1. Innledning

Europakommisjonen presenterte 15. desember 2020 forslag til europaparlaments- og rådsforordning om åpne og rettferdige markeder i den digitale sektoren i Digital Markets Act (DMA). Forslaget er en del av det rettslige rammeverket som skal muliggjøre målsetningene i EUs datastrategi sammen med blant annet Data Act, Digital Services Act og Data Governance Act. Initiativene skal til sammen øke verdiskapningen i EU gjennom økt tilgang til, gjenbruk og utnyttelse av data. DMA dekker et aspekt ved dataøkonomien ved å bidra til en mer åpen og rettferdig plattformøkonomi, og hindre adferd som er skadelig for konkurransen og forbrukerne.

Som flere av de andre rettsaktene, regulerer DMA digitale markeder og inneholder regler som grenser til og delvis overlapper med personvernforordningen (GDPR). DMA tar særlig sikte på å regulere store internettbaserte plattformer, såkalte portvoktere.

Et område som reguleres i GDPR og DMA er dataportabilitet. Kort fortalt omhandler dataportabilitet retten til å få utlevert sine data slik at man selv kan bruke dem, eller kunne overføre opplysningene fra én virksomhet eller tjeneste til en annen.

Dataportabilitet har blitt omtalt som «den glemte personvernrettigheten». Særlig tre faktorer i DMA kan endre dette bildet. For det første gir DMA rett til dataportabilitet også for virksomheter. For det andre utvider DMA informasjonsgrunnlaget som omfattes av retten til dataportabilitet. For det tredje for portvokterne en utvidet plikt til å tilrettelegge for dataportabilitet. Vil vil derfor sammenligne retten til dataportabilitet i GDPR og DMA, og se om DMA kan føre til en fornyet interesse for dataportabilitet.

2. Dataportabilitet - et uforløst potensial?

Dataportabilitet ble innført som en ny rettighet med GDPR i 2016 (i Norge i 2018), og hadde som uttalt formål å gi de registrerte bedre kontroll over egne opplysninger.^{(1)GDPR, fortalens avsnitt 68} Ved ikraftsettelsen av GDPR ble det diskutert om retten til dataportabilitet også kunne medføre konkurransefordeler og bidra til at små virksomheter kunne konkurrere på bedre vilkår.^{(2)Diker Vanberg, A. and Ünver, M. B., (2017) s. 5} For eksempel kunne en nystartet sosiale medier-plattform lettere tiltrekke seg nye brukere hvis brukerne hadde muligheten til å portere bildene og videoene sine direkte fra andre sosiale medier til den nye plattformen.^{(3)Graef, I., Verschakelen, J., and Valcke, P. (2013) s. 6}Personer som ønsket å bytte bank, kunne flytte alle opplysningene sine direkte over til den nye banken uten å måtte taste inn disse selv, hvilket ville gjøre det enklere for dem å bytte banker og motvirke såkalt «lock-in»-effekt.^{(4)Diker Vanberg, A. and Ünver, M. B., (2017) s. 5}

Foreløpig ser det ut til at mulighetene for den enkelte, og de samfunnsmessige gevinstene av dataportabilitet man så for seg, ikke har båret frukter i særlig stor grad. EU-kommisjonen konkluderte i sin første evaluering av GDPR med at dataportabilitet har et helt tydelig potensial som ennå ikke hadde blitt fullt ut utnyttet.^{(5)EU-Kommisjonen (24.6.2020). Communication from the commission to the European parliament and the council; Data protection as a pillar of citizens’ empowerment and the EU’s approach to the digital transition - two years of application of the General Data Protection Regulation.} Videre har det vært få saker og avgjørelser fra tilsynsmyndighetene knyttet til dataportabilitet, særlig hvis man sammenligner med den tilgrensende retten til innsyn.^{(6)Eksempelvis er det kun 7 avgjørelser registrert i GDPR hub på dataportabilitet (art. 20), mens 135 avgjørelser er registrert gjeldende forespørsler om data access.. Dataportabilitet er heller ikke nevnt i Datatilsynets årsrapport for 2021.}

