Den 29 June 2026 ga Rådet for den europeiske union endelig godkjenning til Digital Omnibus på AI, og utsatte høyrisikoforpliktelsene i EU AI Act fra 2 August 2026 til 2 December 2027 for frittstående systemer og til 2 August 2028 for AI innebygd i regulerte produkter. Avstemningen fant sted fem uker før den opprinnelige fristen, etter to mislykkede triloger i april og mai 2026 som etterlot compliance-team i arbeid mot en frist som kanskje ville overleve, eller kanskje ikke.
Utsettelsen er ikke et tilbaketog fra håndhevelse. I den samme perioden i 2026 bøtela EU-kommisjonen Temu 200 million euros under Digital Services Act, den irske høyesteretten opprettholdt en GDPR-bot på 530 million euros mot TikTok, og nasjonale tilsynsmyndigheter gikk fra "observasjonsmodus" til aktive DORA-inspeksjoner på tvers av bank- og forsikringssektoren. Europas regelverk for AI, data og plattformer skrives om og håndheves samtidig, på ulike tidslinjer som sjelden beveger seg i takt.
For AI-ansvarlige, DPOer og digitale compliance-ansvarlige som dekker EU, Storbritannia og Sveits, utgjør denne kombinasjonen, skiftende frister pluss aktive bøter, det reelle driftsmiljøet for resten av 2026.
Er høyrisikofristen for EU AI Act fortsatt 2 August 2026?
Ikke når Digital Omnibus på AI er publisert i Official Journal, noe som forventes i juli 2026, tre dager etter at den trer i kraft. Forordning (EU) 2024/1689 fastsatte opprinnelig 2 August 2026 for Annex III høyrisikosystemer, som dekker bruksområder for rekruttering, kredittvurdering, biometrisk identifikasjon, utdanning, migrasjon og rettshåndhevelse, og 2 August 2027 for Annex I produktinnebygde systemer. Europaparlamentet godkjente Omnibus-teksten den 16 June 2026 med 423 stemmer for, og Rådets godkjenning den 29 June 2026 fastsatte de nye datoene til henholdsvis 2 December 2027 og 2 August 2028.
To forpliktelser beveger seg i motsatt retning. Overgangsperioden for vannmerking og merking av AI-generert innhold under Article 50 ble kuttet fra seks måneder til tre, noe som fremskyndet en ny frist til 2 December 2026 for systemer som allerede er på markedet, og Omnibus legger til et direkte forbud mot å generere seksuelt eller intimt innhold uten samtykke og AI-generert materiale av seksuelle overgrep mot barn, en bestemmelse uten tilknyttet forsinkelse. Inntil teksten er publisert i Official Journal, forblir den opprinnelige datoen 2 August 2026 juridisk bindende, slik at organisasjoner som klassifiserer systemer under Annex III ikke bare kan avbryte arbeidet.
Hvor aggressivt håndhever EU-kommisjonen Digital Services Act?
Aggressivt nok til å ha utstedt to bøter på nisifrede beløp i løpet av seks måneder. Den 5 December 2025 bøtela Kommisjonen X 120 million euros, dens første beslutning om manglende overholdelse av DSA, for det villedende designet av det blå verifiseringsmerket, et annonsearkiv som ikke oppfylte Article 39 sine krav til offentliggjøring, og barrierer for forskeres tilgang som brøt med Article 40(12). X fikk 60 arbeidsdager på seg til å løse problemet med merket og 90 til å levere en fullstendig utbedringsplan, og anket beslutningen til General Court of the European Union i februar 2026, noe som gjorde det til den første rettslige prøvingen av DSA-håndhevelse.
Den 28 May 2026 bøtela Kommisjonen Temu 200 million euros, 0.38% av dens globale omsetning på 53 billion euros, for å ha unnlatt å utføre en tilstrekkelig risikovurdering som var i stand til å identifisere ulovlige og farlige produkter på markedsplassen deres. Temu har frem til 28 August 2026 på å sende inn en korrigerende tiltaksplan, og Kommisjonens bredere etterforskning av Temus anbefalingssystemer og innholdsmoderering er fortsatt åpen. Begge sakene bygget på forpliktelser om systemisk risiko i Article 34 og 35, de samme bestemmelsene som holder enhver svært stor nettbasert plattform og søkemotor under kontinuerlig gransking av Kommisjonen, et område der plattformspesifikk regulatorisk overvåking fanger opp en ny etterforskning den dagen den åpnes i stedet for den dagen den skaper overskrifter.
