Does ePrivacy apply to AI-generated messages?

Yes. ePrivacy is technology-neutral — an AI sending a marketing email, SMS, or WhatsApp message is treated identically to a human sending one.

Does GDPR consent satisfy ePrivacy?

No. ePrivacy is lex specialis and requires separate compliance. GDPR consent does not automatically satisfy ePrivacy's prior opt-in requirement.

What about B2B outbound?

B2C always requires opt-in. B2B rules vary by Member State — some allow opt-out for corporate addresses, others (e.g. Germany) apply stricter rules.

Is the ePrivacy Regulation coming?

The standalone Regulation was withdrawn in February 2025. Targeted ePrivacy amendments are now part of the Digital Omnibus Package under negotiation.

ePrivacy AI-compliance — Samtycke för utgående AI-meddelanden

Senast uppdaterad: 8 april 2026 · 8 min läsning · Granskad av Audact compliance-team · Direktiv 2002/58/EC

ePrivacy-direktivet styr akten att sända elektronisk kommunikation. Det gäller för varje AI-genererat utgående meddelande — e-post, SMS, WhatsApp eller röstsamtal — oavsett om en människa eller AI komponerade det.

Vad är ePrivacy-direktivet?

ePrivacy-direktivet (2002/58/EC) är EU:s primära lag som styr sekretess för elektronisk kommunikation. Det är lex specialis till GDPR — där ePrivacy har en specifik regel, har den företräde framför GDPR.

Praktiskt: ePrivacy styr sändandet av kommunikationen och åtkomsten till enheten. GDPR styr den efterföljande behandlingen av persondata som samlats in. De kräver separat compliance — GDPR-samtycke uppfyller inte automatiskt ePrivacy-krav, och vice versa.

ePrivacy-direktiv vs ePrivacy-förordning: vad som förändras för AI

2002 års direktiv (ändrat 2009) är ett rättsinstrument som transponeras olika i varje medlemsstat, vilket är varför tyska TDDDG, holländska Telecommunicatiewet och brittiska PECR alla ser ytligt liknande ut men avviker i detalj. Den föreslagna ePrivacy-förordningen hade ersatt lappverket med en enda direkt tillämplig text, som skärper reglerna för cookies, maskin-till-maskin-trafik och metadatabehandling. Efter åtta år av dödläge drog kommissionen formellt tillbaka ärendet den 11 februari 2025.

För AI-driftsättare är den praktiska konsekvensen att inget förändras omedelbart: direktivet är fortfarande i kraft, och samma opt-in-drivna regim fortsätter att gälla för utgående AI-meddelanden. Men Digital Omnibus Package som föreslogs i november 2025 innehåller riktade ePrivacy-ändringar — märkbart kring cookie-samtyckestrethet och legitima intressen för analys — som troligen landar 2027. AI-leverantörer bör utforma sin samtyckesinsamling idag så att den lagliga grunden kan ommappas utan att samla in samtycke på nytt.

Nyckelartiklar för AI-driftsättare

Article 13 — Obeställd kommunikation

Kräver förhandsgodkännande opt-in-samtycke innan direktmarknadsföring skickas via automatiserade uppringningssystem, e-post, SMS, fax eller elektronisk meddelandetjänst. Detta är teknikneutralt: en AI som skickar ett marknadsförings-e-postmeddelande behandlas identiskt med en människa som skickar ett.

AI-chatbot som initierar ett WhatsApp-meddelande → samtycke krävs
AI som skickar marknadsförings-e-postmeddelanden → samtycke krävs
AI-genererade SMS-kampanjer → samtycke krävs
Utgående AI-röstsamtal → samtycke krävs

Article 13(2) — Mjukt opt-in undantag

Ett undantag som tillåter marknadsföring utan nytt samtycke om: (a) e-postadressen erhölls i samband med en försäljning eller tjänst, (b) marknadsföringen är för liknande produkter/tjänster, och (c) ett enkelt opt-out ges vid insamling och i varje meddelande.

Article 5(3) — Cookies och enhetsåtkomst

Kräver samtycke innan information lagras på eller åtkomst sker till en användares terminalutrustning. För AI-chatbotar gäller detta när chatboten placerar spårningscookies — inte till konversationen i sig.

Cookie-samtycke och AI-spårning under ePrivacy

Article 5(3) är teknikneutral: den gäller för all lagring av, eller åtkomst till, information på en användares terminalutrustning. Det täcker klassiska HTTP-cookies, men också webbläsarens lokala lagring, fingeravtrycksbibliotek och SDK:er som AI-personaliseringsmotorer bäddar in i webbplatser och mobilappar. Om data sedan matas in i en rekommendationsmodell eller ett beteende-inriktat AI, måste den lagliga grunden för den initiala läsningen eller skrivningen fortfarande vara giltigt GDPR-samtyckesgrad — insamlad innan skriptet utlöses. CNIL, Garante och den holländska AP har alla bekräftat att 'avvisa alla' måste vara lika enkelt som 'acceptera alla'.