Ulike årsaker har vært pekt på som mulige til at dataportabilitet har kommet i bakgrunnen.^{(7)Exposito-Rosso, Stephanie; Cao, Francois-Xavier; Piquet, Antoine; Medjaoui, Mehdi (2021) s. 32} Lav bevissthet blant de registrerte om retten til dataportabilitet kan være en faktor^{(8)Personvernundersøkelsen 2019/2020 s. 8. Undersøkelsen viser at dataportabilitet var rettigheten færrest av de spurte var klar over.} , samt at det kan foreligge et digitalt kompetansegap som fører til at de registrerte ikke ser fordelene med dataportabilitet, selv om de skulle være klar over rettigheten.^{(9)Exposito-Rosso, Stephanie; Cao, Francois-Xavier; Piquet, Antoine; Medjaoui, Mehdi (2021) s. 32} Den behandlingsansvarliges plikt til å informere og legge til rette for dataportabilitet i GDPR skulle bidra til å øke bevisstheten om rettighetene. Plikten slik den er tolket så langt, omfatter ikke en plikt til å konkretisere mulighetene for dataportabilitet, og vil dermed sannsynligvis ha begrenset verdi. Tilsynsmyndighetenes fokus, og registrerte som gjør sin rett gjeldende eller aktivisme på vegne av de registrerte har vært to av de viktigste driverne for rettsutvikling innen GPDR. Dette kan bidra til å forklare hvorfor dataportabilitet har blitt en lite brukt rettighet.

3. Hvilke virksomheter får nye plikter etter DMA?

Digital Markets Act (DMA) får anvendelse på virksomheter som driver store internettbaserte plattformer. Slike virksomheter omtales i forslaget som «gatekeepers» («portvoktere» vil bli brukt i det videre). Plikten om å legge til rette for dataportabilitet påligger portvokterne, jf. artikkel 6 nr. 1 bokstav h^{(10) Det er mulig at bestemmelsens plassering i lovteksten kan endres før forordningen trer i kraft.}. For å oppfylle portvokterkriteriet må virksomheten være tilbyder av en internettplattform, og oppfylle følgende kvalitative krav:

• ha en betydelig innvirkning på det indre marked,

• drive en plattformtjeneste som fungerer som en viktig portal for næringsbrukere for å nå ut til kunder og

• ha en sterk og varig posisjon for sine aktiviteter, eller det kan forventes at den vil få en slik posisjon i nær fremtid.

Internettjenesten vil automatisk anses som en portvokter dersom tjenesten har en markedsverdi på mer enn 75 milliarder euro eller årlig omsetning på over 7,5 milliarder euro, tilbyr tjenesten i minst tre EU-stater, har over 10 000 forretningskunder og månedlig når minst 45 millioner aktive sluttbrukere.^{(11) Regjeringen.no (2021). Forordning om digitale markeder (Digital Markets Act - DMA).} Kommisjonen kan også utpeke virksomheter som ikke oppfyller de kvantitative kravene som portvoktere, dersom de mener de ovennevnte kvalitative kravene er oppfylt. Det gir Kommisjonen en viss fleksibilitet til å vurdere hvilke virksomheter som faller inn under regelverket. Kommisjonen har anslått at 10–15 virksomheter kan bli utpekt som portvoktere innenfor disse rammene.^{(12) EU-Kommisjonen (15.12.2020). Commission staff working document - executive summary of the impact assessment report accompanying the document proposal for a regulation of the european parliament and of the council on contestable and fair markets in the digital sector (Digital Markets Act). Avsnitt 148} Ingen norske selskaper peker seg ut som åpenbare kandidater, og i praksis vil kun virksomheter som Facebook, Google, Amazon m.m. utpekes som portvoktere. Til tross for at plikten til å legge til rette for dataportabilitet kun vil påligge et fåtall virksomheter, vil den i praksis kunne ha stor betydning for både privatpersoner og virksomheter som benytter tjenester fra de store internettplattformene.

