Vad kostar brott mot AI-förordningen?
AI-förordningen har tre sanktionsnivåer enligt Art. 99. Upp till 35 miljoner euro eller 7 procent av global årlig omsättning för förbjudna praktiker (Art. 5). Upp till 15 miljoner euro eller 3 procent för brott mot deployer-skyldigheter (Art. 26) och högrisk-krav (Art. 9 till 15). Upp till 7,5 miljoner euro eller 1 procent för felaktig information till tillsynsmyndighet. Det högsta av belopp och procentsats gäller.
Tre sanktionsnivåer enligt Art. 99
Sanktionsmatrisen följer principen att det högsta av eurobelopp och procentsats gäller. För koncerner räknas global årlig omsättning på koncernnivå. Tabellen sammanfattar de tre nivåerna och vilka artiklar som triggar respektive nivå.
| Överträdelsetyp | Tak EUR | Tak procent global omsättning | Exempel-artiklar |
|---|---|---|---|
| Förbjudna praktiker | 35 MEUR | 7 procent | Art. 5: social scoring, manipulativ AI, realtidsbiometri i offentliga utrymmen, prediktiv polisverksamhet enbart på profilering |
| Övriga skyldigheter | 15 MEUR | 3 procent | Art. 9 till 15 (provider-krav på högrisk), Art. 26 (deployer-skyldigheter), Art. 50 (transparens), Art. 73 (incidentrapportering) |
| Felaktig information | 7,5 MEUR | 1 procent | Vilseledande, ofullständig eller försenad information till marknadskontrollmyndighet eller anmält organ |
Vem dömer ut böter i Sverige?
Sveriges marknadskontrollmyndighet är ännu inte slutligt beslutad per maj 2026. SOU 2025:101 föreslår Post- och telestyrelsen (PTS) som primär marknadskontrollmyndighet för AI-förordningen. Beslut väntas i propositionen senare under 2026.
Sektorvis tillsyn ligger redan på etablerade tillsynsmyndigheter. Finansinspektionen för bank, försäkring och betaltjänster. Inspektionen för vård och omsorg (IVO) för hälso- och sjukvård. Läkemedelsverket för medicinteknik. Transportstyrelsen för fordon och transport. Energimarknadsinspektionen för energi. Sex länsstyrelser föreslås dela tillsyn över offentlig förvaltning. Integritetsskyddsmyndigheten (IMY) behåller GDPR-tillsynen och har parallell roll vid biometri och profilering.
För generella AI-modeller (GPAI) ligger tillsynen direkt hos EU:s AI Office, inte hos svensk myndighet.
Skillnaden mot GDPR-böter
GDPR och AI-förordningen kan båda gälla för samma AI-system om personuppgifter behandlas. Skillnaderna gäller maxnivå, tillsynsmyndighet och hur bötet fördelas mellan koncernens dotterbolag.
| Aspekt | GDPR | AI-förordningen |
|---|---|---|
| Högsta sanktionsnivå | 20 MEUR eller 4 procent av global årsomsättning | 35 MEUR eller 7 procent av global årsomsättning |
| Vem dömer i Sverige | Integritetsskyddsmyndigheten (IMY) ensam | PTS föreslagen primär plus sektorsvis tillsyn |
| Beräkningsbas | Företaget som koncern (CJEU C-807/21 Deutsche Wohnen) | Global årlig omsättning på koncernnivå |
| Fördelning mellan dotterbolag | Solidariskt ansvar för koncern | Solidariskt ansvar för koncern |
| SME-undantag | Inget formellt tak men proportionalitetshänsyn | Lägre tak enligt Art. 99.6 för SME och startups |
| Personligt ansvar för styrelse | Nej (administrativ sanktion) | Nej (administrativ sanktion) |
Hur böter beräknas i praktiken
Art. 99.7 listar de faktorer som tillsynsmyndigheten ska väga in när bötets storlek bestäms. Faktorerna är desamma oavsett vilken sanktionsnivå överträdelsen faller under. Praxisen från GDPR-böter är vägledande: tillsynsmyndigheter fäster stor vikt vid samarbetsvilja och tidigare överträdelser.
- Överträdelsens karaktär, allvar och varaktighet, inklusive antal påverkade individer och hur omfattande skadan är
- Om överträdelsen är uppsåtlig eller oaktsam
- Åtgärder som vidtagits för att begränsa skadan, exempelvis snabb avveckling av systemet eller kompensation till drabbade
- Tidigare relevanta överträdelser av samma operatör
- Graden av samarbete med tillsynsmyndighet under utredningen
- Implementeringsgrad av tekniska och organisatoriska åtgärder enligt Art. 9 till 15 och Art. 26
- Hur tillsynsmyndigheten fick kännedom om överträdelsen (självrapportering ger lägre bot)
- Koncernens storlek, omsättning och marknadsandel
- Vinster eller besparingar som uppnåtts genom överträdelsen
Verkliga böter under första året
Per maj 2026 har inga AI-förordnings-böter ännu fallit. Art. 5 (förbjudna praktiker) har varit i kraft sedan 2 februari 2025 men marknadskontrollen var i ramp-up under hela 2025. Art. 26 och övriga deployer-skyldigheter blir bindande först från 2 augusti 2026.
GDPR-rytmen ger en realistisk indikation. Första största GDPR-bötet (Google, 50 MEUR) kom cirka 12 till 18 månader efter fullt ikraftträdande i maj 2018. Samma rytm tillämpad på AI-förordningen pekar på att de första uppmärksammade böterna sannolikt faller mellan Q3 2026 och Q1 2027. Sannolika första-träffar är förbjudna biometri-installationer i kommersiella miljöer (Art. 5) eftersom dessa är synliga och har hög medieuppmärksamhet.
Hur ni minimerar böterna i förväg
Tillsynsmyndigheterna har tre saker de letar efter när de avgör bötets storlek: dokumenterad efterlevnad, snabb respons vid problem och samarbetsvilja under utredning. Alla tre går att förbereda i förväg.
- Inventera alla AI-system inklusive shadow AI. Klassificera per Art. 6 och Bilaga III. Dokumentationsbrist väger tungt enligt Art. 99.7
- För varje högrisksystem: bygg ett Art. 26-paket med ansvarig roll, mänsklig översyn, loggning, FRIA där det krävs och leverantörsbedömning
- Etablera incidentkanal mot tillsynsmyndighet. Art. 73 kräver rapport av allvarliga incidenter. Snabb självrapportering minskar bötet markant
- Säkerställ Art. 4-kompetens med rollbaserad matris och dokumenterad utbildning. Detta skulle redan ha varit klart sedan 2 februari 2025
- Spara dokumentation i tio år. Art. 18 kräver att teknisk dokumentation hålls tillgänglig under hela systemets livstid plus tio år
- Träna tillsynssvar. När en myndighet hör av sig är de första 72 timmarna avgörande för hur samarbetet uppfattas