Gå til innhold

Lov&Data

4/2023: Artikler
20/12/2023
Eierskap til data:

Et dypdykk i juridiske spørsmål

Av Hermon Melles, (f. 1992), Master i rettsvitenskap (2018) fra Universitet i Bergen. Han er advokat i Advokatfirmaet BAHR, tilknyttet firmaets Technology & IP-avdeling. Melles har publisert en rekke vitenskapelige artikler innen feltet IT-rett, personvern og immaterialrett.

Sammendrag:

Et tema av høy aktualitet, men som er viet beskjeden oppmerksomhet er eierskap til data, herunder hva dette eierskapet omfatter juridisk og når et eierskap inntreffer eller opphører. Tematikken spenner over flere rettsområder, og inneholder flere komplekse og til dels uløste problemstillinger. Samtidig er det viktig å understreke at rettskildebildet er i rask endring, grunnet en enda raskere teknologisk og politisk utvikling. Artikkelen er et forsøk på å samle de ulike trådene for å kunne gi en helhetlig fremstilling av hvordan eierskap i dag er regulert av en rekke ulike horisontale- og vertikale regelverk, samt gjennom avtale.

Nøkkelord: EU/EØS-rett, GDPR, data, eierskap, immaterialrett, avtaler

1. Innledning

Dataøkonomien i Norge i dag er beregnet å være verdt 150 milliarder kroner. Det er ventet at denne vil kunne dobles inn mot 2030, til 300 milliarder kroner.(1)Meld. St. 22 (2020–2021) Data som ressurs. Disse økonomiske gevinstene er ventet realisert gjennom økt innovasjon, samt bedre produkter og tjenester for alle borgere i EU. De forventede verdiene som dataøkonomien er ventet å ha, har gjort spørsmålet om eierskap til data et prioritert punkt på dagsordenen for EU, den enkelte stat, næringsdrivende og ikke minst forbrukere. Dette er noe av bakgrunnen for at EU lanserte en datastrategi i 2020 hvor det legges opp til en langt mer omfattende regulering av datadeling enn det som er tilfelle i dag. Målsettingen med denne datastrategien som består av en rekke reguleringer og tiltak er å gjøre det mulig for data å bevege seg fritt innen EU/EØS-­området, på tvers av sektorer.(2)EU-kommisjonen har varslet et regelverk for datastyring – Data Governance Act (heretter «DGA») – som skal skape grunnlaget for en europeisk datastyringsmodell som er i overensstemmelse med EUs prinsipper og verdier, herunder personvern, forbrukerbeskyttelse, IP-rettigheter og konkurranseregler. Forordningsforslaget tar sikte på å skape en sikker infrastruktur for datadeling, et ekte indre marked for deling av ikke-personlige data, som gjør det mulig for data å bevege seg fritt innen EU, på tvers av sektorer. Kommisjonen har også vedtatt en datastyringsforordning (Data Act) og en forordning om kunstig intelligens (AI Act). Formålet med datastyringsforordningen er å fremme datadeling mellom virksomheter i privat sektor, og mellom private virksomheter og offentlige myndigheter. Forordningen om kunstig intelligens bygger på en risikobasert tilnærming, hvor kravene til bruk øker i takt med risikoen som foreligger. Forordningen vil også inneholde forbud mot bruk av kunstig intelligens til enkelte formål, der de strider med grunnleggende verdier i EU. Det er tenkt at disse regelverkene sammen med DGA, skal komplimentere hverandre og bygge opp under ambisjonen om forsvarlig fri flyt av data i EU.

Artikkelen er et forsøk på å samle de ulike trådene for å kunne gi en helhetlig fremstilling av hvordan eierskap i dag er regulert av en rekke ulike horisontale- og vertikale regelverk, samt gjennom avtale.

I denne artikkelen vil jeg gi en kortfattet redegjørelse for de mest relevante europeiske og nasjonale reglene som regulerer eierskap til data i dag. I forlengelsen av dette vil jeg gå nærmere inn på de rettslige utgangspunktene knyttet til eierskap til data, hva dette eierskapet omfatter og når et eierskap inntreffer eller opphører. Tematikken spenner over flere rettsområder, og inneholder flere komplekse og til dels uløste problemstillinger. Samtidig er det viktig å understreke at rettskildebildet er i rask endring, grunnet en enda raskere teknologisk og politisk utvikling. Det avgrenses med andre ord mot reguleringer fra EU som ikke har tredd i kraft enda og utgjør en del av EUs datadelingsstrategi.

2. Eierskap til data gjennom lov

2.1 Rettskildebildet

Det eksisterer ingen allmenngyldig legaldefinisjon av uttrykket «data». Regjeringen har i en stortingsmelding definert data som «enhver fysisk representasjon av opplysninger, viten, meninger og lignende, og kan være både ustrukturerte og strukturerte. Data danner grunnlag for informasjon. Det er ikke alltid et tydelig skille mellom data og informasjon».(3)Meld. St. 22 (2020–2021) Data som ressurs. Denne vide forståelsen av uttrykket «data» bidrar til å gjøre rettskildebildet uoversiktlig, særlig i lys av at det ikke eksisterer en særskilt lov som regulerer rettighetene til data. Data kan likevel ha beskyttelse ved at det inngår i noe som har beskyttelse etter annen lovgivning. Dette er blant annet tilfelle i immaterialretten hvor data nyter vern etter åndsverkloven dersom det kommer til uttrykk i en tekst, et bilde eller en database, eller patentloven dersom det er en del av et patent eller forretningshemmelighetsloven dersom det inngår i en forretningshemmelighet. Person­opp­lysningsloven (GDPR), konkurranseloven og sikkerhetsloven regulerer også hvordan data kan brukes og deles, og evt. hvilke rettigheter man har i egenskap av å være eier av dataene.(4)General Data Protection Regulation (GDPR) trådte i EU i kraft 25. mai 2018, og i Norge 20. juli samme år. Forordningen regulerer behandling av personopplysninger og gir begrensninger for deling av data som inneholder personopplysninger tilhørende europeiske borgere. GDPR ble inkorporert i norsk rett ved en ny lov om behandling av personopplysninger (personopplysningsloven), som også utfyller forordningen på visse områder.

