Det europeiske personvernrådet (EDPB) vedtok 12. september retningslinjer om samspillet mellom EUs digitaltjenesteforordning (Digital Services Act – DSA) og personvernforordningen (General Data Protection Regulation – GDPR). Retningslinjene omtales som vedtatt, men er likevel lagt ut til offentlig høring, og EDPB ønsker kommentarer til retningslinjene velkommen frem til 31. oktober 2025. EDPB opplyser i sin nyhetssak om retningslinjene at dette er de første retningslinjene om forholdet mellom GDPR og EUs nylig vedtatte lovgivning på det digitale området, men at flere, blant annet om forholdet mellom GDPR og digitalmarkedsforordningen (DMA), vil følge.

Hva handler retningslinjene om?

Både GDPR og DSA skal beskytte grunnleggende rettigheter på det digitale området, og EDPB skriver at DSA dermed supplerer GDPR. Mens GDPR gjelder behandling av personopplysninger generelt, gjelder DSA bare for såkalte «formidlingstjenester» (intermediary services), og særlig strenge krav til underkategorien «vertstjenester», herunder internettplattformer. DSA har regler med et videre siktemål enn å beskytte personopplysninger, for eksempel regler om manipulativt design. Samtidig vil mye av det DSA regulerer, også innebære behandling av personopplysninger. I slike tilfeller gjelder altså begge regelverk samtidig. De nye retningslinjene skal sikre konsekvent praksis i tilfeller der DSA innebærer behandling av personopplysninger og der DSA bruker konsepter og definisjoner fra GDPR.

Retningslinjene EDPB nå har vedtatt, presiserer innledningsvis at DSA ikke gjør unntak fra reglene i GDPR. Samtidig kan det finnes tilfeller der DSA, i det minste indirekte, stiller strengere krav til behandling av personopplysninger enn det som fremgår av GDPR selv.

Retningslinjene gjennomgår deretter flere områder der både DSA og GDPR vil gjelde: Behandling av personopplysninger i forbindelse med frivillige undersøkelser (DSA artikkel 7), meldings- og tiltakssystemer og i interne klageordninger (DSA artikkel 16, 17, 20 og 23), villedende eller manipulerende grensesnitt (artikkel 25), gjennomsiktighet i reklame og forbud mot visning av reklame basert på profilering ved visse kategorier personopplysninger (artikkel 26 DSA), anbefalelsessystemer (artikkel 27 og 28 DSA), beskyttelse av mindreårige (artikkel 28 DSA), risikovurdering og risikobegrensning (artikkel 34 og 35), og forholdet mellom adferdsnormer (Codes of Conduct) for blant annet internettreklame etter artikkel 45, 46 og 47 DSA og tilsvarende adferdsnormer etter artikkel 40 GDPR.

Samspillet mellom DSA og GDPR tar ulike former på disse områdene. På noen områder gir retningslinjene en påminnelse om at tilbyderne også må følge GDPR når de oppfyller sine plikter under DSA: For eksempel lar DSA artikkel 7 tilbydere av formidlingstjenester foreta egeninitierte undersøkelser for å avdekke ulovlig innhold. Slike undersøkelser vil imidlertid kunne innebære behandling av store mengder personopplysninger. Også opprettelse av meldings- og tiltakssystemer vil innebære behandling av personopplysninger, både om den som varsler og den det varsles mot. I slike tilfeller må tilbyderne påse at de følger GDPR, og retningslinjene gir konkrete råd blant annet om hvilke behandlingsgrunnlag som kan være aktuelle i ulike situasjoner. I noen tilfeller vil behandlinger i slike tilfeller også kunne være så automatisert at de særlige reglene om automatisert saksbehandling i GDPR artikkel 21 og 22 vil gjelde.

På noen områder drøfter retningslinjene også når plikter etter DSA kan gi nødvendig behandlingsgrunnlag etter GDPR, da særlig artikkel 6(1) (c) (behandling for å oppfylle en lovpålagt plikt) eller 6(1)(f) (behandling som er nødvendig for å oppnå et legitimt formål), for eksempel når det gjelder avdekking, identifisering og fjerning av ulovlig innhold.

I andre tilfeller beskriver retningslinjene at GDPR og DSA utfyller hverandre, og ikke skal brukes samtidig. Dette gjelder blant annet manipulerende design, der reglene i DSA bare gjelder når GDPR ikke gjelder. Som eksempel nevner retningslinjene (avsnitt 44) «patterns that try to push all recipients of a service to buy a product by (emotional) steering, e.g., “There are only a few products left in stock”, may not be covered by the GDPR. However, if the recipient of the service is manipulated into providing (additional) personal data, for example, “There are only a few products left in stock. Enter your email address now and make a reservation”, or provide more personal data than they would have otherwise, then the pattern is subject to the GDPR».

