Eierskap til data
Hvordan kan man verne om verdiene av data, og vil fremtidens regulering endre dagens måte å tenke på? Dette er noen av spørsmålene vi skal forsøke å besvare i denne artikkelen som fokuserer på eierskap, regulering og fremtidig regulering.
Advokatfirmaet Wiersholm
Advokatfirmaet Wiersholm
Partner Advokatfirmaet Wiersholm
Data er av stor verdi både for næringslivet, for det offentlige og for privatpersoner. Eier eller besitter man data og vet hvordan de skal brukes, har man et fortrinn i markedet. I takt med digitaliseringen av samfunnet har tilgangen på data, mengden av data, antall datapunkter og antallet apparater som samler inn data, økt eksponentielt de siste ti årene. Samtidig har mulighetene til å gjøre effektive analyser blitt mye bedre, særlig gjennom bedre analyseverktøy, mer datakraft og ved bruk av kunstig intelligens. Takket være dette har vi fått en dataøkonomi som vil kunne bidra til vekst i norsk økonomi «etter oljen».
Dataøkonomien er imidlertid ikke bare gunstig. For at dataøkonomien skal være en god økonomi, må vi ikke bare ha tilgang på data, men vi må også bruke dataene riktig. Derfor er det viktigere enn noen gang å sørge for gode reguleringer av eierskapet til data.
Men data er ikke som eiendeler ellers. Data er for eksempel ikke en forgjengelig ressurs, men et såkalt ikke-rivaliserende gode som kan gjenbrukes igjen og igjen. Verdien av data øker jo flere formål de kan brukes til, og samfunnsverdien av data er ofte større enn verdien for den som eier dataene. Sammenslåing av store datasett kan også forbedre innsikt, og samlet behandling kan gi mer effektiv bearbeiding. Det betyr at deling kan være et gode som samfunnet bør gi eiere og besittere av data insentiver til å bidra til.
Oppsummering
Data får stadig større verdi og det blir stadig viktigere å sikre seg eierskapet til data
Eierskapet til data kan fastsettes gjennom besittelse av dataene, avtale eller lov
Det finnes ingen egen datalov i Norge, men det finnes annen lovgivning som beskytter visse former for data
EU har kommet med forslag til en ny dataforordning (Data Act) som for alle praktiske formål regulerer eierskapet til data for IoT-produkter
Hva er data?
Data kan defineres på flere måter, og det finnes ingen offisiell definisjon. Regjeringen har i en Stortingsmelding om data definert data som «enhver fysisk representasjon av opplysninger, viten, meninger og lignende, og kan være både ustrukturerte og strukturerte». Data kan dermed være alle former for informasjon, herunder rene tall, ord, tekster, bokstavsammensetninger, bilder og videoer, så lenge denne informasjonen manifesterer seg på et medium. For eksempel kan pixlene i et bilde utgjøre data, nettopp fordi pixlene inneholder informasjon om farger og denne informasjonen manifesterer seg i en fysisk representasjon.
Selv om data kan være all form for informasjon, er det gjerne mindre datapunkter vi tenker på når vi hører ordet data. Disse datapunktene befinner seg gjerne i en database, og kan være opplysninger man selv har skapt, som man har samlet inn eller opplysninger som er samlet inn og lagret gjennom produktene eller tjenestene man bruker, for eksempel når man bruker Internet of Things-enheter (IoT-enheter). Slike IoT-enheter har gjort at innsamlingen av data har økt, og datastrømmene har derfor blitt større og mer komplekse. Dette skjer i takt med at maskinene og programvaren som behandler data, blir stadig mer avansert, og ved hjelp av for eksempel kunstig intelligens klarer vi å utnytte dataene på en helt annen måte enn det vi har kunnet tidligere.
Hva innebærer eierskap?
For å besitte, behandle og dele data med andre må man ha rettighetene til å gjøre det. Ofte vil man ønske å ha eierskapet til dataene for å ha full kontroll.
