IT-Gruk 4/2022: 10 ting du bør vite om den nye «Big Tech»-forordningen
EU-parlamentet og -rådet ble lørdag 23. april 2022 enige om en ny forordning for regulering av digitale tjenester, også kalt Digital Services Act (DSA). Formålet er å regulere de fleste typer digitale tjenester, og spesielt de store og globale IT-tjenestene og plattformene. DSA skal gi brukere rettigheter og beskyttelse, samtidig som tjenestetilbydernes ansvar, blant annet for innhold og plikter, skal reflektere deres størrelse. Her er en kort innføring i DSA.
Forordningen skal først gjennomarbeides før den publiseres, men så langt vet vi følgende om DSA:
- Hva er Digital Services Act (DSA)?
DSA er et forslag til en ny EU-basert forordning, som EU-kommisjonen første gang foreslo i desember 2020. EU-parlamentet ble 23. april 2022 enige om hovedtrekkene. Forordningen vil i praksis erstatte og fornye enkelte andre reguleringer, slik som e-handelsdirektivet fra 2000. Fordelen med en forordning er at det implementeres et felles regelsett innen EU, som også etter all sannsynlighet vil gjelde for hele EØS. Dette er spesielt viktig fordi digitale tjenester ikke kjenner landegrenser. Eller som Harald Heide-Steen jr. som russisk ubåtkaptein ville sagt; «Vi kan ikke se den grense under vann».
- Hva er DSA i forhold til DMA?
DSA må sees i sammenheng med det andre utkastet fra EU-kommisjonen til Digital Markeds Act (DMA). EU-parlamentet ble enige om DMA i mars 2022. Der DSA regulerer digitale tjenestetilbydere, er DMA rettet mot å regulere tilgang til store plattformer for en mer åpen og rettferdig plattformøkonomi. Dette for å hindre adferd som er skadelig for konkurransen og forbrukerne. Sammen med GDPR blir altså DMA og DSA viktige forordninger i den digitale økonomien.
- Når trer DMA i kraft?
Det enkle svaret er 1. januar 2024. Det mer presise svaret er at den trer i kraft når forordningen formelt vedtas. Da vil den publiseres og tre i kraft etter 20 dager. Reglene i DSA vil deretter være gjeldende i 15 måneder fra ikrafttredelsen, men tidligst fra 1. januar 2024. For Norge vil reguleringen også måtte implementeres formelt. Vi får vi håpe at regjeringen og Stortinget rekker dette innen de samme nevnte frister.
- Hvilken type digitale tjenester er omfattet av regelverket?
Digitale tjenester er etter regelverket definert som «a large category of online services, from simple websites to internet infrastructure services and online platforms». Dette angir en stor gruppe av digitale tjenester uavhengig av størrelse, med tjenester som markedsplasser, sosiale plattformer, delingsplattformer, nettbutikker/app-stores, web-hoteller, internettilbydere, hostingtjenester og søkemotorer.
- Hvor gjelder regelverket?
Regelverket vil være gjeldende uavhengig av hvor virksomheten er etablert så lenge den er rettet mot borgere i EU/EØS. Dermed forventes DSA å få tilsvarende geografisk virkeområde som GDPR.
- Skillet mellom «Big Tech» og andre digitale tjenester?
Selv om DSA’s generelle virkeområde ikke skiller på typen digitale tjenester, vil større plattformer og portvoktere («gatekeepers») bli strengere regulert. «Gatekeepers» er plattformer som er «flaskehalser» mellom virksomheter og forbrukere for viktige digitale tjenester. Store plattformer er tjenester med minst 45 millioner brukere innen EU. For disse tjenestene vil det blant annet være krav om å gi innsyn til forskere og systemer for å vurdere risiko. Eksempler på større plattformer er Twitter, Instagram, TikTok, Apple, Spotify, Microsoft og Amazon.
- Hvilke regler vil DSA introdusere?
DSA’s vil både videreføre eksisterende regler knyttet til å sikre rettigheter for brukere av digitale tjenester. Det vil si å gi et vern av rettigheter. DSA går også videre på enkelte punkter. Dette vil eksempelvis være regler knyttet til ansvar for innhold som deles på plattformer, regler for markedsføring og bruk av algoritmer. Noen eksempler (disse varierer basert på type tjeneste):
- Krav til synlighet om brukernes rettigheter og kontaktpunkter for å kunne kontakte tjenesteleverandører
- Krav til samarbeid med nasjonale myndigheter
- Rapporteringsplikt av kriminell aktivitet
- Klagemekanismer knyttet til ulovlig innhold, hatefulle ytringer og opphavsrettsbrudd, samt tvisteløsningsmekanismer
- Mekanismer for å kunne påklage sensur eller fjerning av innlegg
- Åpenhet om nettannonsering
- Forbud mot rettet reklame mot barn eller personalisert reklame
- Hvilke regler vil gjelde for store plattformer?
Alle regler som allerede er nevnt for andre tjenester vil også gjelde store plattformer, men i tillegg vil det være krav om:
- Risk management/risikovurderinger og håndtering av avvik
- Ekstern og uavhengig revisjon, intern etterlevelse av funksjoner og ansvarlighet (compliance)
- Brukernes rett til ikke å bli profilert
- Plikter knyttet til deling av algoritmer og data med myndigheter og forskere
- Etiske retningslinjer (codes of conduct)
- Straff ved brudd på regelverket
Under DSA er det lagt opp til tilsvarende straffesanksjoner som under GDPR, men her vil det være en begrensning oppad til 6 % av årlig omsetning for manglende etterlevelse. Sanksjoner under GDPR er begrenset til 4 % av årlig omsetning.
- Vil DSA få betydning for norske virksomheter?
Ja, DSA vil mest sannsynlig bli implementert i norsk rett, og forhåpentligvis innen samme frist. For digitale norske tjenester vil forordningen uansett gjelde hvis tjenestene skal tilbys i EU. Norske tjenestetilbydere som Finn.no og andre skytjenester vil også måtte vurdere hvordan de skal sette opp internkontroll/etterlevelse av kravene etter DSA. Det bør også vurderes om tjenestene vil bli pålagt å dele sine data og algoritmer, og hvordan slik deling skal finne sted.
Noen stiller spørsmålstegn ved DSA og om den går langt nok i å beskytte brukerne. Det er et betimelig spørsmål i en stadig økende digital hverdag. EU’s arbeid med DSA, samt reguleringer av teknologi som DMA og personopplysninger i GDPR, er ment å bidra til en bedre balanse mellom brukerne og samfunnet. Det skal også bidra til balanse mellom brukerne og tjenesteleverandørene.
«Big Tech»-selskaper, som for eksempel Google og Amazon, har store økonomiske muskler og kan tvinge igjennom sine vilkår. I tillegg sitter de på store datasett og smarte løsninger som påvirker sluttbrukeres rettigheter og friheter.
Spørsmålet er om DSA vil gi myndigheter tilstrekkelige muligheter i møte med «Big Tech». En stadig utfordring ved å regulere den digitale teknologien er at den er i stadig og rask utvikling. De store aktørene har ofte evner og økonomiske muskler til å finne løsninger som innebærer regelbegrensninger. Samtidig må det ikke glemmes at denne evnen er viktig for nyskapning og innovasjonskraft i samfunnet.
GRETTE TEKNOLOGI OG DIGITALISERING: NYHETSBREV | FROKOSTMØTE: Ønsker du å få tilsendt våre korte nyhetsbrev innen IT og personvern, så kan du melde deg på her eller send en mail til ITogPersonvern@grette.no. Tidligere IT-Gruk’er er tilgjengelige på Grette sine nyhetssider.