Hvilken regulator avgjør faktisk en GDPR-sak når data krysser grenser?
Under one-stop-shop-mekanismen er det datatilsynet der selskapet har sin hovedetablering i EU, og for de fleste globale plattformer betyr det Irland. Den irske Data Protection Commission sin avgjørelse den 2 May 2025 bøtela TikTok 530 million euros, 45 million for ikke å ha informert brukerne riktig under Article 13(1)(f) og 485 million for ulovlige overføringer av EØS-brukerdata til Kina under Article 46(1), etter å ha funnet ut at TikTok ikke kunne bekrefte at deres Standard Contractual Clauses ga EØS-databeskyttelse som i hovedsak tilsvarte det GDPR krever. Den 3 June 2026 opprettholdt den irske høyesteretten både funnet av ansvar og bøtebeløpet, selv om den sendte ordren om å stanse fremtidige overføringer tilbake til regulatoren for ny vurdering, noe som lar TikTok fortsette å flytte europeiske data til Kina mens dette spesifikke punktet vurderes på nytt.
Den irske DPCs samlede bøter utgjør nå 4.04 billion euros siden 2018, fremdeles ledet av Meta-avgjørelsen på 1.2 billion euros fra 2023. På tvers av alle EUs tilsynsmyndigheter anslår DLA Pipers undersøkelse fra januar 2026 håndhevelsen i 2025 til omtrent 1.2 billion euros, noe som matcher 2024 og presser totalen for hele unionen siden GDPR trådte i kraft i 2018 opp til 7.1 billion euros. For en compliance-ansvarlig er den praktiske leksjonen at valget av ledende regulator ikke er administrativt rutinearbeid, det bestemmer hvilken regulators håndhevelsesholdning, tidslinje og appetitt for grenseoverskridende bøter som faktisk styrer saken.
Blir selve GDPR omskrevet sammen med AI Act?
Ja, gjennom den samme Digital Omnibus-pakken, foreslått av Kommisjonen den 19 November 2025 som COM(2025) 837. Forslaget vil omdefinere personopplysninger slik at pseudonymiserte data ikke regnes som personlige for en enhet som mangler midler til å re-identifisere individet, la selskaper stole på GDPRs juridiske grunnlag om berettiget interesse for å trene eller drive AI-modeller underlagt sikkerhetstiltak, flytte regler for samtykke til informasjonskapsler fra ePrivacy-direktivet og inn i GDPR med samtykke via ett klikk som er gyldig i seks måneder, og opprette et felles rapporteringspunkt for datainnbrudd og cybersikkerhetshendelser.
Det europeiske personvernrådet og den europeiske datatilsynsmannen utstedte en felles uttalelse i februar 2026 som støttet de administrative forenklingene, mens de uttrykkelig oppfordret medlovgiverne til ikke å vedta omdefineringen av personopplysninger, og advarte om at det ville begrense den grunnleggende retten til databeskyttelse utover det en teknisk endring bør gjøre. Fra midten av 2026 er filen fortsatt i den ordinære lovgivningsprosedyren, med industri- og borgerrettighetskomiteene i fellesskap ansvarlige i parlamentet, noe som betyr at GDPR-teksten et selskap overholder i dag kanskje ikke er den GDPR-teksten som er i kraft når et AI-treningsprogram det designer nå, settes i drift.
Hva legger Digital Markets Act, Data Act og DORA til på toppen av AI Act og GDPR?
Digital Markets Act leverer sitt eget håndhevelsesspor mot de samme portvokterne. Den 22 April 2025 bøtela Kommisjonen Apple 500 million euros for brudd på anti-styringsregler under Article 5(4) og Meta 200 million euros for deres betal-eller-samtykk-reklamemodell under Article 5(2), de første bøtene for manglende overholdelse som ble utstedt under DMA. Kommisjonens første treårige gjennomgang, levert 3 May 2026 som COM(2026) 178, fant at regimet var egnet til formålet uten behov for lovendringer, mens spesifikasjonsprosedyrer som ble åpnet mot Google Play og Google Search i januar 2026 forblir aktive.
