Gå til innhold

Lov&Data

4/2023: IT-kontrakter
20/12/2023

DSA og DMA står på trappene – hva innebærer det for norske virksomheter?

Av Henriette Solbakke Jørgensen, fast advokat i avdeling HITEK i Advokatfirmaet Selmer, Oslo og Siri Blomseth Johansen, advokatfullmektig i avdeling HITEK i Advokatfirmaet Selmer, Oslo.

Teksten «selmer» i svart, med stor forbokstav, på hvit bakgrunn, digital illustrasjon.
Bobler med ulike symboler i seg som er knyttet sammen, over et verdenskart og teksten «platform economy» i midten, digital illustrasjon.

Illustrasjon: Colourbox.com

Digital Services Act («DSA») og Digital Markets Act («DMA») er to nye EU-forordninger i EUs digitalpakke. Internett har lenge vært et «lovløst samfunn» hvor aktørene har hatt mer eller mindre frie tøyler, og de største aktørene har hatt så stor innflytelse at de har kunnet sette standardene og bestemme spillereglene. De store teknologiselskapene blir bare større og mektigere for hver dag som går, og behovet for å regulere deres innflytelse har økt tilsvarende.

1 Digital Services Act

1.1 Hva er DSA og når kommer DSA til anvendelse?

DSA har til formål å styrke det indre marked ved å modernisere og presisere internettbaserte plattformers plikter når det gjelder å fjerne ulovlig innhold, og adressere nye problemstillinger som dukker opp i forbindelse med plattformøkonomien. I dag er det i stor grad slik at plattformeierne selv regulerer hvilket innhold som tolereres, og DSA er ment å fylle dette juridiske «tomrommet». Målet er å skape et tryggere digitalt rom på internett.

DSA gjelder alle virksomheter som tilbyr såkalte «formidlingstjenester» («intermediary services») til mottakere i EU. Det avgjørende er om tjenestene tilbys i EU og ikke hvorvidt tilbyderen er etablert i EU. Begrepet «formidlingstjenester» omfatter alt fra markedsplasser som Finn.no og bookingplattformer som Hotels.com, til vanlige nettbutikker, app-butikker som App Store og sosiale medier som Facebook og Instagram.

Omfanget av forpliktelsene som pålegges avhenger av hvilken type tilbyder det er snakk om. DSA deler reguleringssubjektene i fire ulike kategorier:

  1. Kategori 1: Alle formidlingstjenester som tilbyr nettverksinfrastruktur, for eksempel ekomtilbydere eller domeneforhandlere.

  2. Kategori 2: Lagringstjenester, for eksempel webhosting og skytjenester.

  3. Kategori 3: Digitale plattformer, for eksempel nettmarkedsplasser, app-butikker og sosiale medier.

  4. Kategori 4: Veldig store onlineplattformer. Dette er plattformer som har mer enn 45 millioner aktive EU-brukere. På listen er det nå 17 veldig store digitale plattformer, herunder Facebook, Instagram, LinkedIn, YouTube og Zalando, og to veldig store søkemaskiner; Bing og Google.

1.2 Hvilke forpliktelser pålegger DSA virksomhetene som omfattes?

DSA er bygget opp slik at det stilles flere krav til selskapene jo større de er, og jo større rolle og innflytelse de har i samfunnet. Kapittel 3 i DSA, som pålegger virksomhetene due dilligence-forpliktelser, er delt inn i seks ulike deler hvor antall virksomheter som omfattes er snevret inn for hver del og tilleggsforpliktelser pålegges trinnvis etter kategori og størrelse.

1.2.1 Plikter for alle tilbydere av formidlingstjenester (alle kategorier)

Uansett hvilken kategori virksomheten klassifiseres som, plikter man blant annet å informere i avtalevilkårene om retningslinjer, prosedyrer, tiltak og verktøy som brukes for å moderere innhold, herunder om bruk av algoritmebaserte beslutninger og manuell overvåkning. Man plikter også å årlig rapportere om foretatt moderering av innhold.

1.2.2 Tilleggsbestemmelser for lagringstjenester (kategori 2 og 3)

Virksomheter som klassifiseres som kategori 2- og kategori 3-virksomheter pålegges en rekke tilleggsforpliktelser, herunder å anmelde og fjerne ulovlig innhold, samt gi virksomheten som får sitt innhold fjernet en begrunnelse. Slike avgjørelser skal offentliggjøres.