Kun et fåtall virksomheter vil ha forpliktelser som portvoktere sammenlignet med antallet behandlingsansvarlige som har plikt til å ivareta den registrertes rett til dataportabilitet etter GDPR. Pliktsubjektene for dataportabilitetsreglene etter GDPR favner dermed en langt større krets av virksomheter enn det som følger av DMA. Portvoktere vil som regel være behandlingsansvarlige og databehandler etter GDPR og må dermed ivareta krav om dataportabilitet i henhold til begge regelverkene.

4. Retten til dataportabilitet i DMA – bedre vilkår for forbrukere og virksomheter

Digital Markets Act har til formål om å fremme mer rettferdig konkurranse i den digitale økonomien. Data, inkludert personopplysninger, er en svært verdifull ressurs (ofte beskrevet som «den nye oljen»), og den digitale økonomien domineres av en håndfull giganter med enorm kapasitet til å innhente og bruke personopplysninger – slik som Google, Meta, og Amazon. For mindre eller nystartede virksomheter som ikke har denne fordelen, kan det være vanskelig å konkurrere.

Til forskjell fra GDPR, pålegger DMA portvoktere en plikt til å legge til rette for dataportabilitet både for fysiske og juridiske personer. GDPR gir bare rettigheter til registrerte, det vil si fysiske personer jf. art. 1 og 4 (1), og som en følge av dette har virksomheter og andre juridiske personer ikke rett til dataportabilitet etter GDPR.

Plikten portvoktere har i DMA art. 6 gjelder overfor virksomheter etablert i EU («Business users») og sluttbrukere («End users»). I DMA art. 2 (16) og (17) defineres «End user» som «any natural or legal person using core platform services other than as a business user»; mens «Business user» defineres som «any natural or legal person acting in a commercial or professional capacity using core platform services for the purpose of or in the course of providing goods or services to end users». En «End user» kan derfor omfatte forbrukere og virksomheter som kjøper en tjenester, men «business users» omfatter virksomheter som selger tjenester ved hjelp av portvokternes plattformertjenester.

I tillegg til å utvide virkeområdet for retten til dataportabilitet sammenlignet med GDPR, pålegger DMA portvokterne en utvidet plikt til sikre effektiv portabilitet av data som genereres gjennom aktiviteten på internettplattformen av sluttbrukere, og pålegger portvokterne plikten til å stille til rådighet verktøy for å lette utøvelsen av dataportabilitet. At virksomheter får benytte seg av dataportabilitet, vil antagelig kunne føre til mer rettferdige konkurransebetingelser og bedre balanse i markedet ved at mindre virksomheter kan dra nytte av dataene om brukere av deres tjenester som er samlet inn av portvokterne. Disse vil ofte ha større kapasitet til å samle inn store mengder opplysninger. Dette vil også kunne ha positive effekter for dataøkonomien ved at det legger til rette for større grad av gjenbruk av data.

Kommisjonen har tidligere behandlet spørsmål om dataportabilitet for virksomheter i flere saker i tilknytning til konkurranseretten – for eksempel i Google Search-saken, der Kommisjonen bøtela Google 2,42 milliarder euro for misbruk av dominerende stilling ihht. art. 102 TFEU. Saken ble anket til EU-domstolen, som i all hovedsak opprettholdt Kommisjonens avgjørelse^{(13)Dom av 10 November 2021 [GC], Google Search, ECLI:EU:T:2021:763}. Saken gjaldt primært at Google fremhevet sine egne tjenester i søkeresultatene i søkemotoren sin, og ga mindre plass til konkurrenter. Imidlertid inkluderte Kommisjonen også et spørsmål om dataportabilitet.^{(14)European Commission (2017) Press Release - Antitrust: Commission fines Google €2.42 billion for abusing dominance as search engine by giving illegal advantage to own comparison shopping service. European Commission Press Release Database. Retrieved from: http://europa.eu/rapid/press-release_IP-17-1784_en.htm} Google hadde kontraktuelt begrenset programvareutviklere fra å utvikle verktøy som kunne muliggjøre overføring av reklamekampanjer fra en Google-eid markedsføringstjeneste, Adwords, til konkurrerende markedsføringsplattformer. Det er kostbart å opprette digitale markedsføringskampanjer, og hvis digitale markedsførere må opprette nye kampanjer når de bytter fra én annonseringsplattform til en annen, er det mindre sannsynlig at de bytter plattform.