Et eierskap til data kan best beskrives som en rett til å besitte, bruke, kopiere, endre, og dele data med andre, med enkelte unntak og begrensninger. Eieren har som regel en eksklusiv rett til å gi eller nekte andre tilgang til dataene. Avhengig av hvorvidt eierskapet bygger på lov eller avtale vil det imidlertid kunne eksistere visse rettslige skranker for hvordan eieren kan forvalte dataene. Råderetten til en eier vil dermed bero på det konkrete rettslige grunnlaget for eierskapet.

2.2 Opphavsretten – eierskap til data

Det er flere regler i immaterialretten som gir rettigheter til data, samlinger av data eller oppfinnelser som bygger på data. Flere av disse reglene som gir rettigheter til data eller datasamlinger er nedfelt i åndsverkloven (åvl.), og kan få betydning for bruk og deling av data.(5)Lov 15. juni 2018 nr. 40 om opphavsrett til åndsverk mv. (åndsverkloven).

Etter åndsverklovens bestemmelser er det i utgangspunktet opphaveren av frembringelsen som får vern. Åndsverkloven bruker ikke uttrykket «eier», men ettersom opphaveren i utgangspunktet råder som en eier, må det være nærliggende å kunne likestille disse begrepene. Dette utgangspunktet gjelder likevel ikke for mange av de frembringelsene som blir til i regi av arbeidsforhold, hvor det er avtalt at rettighetene tilfaller arbeidsgiver. Arbeidstakere som overdrar rettigheter, vil likevel ha enkelte rettigheter i behold etter lov om arbeidstakeroppfinnelser.(6)Lov 17. april 1970 nr. 21 om retten til oppfinnelser som er gjort av arbeidstakere (arbeidstakeroppfinnelsesloven). Arbeidstakere vil også være pålagt begrensninger knyttet til å dele informasjonen eller dataene, der dette kan forringe mulighetene for patentering eller utnyttelse av oppfinnelsen, jf. arbeidstakeroppfinnelsesloven § 6 annet ledd.

Data eller samlinger av data kan få opphavsrettslig vern etter åvl. § 2 annet ledd, forutsatt at innsamlingen og struktureringen av dataene eller databasen er uttrykk for en individuell, skapende innsats. Vernet innebærer at opphaveren gis enerett til å framstille eksemplarer av verket og gjøre det tilgjengelig for allmennheten. I praksis oppfyller de færreste datasett eller databaser kravet til verkshøyde i åvl. § 2. Mer vanlig er nok at data som fremstiller en tekst eller lydfil oppfyller kravet til verkshøyde i åvl. § 2, og at man snakker om eierskap i forlengelsen av dette.(7)Se side 10 i S. Strandengen & S. Oddbjørnsen (2021) Ulike vern og mekanismer for beskyttelse av data. Lov & Data, nr. 147 september 2021, Nr. 3/2021. Det aller vanligste er nok imidlertid eierskap og vern av databaser.

2.3 Eierskap til databaser

I likhet med vern etter åvl. § 2 må en opphavers vern for databaser etter åvl. § 24, som gjennomfører EUs databasedirektiv kunne likestilles med eierskap.(8)Europaparlamentets- og rådsdirektiv 96/9/EF av 11. mars 1996 om rettslig vern av databaser (databasedirektivet). I databasedirektivets artikkel 1 defineres en database som «en samling av selvstendige verk, data eller annet materiale som er strukturert systematisk eller metodisk, og som er tilgjengelig individuelt ved bruk av elektroniske eller andre midler». En samling av industridata eller persondata vil således kunne utgjøre en database. Mens rettigheter i åndsverksloven normalt etableres ved at et selvstendig verk oppfyller kravet til verkshøyde, er databasevernet forbeholdt samlinger av data. Databasevernet gir med andre ord ikke vern for enkeltdata eller rådata som inngår i databasen, men databasen som en helhet.

I likhet med vern etter åvl. § 2 må en opphavers vern for databaser etter åvl. § 24, som gjennomfører EUs databasedirektiv kunne likestilles med eierskap.

Dersom vilkårene i åvl. § 24 første ledd er oppfylt, har opphaveren «enerett til å råde over hele eller vesentlige deler av databasens innhold ved uttrekk fra eller gjenbruk av databasen». Eneretten innebærer en rett til å forby andre å kopiere eller gjøre databasen, eller vesentlige deler av den, tilgjengelig for allmennheten. Lovens vilkår er at innsamling, kontroll eller presentasjon av innholdet i databasen innebærer en «vesentlig investering». Eneretten er ikke ubegrenset; opphaveren må akseptere en viss form for bruk av databasen, jf. åvl. §§ 41 fjerde ledd og 24 første og annet ledd. Eneretten berører ikke rettighetshavere til materiale i databasen, og får heller ikke betydning for regler som for eksempel regulerer behandlingen av persondata eller skjermingsverdig informasjon etter sikkerhetsloven. I den foreslåtte datastyringsforordningen, fremgår det at databasevernet ikke gjelder data som er frembrakt ved bruk av et produkt eller en relatert tjeneste, jf. Artikkel 35. Det er ikke avklart hvorvidt forordningen vil gjennomføres i norsk rett, men undertegnede antar dette som overveiende sannsynlig.

En dataskjerm med tre bokser nedenfor som kan fremstille databaser, digital illustrasjon.

Illustrasjon: Colourbox.com

Eneretten etter åvl. § 24 omfatter også «gjentatt og systematisk uttrekk eller gjenbruk av uvesentlige deler» av databasen, dersom dette utgjør «handlinger som skader den normale bruken av databasen eller urimelig tilsidesetter fremstillerens legitime interesser», jf. § 24 annet ledd. Annet ledd begrenser mulighetene for uttrekk fra databasen som ikke er vernet etter første ledd, hvor intensjonen er å gjenskape hele eller vesentlige deler av databasen.