1.2.3 Tilleggsbestemmelser for onlineplattformer (kategori 3)

Virksomheter som klassifiseres som kategori 3-virksomheter pålegges også ytterligere tilleggsforpliktelser, herunder en plikt til å opprette et effektivt og brukervennlig internt klagesystem, suspendere brukere som ofte legger ut åpenbart ulovlig innhold, og sørge for transparent reklame og markedsføring. Kategori 3-virksomheter forbys også å benytte seg av manipulativt design, såkalt «dark patterns», samt å benytte adferdsbasert reklame overfor mindreårige på nett.

1.2.4 Tilleggsbestemmelser for onlineplattformer som tilrettelegger for avtaler om fjernsalg

Onlineplattformer som lar forbrukere inngå avtaler om fjernsalg ilegges ytterligere forpliktelser, herunder at man skal kunne spore leverandører som tilbyr produkter og tjenester på en plattform.

1.2.5 Tilleggsbestemmelser for veldig store onlineplattformer (kategori 4)

Veldige store digitale plattformer og søkemaskiner har enda flere særlige forpliktelser, begrunnet i nettopp disse virksomhetens størrelse og innflytelse.

Kategori 4-virksomheter skal blant annet årlig identifisere, analysere og vurdere eventuelle risikoer forbundet med bruk av plattformen, for eksempel negative virkninger på folkehelse og/eller mindreårige. I tillegg skal virksomhetene underlegges uavhengig revisjon minst én gang i året.

1.3 Hvilke praktiske konsekvenser har DSA for norske virksomheter?

Det er ingen tvil om at DSA vil ha praktiske konsekvenser for mange virksomheter – særlig de i IT-bransjen – herunder administrative og økonomiske konsekvenser.

De økte forpliktelsene vil medføre et behov for økte administrative ressurser, som igjen vil lede til økte kostnader. Alle som i en eller annen grad omfattes av DSA vil måtte gjennomgå alle sine rutiner, vilkår, nettsideinnhold, og lignende. Det er både tidkrevende og dyrt.

I tillegg er nivået på sanksjoner som ilegges de virksomhetene som bryter DSA forventet å øke betydelig. Sanksjonene kan potensielt utgjøre opptil 6 % av virksomhetens globale omsetning, og ved gjentatte brudd kan virksomheten bli utestengt fra det indre marked.

2 Digital Markets Act

2.1 Hva er DMA og når kommer DMA til anvendelse?

Den digitale verden slik den ser ut i dag, preges av noen få, veldig store plattformer som har så stor innflytelse at de direkte påvirker rammeverket for blant annet konkurranse og forbrukervalg i digitale markeder. Disse særlig store plattformene fungerer som såkalte portvoktere, eller «gatekeepers» som de omtales som i DMA.

DMA fastlegger derfor en rekke plikter og forbud for de virksomhetene som anses som portvoktere, for å sikre rettferdig konkurranse og gi brukere større valgfrihet i digitale markeder.

En portvokter er en virksomhet som:

  1. har betydelig innvirkning på det indre marked, fordi virksomheten

  2. tilbyr en sentral plattformtjeneste som er en viktig portal for å nå ut til kunder, og

  3. har en sterk og varig posisjon for sin virksomhet eller kan tenkes å få det i nær fremtid.

En virksomhet har «betydelig innvirkning på det indre marked» hvis den enten har en markedsverdi på 75 milliarder euro det siste regnskapsåret, eller en årlig omsetning lik eller over 7,5 milliarder euro i hvert av de siste tre regnskapsårene. I tillegg må tjenesten tilbys i minst tre EU-land.

En virksomhet anses å tilby en «sentral plattformtjeneste» hvis den har minst 45 millioner aktive sluttbrukere månedlig og 10 000 forretningskunder årlig. Sentrale plattformtjenester omfatter en rekke forskjellige tjenester, herunder søkemotorer, sosiale medier, nettlesere og reklametjenester.

At virksomheten må ha en «sterk og varig posisjon» betyr at de to øvrige kriteriene har vært oppfylt i hvert av de siste tre regnskapsårene.

Det er forventet at kun 10–15 selskaper vil oppfylle kravene. Alphabet, Amazon, Apple, ByteDance, Meta og Microsoft er blant selskapene som allerede er utpekt som portvoktere. Det vil si at det er et relativt begrenset antall virksomheter som påvirkes, samtidig som det vil påvirke veldig mange brukere.

