Sanksjoner ved brudd på KI-forordningen

Sanksjonssystemet i KI-forordningen

KI‑forordningen krever at landene fastsetter regler om sanksjoner og andre håndhevelsestiltak innenfor rammene av KI-forordningen. Sanksjonene skal stå i forhold til overtredelsen og virke avskrekkende, og samtidig skal det tas hensyn til virksomhetens størrelse, herunder oppstartsbedrifter.

Det første sporet er nasjonale sanksjonsregler og overtredelsesgebyr. Medlemsstatene skal fastsette regler om sanksjoner for overtredelser av KI-forordningen. Forordningen setter maksimumsnivåer for administrative overtredelsesgebyr for bestemte overtredelser, men overlater til landene å bestemme hvordan sanksjoner organiseres og håndheves innenfor disse rammene. Hvert land skal fastsette regler for i hvilken utstrekning overtredelsesgebyr kan ilegges sine egne offentlige myndigheter og organer (art. 99 nr. 8).

Det andre sporet gjelder sanksjoner på EU-nivå. Her er det EUs datatilsyn (European Data Protection Supervisor – EDPS) som kan ilegge administrative gebyrer, innenfor særskilte maksimalbeløp og prosessuelle garantier.

Det tredje sporet gjelder leverandører av KI‑modeller for allmenne formål (GPAI). For disse kan Kommisjonen ilegge bøter ved bestemte brudd med en maksgrense på 3 % av global omsetning eller 15 millioner euro, der det høyeste beløpet gjelder.

Nasjonale sanksjoner etter artikkel 99

Plikt til å fastsette sanksjonsregler og mulighet for flere reaksjonsformer

Artikkel 99 nr. 1 pålegger medlemsstatene å fastsette regler om sanksjoner og andre håndhevelsestiltak ved overtredelser av KI-forordningen, og å sikre at sanksjonene gjennomføres forsvarlig og effektivt. KI‑forordningen legger dessuten til grunn at medlemsstatene ved utforming og bruk av sanksjoner, skal ta hensyn til Kommisjonens retningslinjer (guidelines) etter artikkel 96 når disse foreligger.

Tre hovedkategorier for maksimale overtredelsesgebyr

KI‑forordningen angir tre «gebyrnivåer» der de mest alvorlige bruddene gir høyest ramme for størrelsen på overtredelsesgebyret:

Brudd på forbudte KI‑praksiser etter artikkel 5 kan sanksjoneres med overtredelsesgebyr på enten opptil 35 millioner euro, eller hvis overtredelsen begås av et foretak, opptil 7 % av global årsomsetning. Maksimalgrensen er det beløpet som er høyest av disse to mulighetene.

Brudd på pliktene som er listet opp i artikkel 99 nr. 4 kan sanksjoneres med overtredelsesgebyr på opptil 15 millioner euro, eller for foretak opptil 3 % av global årsomsetning. Maksimalgrensen er det beløpet som er høyest av disse to mulighetene. Dette gjelder for:

a) Forpliktelsene for leverandører i henhold til artikkel 16
b) Forpliktelsene for autoriserte representanter i henhold til artikkel 22
c) Forpliktelsene for importører i henhold til artikkel 23
d) Forpliktelsene for distributører i henhold til artikkel 24
e) Forpliktelsene for idriftsettere i henhold til artikkel 26
f) Kravene til og forpliktelsene for meldte organer i henhold til artikkel 31, artikkel 33 nr. 1, 3 og 4 eller artikkel 34
g) Åpenhetsforpliktelsene for leverandører og idriftsettere i henhold til artikkel 50

Å gi uriktig, ufullstendig eller villedende informasjon til meldte organer (notified bodies) eller nasjonale vedkommende myndigheter som svar på en anmodning, kan sanksjoneres med overtredelsesgebyr på opptil 7,5 millioner euro, eller for foretak opptil 1 % av global årsomsetning. Maksimalgrensen er det beløpet som er høyest av disse to mulighetene.

Særlig vern for SMB og oppstartsbedrifter

KI‑forordningen har et eksplisitt vern for mindre virksomheter i artikkel 99 nr. 6. For disse, inkludert oppstartsbedrifter, skal hvert overtredelsesgebyr være opp til enten prosentandelen eller beløpet i artikkel 99 nr. 3–5, avhengig av hvilket alternativ som gir det laveste beløpet.