Ved innføringen av DMA vil portvoktere få en plikt til å tillate overføringer av markedsføringskampanjer fra sine egne plattformer til konkurrenters, og dermed ulovliggjøre en slik praksis som Google hadde. I så fall må ikke portvokterne bare tillate at programvareutviklere utvikler verktøy for overføring av reklamekampanjer til andre plattformer – de vil også selv måtte gi konkurrentene verktøyene for å fasilitere slike overføringer.

DMA vil også styrke forbrukeres rett til dataportabilitet, ettersom portvoktere blir forpliktet til å sørge for en «effektiv» rett til dataportabilitet også overfor sluttbrukere, i tillegg til å stille verktøy til rådighet for å lette utførelsen av dataportabilitet for dem.

Det er mulig at denne utvidede muligheten til dataportabilitet vil føre til nye tekniske løsninger som både vil medføre mer rettferdige konkurransebetingelser og fordeler for forbrukere og virksomheter som sluttbrukere. For eksempel dersom en ny sosiale medier-plattform utvikler en funksjon hvor plattformen selv, med brukerens samtykke, overfører brukeres bilder og videoer fra andre plattformer. Dette ville kanskje være enklere enn om brukeren selv skulle benytte sin egen rett til dataportabilitet og kreve at den gamle sosiale medier-plattformen overførte brukerens bilder og videoer til den nye plattformen.

Det kan også tenkes at virksomheter selv ønsker å benytte seg av dataportabilitet på samme måte som fysiske personer. En liten bedrift som bytter bank vil kanskje dra fordel av å overføre dataene sine til den nye banken for enkelhets skyld, akkurat som en fysisk person ville gjort.^{(15)Diker Vanberg, A. & , Ünver, MB., 2017, s. 5}

5. Hvilke opplysninger kan porteres – gir DMA en utvidet rett?

Retten til dataportabilitet i GDPR art. 20 har en rekke begrensninger. Den omfatter kun personopplysningene til den registrerte. I tillegg gjelder rettigheten kun for opplysninger som er samlet inn på grunnlag av samtykke eller avtale, og som den registrerte har «gitt til en behandlingsansvarlig». Dette begrenser rettighetens virkeområde.

I veilederen til Article 29 Working Party er det uttalt at uttrykket «gitt til en behandlingsansvarlig» skal omfatte data den registrerte aktivt og bevisst har gitt, samt observerte data (for eksempel rådata som behandles av en smartmåler eller andre typer tilkoblede objekter, aktivitetslogger, historikk for bruk av nettstedet eller søkeaktiviteter). Den registrerte har gitt ved bruken av tjenesten eller enheten. Dermed legger WP29-gruppen opp til en utvidende tolkning der ikke bare data direkte og eksplisitt levert av den registrerte er dekket av retten til dataportabilitet.

Når det gjelder hvilke data som ikke skal betraktes som «gitt til en behandlingsansvarlig» av den registrerte, fremgår det av veilederen at data generert av en behandlingsansvarlig som angår den registrerte, ikke skal være en del av retten til dataportabilitet. Dette inkluderer analyser av den registrertes atferd («metadata»), eller data som er en del av en personlig tilpasnings- eller anbefalingsprosess^{(16)Article 29 Data Protection Working Party, Guidelines on the right to data portability s. 10. EDPB har sluttet seg til veilederen}.