Kravet til vesentlige investeringer oppstiller en høy terskel og det oppstår derfor ofte tvil om hvorvidt vilkåret er oppfylt. Formålet med databasevernet er å verne om investeringene til sammenstillingen, herunder utgifter til innsamlingen, kontrollen eller presentasjonen. Dette betyr at investeringer knyttet til produksjon av data for eksempel ikke er vernet etter databasevernet. Spørsmål om samlinger av industridata er vernet etter databasevernet, må ta utgangspunkt i hvor store investeringer som har gått inn i databasen og hva disse investeringene er brukt til. I praksis kan dette by på en rekke utfordringer, særlig der data­basen er skapt sammen med andre.

Databasevernet er forbeholdt den som gjør den vesentlige investeringen, normalt et selskap. Dersom flere selskaper samarbeider om å investere i frembringelsen av en database, kan rettighetene til databasen oppstå i sameie mellom dem. Åndsverkloven inneholder ingen reguleringer av hvordan rettighetene til en database kan utnyttes i sameie, og det vanlige er at dette reguleres i en avtale. Det er videre verdt å merke seg at, i likhet med data vernet etter åvl. § 2, kan en kun få et databasevern for en database som en selveier enten ved frembringelse eller avtale. Adgangen til å avtale seg til eierskap, gir anledning til å overdra eierskapet til data eller en database som nyter vern etter åndverkloven. Et alternativ til overdragelse som ofte benyttes i praksis, er tildeling av en bruksrett (lisens eller frivillighetserklæring) til dataene.

I den foreslåtte datastyringsforordningen, fremgår det at databasevernet ikke gjelder data som er frembrakt ved bruk av et produkt eller en relatert tjeneste, jf. Artikkel 35.

2.4 Lisenser og frivillighetserklæringer

Den ikke-fungible karakteren som data innehar, kombinert med ofte uoversiktlige verdikjeder, kan gi utfordringer knyttet til å identifisere hvilke forpliktelser som medfølger dataene. Disse utfordringene løses i praksis ofte ved bruk av lisenser som angir hvilke forpliktelser og rettigheter som gjelder ved bruk av de aktuelle dataene. Lisensen som knyttes til dataene, er en avtale mellom datatilbyderen, og datakonsummenten. Lisensen regulerer eventuelle vilkår for bruken av dataene, som for eksempel at de kun skal brukes til forskning, eller at den som har fremstilt datasettet, skal krediteres. En lisens benyttes ofte der dataene er undergitt rettslige delingsbegrensninger i lov, for eksempel åndsverkloven, eller dersom bruken av dataene er begrenset av avtaler eller samtykke. Hensikten med dette er at datakonsummenten skal få en oversikt over hvilke betingelser som gjelder ved bruk av det aktuelle datasettet ved å lese lisensen.

Lisensmodellen innebærer på mange måter et større ansvar for datakonsummenten som nå, til enhver tid, har tilgang på informasjon om hvilke rettigheter og forpliktelser som følger dataene. En fordel ved denne formen for datadeling er at lisensen vil følge dataene, noe som betyr at en tredjepart som får dataene overdratt til seg, med eller uten samtykke, vil kunne enkelt se hvilke rettigheter og plikter som gjelder knyttet til de aktuelle dataene. Noe som vil redusere risikoen for rettsmangler ved bruk eller ulovlig overdragelser, sammenlignet med alminnelige avtaler, hvor avtalens innhold ofte ikke er synlig for en godtroende tredjepart. Det forutsettes at en aktør som laster ned data merket med en lisens, aksepterer lisensvilkårene ved nedlastning, forutsatt at vilkårene er lovlige. En lisens er med andre ord en avtaletype som kan gjøres gjeldende ovenfor en tredjepart.

I enkelte tilfeller benyttes en lisens til å gi avkall på eventuelle rettigheter til dataene. Dette gjøres som regel for å tilrettelegge for utstrakt deling og bruk. Det er ikke anledning til å fravike eller begrense krav eller begrensninger som følger av lov i en lisens. Det samme gjelder tredjeparters rettigheter til dataene.

En av de mest benyttede lisensene ved deling av data er Creative Commons Attribution 4.0 International (CC BY 4.0). Denne lisensen gir datakonsummenten rett til å kopiere og videredistribuere data, samt bearbeide disse for ethvert kommersielt eller ikke kommersielt formål, så lenge ufravikelig lovgivning ikke sperrer for det. Det medfølger også en plikt til å kreditere opphaveren.

Lisensmodellen innebærer på mange måter et større ansvar for datakonsummenten som nå, til enhver tid, har tilgang på informasjon om hvilke rettigheter og forpliktelser som følger dataene.

Det er vanlig å også bruke uttrykket lisens om erklæringer uten bruksbegrensninger. I litteraturen omtaler vi slike erklæringer som frigivelseserklæringer, såkalt Dedication to Public Domain på engelsk. De mest brukte frigivelseserklæringene er Public Domain Mark (PDM) og Creative Commons 0 (CC0). PDM brukes for å dokumentere at det ikke er noen kjente rettigheter tilknyttet dataene, mens CC0 brukes for å formidle at datatilbyderen gir avkall på alle eventuelle opphavsrettigheter, med unntak av de som er preseptoriske. Det kan fremstå rart at en datatilbyder fraskriver seg eventuelle rettigheter ved bruk av en lisens. Dette er derimot helt vanlig, ettersom en datatilbyder ofte har en egeninteresse i at flest mulig tar i bruk dataene som deles.