2.2 Hvilke forpliktelser og forbud pålegger DMA portvokterne?

DMA pålegger portvokterne en rekke plikter og forbud.

Portvoktere skal, blant annet, ikke:

Kombinere personopplysninger fra plattformen med personopplysninger fra andre tjenester som tilbys av enten portvokteren selv eller tredjeparter, uten brukerens samtykke.

Pålegge «bestevilkårklausuler» i avtaler. Portvoktere kan altså ikke kreve at virksomheter tilbyr sine produkter og tjenester til bedre priser og betingelser på portvokterens egen plattform, enn på andre plattformer.

Gi egne varer og tjenester bedre rangering, pris eller vilkår enn tilsvarende varer og tjenester som tilbys av tredjeparter på portvokterens plattform. Microsoft kan ikke lenger prise Azure på en måte som presser ut andre aktører innen skylagring.

Låse bruk av en plattform til portvokterens egne nummeruavhengige kommunikasjonstjenester. Det vil si at Meta må åpne for at andre meldingstjenester kan sende eller motta meldinger sendt fra Facebook Messenger, og tilsvarende gjelder Apple og iMessage.

Portvoktere skal, blant annet:

Gjøre det mulig for brukerne å enkelt avinstallere programvare på operativsystemet, slik som forhåndsinstallerte programvarer eller apper.

Gjøre det enkelt å endre standardinnstillinger.

La virksomheter få tilgang til deres plattformer og tjenester på rettferdige, rimelige og ikke-­diskriminerende vilkår.

Gi annonsører og utgivere – på deres forespørsel og for deres kostnad – tilgang til data som er nødvendige for å f.eks. få innblikk i annonseringen og foreta selvstendige kontroller.

Hvis forpliktelsene og forbudene brytes kan virksomheten ilegges sanksjoner på opptil 1 % av den samlede globale omsetningen det foregående regnskapsår, eller opptil 20 % hvis reglene brytes flere ganger.

2.3 Hvilke praktiske konsekvenser har DMA for norske virksomheter?

Det er ikke forventet at noen norske virksomheter vil utgjøre såkalte portvoktere, og dermed vil DMA antagelig ikke få direkte konsekvenser for virksomheter her til lands. DMA antas imidlertid å ha positive ringvirkninger for norske virksomheter, fordi portvoktere utenfor Norge ikke lenger kan misbruke sin sterke markedsstilling og konkurransen mellom plattformene styrkes til fordel for blant annet norske virksomheter og sluttbrukere.

DMA vil også potensielt kunne ha store konsekvenser for virksomheter som benytter seg av tjenester levert av portvoktere. Norske virksomheter kan, for eksempel, tilby apper som ikke er betinget av at de ligger tilgjengelig i App Store eller Google Play, og vil dermed kunne selge abonnement uten at app-butikkene tar en andel av inntektene.

Det betyr også at Apple (som er en portvokter) må åpne iOS-plattformen for tredjepartsbutikker som Epic Games Store, Windows Store, Google Play Store, og så videre. Apple kan heller ikke hindre utviklere som leverer apper via App Store fra å bruke andre betalingssystemer, og man kan dermed unngå at Apple tar en del av betalingen. Det samme gjelder selvfølgelig Android, men denne plattformen er i stor grad allerede åpen for tredjepartsløsninger.

3 Hva er status på inkorporering av DSA og DMA i norge?

DSA og DMA ble vedtatt i EU høsten 2022 og trådte i kraft i henholdsvis august 2023 og november 2022. Forordningene gjelder i sin helhet for EU-land, men må tas inn i EØS-avtalen og inkorporeres i nasjonal rett for å få virkning i Norge.

I Norge er vi fremdeles et stykke fra inkorporering av både DSA og DMA, men det er allerede nå antatt at gjennomføringen av forordningene i Norge vil kreve en lang rekke lovendringer og/eller nye lover. Dersom man tilbyr tjenester som omfattes av forordningene er det altså bare å forberede seg. I mellomtiden kan man nyte godt av de indirekte virkningene DSA og DMA har dersom man benytter seg av tjenester levert av virksomheter som allerede har måttet endre sin praksis som følge av forordningene.

Henriette Solbakke Jørgensen
Henriette Jorgensen, portrett
Siri Blomseth Johansen
Siri Johansen, portrett