Eierskapet til data innebærer hovedsakelig en rett til å bruke, kopiere, endre og dele dataene med andre, samt rett til å nekte andre å kunne gjøre det samme. Har man ikke rett til å nekte andre å bruke dataene, eller man kun har en begrenset rett til å bruke dem, er det snarere mer naturlig å bruke betegnelsen rettighetshaver. I mange tilfeller vil det være tilstrekkelig kun å være en rettighetshaver, men ikke alltid, siden eierskapet kan gi rettigheter som gir større grad av sikkerhet med tanke på andres utnyttelse og dermed den verdien eksklusivitet innebærer.
Eierskap kan oppstå gjennom besittelse
Det klare utgangspunktet er at den som er alene om å besitte dataene, er eieren av dataene. Man har da eierskap i kraft av å være den eneste som har tilgang på dataene, fordi man kan verne om dem og stille begrensninger dersom man ønsker å tilgjengeliggjøre dataene for andre, for eksempel gjennom en særskilt avtale. Dersom andre får tilgang til de samme dataene på lovlig vis, for eksempel ved at de skaper eller innhenter det samme, vil det likevel vanskelig kunne sies at man har eierskap. Ønsker man å være sikret fullstendig eierskap til data i en slik situasjon, er man derfor avhengig av at eierskapet er regulert i lov eller avtale.
Eierskap kan være bestemt gjennom lov
Et av særtrekkene med data, sammenliknet med fysiske objekter, er at det ikke finnes noen særskilt lov som regulerer rettighetene til data.
Data kan imidlertid ha beskyttelse i form av å inngå i noe som har beskyttelse etter annen lovgivning. Dette vil typisk kunne være tilfellet der data består av en tekst, et bilde eller en database, eller der data inngår som en del av et patent eller er en forretningshemmelighet. Da vil dataene være et immaterielt gode, og kan være vernet av for eksempel åndsverkloven, patentloven eller etter lov om forretningshemmeligheter. Også konkurranseloven og personopplysningsloven (inkludert GDPR) kan begrense hvordan data kan brukes og deles, og dermed også stille begrensninger til hvem som kan være eier av data og de rettighetene man har som eier.
I praksis vil den mest nærliggende beskyttelsen for data i lov være det vernet man kan oppnå gjennom databasevernet i åndsverklovens § 24. Databasevernet beskytter den vesentlige investeringen det innebærer å fremstille en database gjennom innsamling, kontroll eller presentasjon av dataene den inneholder. Den som har fremstilt en slik database har en 15-årig enerett til å råde over hele eller vesentlige deler av databasens innhold. Databasevernet beskytter dermed ikke den enkelte dataen (datapunktene) i seg selv, men snarere de vesentlige delene av databasen som helhet. Dette innebærer for eksempel at selskaper som gjennom sitt arbeid genererer data og gjør en viss innsats for å samle dette i en database, kan få en viss beskyttelse for disse dataene.
Dersom dataene ikke oppfyller vilkårene for beskyttelse etter lovgivningen, og man skal samarbeide med en tredjepart om bearbeidelse eller utveksling av data, burde man alltid regulere eierskapet til data gjennom en avtale. Avtalen må gjenspeile de rettighetene man ønsker å ha, og ettersom det ikke er noen bakgrunnsrett å falle tilbake på, er en god og presis regulering viktig.
Der data inngår som et element i en forretningsmessig relasjon, anbefaler vi derfor at det alltid inkluderes en egen databestemmelse i avtalen som særskilt regulerer de rettighetene og forpliktelsene hver part skal ha. Det er ikke tilstrekkelig å tro at data er regulert gjennom mer tradisjonelle immaterialretts- eller konfidensialitetsbestemmelser. Slike bestemmelser har (normalt) en annen innretning og et annet formål. Samtidig er det viktig å huske på at avtalen kun fastsetter rettigheter og forpliktelser som gjelder mellom partene som har inngått den, og at avtalen ofte ikke vil hindre at andre tredjeparter bruker dataene dersom disse får besittelse.
