IT-Gruk 8/2023: Nytt i IT- og personvernretten – og god sommerferie!
Første halvår 2023 er over. Det siste halvåret har vært preget av diskusjoner omkring bruk og regulering av kunstig intelligens (AI), men halvåret har også gitt oss andre nyheter innen IT-rett, personvern og opphavsrett. Her er et knippe av nyheter som vi mener er relevante og interessante i en digital hverdag som krever mye av både brukere og virksomheter. Og så ønsker vi alle en riktig god sommer!
Personvern og USA: Schrems II snart over
Mandag 3. juli 2023 annonserte amerikanske myndigheter at de nå har implementert klagemekanismen etter Executive Order (EO) 14086 for EU/EØS, og mekanismen vil tre i kraft når EU-kommisjonen har fattet adekvansbeslutning for USA. I tillegg har ODNI (Office of the Director of National Intelligence) bekreftet adekvate retningslinjer og prosedyrer, som samlet utgjør sikkerhetstiltakene etter EO 14086. Kan vi nå vente oss en ferdigstillelse av utkastet til adekvansbeslutning fra desember 2022? https://www.commerce.gov/news/press-releases/2023/07/statement-us-secretary-commerce-gina-raimondo-european-union-us-data
Digitalytelsesloven: Har du kontroll på hva du måtte ha gjort senest 30. juni?
Digitalytelsesloven trådte i kraft 1. januar 2023, men en av konsekvensene av loven er at en leverandør av digitale ytelser plikter å varsle forbrukere minst en gang hver sjette måned om at den digitale tjenesten løper, og at forbrukere har rett til å si opp tjenesten. Dette følger av digitalytelsesloven § 33(4) og varslet skal sendes aktivt, slik som per e-post eller SMS. Det holder ikke å varsle på en passiv måte, slik som ved å gi informasjon på nettet. Ved at loven trådte i kraft 1. januar, så utløp den første seks måneders perioden 30. juni 2023. Ved å ikke sende varsel så risikerer leverandøren at forbrukeren kan si opp tjenesten kostnadsfritt, og med effekt fra den dagen varslet skulle vært sendt.
Personvern og Meta: Ulovlig bruk av personopplysninger etter GDPR
Det er hektisk rett før sommeren for Meta. EU-domstolen har nettopp publisert dom i sak C-252/21 mellom Meta/Facebook og tyske kartellmyndigheter. Dommen adresserer Meta sin bruk av den enkeltes brukerdata som er knyttet til annen bruk enn direkte aktiviteter på Facebook. Dette er omtalt som «off-Facebook data» og gjelder bruk som er knyttet til besøk på tredjepart sine sider og applikasjoner, eller andre Meta-tjenester. Dette er data som brukes for rettet reklame. Kartellmyndigheten forbød bruk av tyske borgeres data uten samtykke for «off-Facebook data» da det ble vurdert å være et misbruk av en dominerende stilling og ikke i samsvar med GDPR. Retten viser til at et brudd på GDPR, i form av manglende samtykke, kan brukes som grunnlag for å vurdere om det foreligger misbruk av dominerende stilling. Etterlevelse av GDPR i seg selv må like fullt ivaretas av rette datatilsynsmyndighet. For Meta betyr dette mest sannsynlig at Meta må se nærmere på behandlingsgrunnlaget for «off-Facebook data» som da ikke kan gjemmes bort i andre vilkår for generell bruk av Facebook-funksjonalitet.
Åpenhetsloven: Er du klar til å publisere erklæringen din?
Åpenhetsloven skal fremme virksomheters respekt for grunnleggende menneskerettigheter og anstendige arbeidsforhold, og sikre allmennheten tilgang til informasjon. Loven trådte i kraft 1. juli 2022 med en informasjonsplikt for virksomhetene som er underlagt loven. Dette er virksomheter som tilbyr varer eller tjenester i Norge eller utlandet og er av en viss størrelse (to av tre vilkår: minst 50 ansatte, 70 MNOK i inntekter eller 35 MNOK i balansesum). I tillegg plikter virksomhetene å offentliggjøre sin aktsomhetsvurdering senest 30. juni 2023. En aktsomhetsvurdering er en prosess eller en arbeidsmetode for å kartlegge, forebygge, gjøre rede for og følge opp hvordan en virksomhet håndterer faktiske og potensielle negative konsekvenser av sin virksomhet.