Dersom dataene ikke er knyttet til en lisens, kan det foreligge usikkerhet rundt hvilke rettigheter og eventuelle begrensninger som gjelder for dataene som deles. Bruk av lisens kan med andre ord gi en avklaring av den rettslige statusen og risikoen til dataene som deles. Det er flere fallgruver ved mangel på lisens eller valg av feil lisens, blant dem er at delingen vil kunne begrenses unødvendig, lisensen kan hindre kommersialisering eller videredistribusjon og at det foreligger uklarhet rundt eierskap.(9)https://www.forskningsradet.no/siteassets/publikasjoner/2021/hvordan-skal-vi-dele-forskningsdata.v2.pdf

3. Eierskap til data gjennom avtale

3.1 Overordnet

Utenfor lovreglenes anvendelsesområde gjelder det alminnelig handle- og avtalefrihet. I dag er deling av data mellom private aktører langt mindre lovregulert enn deling av data fra det offentlige.(10)Datadeling i EU og Norge er regulert av EUs Public Sector Information Directive (PSI-direktivet). PSI-direktivet er tatt inn i EØS-avtalen, og implementert i norsk lovgivning gjennom offentlighetsloven. EU vedtok i 2019 Open Data Directive (OD-direktivet) som skal erstatte PSI-direktivet. OD-direktivet introduserer nye krav til medlemslandene om å oppdatere lovgivning om datatilgjengelighet fra offentlig sektor. Det overordnede målet med direktivet er å fremme utviklingen av EUs dataøkonomi, ved å øke mengden data som er tilgjengelig fra offentlig sektor, samtidig som man sikrer rettferdig konkurranse og forbedrer innovasjon på tvers av landegrensene. OD-direktivet er ikke inntatt i EØS-avtalen enda, og er derfor ikke inkorporert i norsk rett. Det er enkelte regler som pålegger det private å dele data, slik som betalingstjenestedirektivet (PSD2), men dette tilhører unntakene.(11)Directive (EU) 2015/2366 of the European Parliament and of the Council of 25 November 2015 on payment services in the internal market, amending Directives 2002/65/EC, 2009/110/EC and 2013/36/EU and Regulation (EU) No 1093/2010, and repealing Directive 2007/64/EC. Mellom private aktører er utgangspunktet avtalefrihet. Avtalefriheten omfatter som regel når data skal deles, på hvilke vilkår deling skal skje, eierskap til verdiskapning av dataene som deles og fordeling av eventuelt ansvar ved feil eller mangler ved de delte dataene. Avtaler som regulerer datadeling, kan med andre ord ha vidt forskjellige formål. Avtalefriheten begrenses av ufravikelig lovgivning og det er eksempelvis ikke adgang til å avtale seg vekk ifra reglene om behandling av personopplysninger, nasjonal sikkerhet eller konkurransereglene. På immaterialrettens område foreligger det et visst handlingsrom til å inngå avtaler som fraviker lovens utgangspunkt og overdra immaterielle rettigheter. Avtalelovens regler om ugyldighet gir rammene for hva som lovlig kan avtales.

Der to eller flere aktører inngår en avtale om deling av data, kan det være flere behov som ønskes regulert ved avtale. Enkelte aktører er opptatt av eiendomsretten til data som sådan, hvilket kan medføre utfordringer ved gjenbruk til nye eller endrede formål, mens andre er mer opptatt av tilgang til verdiskapning eller nye data som kommer som et resultat av delingen. Avtaleregulering av eierskap til data reiser flere rekke krevende juridiske spørsmål – særlig i verdikjeder hvor det er mange aktører og datakilder involvert. En datadelingsprosess består ofte av flere ledd som innsamling, sammenstilling, berikelse, lagring og analyser og trening av maskinlæringsalgoritmer basert på data. Det er dermed ikke uvanlig at det oppstår uenighet om eierskap til både de opprinnelige data, og de som skapes i en datadelingsprosess. De ulike eierinteressene, dersom de har blitt kommunisert til de øvrige avtalepartene, kan også være styrende for hvordan en eventuell avtale skal tolkes og forståes.

Den juridiske kompleksiteten ved avtaleregulering av datadeling antas å ha en avskrekkende effekt på aktører som ønsker å dele data. Uten avtale står imidlertid en datatilbyder uten mulighet til å beholde en viss grad av kontroll over dataene, og eventuelt gevinstene, ettersom verdien i de fleste tilfeller, først og fremst skapes hos mottakeren. Andre problemstillinger som kan aktualiseres, er forholdet til tredjeparter som ikke er bundet av en eventuell datadelingsavtale.

Dersom en aktør ønsker å tre inn i rollen som datatilbyder er vedkommende avhengig av å ha rettslig adgang til å dele dataene som ønskes delt. En slik adgang forutsetter at de aktuelle dataene ikke er underlagt noen negative avtalerettslige forpliktelser eller er omfattet av lovgivning som forbyr deling av selve dataene eller informasjonen som inngår i dem.

3.2 Eierskap gjennom besittelse

En av de mest brukte avtalene blant offentlige og private aktører i Norge på IT-feltet er Statens Standardavtaler (SSA). Grunnet det økte fokuset på data og verdiskapning knyttet til data, har DFØ som forvalter og vedlikeholder SSA inntatt bestemmelser i flere av de nyeste avtalene som regulerer data som kontraktsmessig gode. I SSA-L fra 2018 punkt 7.2 følger det at (forfatters understrekninger):

«Kunden beholder eiendomsrett til alle data som overlates til Leverandøren for behandling, og som lagres eller prosesseres ved hjelp av tjenestene under denne avtalen. Det samme gjelder resultatet av Leverandørens behandling av slike data.»

Ordlyden i punkt 7.2 første setning presiserer at dataene eies av kunden, uavhengig av hvorvidt de overføres eller tilgjengeliggjøres for avtaleparten. Mer interessant er nok kanskje andre setning som viser til at eiendomsretten omfatter også resultatet av Leverandørens behandling av dataene. Utgangspunktet i SSA-L er med andre ord at dataene og ethvert resultat av prosessering under avtalen vil tilfalle kunden. Avtalen inneholder ingen nærmere beskrivelse av hva et slikt «resultat» kan bestå i. Men en naturlig språklig forståelse tilsier en vid tolkning, hvor det også er naturlig å innfortolke data som er skapt ved kundens bruk av løsningen.

