Nye teknologier – nye muligheter og utfordringer

I dette nyhetsbrevet fra CLP tar vi opp temaer knyttet til innovasjon, nye teknologier og nye reguleringer:

• Det gis en oversikt over pågående diskusjoner om regulering av kunstig intelligens, Internet of things og Big Data, hvor betydningen av gode avtalereguleringer understrekes.

• EU fikk nye personvernregler (GDPR) i slutten av mai, og Norge i midten av juli i år. Hva har skjedd siden den gang? Datatilsynet har rapportert om rekordmange avviksmeldinger. Hvordan bør dette håndteres i praksis?

• Åndsverkloven har blitt endret, og det er vedtatt nye regler på EU-nivå på dette området. Det er også nye regler om folkefinansiering (crowdfunding) på trappene. Vi gir en oversikt.

• På konkurranserettens område har det den siste tiden vært økende fokus på markedsposisjon og styrke til toneangivende digitale handelsplattformer, slik som for eksempel Hotels.com og Booking.com. Det gis en oversikt over nye retningslinjer på området som skal bidra til tilgang, åpenhet og ikke-diskriminering.

Artiklene er skrevet av våre advokater innenfor arbeidsområdene private equity og teknologirett. Vi bistår daglig flere spennende innovasjonsselskaper og deres eiere. Ofte omfatter vår bistand hele spekteret fra oppstart og etablering til inngåelse av de første kommersielle avtaler med immaterielle rettigheter og regulatorisk rammeverk, investeringer og oppkjøp, salg, fusjoner og børsnoteringer.

Kunstig Intelligens, Internet of Things og Big Data – nye teknologier og utdaterte regler?

Vi har hørt det en stund – nå kommer kunstig intelligens (AI), Internet of Things (IoT) og Big Data og den digitale revolusjon for alvor! Men henger lovgiverne og juristene med i svingene? Med noen få hederlige unntak er det foreløpig flere spørsmål enn svar på hvordan kunstig intelligens, Internet of Things og Big Data skal reguleres.

Stephan Brodschöll (sbr@clp.no)

Det samme gjelder reguleringer knyttet til Blockchain og Smart Contracts, som er teknologier som ofte vil benyttes sammen med kunstig intelligens, IoT og Big Data. Både for gründere, investorer, leverandører, kunder og ikke minst brukere av disse teknologiene, er det grunn til å merke seg pågående diskusjoner som særlig har fokusert på følgende to områder:

1. Hvem har ansvaret? Vi kan tenke oss at en maskin drevet av AI forårsaker skade. Hvem kan holdes ansvarlig for denne skaden? Den er ikke forårsaket av en person, men av en maskin og beslutninger basert på AI. På generelt grunnlag pågår nå diskusjoner på EU-nivå om hvordan produktansvarslovgivningen skal tilpasses situasjoner hvor skade har oppstått som følge av AI. Svaret er ikke gitt, men for leverandører av programvare og andre innsatsfaktorer til AI-løsninger er det viktig å være oppmerksom på dette når løsninger lanseres og avtaler inngås. På et område er det nå større klarhet: I lov om utprøving av selvkjørende kjøretøyer som trådte i kraft 1. januar i år, er det en ansvarlig fysisk eller juridisk person som får tillatelse til å foreta en slik utprøving. Det fremheves i forarbeidende at:

«Den som utpekes som ansvarlig forutsettes å ha en slik nærhet til utprøvingen at vedkommende faktisk kan føre kontroll med at prosjektet gjennomføres som forutsatt i henhold til gjeldende rett og tillatelsen. Departementet vil fremheve at utprøvingsloven ikke gjør unntak fra leverandørenes ansvar etter lov 23. desember 1988 nr. 104 om produktansvar (produktansvarsloven). I henhold til produktansvarsloven § 2-1 plikter en produsent å erstatte skade som hans produkt volder og som skyldes at det ikke byr den sikkerhet som en bruker eller allmennheten med rimelighet kunne vente.»

2. Eierskap, kontroll og personvern omkring data. På dette området har det skjedd mye på lovgiversiden gjennom de nye personvernreglene i GDPR. Det finnes også regler om databaser og datamaskinprogrammer i åndsverkloven. I sin enkle form er tilgang til data en forutsetning og en innsatsfaktor for IoT og AI. Persondata eies strengt tatt av de enkelte personer, men bearbeidet persondata og aggregerte data kan eies av andre, for eksempel selskaper. Mange typer data som brukes, vil uansett ikke være persondata, som for eksempel metadata. Men hvem skal eie data som er «produsert» av en AI maskin? Hvordan blir dette regulert i avtalene som inngås? Hva skjer om det er feil i dataene? Hvem har ansvaret hvis data kommer på avveie? Dette er viktige spørsmål som oppstår i tillegg til de spørsmålene GDPR har medført. Det er viktig å være oppmerksom på dette i forbindelse med forretningsmodeller og avtaleinngåelser for å sikre at det inngås gjennomtenkte avtaler.