Dataportabilitet i DMA gjelder data generert gjennom aktiviteten til en «business user» eller «end user». Denne ordlyden kan tolkes videre enn i GDPR art. 20, hvor det kun gis rett til å portere opplysninger som er «gitt til» behandlingsansvarlig. Business users gis også muligheten til å få tilgang til og bruke personopplysningene til sluttbrukere så lenge disse samtykker til dette. Samtykket må innhentes i henhold til kravene i GDPR, men portvoktere kan få ansvar for å innhente gyldig samtykket i DMA. Gitt at EU-domstolen ofte legger til grunn en formålsrettet tolkning av EU-regelverkene, er det ikke usannsynlig at DMA kan medføre at rett til dataportabilitet kan tolkes utvidende, i form av at mer informasjon vil være omfattet, dersom det kan oppfylle formålet om økt konkurranse.

Denne forskjellen kan for eksempel få betydning på online auksjonsnettsteder som eBay. Auksjonstjenesten legger selv til informasjon slik som tilbakemeldinger fra kjøpere og hvilken «rating» kjøperne har gitt selgeren. Sistnevnte informasjon er data selgeren gjerne kunne ønsket å ta med seg ved et plattformbytte, men faller ikke strengt tatt inn under begrepet «gitt til» i GDPR art. 20. Tilbakemeldinger fra kjøperne og selgers «rating» kan imidlertid regnes for data som er generert gjennom aktiviteten til business users eller end users i henhold til DMA art. 6 (1) (h), slik at portvokterne får en plikt til å portere denne dataen.

Mens GDPR kun gir rettigheter knyttet til den type data som faller inn under definisjonen av personopplysninger, gjelder reglene i DMA også for «data» som ikke kan betegnes som personopplysninger. I DMA art. 2 (19) defineres «Data» som «any digital representation of acts, facts or information and any compilation of such acts, facts or information, including in the form of sound, visual or audiovisual recording».

Det at DMA art. 6 (1) (h) gjelder «data» kan i seg selv tilsi at dataportabilitet etter denne bestemmelsen favner videre enn i GDPR, hvor retten kun gjelder for personopplysninger.

På disse måtene kan det tenkes at rekkevidden av dataportabilitet er mer omfattende i DMA enn i GDPR, slik at brukere får rett til å portere flere typer data og en større datamengde enn de tidligere kunne.

6. Portering av opplysninger mellom plattformer når det er teknisk mulig

Det fremgår av art. 20 GDPR at dataportering direkte fra en behandlingsansvarlig til den neste bare kan skje hvis det er «teknisk mulig», noe som setter en grense for omfanget av dataportabilitet. Ordlyden i «teknisk mulig» vil naturligvis forstås i den retningen at behandlingsansvarlig og databehandler må overføre data så langt det er rimelig håndterbart gitt teknologien som kreves.

Dette betyr at en behandlingsansvarlig kan nekte en registrert forespørsel om å overføre data på grunnlag av at deres egen tekniske utvikling ikke tillater direkte overføring av dataene til en annen virksomhet.

Et problematisk aspekt ved denne begrensningen er at det ikke er noen forklaring i GDPR på hva «teknisk mulig» faktisk betyr. Dette kan gi et smutthull for virksomheter som ikke ønsker å portere data, da de ganske enkelt kan hevde at portering ikke er teknisk mulig. Selv om behandlingsansvarlige oppfordres til å utvikle interoperable dataformater i GDPR-fortalen^{(17) GDPR, fortalen avsnitt 68}, pålegges de ingen bindende forpliktelse til dette.

Til forskjell fra dette, innfører DMA krav om at portvoktere skal «provide tools for end users to facilitate the exercise of data portability, in line with Regulation EU 2016/679» jf. art. 6 (1) (h). Dette vil tilsynelatende gjøre det enda enklere for brukere som ønsker å overføre data fra én tjeneste til en annen, og gjøre det vanskeligere for portvoktere å hevde at de ikke kan imøtekomme forespørsler om dataportabilitet.