Data Act ble gjeldende den 12 September 2025, og ga brukere av tilkoblede produkter og tjenester rett til å få tilgang til data disse produktene genererer, og, der det er mulig, få dem delt med tredjeparter i sanntid. Designforpliktelser som krever at tilkoblede produkter gjør data tilgjengelige som standard trer i kraft den 12 September 2026, og rettferdige, rimelige og ikke-diskriminerende kontraktsvilkår gjelder for alle B2B-datadelingsavtaler signert etter september 2025, og utvides til visse langvarige eldre kontrakter fra september 2027. Der personopplysninger er involvert, sporer Data Act-straffer GDPR-nivåer, opptil 20 million euros eller 4% av global omsetning.
Spesifikt for finansielle enheter endte DORAs overgangsperiode med 2025. Siden Q1 2026 har ECB, BaFin, AMF, CSSF og andre nasjonale kompetente myndigheter gått fra beredskapsgjennomganger til formelle tilsynsvurderinger av IKT-risikostyring, tredjepartskontrakter og hendelsesrapportering, støttet av bøter på opptil 2% av verdensomspennende omsetning for institusjoner og opptil 1 million euros personlig for medlemmer av ledelsesorganer som unnlater å handle på IKT-risikorapporter.
| Instrument | Status (July 2026) | Viktig dato å følge |
|---|---|---|
| AI Act, Annex III høyrisiko | Omnibus vedtatt, venter på Official Journal-publisering | 2 December 2027 (var 2 August 2026) |
| AI Act, Article 50 åpenhet | Overgangsperiode forkortet av Omnibus | 2 December 2026 |
| DSA systemisk risikohåndhevelse | Aktiv, to bøter utstedt, en under anke | 28 August 2026 (Temu utbedringsplan) |
| GDPR (TikTok-overføringssak) | Ansvar og bot opprettholdt, rettsmiddel gjenåpnet | Irsk DPC-nyvurdering pågår |
| GDPR-reform (Digital Omnibus) | I ordinær lovgivningsprosedyre | Ingen vedtaksdato satt |
| DMA portvokterforpliktelser | To bøter utstedt, gjennomgang fullført, ingen endringer | Google-spesifikasjonsprosedyrer pågår |
| Data Act designforpliktelser | Kjerneregler gjeldende siden september 2025 | 12 September 2026 |
| DORA tilsynshåndhevelse | Overgangsperiode over, aktive vurderinger | Pågående, per nasjonal kompetent myndighet |
Åtte instrumenter, åtte tidslinjer, og minst tre av dem endret seg vesentlig bare i første halvdel av 2026. En compliance-funksjon som sporer dette med regneark er én tapt pressemelding fra Rådet unna å bygge et program rundt en frist som ikke lenger gjelder, som er nøyaktig det gapet Obsidians AI companion er bygget for å lukke: ikke en erstatning for juridisk skjønn, men en verifisert regulatorisk ledsager som varsler i det øyeblikket en delegert rettsakt godkjennes eller en bot blir endelig.
Hva bør et compliance-team gjøre videre?
Start med å skille AI Act sin bindende tekst fra dens ventende endringer: fortsett Annex III-klassifiseringsarbeidet basert på antagelsen om at 2 August 2026 fortsatt kan gjelde, mens dere sporer Omnibus mot publisering i Official Journal slik at den nye datoen 2 December 2027 blir bekreftet i stedet for antatt. Parallelt bør DSA- og DMA-håndhevelse behandles som bevis på hva regulatorer faktisk prioriterer, systemiske risikovurderinger og styringsrestriksjoner, i stedet for å utelukkende stole på teksten i forordningene.
For team som administrerer GDPR-eksponering på tvers av flere EU-etableringer, bekreft hvilken tilsynsmyndighet som har ledende status for hver behandlingsaktivitet og overvåk Digital Omnibus-forhandlingene for endringer i definisjonen av personopplysninger som kan påvirke AI-treningsprogrammer som allerede er i drift. Obsidians MCP for AI-assistenter lar den sporingen kjøre inne i verktøyene compliance-team allerede bruker, og gjeldende planer viser hvordan overvåking per jurisdiksjon holder tritt med et regelverk som endret seg tre ganger i første halvdel av 2026.