EUs nye datastrategi og forslag til egen dataforordning
I februar 2020 publiserte EU en datastrategi som har som mål å etablere et eget indre marked for data, samt etablere lovmessige rammer for blant annet datastyring, adgang til data og videreutnyttelse av data. EU ønsker å oppnå målet ved blant annet å legge til rette for deling av data mellom aktører i unionen. Datastrategien har resultert i en rekke nye lovforslag fra EU. Den viktigste for regulering av rettighetene til data er Data Act, på norsk dataforordningen, som ble foreslått av Europakommisjonen 23. februar 2022 og senere endret av Rådet 17. mars 2023. Når vi nedenfor refererer til dataforordningen, er det dette forslaget vi viser til og ikke en vedtatt forordning. Dataforordningen skal blant annet regulere hvem som kan få tilgang til data og hvilke betingelser man kan sette for slik tilgang. Formålet er å hindre at produsenter av produkter blir sittende som enerådige eiere av data som et produkt skaper.
Dataforordningen gjelder kun for IoT-produkter og tilknyttede tjenester
Forordningen gjelder for data som genereres av produkter og tilknyttede tjenester. Produkter er i forslaget definert som:
«… tangible item that obtains, generates or collects data concerning its use or environment, and that is able to communicate data directly or indirectly via a publicly available electronic communications service within the meaning of Article 2(4) of Directive (EU) 2018/1972.»
Med produkter menes derfor, for alle praktiske formål, IoT-produkter, altså smarte produkter som registrerer, genererer eller samler inn data, og som er i stand til å formidle disse videre via en elektronisk kommunikasjonstjeneste (for eksempel via internett). Dette vil omfatte alt fra produksjonsmaskiner som er koblet til internett, smarte kjøretøy og de smarte produktene vi har i hjemmet vårt. Forordningen omfatter imidlertid ikke produkter som ikke er smarte, altså de produktene som ikke er koblet til internett. Det er også gjort en avgrensning mot innholdsprodukter. Dette er produkter som har som hovedformål å vise eller avspille innhold, for eksempel datamaskiner, nettbrett og mobiltelefoner.
Dataforordningen gjelder hovedsakelig ikke for tjenester, med mindre det er tale om en tilknyttet tjeneste som er definert som en
«… digital service, other than an electronic communications service, including software and its updates, which is at the time of the purchase, rent or lease agreement inter-connected with a product in such a way that its absence would prevent the product from performing one of its functions.»
Forordningen gjelder dermed kun tjenester som iboende henger sammen med et IoT-produkt. Dette er tilfellet der et produkt kommuniserer med, og er avhengig av, for eksempel en nettjeneste eller en app for å fungere.
Hvem er omfattet av dataforordningen?
Dataforordningens datadelingsbestemmelser gjelder hovedsakelig for dem som omtales som brukere, datainnehavere og datamottakere. Brukeren er en person, eller et selskap, som bruker et produkt, for eksempel den som eier og styrer en industrimaskin. Datainnehaveren vil typisk være produsenten av produktet, eller den som produktet normalt gir tilgang til produktets data. Tradisjonelt har kontrollen over dataene vært begrenset til hvilke data produsenten ønsker å tilrettelegge for. Datamottakeren er en tredjepart som brukeren gjennom instruks til datainnehaveren kan gi direkte tilgang til de aktuelle dataene som produsenten skaper.
Dataforordningen oppstiller tre ulike modeller for deling av data mellom datainnehaver, datamottaker og brukeren.
Brukeren har rett på tilgang til data som datainnehaveren besitter
For det første har brukeren rett på tilgang til sine data direkte fra datainnehaveren på en enkel og sikker måte, direkte gjennom produktet eller en tilhørende tjeneste. Dette innebærer at produsenten ikke kan bli sittende på eierskapet til dataen. Når brukeren har fått tilgang til sine data, disponerer brukeren helt fritt over disse innenfor forordningens grenser. Dette innebærer at brukeren vil kunne dele dataene med tredjepersoner, selv der det er tale om en konkurrent av datainnehaveren. Både brukeren, datainnehaveren og tredjeperson må imidlertid respektere alminnelige regler om forretningshemmeligheter.