Rekordmange avvik meldt til Datatilsynet – avviksrutiner kan skape hodebry for både store og små virksomheter

GDPR har trådt i kraft og Datatilsynet forventer opp mot 1000 avviksmeldinger i 2018. Datatilsynet har opprettet en egen task force for å håndtere mengden avviksmeldinger og brudd på personopplysningssikkerheten. Særlig for oppstartsbedrifter uten gode systemer og rutiner kan det være vanskelig å identifisere og dokumentere avvik, og vurdere når det er plikt til å varsle Datatilsynet.

Av: Oddbjørn Aasness 

Den nye personvernloven og GDPR trådte i kraft i sommer, uten at veldig mye synes å ha skjedd til nå. Men at det er større fokus på personvern vises på Datatilsynets avviksstatistikk: Datatilsynet har hittil i år mottatt over 600 avviksmeldinger fra ulike virksomheter, og tilsynets direktør spår at tallet stiger til opp mot 1000 innen året er omme. Dette er en markant økning fra 349 meldinger i fjor.

Med brudd på personopplysningssikkerheten er det lett å tenke på store alvorlige saker med utlevering av personopplysninger til en rekke personer. De fleste sikkerhetsbrudd er imidlertid av mindre alvorlig karakter, og mange avvik eller uønskede hendelser er av en slik karakter at det ikke foreligger noen plikt til å melde hendelsen til hverken tilsynet eller de registrerte.

Avviksmelding er en melding til Datatilsynet, og eventuelt den personopplysningene gjelder, om brudd på personopplysningssikkerheten. Databehandler skal melde avvik til behandlingsansvarlig. Er man databehandler bør man ikke trå feil her.

De fleste har fått med seg tidsfristen på 72 timer for å melde avvik til Datatilsynet, men særlig mange små bedrifter mangler rutiner og har ikke gjort noen grundige forhåndsvurderinger av hvilke typer avvik som faktisk skal og bør meldes, og til hvem. Dette kan lett skape en situasjon hvor man velger å melde «alt eller ingenting».

Dersom det først er konstatert et brudd på personopplysningssikkerheten (hvilket ikke alltid er enkelt å vurdere), er det likevel ikke pålagt å melde avviket til Datatilsynet dersom det er «lite trolig at bruddet vil medføre risiko for fysiske personers rettigheter og friheter». Videre er det kun pålagt å melde avviket til den personopplysningene gjelder, dersom det er sannsynlig at avviket vil medføre «høy risiko for fysiske personers rettigheter og friheter». Det sier seg selv at det kan være vanskelig å vurdere når det er «lite trolig» at det er risiko, og hva som er høy risiko.

Alle avvik må selvsagt vurderes konkret, men rutiner for hvordan avvik skal håndteres, herunder dokumenteres og meldes, vil bli viktigere og viktigere etter hvert som personvernreglene i større grad reelt sett implementeres i norske bedrifter. Hvorvidt antall avviksmeldinger til Datatilsynet kunne vært lavere eller langt høyere vet vi ikke, men sannsynligheten er stor for at mange avvik er meldt unødig, og at mange avvik som burde vært meldt Ikke er blitt meldt.

Vårt generelle råd er at det inntas en proaktiv holding til hvordan avvik skal håndteres. Det vil si at bedriften i tillegg til oppfølging av enkeltsaker også foretar foreløpige forhåndsvurderinger av hvilke avvik som skal meldes og hvordan dette skal meldes og håndteres. Ofte vil det være behov for ekstern hjelp for å få klarlagt omfanget og konsekvenser av avviket, samt håndtering og kontakt med myndigheter, de berørte enkeltpersoner som i enkelte tilfeller også skal varsles, samt eventuell håndtering av media.

Ny åndsverkslov og omstridte forslag

Opphavsretten er i vinden for tiden. I Norge er det vedtatt ny åndsverklov, og EU parlamentet har vedtatt en omstridt direktivtekst som kan medføre at innehavere av plattformer for deling av innhold på nett må kontrollere innhold som lastes opp av brukere.