Personvern: Når er en personopplysning identifiserbart?
Det kommer stadig flere dommer som bidrar til forståelsen av GDPR. En helt sentral dom kom 26. april i sak T-557/20 mellom Single Resolution Board (SRB) og EU organenes tilsynsmyndighet (EDPS). Dommen ble avsagt av EUs General Court (underrett) og adresserte spørsmålet om pseudonymisering av personopplysninger ved overføring til tredjepart. Tredjeparten var i dette tilfellet Deloitte, som mottok data fra SRB for analyse. Deloitte kunne selv ikke re-identifisere individene i datasettet uten at «nøkkelen» til dette ble gitt fra SRB. EDPS kom til at dette var et brudd på GDPR og informasjonsplikten ved overføring. Domstolen derimot tok utgangspunkt i GDPR art. 4(1), samt EU-domstolens dom C-582/14, og kom til at EDPS ikke hadde gjennomført en risikobasert vurdering av om det var rimelig sannsynlig at man kunne re-identifisere individene. I dette tilfellet presiserte domstolen at vurderingen må sees fra mottagerens perspektiv, altså basert på Deloittes perspektiv knyttet til deres innsats og mulighet for re-identifikasjon. Nå er dette en underrettsdom som kan ankes, men dommen åpner opp for terskelen for anonymisering må settes lavere. Kanskje er det ikke nødvendig med databehandleravtaler i alle tilfeller med pseudonymiserte data?
Opphavsrett og Harry Potter-musikk
Saken mellom Warner Bros og Star Entertainment omkring markedsføring og gjennomføring av tre konserter i Norge med musikk fra Harry Potter-filmene ha nå fått sitt resultat med dom fra lagmannsretten (LB-2023-13976). Saken gjaldt flere krav knyttet til inngrep i opphavsretten i forbindelse med de planlagte konsertene. Warner har eneretten til all filmmusikk til Harry Potter-filmene, og hadde ikke gitt tillatelse til bruk. Star mente derimot å ha fått tillatelse fra TONO som rettighetsforvalter av musikken. Retten kom etter en nærmere vurdering til at Star hadde utarbeidet og fremført endrede versjoner av musikken uten samtykke og dermed skapt ny bearbeidelse med verkshøyde som krenket Warner sine rettigheter. Resultatet var derfor forbud mot fremføring av den bearbeidede musikken samt erstatning til Warner. Retten kom også til at markedsføringen av konsertene ikke var i strid med markedsføringsloven § 25, brudd på Warners varemerker eller brudd på opphavsretten ved bruk av partitur. Det interessante for en musikkinteressert person er at dommen likevel tydeliggjør at en vil ha noe rom for fortolkning og tilpasning av et verk, men at det vil gå en grense hvor eksempelvis en medley av sanger fort kan innebære et nytt bearbeidet verk.
DMA: Hvem er portvokterne for digitale tjenester?
DMA eller Digital Markets Act er EUs forordning om digitale markeder. Den trådte i kraft 1. november 2022 og har som formål å hindre at store digitale plattformer ikke misbruker sin posisjon, men sikrer tilgang på like og rettferdige vilkår. Virkningen av DMA er først ventet i 2024, men allerede 3. juli 2023 var notifiseringsfristen til EU-kommisjonen for de virksomhetene som møtte tersklene for å omfattes av begrepet «gatekeeper». Mandag denne uken stod følgende selskaper på listen: Alphabet (Google), Amazon, Apple, ByteDance (TikTok), Meta, Microsoft og Samsung. Kommisjonen har nå 45 dager på å vurdere om disse virksomhetene møter tersklene og utpeke dem som gatekeepers, og deretter må virksomhetenes etterlevelse etableres innen 6 måneder, men senest 6. mars 2024. Kravene følger av DMA art. 5-7 og inneholder over 20 konkrete forpliktelser, slik som forbud mot å favorisere egne produkter og tjenester.
