyndigheten forelegge et utkast til avgjørelse for de berørte tilsynsmyndighetene, i utgangspunktet innen 15 måneder etter det ble stadfestet at organet er ledende tilsynsmyndighet.
Det gis også nærmere saksbehandlingsregler om tilfeller der det ikke oppnås enighet mellom ledende og berørte tilsynsmyndigheter. Hvis tilsynene for eksempel ikke blir enige om en felles forståelse av saken, skal den ledende tilsynsmyndigheten anmode Personvernrådet om å treffe en bindende hastebeslutning i tråd med personvernforordningen artikkel 66 nr. 3. Formålet er å løse uenigheter på et tidlig stadium og sikre hensiktsmessig saksfremgang.
I delkapittel 3 presiseres at i tilfeller der forordningen oppstiller frister for ulike saksbehandlingsskritt blir ikke gyldigheten av saksbehandlingsskrittet eller den endelige avgjørelsen berørt av om fristen er oversittet. Fristoversittelse kan likevel få betydning ved vurderingen av om retten til et effektivt rettsmiddel etter personvernforordningen artikkel 78 nr. 2 trer inn.
Delkapittel 4 gir saksbehandlingsregler i forbindelse med hel eller delvis avvisning av eller avslag på klager.
Av delkapittel 5 fremgår at ledende tilsynsmyndighet skal utarbeide et utkast til foreløpige konklusjoner («preliminary findings»), som skal forelegges partene før avgjørelse treffes. Formålet er å ivareta retten til å bli hørt (kontradiksjon). Det oppstilles også nærmere saksbehandlingsregler i forbindelse med vedtakelse av endelig avgjørelse.
I delkapittel 6 gis det utfyllende regler om hva som utgjør en relevant og begrunnet innsigelse fra en berørt tilsynsmyndighet etter personvernforordningen artikkel 4 nr. 24.
Kapittel 4 gir blant annet regler om partsinnsyn i sakens dokumenter. Er det gitt videre adgang til partsinnsyn etter den ledende tilsynsmyndighetens nasjonale rett, vil disse reglene gå foran. Det oppstilles likevel unntak fra partsinnsyn for dokumenter som gjelder korrespondanse mellom datatilsynsmyndigheter og opplysninger som anses som taushetsbelagte (confidential) etter forordningen artikkel 25. Dette vil være opplysninger som utgjør forretningshemmeligheter som definert i direktiv (EU) 2016/943. Direktivet er gjennomført i norsk rett via lov om vern av forretningshemmeligheter. Unntak fra partsinnsyn omfatter også andre typer opplysninger som er taushetsbelagte etter nasjonal rett. Videre gis det regler om innsyn for tredjeparter.
Kapittel 5 gir utfyllende saksbehandlingsregler om tvisteløsning gjennom Personvernrådet, se personvernforordningen artikkel 65 nr. 1. Det oppstilles blant annet flere konkrete saksbehandlingsfrister og nærmere regler om hva slags opplysninger som skal forelegges Personvernrådet. Videre skal partene kunne fremsette sitt syn skriftlig for Personvernrådet, før rådet treffer bindende beslutning etter personvernforordningen artikkel 65 nr. 1 bokstav a.
Kapittel 6 gir utfyllende saksbehandlingsregler om behandling av hastesaker etter personvernforordningen artikkel 66 nr. 2 og 3. Av disse bestemmelsene fremgår at tilsynsmyndigheter, etter nærmere vilkår, kan anmode Personvernrådet om en hasteuttalelse eller en bindende hastebeslutning i en gitt sak. Kapittel 6 oppstiller blant annet flere konkrete saksbehandlingsfrister og nærmere angivelse av hva slags opplysninger som skal forelegges Personvernrådet i forbindelse med behandlingen av hastesaker.
Kapittel 7 oppstiller blant annet overgangsregler og angir at Kommisjonen skal evaluere hvordan forordningen fungerer som ledd i de jevnlige evalueringene av personvernforordningen, som skal gjennomføres hvert fjerde år, se personvernforordningen artikkel 97.
Merknader
Rettslige konsekvenser
Forordningen gjelder for behandling av alle grenseoverskridende saker etter personvernforordningen. Hvis forordningen innlemmes i EØS-avtalen og gjennomføres i norsk rett, vil forordningens bestemmelser i slike saker gå foran nasjonale regler ved ev. motstrid.