I tillegg vil reglene i DMA innføre sanntids- og kontinuerlig portabilitet, der dataportabilitet etter GDPR art. 20 kun gjelder personopplysningene behandlingsansvarlig har behandlet frem til forespørselen om portabilitet ble mottatt.

En kritikk som har vært rettet mot GDPR art 20 er at det kan være uforholdsmessig tyngende for virksomheter å imøtekomme registrertes forespørsler om å portere data. Særlig for mindre virksomheter som ikke nødvendigvis har ressursene eller de tekniske fasilitetene til å utføre slike forespørsler, kan forespørsler om utlevering eller overføring av opplysninger være tyngende og vanskelig å gjennomføre. I DMA vil dette ikke utgjøre et like stort problem, ettersom DMA kun kommer til anvendelse for virksomheter som er store nok til å betegnes som portvoktere.

7. Tilsyn og håndheving

Tilsyn og håndheving av GDPR har fått stor oppmerksomhet siden forordningen trådte i kraft, og tilsynsmyndighetens prioriteringer har vært utslagsgivende for hvordan virksomhetene har forholdt seg til regelverket. I motsetning til GDPR, vil de fleste virksomheter få rettigheter under DMA som «business user» eller «end users», og vil kunne melde fra om brudd på forordningen slik de registrerte kan etter GDPR.

Siden det er få virksomheter som blir ansett som portvoktere, og for å sikre harmonisering av tilsynet i det indre marked, er EU-kommisjonen den eneste som kan håndheve DMA. En forutsetning i DMA er imidlertid at det skal foregå et samarbeid på tvers av tilsynsmyndigheter i ulike sektorer og landegrenser. Art. 32 i DMA etablerer f.eks. en rådgivende komité for å bistå og lette arbeidet til EU-kommisjonen. Land vil også kunne gi nasjonale konkurransemyndigheter fullmakt til å starte undersøkelser av mulige overtredelser og rapportere sine funn til EU-kommisjonen.

Når retten til dataportabilitet utvides, er det naturlig at den vies større oppmerksomhet også fra et tilsynsperspektiv. I likhet med økningen i bevissthet rundt personvern vi har sett etter innføringen av GDPR, kan en økning i bevissthet om dataportabilitet føre til større grad av rapportering til tilsynsmyndighetene. De økonomiske insentivene for virksomheter til å hevde rett til bruken av dataportabilitet kan også være større enn for enkeltpersoner.

Dataportabilitet kan både være begrunnet ut fra konkurransehensyn og ut fra personvernhensyn og kontroll med egen data. Samarbeid mellom tilsynsmyndighetene om prioriteringer av tilsyn og sanksjoner vil være viktig for å skape forutsigbarhet både for de som rapporterer inn avvik. I Norge har Datatilsynet allerede fokus på tettere samarbeid med Forbrukertilsynet og Konkurransetilsynet.^{(18)Årsrapport for 2020 – Tall og tendenser fra Datatilsynets virksomhet, side 64}

8. Konklusjon

Retten til dataportabilitet i GDPR har kanskje ikke fått så stor praktisk betydning som det var antatt da GDPR fremdeles var nytt, og er kanskje heller ikke brukt i like stor utstrekning som andre GDPR-rettigheter. DMA åpner imidlertid nye muligheter som kanskje vil føre til at dataportabilitet blir brukt i større grad enn tidligere, og som kan føre til nye tekniske løsninger og muligheter både for forbrukere og virksomheter både til å ivareta sine rettigheter og til å gjenbruke data som kan skape store samfunnsmessige gevinster. Dataportabilitet er i så fall et av flere viktige tiltak for å legge til for mer forbrukermakt og høyere grad av konkurranse i det europeiske markedet.