För AI röst- eller chattagenter är cookie-frågan vanligtvis begränsad till den omgivande webbegendomen — men AI-drivna webb-push, in-app-meddelanden och on-enhetets talmodeller utlöser 5(3) i det ögonblick de cachelagrar tillstånd. Audact behandlar varje samtycksbeslut som en reviderbar händelse, vilket låter kunder bevisa cookie-giltighet även när frontend-stacken förändras.

B2B-undantag under ePrivacy för AI-kommunikationer

B2B-behandling är den mest fragmenterade delen av ePrivacy. Direktivet tillåter medlemsstater att tillåta direktmarknadsföring till juridiska personer på opt-out-basis, men kräver det inte. UK:s PECR befriar företagsprenumeranter från det strikta opt-in för live-samtal och fax (men inte för SMS eller e-post till enskilda anställda). Frankrike tillåter på liknande sätt opt-out-marknadsföring till professionella adresser förutsatt att meddelandet relaterar till mottagarens arbete. Tyskland tar den motsatta ståndpunkten: §7 UWG kräver förhandsgodkännande samtycke även för B2B-e-post, med mycket snäva undantag.

För AI-utgående system är den operationella regeln enkel: en enda global 'B2B-undantags'-flagga är icke-kompatibel by design. Policymotorn måste lösa mottagarens land, kanalen och meddelandets natur innan varje sändning, och logga det beslutet för tillsynsmyndigheten. Audact levererar dessa per-jurisdiktions-regler ur lådan.

B2B vs B2C

B2C kräver alltid opt-in. B2B-behandling varierar per medlemsstat: vissa (t.ex. UK, Frankrike) tillåter kontakt med företags-e-postadresser på opt-out-basis för affärsrelaterade produkter. Andra (t.ex. Tyskland) tillämpar strängare regler. Audacts Policy Engine hanterar dessa per-lands-skillnader automatiskt.

Tillämpning och böter

Genomdrivs av nationella myndigheter (vanligtvis Dataskyddsmyndigheter). Eftersom ePrivacy är ett direktiv — inte en förordning — varierar böter per medlemsstat:

Tyskland (TDDDG): Upp till €300 000
UK (PECR): Böter under PECR, med högre böter möjliga där brott överlappar med GDPR
Nederländerna: Holländsk DPA varnade 50 organisationer i april 2025 för cookie-överträdelser
Frankrike (CNIL): Strikt tillämpning, blockerar cookies innan samtycke, förbjuder mörka mönster

EDPB har bekräftat att ePrivacy-överträdelser kan vägas in i GDPR-böter där samma myndighet genomdriver båda.

ePrivacy-förordning — vad hände?

Den fristående ePrivacy-förordningen drogs formellt tillbaka av Europeiska kommissionen den 11 februari 2025 efter år av misslyckade förhandlingar. Istället är riktade ePrivacy-ändringar nu en del av Digital Omnibus Package (föreslagen november 2025), för närvarande under förhandling med politisk överenskommelse förväntad sent 2026.

Hur Audact hjälper

Samtyckesverifikation: Policy Engine validerar opt-in-status innan all utgående AI-kommunikation får sändas
Per-lands-regler: Jurisdiktionsspecifika samtyckes- och opt-out-krav genomdrivna automatiskt
Bevisloggning: Varje samtyckskontroll loggas med kryptografiska bevis för tillsynsrevisioner
Mjukt opt-in-validering: Automatisk verifikation att Article 13(2) villkor uppfylls innan kommunikation tillåts

Vanliga frågor

Gäller ePrivacy för AI-genererade meddelanden?

Ja. ePrivacy är teknikneutral — en AI som skickar ett marknadsförings-e-postmeddelande, SMS eller WhatsApp-meddelande behandlas identiskt med en människa som skickar ett.

Uppfyller GDPR-samtycke ePrivacy?

Nej. ePrivacy är lex specialis och kräver separat compliance. GDPR-samtycke uppfyller inte automatiskt ePrivacy:s förhandsgodkännande opt-in-krav.

Vad gäller B2B-utgående?

B2C kräver alltid opt-in. B2B-regler varierar per medlemsstat — vissa tillåter opt-out för företagsadresser, andra (t.ex. Tyskland) tillämpar strängare regler.

Kommer ePrivacy-förordningen?

Den fristående förordningen drogs tillbaka i februari 2025. Riktade ePrivacy-ändringar är nu en del av Digital Omnibus Package under förhandling.

Jämför EU AI compliance-lagar

Lag	Deadline	Vem	Böter
EU AI Act Art. 50	2 aug 2026	Alla AI-driftsättare i EU	€7,5M / 1,5% omsättning
NL Telecomwet	1 jul 2026	Utgående marknadsföring till NL-konsumenter	€900k / 10% omsättning
GDPR	I kraft	Alla som behandlar EU-personuppgifter	€20M / 4% omsättning
DSA	I kraft (feb 2024)	Mellanhänder & VLOP:er	6% global omsättning
ePrivacy	I kraft	Avsändare av elektronisk kommunikation	Varierar per medlemsstat

Relaterade compliance-resurser

Ansvarsfriskrivning: Den här sidan är enbart för informationsändamål och utgör inte juridisk rådgivning. Konsultera kvalificerad juridisk rådgivare för era specifika complianceskyldigheter.

← Tillbaka till hem

ePrivacy AI-compliance för elektronisk kommunikation