Forordningen må ev. gjennomføres i norsk rett som den er gjennom en henvisningsbestemmelse (inkorporasjon). I så fall, er det mest nærliggende at en slik bestemmelse inntas i personopplysningsloven. Gjennomføring av forordningen i norsk rett forutsetter lovendring, slik at innlemmelse i EØS-avtalen krever Stortingets samtykke, jf. Grl. § 26 annet ledd. Det vil bli tatt konstitusjonelt forbehold ved eventuell innlemmelse i EØS-avtalen.
Økonomiske og administrative konsekvenser
Rettsakten vil få konsekvenser for Datatilsynets behandling av grenseoverskridende saker etter personvernforordningen. Saksbehandlingsfrister, partsinnsyn og dialog med berørte parter og andre tilsynsmyndigheter vil, ved ev. motstrid, følge forordningen i stedet for forvaltningslovens regler.
Forordningen oppstiller blant annet konkrete frister for datatilsynsmyndighetene, på ulike stadier av saksbehandlingen. Det innføres også andre nye plikter, som at ledende tilsynsmyndighet får plikt til å utarbeide sakssammendrag og utkast til foreløpige konklusjoner («preliminary findings»). Ledende tilsynsmyndighet må også oversette og dele nye saksdokumenter med berørte tilsynsmyndigheter fortløpende i saksbehandlingen. På bakgrunn av dette, er det grunn til å tro at nasjonal gjennomføring av forordningen vil medføre økte administrative og økonomiske konsekvenser for Datatilsynet. På nåværende tidspunkt er det imidlertid vanskelig å angi et konkret anslag, og dette vil bli utredet nærmere. Omfanget vil blant annet avhenge av hvor mange og hvor omfattende grenseoverskridende saker Datatilsynet er ledende og berørt tilsynsmyndighet i. (I dag er Datatilsynet ledende tilsynsmyndighet i ca. 15-25 nye saker per år, og berørt tilsynsmyndighet i ca. 370-400 nye saker per år. Tilsynet bruker i dag anslagsvis syv årsverk på arbeidet med grenseoverskridende saker).
Sakkyndige instansers merknader
Arbeidet med nasjonal gjennomføring av forordningen følges opp av Digitaliserings- og forvaltningsdepartementet og Justis- og beredskapsdepartementet. Forslag om å gjennomføre forordningen i norsk rett er planlagt sendt på høring sommeren 2026.
Kommunal- og distriktsdepartementet publiserte Kommisjonens forordningsforslag på regjeringen.no og inviterte til å gi innspill til departementets arbeid med rettsakten. Norsk posisjon til Kommisjonens forslag ble utarbeidet i november 2023.
Vurdering
Forordningen er til vurdering nasjonalt og i EØS-EFTA-statene. Forordningen anses EØS-relevant og akseptabel. Det er ikke identifisert behov for tilpasninger.
Forordningen vil påvirke behandling av grenseoverskridende saker i alle land som deltar i samarbeidsmekanismen etter personvernforordningen. Dette inkluderer EØS-/EFTA-landene. Departementet legger derfor til grunn at Norge må gjennomføre forordningen i norsk rett for at Datatilsynet skal kunne fortsette å ta del i det europeiske samarbeidet om behandling av grenseoverskridende saker etter personvernforordningen.
Forordningen inneholder bestemmelser om partsinnsyn og innsyn for tredjeparter. Reglene er langt på vei, men ikke fullt ut, i samsvar med bestemmelsene om innsyn etter forvaltningsloven og offentleglova. Hvis forordningen innlemmes i EØS-avtalen og gjennomføres i norsk lov, vil den gå foran ev. motstridende regler i nasjonal rett, jf. EØS-loven § 2. Forholdet til forvaltningsloven og offentleglova blir vurdert dialog med Justis- og beredskapsdepartementet.
Andre opplysninger
Nøkkelinformasjon
| Institusjon: | Parlament og Råd |
| Type rettsakt: | Forordning |
| KOM-nr.: | |
| Rettsaktnr.: | (EU) 2025/2518 |
| Basis rettsaktnr.: | |
| Celexnr.: | 32025R2518 |
EFTA-prosessen
| Dato mottatt standardskjema: | 16.12.2025 |
| Frist returnering standardskjema: | 07.04.2026 |
| Dato returnert standardskjema: | 21.04.2026 |
| EØS-relevant: | Ja |
| Akseptabelt: | Ja |
| Tekniske tilpasningstekster: | Nei |
| Materielle tilpasningstekster: | Nei |
| Art. 103-forbehold: | Ja |
Norsk regelverk
| Endring av norsk regelverk: | Ja |
| Høringsstart: | |
| Høringsfrist: | |
| Frist for gjennomføring: |