Det er viktig å merke seg at SSA og andre standardavtaler kan fravikes ved endringsbilag eller andre endringsmekanismer. Det er med andre ord anledning til å avtale seg vekk fra avtalenes utgangspunkt på dette området. Samtidig mener jeg at SSA-L avtalens ordlyd når det gjelder eierskap til data, gir uttrykk for et generelt avtalerettslig utgangspunkt når det gjelder eierskap til data. Dette utgangspunktet er at den som besitterdataene også er den som eier dataene, og at data som skapes basert på grunndataene, basert på eierens bruk skal tilfalle eieren. En slik tolkning harmonerer også med utgangspunktet i artikkel 35 i den foreslåtte datastyringsforordningen.(12)Se mer om dette i kap. 2.3.

I praksis kan det være utfordrende å anvende synspunktet om at besittelse tilsvarer eierskap overfor en tredjepart, med bakgrunn i at en avtale kun er bindende mellom avtalepartene. Særlig aktuelt er dette da data er en ikke-fungible ytelse, som mer eller mindre eksisterer i ubegrenset omfang, noe som betyr at det er ingen begrensninger som hindrer andre fra å skape eller innhente de samme dataene. Motsetningsvis, vil data hvor eierskap er ervervet ved lov, stå sterkere. Eksempelvis vil vernet data etter åndsverksloven innebære en enerettfor skaperen som begrenser andres adgang til å få vern for tilsvarende frembringelse.

Det kan også være andre aspekter ved dataene som legger begrensninger for råderetten og muligheten til å overdra dataene. Det skilles ofte mellom data om identifiserbare og ikke-identifiserbare personer («personopplysninger»), data beskyttet av immaterielle rettigheter eller andre eiendomsrettigheter, data underlagt hemmelighold eller taushetsplikt (forretningshemmeligheter, know-how, etc.) og for eksempel industri data. Hvordan dataene som ønskes delt kan kategoriseres vil også kunne være styrende for hvordan de aktuelle dataene kan forvaltes. Rekkevidden av eierens råderett vil med andre ord bero på hvilkedata som ønskes delt.

4. Regelverk som begrenser råderetten til eier

4.1 Data som inneholder personopplysninger

4.1.1 Innledning

EUs personvernforordning gir plikter til dem som behandler data som inneholder personopplysninger, samt rettigheter til de opplysningene angår.(13)GDPR artikkel 4 Personvernforordningens artikkel 4 nr. 1 definerer personopplysninger som enhver opplysning som kan, direkte eller indirekte, knyttes til en fysisk person. Vernet av personopplysninger gitt i GDPR følger dataene dit de går, og ved overføring av personopplysninger utenfor EU/EØS-området må vernet av opplysninger være likt eller tilsvarende vernet de har innenfor EU/EØS.(14)GDPR artikkel 3

Når det gjelder deling og bruk av data, går det et viktig skille mellom data som inneholder personopplysninger, og data som ikke kan knyttes til enkeltpersoner. For datasett som inneholder både personopplysninger og andre opplysninger, vil GDPR kun gjelde for den delen som inneholder personopplysninger. Grensedragningen mellom personopplysninger og andre opplysninger er tidvis vanskelig. Vurderingen av hvorvidt opplysninger anses som personopplysninger beror på en konkret vurdering med bakgrunn i praksis fra EU-domstolen. Hvis personopplysningene og andre data er uløselig knyttet sammen, antar forfatteren at GDPR gjelder for hele datasettet. Dette må nok gjelde selv om personopplysningene kun utgjør en liten andel av datasettet. Noe annet ville innebåret en uthuling av den enkeltes rett til personvern.

Data som inneholder personopplysninger deles frivillig daglig. Medieaktører som Schibsted, NRK, plattformaktører og apper som Google, Facebook og Instagram, tilbyr gratis tjenester i bytte mot brukernes registrering og bruk av tjenestene. Samtidig innhenter nevnte aktører samtykke til bruk og deling av personopplysninger til formål som for eksempel markedsføring.

Dersom en datatilbyder ønsker å dele data som inneholder personopplysninger knyttet til borgere i EU-/EØS-området vil reglene i GDPR gi føringer for behandlingen av personopplysninger, herunder begrensninger knyttet til deling av data.(15)Sic.

4.1.2 Krav om behandlingsgrunnlag for å dele, motta og bruke personopplysninger

Dersom en eier skal kunne dele data som inneholder personopplysninger med en annen part, er det i utgangspunktet tre til fire krav som må være oppfylt etter personvernforordningen. For det første må den som behandler personopplysninger ha et lovlig «behandlingsgrunnlag», jf. GDPR artikkel 6 nr. 1. Et slikt behandlingsgrunnlag kan være et samtykke eller et rettslig grunnlag i nasjonal rett, jf. GDPR artikkel 6 nr. 1 bokstav a eller c. For det andre må det foreligge et ekstra behandlingsgrunnlag etter GDPR artikkel 9 nr. 2, dersom dataene som ønskes delt inneholder særlige kategorier av personopplysninger. For det tredje må datatilbyderen ha et behandlingsgrunnlag for å dele eller utlevere datasett som inneholder personopplysninger. Det fjerde og siste kravet er at mottakeren av et datasett ha et behandlingsgrunnlag til å motta data og behandle dem videre til et konkret, forhåndsangitt formål.

De store globale plattformene – Google, Facebook, Amazon – utvikler tjenester ved å samle inn data som inneholder personopplysninger om brukere, og ta de i bruk. Både lang fartstid og forretningsmodell, har resultert i at disse aktørene har akkumulert omfattende mengder data. Det eksisterer med andre ord ulikheter i behovet for å samle inn data fra andre aktører i datadelingsøkosystemet. De største aktørene trenger som oftest kun behandlingsgrunnlag for å ha/behandle dataene selv. Mens mindre aktører er mer avhengig av å dele data seg imellom, ettersom de ikke har tilgang på like omfattende datamengder. Dette konkurransefortrinnet for de store bidrar til å øke forskjellene ytterligere mellom store og små datadrevne virksomheter.