Samspillet mellom GDPR og DSA når det gjelder beskyttelse av mindreårige

Et område hvor både DSA og GDPR inneholder viktige regler, er beskyttelse av mindreårige. DSA har flere bestemmelser som forutsetter særskilt forsiktighet overfor mindreårige brukere: Blant annet følger det av DSA artikkel 28 at tilbydere av internettplattformer som mindreårige har tilgang til, skal iverksette passende og forholdsmessige tiltak for å sikre høy grad av personvern, trygghet og sikkerhet på tjenesten, og artikkel 35 pålegger VLOPer (Very Large Online Platforms) og VLOSEr (Very Large Online Search Engines) å iverksette risikobegrensende, målrettede tiltak blant annet for å  for å beskytte barns rettigheter. Avhengig av hva som er relevant, kan slike tiltak omfatte verktøy for aldersbekreftelse og foreldrekontroll og verktøy for å hjelpe mindreårige med å varsle om misbruk eller med å få støtte. Det kan imidlertid være en utfordring for plattformene å fastslå hvilke av brukerne som er mindreårige, da det per i dag ikke finnes noen enhetlig løsning for aldersverifisering på nett (Kommisjonen jobber riktignok med utvikling av dette, og en prototyp som testes ut i fem land ble lansert i sommer). For tjenestetilbydere kan en nærliggende løsning være å innhente og behandle en stor mengde personopplysninger om brukerne for å fastslå om brukeren er over aldersgrensen. EDPBs retningslinjer understreker at plikten til å sikte et høyt nivå av personvern, trygghet og sikkerhet etter artikkel 28 kan oppfylles uten å behandle en større mengde personopplysninger, og at tjenesten må tilpasses det man vet er brukergruppen. Samtidig presiserer retningslinjene at det ikke er forbudt å behandle personopplysninger for å fastslå brukerens alder, så lenge generelle krav i GDPR er oppfylt. Pliktene etter DSA kan ifølge retningslinjene gi lovlig behandlingsgrunnlag etter GDPR (artikkel 6(1)(c)), etter en konkret vurdering i det enkelte tilfellet. Retningslinjene presiserer likevel at det gjelder strenge krav: Behandlingen må i så fall være påviselig nødvendig og forholdsmessig, dvs. at det ikke finnes andre mindre inngripende fremgangsmåter som ivaretar målet like godt. Retningslinjene understreker også at behandling av særlig sensitive personopplysninger i henhold til GDPR artikkel 9, som for eksempel rasemessig eller etnisk opphav, genetiske data eller helsedata, også må vurderes konkret. Behandling av noen typer slike data, for eksempel biometriske data for å identifisere en person, bør unngås, og da særlig barns biometriske data. Mer generelt uttales det at alderskontroll bør skje uten at brukeren identifiseres, dvs. at man bare bør ta sikte på å fastslå brukerens alder, ikke brukerens identitet.

Beskyttelse av mindreårige på nett har vært et omstridt tema de siste årene. EDPBs retningslinjer viser her også til Kommisjonens Guidelines on measures to ensure a high level of privacy, safety and security for minors online under DSA, utgitt 14. juli i år (omtalt i EU/EØS-nytt 20. mai 2025). Også disse retningslinjene viser til at plikten til å beskytte mindreårige må ses i sammenheng med andre tiltak tjenestetilbydere skal iverksette i medhold av DSA, for eksempel generelle plikter til risikovurdering og risikoreduksjon. Når det spesifikt gjelder alderskontroll, skiller Kommisjonens retningslinjer mellom aldersverfikasjon, for eksempel basert på offentlig utstedte digitale IDer, og aldersestimering. Til tross for mangel på enhetlige aldersverifikasjonssystemer i dag (frem til EU Digital Wallet blir generelt tilgjengelig), mener Kommisjonen at det kan være passende for tjenestetilbydere å bruke dette i noen tilfeller, for eksempel på plattformer som tilbyr pengespill eller pornografi. Der risikoen er lavere, mener Kommisjonen at aldersestimering, dvs. at alderen estimeres på bakgrunn av andre opplysninger om brukeren, kan benyttes. Også Kommisjonens retningslinjer viser imidlertid til farene med slike løsninger, og understreker at de må være tilstrekkelig nøyaktige, pålitelige, robuste, minst mulig inngripende (blant annet «only process the age-related attributes that are strictly necessary for the specific purpose and age assurance should not be used to provide additional means for providers to identify, locate, profile or track natural persons») og ikke-diskriminerende.

Fra fremtredende politikere i Europa har det i den senere tid vært et sterkt påtrykk for en felles EU-aldersgrense på sosiale medier, med felles systemer for aldersverifikasjon. Det er på den annen side usikkert om rent nasjonale myndighetskrav om aldersverifikasjon står seg i forhold til bl.a. e-handelsdirektivet, jf. egen artikkel.