Datamottakeren skal få tilgang til data etter brukers anmodning
For det andre oppstiller dataforordningen regler for deling av data med en datamottaker etter anmodning fra brukeren. Datainnehaveren skal i slike tilfeller sikre at dataene som tilgjengeliggjøres, er like korrekte og fullstendige som de dataene datainnehaveren selv sitter på. Dette vil typisk være relevant der datamottakeren skal utføre et arbeid eller en tjeneste for brukeren, eller der brukeren ønsker å dele data for bruk i en ny eller konkurrerende tjeneste.
Datamottakeren kan imidlertid ikke fritt disponere over dataene, men kun bruke dataene til de formålene som er avtalt med brukeren. Datamottakeren kan derfor kun dele dataene videre til øvrige tredjeparter dersom det er nødvendig for å levere den tjenesten som brukeren har anmodet om. Brukeren kan også trekke tilbake samtykket sitt når som helst.
Offentlige myndigheter har i enkelte tilfeller rett til data
For det tredje oppstiller dataforordningen en mekanisme for deling av data med offentlige myndigheter i ekstraordinære tilfeller hvor det er nødvendig for de offentlige myndighetene å skaffe seg tilgang til data. Dette gjelder for eksempel i folkehelsekriser, nødssituasjoner som miljøforringelse og ved større naturkatastrofer. Det er medlemsstatene selv, eller internasjonale organisasjoner, som har ansvaret for å definere hva som er å anse som et «ekstraordinært tilfelle». Foruten i ekstraordinære tilfeller som pågår, kan data også deles med offentlige myndigheter når det er nødvendig for å forebygge en offentlig nødssituasjon, og når mangelen på data forhindrer utførelsen av en spesifikk oppgave i offentlighetens interesse.
Unntak fra dataforordningens anvendelsesområde
Dataforordningen inneholder enkelte unntak.
Det gjøres blant annet unntak for såkalte små- eller mikrovirksomheters plikt til å dele data. Dette er virksomheter som har mindre enn 50 ansatte og en samlet omsetning som ikke overstiger ti millioner euro. Av hensyn til deres størrelse, er disse virksomhetene ikke pliktige til å tilpasse produktene sine. Det samme gjelder for virksomheter som er av medium størrelse i en mellomperiode på ett år fra de ble medium størrelse eller når produktet ble lansert på markedet. Dette er virksomheter med mindre enn 250 ansatte og en årlig omsetning på 50 millioner euro.
Forordningen gjør også unntak for større virksomheter, såkalte «portvoktere». Dette er selskaper som har en viss påvirkning på og en viss kontroll over markedet. Dette vil typisk være selskaper som Apple, Google og Microsoft. Disse har ikke rett til å motta data fra andre. Begrunnelsen er at disse selskapene er så store at det ikke er nødvendig eller rettferdig at de skal kunne motta data fra andre. Disse selskapene har imidlertid en plikt til å dele data dersom de tilbyr smarte produkter eller tilkoblede tjenester.
Lytt på Podcasten!
Dersom du er nysgjerrig på temaet, kan du også høre Wiersholms podkast Advokatene forklarer og episoden «Hvem eier data?», hvor artikkelforfatterne diskuterer dette temaet nærmere.
Lytt på podkasten.1
1 https://omny.fm/shows/advokatene-forklarer/teknologi-hvem-eier-data
Dataforordningen er foreløpig kun et forslag
Foruten regler for tilgjengeliggjøring og bruk av data oppstiller dataforordningen også regler for å forhindre ubalanserte avtalevilkår, regler for forenkling av overføring av data mellom tjenesteleverandører, beskyttelse av internasjonale dataoverføringer og bedre interoperabilitet. Dataforordningen er per nå kun et forslag fra Europakommisjonen, og det tar fremdeles tid før forslaget blir vedtatt i EU, og ikke minst før det blir inkorporert i norsk rett. Det som likevel er ganske sikkert, er at det kun er et spørsmål om når dataforordningen blir vedtatt og ikke hvis. Selv om det fremdeles kan komme mindre endringer, bør man derfor bruke tid på å sette seg inn i regelverket og forberede seg på den reguleringen som vil komme.