Det er i utgangspunktet ikke anledning til å gjøre unntak fra GDPR, bortsett fra på de områdene hvor forordningen selv spesifiserer dette. Dette betyr at det kan være andre bestemmelser i GDPR eller særlovgivning (med hjemmel i GDPR) som utvider eller innskrenker adgangen til å dele data. Et eksempel er artikkel 89 som gjør unntak fra kravet om behandlingsgrunnlag som oppstilles i artikkel 6 og 9.(16)[Bestemmelsen åpner opp fra at data kan viderebehandles for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. Det kan med andre ord tenkes at en datatilbyder eller -konsument som ikke har behandlingsgrunnlag, kan benytte artikkel 89 som grunnlag for å kunne dele, motta eller bruke data som inneholder personopplysninger.] og [Se H. Melles (2020) Retten til å viderebehandle personopplysninger for arkiv, forskning og statistikk. Lov og Rett.]

4.2 Begrensninger i konkurranselovens §§ 10 og 11

Konkurranseretten regulerer aktørenes opptreden i markedet for å sikre et velfungerende marked hvor forbrukerne får lavere priser, bedre utvalg og bedre produkter som følge av reell konkurranse mellom markedsaktørene. De mest aktuelle bestemmelsene i konkurranseloven knyttet til overføring av data, er forbudet mot konkurransebegrensende samarbeid i konkurranseloven § 10 og forbudet mot utilbørlig utnyttelse av dominerende markedsstilling i lovens § 11.(17)Lov 5. mars 2004 nr. 12 om konkurranse mellom foretak og kontroll med foretakssammenslutninger (konkurranseloven).

Forbudet mot utilbørlig utnyttelse av dominerende markedsstilling har preget de europeiske diskusjonene om datadeling de siste årene. Bakgrunnen for dette er at et knippe større amerikanske aktører har fått tilgang på omfattende mengder data som gir store konkurransefortrinn. Disse dataene deles ikke med mindre aktører og har dermed en skadende effekt på konkurransen. Flere av de varslede reguleringene fra EU er en respons på denne utviklingen, og har som formål å stimulere til økt dataoverføring mellom selskaper og sikre økt tilgang til data særlig for små- og mellomstore virksomheter.

Ved overføring av data mellom virksomheter er det særlig grunn til å være oppmerksom på konkurranselovens § 10 om konkurransebegrensende samarbeid.

Ved overføring av data mellom virksomheter er det særlig grunn til å være oppmerksom på konkurranselovens § 10 om konkurransebegrensende samarbeid. Bestemmelsen inneholder et forbud mot enhver avtale eller beslutning mellom virksomheter som har til formål eller virkning å hindre, innskrenke eller vri konkurransen. Etter forbudet er det tilstrekkelig at virkningen av delingen av data skader konkurransen. Det er med andre ord ikke ansvarsbefriende, at virkningen ikke var en planlagt eller uttalt målsetning. Samtidig må det understrekes at mange former for datadeling er gunstig for konkurransen i markedet. Markedsaktører må dermed foreta konkrete vurderinger ved spørsmål om en eiers rett til deling begrenses av forbudet i lovens § 10.

EU-kommisjonens rapport «Competition Policy In The Digital Era» identifiserer særlig fire områder hvor deling av data kan få negative konkurransemessige konsekvenser. Det første område er sammenslutninger hvor data deles internt.(18)European Commission, Directorate-General for Competition, Montjoye, Y., Schweitzer, H., Crémer, J., Competition policy for the digital era, Publications Office, 2019, https://ec.europa.eu/competition/publications/reports/kd0419345enn.pdf Slike samarbeid kan virke ekskluderende og heve terskelen for innpass i markedet for aktører som ikke er en del av sammenslutningen. Dersom et samarbeid fører til at andre aktører nektes tilgang til markedet, er det problematisk sett opp mot konkurranselovens § 10.

Det andre området som identifiseres som særlig utfordrende er deling av markedssensitive opplysninger, som prisinformasjon eller produksjonskapasitet. Deling av slike data mellom foretak, kan medføre pristilpasning eller annen samordning av opptreden som er skadelig for konkurransen og som rammes av konkurranselovens § 10.

Det tredje området som identifiseres som problematisk, er deling av data som kan resultere i at det er mindre attraktivt for tredjeparter å utvikle egne data og bruke disse. En slik utvikling vil kunne medføre at enkelte selskaper blir avhengige av data fra andre selskaper, og får svekket konkurranseevne over tid. Avtalevilkår som pålegger et selskap å lisensiere data fra et annet selskap eller sperrer for muligheter til å utvikle egne data og bruke disse, vil kunne komme konflikt med både konkurranselovens §§ 10 og 11.

Det fjerde og siste området som er utfordrende er hvordan sikre tilgang til data på en rettferdig, rimelig og ikke-diskriminerende måte. En datatilbyder risikerer å komme i konflikt med konkurranselovens §§ 10 eller 11, dersom de ikke er oppmerksom på kravet til likebehandling ved spørsmål om tilgang på data.

Konkurranselovens § 10 speiler et tilsvarende forbud i EØS-avtalens artikkel 53 og TEUV artikkel 101, mens § 11 speiler EØS-avtalens artikkel 54. Reglene gjelder med andre ord all overføring av data i EU-/EØS-området. I praksis innebærer reglene at markedsaktører som ønsker å dele data, må foreta en vurdering av hvorvidt den konkrete delingen rammes av konkurranseloven, for eksempel §§ 10 og 11. Dersom en overføring rammes av forbudet og det ikke foreligger et unntak som kommer til anvendelse, vil aktørene være nødt til å avstå fra å dele de aktuelle dataene, eller i enkelte tilfeller være pålagt å gjennomføre overføringen der dette er nødvendig for å overholde forbudet.