Av: Oddbjørn Aasness

Forslaget fra EU parlamentet rammer langt flere enn de store aktørene som Youtube og Facebook, og har satt sinnene i kok i tech-verdenen. Det nye vedtaket fra Parlamentet innebærer imidlertid presiseringer for å beskytte mindre tech-selskaper som ikke har ressurser til å kontrollere innhold på samme måte som de store tech-selskapene.

Mye har skjedd på opphavsrettsfronten i Norge også, hvor ny åndsverklov ble vedtatt i sommer. Kanskje det viktigste med loven er det rent redaksjonelle og kodifisering av regler som tidligere var ulovfestet. Blant annet har man nå lovfestet det såkalte spesialitetsprinsippet for tolkning av avtaler om overdragelse av opphavsrett (f.eks. lisensavtaler), som innebærer at opphavsmannen ikke skal anses for å ha overdratt en mer omfattende rett enn det avtalen klart gir uttrykk for. I forarbeidene til loven er det nå presisert at prinsippet ikke gjeldernår det er spørsmål om det i det hele tatt er inngått en avtale om overdragelse av rettigheter. Videre har man med ny lov etablert et forbud mot å strømme film og andre åndsverk der det er åpenbart at materialet er ulovlig lagt ut, og det er blitt lovfestet at opphavsmannen har krav på «rimelig vederlag» ved overdragelse av opphavsrett. Oslo tingrett er blitt tvunget verneting for søksmål om inngrep i opphavsrettigheter.

På europeisk og globalt nivå går debatten om den nylig vedtatte direktivteksten fra EU-parlamentet vedrørende opphavsrettigheter på internett. Det har særlig rast en debatt om tidligere forslag og vedtakelsen av artikkel 11 og 13. Førstnevnte innebærer enkelt sagt at plattformer som Google må betale for å dele lenker til artikler som er opphavsrettslig beskyttet, mens artikkel 13 krever at plattformer som fasiliteter deling av opphavsrettslig beskyttet innhold (som YouTube og Facebook) jobber aktivt med rettighetshavere for å stanse ulovlig opplasting av opphavsrettslig beskyttet materiale. Hensikten er å beskytte opphavsmenn og utøvende kunstnere, som musikere og forfattere. Forkjemperne for forslaget ser på vedtakelsen som en seier for opphavsmenn og utøvende kunstnere.

En viktig del av kritikkene til dette forslaget, i tillegg til de prinsipielle spørsmål om sensur på internett, er at regelverket vil kunne ramme svært mange delingsplattformer hvor brukere deler innhold, og vil i praksis kunne kreve en scanning av materialet som lastes opp. Dette vil igjen kunne utgjøre stor økonomisk byrde som særlig rammer små tech-selskaper hardt.

Det nye vedtaket innebærer imidlertid enkelte modifikasjoner fra EU-kommisjonens forslag tidligere i år, som var opphavet til den hete debatten. Særlig er mindre selskaper og en rekke ikke-kommersielle organisasjoner unntatt fra reglenes anvendelsesområde. Parlamentet annonserer forslaget som «fair pay for artists and journalists while encouraging start-ups».

Direktivteksten er nå gjenstand for diskusjoner mellom medlemslandene i EU, og først etter dette vil det bli fattet et endelig vedtak. Imellomtiden er ingen ting skrevet i stein, og det må forventes mye debatt fremover.

Ennå et stykke igjen før folkefinansiering er på plass

Norske regler som i dag gjelder for folkefinansiering (crowdfunding) er lite tilpasset og det har lenge vært klart at det er behov for endringer. Det har i 2018 kommet flere utspill både på norsk og europeisk nivå, men norske regler som er tilpasset gründerens behov synes fortsatt å være et stykke unna.

Christian Vestheim (cve@clp.no)

I desember 2017 kom Finanstilsynet omsider med et rundskriv (rundskriv 10/2017) med en presisering av kravene til låneformidlervirksomhet i forbindelse med folkefinansiering. Basert på rundskrivet og Finanstilsynets praksis synes Finanstilsynet å legge til grunn en restriktiv praksis, og bekrefter dermed antagelsen de fleste har hatt om at det er behov for en ny og tilpasset regulering av folkefinansiering. For den norske gründeren er det i dag tilnærmet umulig å etablere og drive egenkapital- eller lånebasert folkefinansieringsplattform i Norge uten å foreta store og til dels kapitalkrevende investeringer.