Hvordan gebyret skal fastsettes i det enkelte tilfellet

Når myndighetene vurderer om et overtredelsesgebyr skal ilegges – og hvor stort det i så fall skal være – skal de gjøre en helhetsvurdering av saken. KI-forordningen artikkel 99 nr. 7 trekker frem flere momenter som særlig bør vektlegges:

a) Hvor alvorlig overtredelsen er
b) Om virksomheten allerede er sanksjonert for samme forhold
c) Om samme handling også bryter andre regler
d) Virksomhetens størrelse
e) Skjerpende eller formildende forhold
f) Samarbeidet med myndighetene
g) Hvor ansvarlig virksomheten har opptrådt
h) Hvordan overtredelsen ble oppdaget
i) Skyldgrad
j) Tiltak for å begrense skade

Sanksjoner på EU-nivå: artikkel 100 og 101

EU-organer: Det europeiske datatilsynet (EDPS) kan ilegge gebyr

KI‑forordningen etablerer en egen ordning for EU‑institusjoner, organer, kontorer og byråer som omfattes av KI-forordningens virkeområde. Etter artikkel 100 kan EUs datatilsyn (European Data Protection Supervisor – EDPS) ilegge overtredelsesgebyrer til slike EU‑aktører. Artikkel 100 nr. 1 lister momenter EDPS skal vektlegge.

Maksimale gebyrer for EU‑institusjoner er lavere enn for private aktører under artikkel 99. Brudd på forbudte KI‑praksiser etter artikkel 5 kan ilegges gebyr på opptil 1,5 millioner euro, mens andre brudd på KI-forordningen kan gi gebyr opptil 750 000 euro.

KI-modeller for allmenne formål: Kommisjonen kan ilegge gebyr til «Big Tech»

For leverandører av KI‑modeller for allmenne formål (GPAI) har KI‑forordningen en særskilt sanksjonshjemmel i artikkel 101. Den gir Kommisjonen adgang til å ilegge overtredelsesgebyr på opptil 15 millioner euro eller 3 % av global årsomsetning. Maksimalgrensen er det beløpet som er høyest av disse to mulighetene.

Forslaget i høringsnotatet om KI-loven

Digitaliserings- og forvaltningsdepartemenet (DFD) sendte i 2025 på høring forslag til ny KI‑lov som skal gjennomføre KI‑forordningen i norsk rett, med utfyllende bestemmelser der KI-forordningen åpner for nasjonalt handlkingsrom. I høringsnotatets kapittel 19 drøftet departementet hvilke reaksjoner som er nødvendig eller hensiktsmessig å regulere nasjonalt innenfor rammene av KI- forordningen.

Overtredelsesgebyr i KI-loven

DFD la til grunn at KI‑forordningen artikkel 99 regulerer hvilke overtredelser som kan sanksjoneres med overtredelsesgebyr og setter beløpsgrenser, slik at dette begrenser nasjonalt handlingsrom for ytterligere gebyrkriterier som skal gjelde for private rettssubjekter. Departementet foreslo av pedagogiske hensyn å fastsette i KI-loven at overtredelsesgebyr kan ilegges.

Et av punktene hvor det er nasjonalt handlingsrom i KI-forordningen er spørsmålet om overtredelsesgebyr for offentlig sektor. KI‑forordningen overlater til hvert land å fastsette i hvilken utstrekning offentlige myndigheter kan ilegges gebyr.

DFD foreslo i lovutkastet at tilsynsmyndighetene får eksplisitt adgang til å ilegge overtredelsesgebyr overfor offentlige myndigheter, og begrunner dette med at offentlig sektors bruk av KI kan få store konsekvenser for enkeltpersoner og deres grunnleggende rettigheter. Samtidig foreslo departementet at offentlige virksomheter kun kan sanksjoneres etter beløpsgrensene i KI‑forordningen, ikke etter omsetning.

Tvangsmulkt som virkemiddel for å fremtvinge etterlevelse

KI‑forordningen artikkel 99 nr. 1 åpner for at medlemsstatene kan fastsette «andre håndhevelsestiltak», og DFD brukte dette som grunnlag for å foreslå en hjemmel om tvangsmulkt i den norske KI‑loven.

I høringsnotatet viser departementet til at formålet med tvangsmulkt er å sikre effektiv etterlevelse av forpliktelser som følger av lov, forskrift eller enkeltvedtak. Tvangsmulkt innebærer en plikt til å betale penger til det offentlige dersom bestemte forpliktelser ikke oppfylles, og beskrives som et tiltak som ikke er ment som straff, men et middel for å sikre etterlevelse av reglene i KI-forordningen.

Straffebestemmelser

I høringsnotatet vurderte DFD også om KI‑loven burde inneholde straffebestemmelser, men konkluderte foreløpig med å ikke foreslå slike bestemmelser. Samtidig ba departementet om innspill fra høringsinstansenes på dette, slik at problemstillingen kan behandles i det videre arbeidet med lovproposisjonen.