Konkurranseretten utgjør et vesentlig element i vurderingen av om data kan, og ikke minst bør deles. De fleste overføringer kan tilpasses slik at de ikke rammes av konkurranselovens forbud, men i enkelte tilfeller vil slike tilpassinger kunne medføre at overføringen også resulterer i en eller flere uønskede konsekvenser.

4.3 Data av nasjonal interesse etter sikkerhetsloven

Sikkerhetsloven har som formål å sikre nasjonale sikkerhetsinteresser og forebygge sikkerhetstruende virksomhet, jf. sikkerhetsloven § 1–1.(19)Lov 1. juni 2018 nr. 24 Lov om nasjonal sikkerhet (sikkerhetsloven). Loven gjelder for statlige, fylkeskommunale og kommunale organer, jf. § 1–2. Nasjonale sikkerhetsinteresser omfatter overordnede sikkerhetspolitiske interesser knyttet til blant annet de øverste statsorganers virksomhet, forsvar, sikkerhet og beredskap, forholdet til andre stater, økonomisk stabilitet, samfunnets grunnleggende funksjonalitet og befolkningens grunnleggende sikkerhet, jf. § 1–5. I forbindelse med deling av data kan det aktualiseres spørsmål om dataene som ønskes delt er beskyttet etter sikkerhetsloven. Dersom dette er tilfellet, kan bestemmelsene i sikkerhetsloven gi begrensninger for deling og bruk av dataene.

Etter sikkerhetsloven § 5–1 kan informasjon anses som skjermingsverdig «dersom det kan skade nasjonale sikkerhetsinteresser at informasjonen blir kjent for uvedkommende, går tapt, blir endret eller blir utilgjengelig». Begrepet «informasjon» skal forståes vidt i henhold til forarbeidene til sikkerhetsloven, og det er av underordnet betydning hvordan informasjonen er tilvirket og hvilken form informasjonen har.(20)Prop. 153 L (2016–2017), 19.5 kapittel 5 informasjonssikkerhet. Det er lite tvilsomt at data er omfattet av begrepet informasjon i sikkerhetsloven § 5–1.

Dette betyr at dersom det kan få skadefølger for nasjonale sikkerhetsinteresser at data eller informasjonen i dataene blir kjent for uvedkommende, må informasjonens konfidensialitet, integritet og tilgjengelighet beskyttes. Dette kan blant annet innebære at informasjonen skal sikkerhetsgraderes og at adgang til dataene vil kunne forutsette tilstrekkelig sikkerhetsklarering. Sikkerhetsloven kan med andre ord begrense en eiers adgang til å selge eller overføre data.

5. Avsluttende betraktninger

Kombinasjonen av horisontale- og vertikale regelverk, ufravikelige- og fravikelige regler og ulik praksis knyttet til hvordan data kan og bør reguleres i en avtale, gjør spørsmålet om eierskap til data utfordrende. De faktiske forholdene: verdikjeder med flere aktører, datakilder, algoritmer og ikke minst interesser bidrar til å øke denne kompleksiteten.

Basert på gjennomgangen i denne artikkelen, kan følgende tilnærming til spørsmål om datadeling oppstilles. For det første vil en eiers råderett til data bero på hvilke rettigheter og begrensninger som kan utledes fra gjeldende lovgivning. Den kan både være tale om horisontal lovgivning som gjelder på tvers av sektor og rettsområde, eller vertikal lovgivning som regulerer bestemte kategorier data, for eksempel helsedata. Begge typer lovgivning kan oppstille rettigheter og begrensninger knyttet til de aktuelle dataene. Utover begrensningene i eventuell lovgivning, vil partene stå fri til å avtale vilkår og betingelser for delingen og bruk av av de aktuelle dataene, såfremt disse er innenfor avtalerettens rammer.

Fokuset i denne artikkelen har vært å redegjøre for når et eierskap til data inntreffer eller opphører, og hva et slikt eierskap innebærer. Den fragmenterte rettstilstanden innebærer at svaret på disse spørsmålene vil bero på hvorvidt de aktuelle dataene er regulert i lovgivning og/eller avtale. Det er imidlertid viktig å understreke at selve kompleksiteten knyttet til datadeling, materialiserer seg først når data skal avtalereguleres. Det er særlige tre utfordringer som ofte oversees på kontraktsstadiet og som kan gjøre nevneverdig skade når de materialiserer seg.

For det første vil en datadelingsavtale kun oppstille rettigheter og plikter for avtalepartene. En datatilbyder vil dermed ikke kunne gjøre en datadelingsavtale gjeldende ovenfor tredjeparter. I praksis betyr det at en datatilbyder står uten mulighet til å kreve erstatning eller gjøre gjeldende andre misligholdsbeføyelser av en tredjepart som på uberettiget grunnlag, får tilgang til dataene eller misbruker dataene. Dette forutsetter naturligvis at datatilbyder ikke har rettigheter etter øvrige regelverk; åndsverkloven, lov om forretningshemmeligheter mv. Dette betyr at en datatilbyder bør sørge for å ha en mekanisme på plass, utenom datadelingsavtalen, som vil kunne beskytte dataene fra utnyttelse av en tredjepart. I praksis vil ofte kryptering kombinert med tilgangsnøkler benyttes der det er tale om viktige data.

For det andre kan fraværet av en rettslig legaldefinisjon medføre tolkningstvil, egne vidtrekkende tolkninger eller uenighet. Eksempelvis vil avtalepartene kunne ha vidt forskjellige definisjoner av uttrykkene «data» eller «eierskap». Noe som vil kunne resultere i en rekke uforutsette utfordringer eller utilsiktede konsekvenser. Datadelingsavtaler krever med andre ord presise angivelser av de forholdene som avtalen tar sikte på å regulere, i mangel av legaldefinisjoner og etablerte bransjedefinisjoner.

For det tredje må det utvises varsomhet knyttet til bruk av forbud eller restriktive klausuler i en datadelingsavtale, ettersom disse vil kunne etter sitt innhold utgjøre en begrensning på avtalens oppfyllelse.