I mars 2018 kom det imidlertid noen utspill som viser at nye regler forhåpentligvis er på vei. Den 1. mars 2018 avga Mjøs-utvalget sin innstilling Kapital i omstillingens tid(NOU 2018:5) hvor de blant annet konkluderer med at det eksisterende regelverket for egenkapital- og lånebaserte folkefinansieringsplattformer bør klargjøres og tilpasses. Den 8. mars kom Europakommisjonen med et forslag til forordning for folkefinansieringstjenester. Forslaget er lagt frem som en del av Europakommisjonens «Fintech» pakke, hvor hensikten er å legge til rette for at europeiske finansmarkeder blant annet vil bli mer integrerte og lettere tilgjengelig gjennom å utnytte ny teknologi. Finansdepartementet har uttalt at de antar at forordningen vil være EØS-relevant, og at forslaget er til vurdering.

Det kan imidlertid ta flere år før en forordning om folkefinansiering blir endelig vedtatt og trer i kraft EU. I mellomtiden må mange gründere sett sin lit til at norske myndigheter vil følge opp og legge til rette for folkefinansiering på eget initiativ slik at folkefinansiering snart kan fremstå som en reell finansieringskilde for oppstartsbedrifter og andre foretak som ikke har tilgang på banklån.

Plattformregulering fra EU – fremmende eller skadelig for konkurransen?

Det er fremmet forslag til forordning for å styrke bedriftene i møte med de store internettplattformene – kritikerne har reist spørsmålet om den nye plattformreguleringens kamp mot de store internettplattformene tar med seg mindre plattformtilbydere i dragsuget.

Av: Lene Sommerfelt 

Kommisjonen i EU anslår at om lag en million bedrifter i EU bruker internettplattformer til å tilby varer og tjenester, og at henholdsvis 60 % av all privat konsum og 30 % av offentlig konsum i den digitale økonomien skjer via slike plattformer. Kommisjonens forordningsforslag som nå er tilbehandling i Rådet/Europaparlamentet har til hovedformål å «fremme rimelighet og åpenhet for bedrifters bruk av formidlingstjenester på internett».

Kommisjonen har i de senere år hatt et særskilt fokus på balansen mellom internettplattformer og de bedrifter som der tilbyr sine varer og tjenester for å nå ut til et større tilfang av forbrukere. Årsaken er at urimelig handelspraksis hos internettplattformene har skapt en vanskelig og uforutsigbar konkurransesituasjon for bedriftene som vil markedsføre seg på plattformene.

Et nyere eksempel på slik urimelig handelspraksis finner vi i avgjørelsen avsagt 20. juli i år av Stockholm tingrett, som fant at Booking.com hadde brutt konkurranseloven. Bruddet bestod i at Booking.com krevde at hotellene som markedsførte seg på plattformen ikke kunne tilby en lavere pris på sine egne nettsider.

Forslaget til ny forordning er ikke en konkurranserettslig regulering, men et selvstendig regelverk. Hovedelementene i forordningen er økte krav til transparens, blant annet gjennom krav til avtalevilkårene mellom plattformtilbyderen og bedriftene, effektiv tvisteløsning, samt et nytt overvåkningsorgan.

Hva gjelder kravene forordningen stiller til avtalevilkårene, er hovedpoenget at disse skal være lettfattelige, lett tilgjengelige, og tydeliggjøre hvilke objektive grunner plattformtilbyderen kan ha for en beslutning om å stenge ute enkeltbedrifter. I tillegg skal det fremgå av avtalevilkårene hvordan de ulike bedriftene rangeres, samt om det er mulig å påvirke rangeringen mot vederlag.

Kritikere til forordningsforslaget har innvendt at selv om en balansering mellom plattformene og bedriftene som annonserer der er vel og bra – så kan reguleringen skape hodebry for mindre plattformtilbydere. Ikke bare som følge av de krav denne reguleringen stiller, men også som følge av det noe uklare forholdet til konkurransereglene. Samlet sett kan den bidra til en regulatorisk vanskelig situasjon, som primært de aller største aktørene har ressurser til å forholde seg til.

Forordningens krav er ikke begrenset til plattformtilbydere med en viss omsetning, selv om det tydelig retter seg mot de store, globale aktørenes praksis. Flere har derfor tatt til orde for at små og mellomstore plattformtilbydere bør unntas forordningens rekkevidde.

I motsatt fall kan de store spillerne i plattformmarkedet, som eksempelvis Booking.com, i strid med forordningens formål, ytterligere styrkesin markedsposisjon. Det er likevel håp om at kritikernes innvendinger får innvirkning på den endelige reguleringen, ettersom den fortsatt er på et tidlig stadium i vedtakelsesprosessen.