Mens DSA har fått sine VLOPer
Og når vi først snakker om DMA, så må vi også nevne tvillingen DSA, altså Digital Service Act, som er forordningen som har som mål å styrke det interne digitale markedet og regulere veldig store digitale tjenestetilbydere og søkemotorer med over 45M månedlige og aktive brukere (VLOP og VLOSE). DSA oppdaterer på sett og vis det gamle ehandelsdirektivet. Alle internettplattformer hadde frist til 17. februar 2023 for å melde om antall brukere, og 25. april 2023 utpekte kommisjonen følgende selskaper som VLOP’er med plikter under DSA: Alibaba Aliexpress, Amazon Store, Apple AppStore, Booking.com, Facebook, Google Maps/Play/Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipedia, Youtube og Zalando. Som store søketjenester ble (VLOSE) Bing og Google Search utpekt. Disse er nå i en fire måneders periode der de må sikre etterlevelse av DSA.
Om du trodde AI Act var det eneste vi ventet på av EU-reguleringer…
Vi har allerede nevnt AI Act i mange IT-Gruk eller Mini-Gruk den siste tiden, og de fleste har fått med seg at utkastet til AI Act er blitt vedtatt av EU-parlamentet. Dermed er trilogforhandlingene i gang og vi venter på at EU-kommisjonen, EU-parlamentet og EU-rådet blir enige. Det er mest sannsynlig at det skjer en gang i løpet av de neste seks måneder. I tillegg venter vi på:
- AI-ansvarsdirektivet som er under arbeid: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52022PC0496, og
- ePrivacy Act som drøyer: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52017PC0010.
Mens andre EU-regelverk mer eller mindre har kommet på plass med større tempo:
- Data Act (forordning som fremmer dataportabilitet for primært IoT-data), politisk enighet i juni 2023: https://www.consilium.europa.eu/en/press/press-releases/2023/06/27/data-act-council-and-parliament-strike-a-deal-on-fair-access-to-and-use-of-data/
- MiCA-reguleringen for kryptomarkeder, vedtatt i mai 2023: https://www.consilium.europa.eu/en/press/press-releases/2023/05/16/digital-finance-council-adopts-new-rules-on-markets-in-crypto-assets-mica/
- Markedsføring av finanstjenesterdirektivet (distance marketing of consumer services), politisk enighet i juni 2023: https://www.consilium.europa.eu/en/press/press-releases/2023/06/06/council-and-parliament-reach-provisional-political-agreement-on-financial-services-contracts-concluded-at-a-distance/
Hvordan står det til med internett i Norge?
«Internett er kommet for å bli», sa en av mine kolleger her om dagen, før han la til raskt: «Og sånn er det vel også med AI». Litt humring må til nå før sommerferien. Men hvordan står det nå til med internett her i Norge. NKOM (Nasjonal kommunikasjonsmyndighet) publiserte i juni årsrapporten for Internett i Norge 2023. Vi tar med oss at nettnøytraliteten synes å være god i Norge og det gir likere betingelser for tilbydere av internettjenester. I tillegg øker utbredelsen av IPv6 i Norge til 36 %, fra 24 % i fjor.
GRETTE TEKNOLOGI OG DIGITALISERING: NYHETSBREV | FROKOSTMØTE: Vi bistår alle typer virksomheter med vurderinger knyttet til personvern/GDPR, IT-kontrakter/prosjekter, immaterialrett og andre rettsforhold knyttet til teknologi og digitalisering. Ta gjerne uforpliktende kontakt for en innledende avklaring med ansvarlig for Grettes avdeling for Teknologi og digitalisering: Peter Lenda på tel 924 01 652 eller pele@grette.no. Tidligere IT-Gruk’er er tilgjengelige på Grettes nyhetssider.