Deling og bruk av data er ikke et fenomen begrenset til bestemte land, næringer eller sektorer. Videre kan det være vidt forskjellige behov og interesser som skal ivaretas og store forskjeller mellom de ulike verdikjedene, både når det gjelder datakilder og aktører. Det er derfor vanskelig å kommunisere gode juridiske råd som kan anvendes på tvers av næring eller sektor. Denne artikkelen er et ydmykt forsøk i den retning, men det må understrekes at det er stor bredde i hva som defineres som data, og det er dermed mange rettsregler som kan få betydning for både eierskap, deling og bruk av data. Reglenes fragmenterte karakter gir uklare kontaktflater og en grobunn for vanskelige og sammensatte rettsspørsmål. Dette kombinert med at det skal navigeres i EU-lovgivning, nasjonal lovgivning og kontrakter, bidrar til å øke den juridiske usikkerhet for den enkelte som skal vurdere hva de kan og ikke kan gjøre med data. I tillegg til denne usikkerheten, foreligger det en risiko for at en aktør deler data på en slik måte at de havner i ansvar – enten ved at delingen skjer på ulovlig vis eller ved at dataene inkriminerer datatilbyderen i et eller flere lovbrudd. Disse to forholdene i sum – juridisk usikkerhet og risiko – innebærer at det bør utvises en viss form for varsomhet ved deling av data og at slik deling ikke bør skje ukritisk.

Noter

  1. Meld. St. 22 (2020–2021) Data som ressurs.
  2. EU-kommisjonen har varslet et regelverk for datastyring – Data Governance Act (heretter «DGA») – som skal skape grunnlaget for en europeisk datastyringsmodell som er i overensstemmelse med EUs prinsipper og verdier, herunder personvern, forbrukerbeskyttelse, IP-rettigheter og konkurranseregler. Forordningsforslaget tar sikte på å skape en sikker infrastruktur for datadeling, et ekte indre marked for deling av ikke-personlige data, som gjør det mulig for data å bevege seg fritt innen EU, på tvers av sektorer. Kommisjonen har også vedtatt en datastyringsforordning (Data Act) og en forordning om kunstig intelligens (AI Act). Formålet med datastyringsforordningen er å fremme datadeling mellom virksomheter i privat sektor, og mellom private virksomheter og offentlige myndigheter. Forordningen om kunstig intelligens bygger på en risikobasert tilnærming, hvor kravene til bruk øker i takt med risikoen som foreligger. Forordningen vil også inneholde forbud mot bruk av kunstig intelligens til enkelte formål, der de strider med grunnleggende verdier i EU. Det er tenkt at disse regelverkene sammen med DGA, skal komplimentere hverandre og bygge opp under ambisjonen om forsvarlig fri flyt av data i EU.
  3. Meld. St. 22 (2020–2021) Data som ressurs.
  4. General Data Protection Regulation (GDPR) trådte i EU i kraft 25. mai 2018, og i Norge 20. juli samme år. Forordningen regulerer behandling av personopplysninger og gir begrensninger for deling av data som inneholder personopplysninger tilhørende europeiske borgere. GDPR ble inkorporert i norsk rett ved en ny lov om behandling av personopplysninger (personopplysningsloven), som også utfyller forordningen på visse områder.
  5. Lov 15. juni 2018 nr. 40 om opphavsrett til åndsverk mv. (åndsverkloven).
  6. Lov 17. april 1970 nr. 21 om retten til oppfinnelser som er gjort av arbeidstakere (arbeidstakeroppfinnelsesloven).
  7. Se side 10 i S. Strandengen & S. Oddbjørnsen (2021) Ulike vern og mekanismer for beskyttelse av data. Lov & Data, nr. 147 september 2021, Nr. 3/2021.
  8. Europaparlamentets- og rådsdirektiv 96/9/EF av 11. mars 1996 om rettslig vern av databaser (databasedirektivet).
  9. https://www.forskningsradet.no/siteassets/publikasjoner/2021/hvordan-skal-vi-dele-forskningsdata.v2.pdf
  10. Datadeling i EU og Norge er regulert av EUs Public Sector Information Directive (PSI-direktivet). PSI-direktivet er tatt inn i EØS-avtalen, og implementert i norsk lovgivning gjennom offentlighetsloven. EU vedtok i 2019 Open Data Directive (OD-direktivet) som skal erstatte PSI-direktivet. OD-direktivet introduserer nye krav til medlemslandene om å oppdatere lovgivning om datatilgjengelighet fra offentlig sektor. Det overordnede målet med direktivet er å fremme utviklingen av EUs dataøkonomi, ved å øke mengden data som er tilgjengelig fra offentlig sektor, samtidig som man sikrer rettferdig konkurranse og forbedrer innovasjon på tvers av landegrensene. OD-direktivet er ikke inntatt i EØS-avtalen enda, og er derfor ikke inkorporert i norsk rett.
  11. Directive (EU) 2015/2366 of the European Parliament and of the Council of 25 November 2015 on payment services in the internal market, amending Directives 2002/65/EC, 2009/110/EC and 2013/36/EU and Regulation (EU) No 1093/2010, and repealing Directive 2007/64/EC.
  12. Se mer om dette i kap. 2.3.
  13. GDPR artikkel 4
  14. GDPR artikkel 3
  15. Sic.
  16. [Bestemmelsen åpner opp fra at data kan viderebehandles for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. Det kan med andre ord tenkes at en datatilbyder eller -konsument som ikke har behandlingsgrunnlag, kan benytte artikkel 89 som grunnlag for å kunne dele, motta eller bruke data som inneholder personopplysninger.] og [Se H. Melles (2020) Retten til å viderebehandle personopplysninger for arkiv, forskning og statistikk. Lov og Rett.]
  17. Lov 5. mars 2004 nr. 12 om konkurranse mellom foretak og kontroll med foretakssammenslutninger (konkurranseloven).
  18. European Commission, Directorate-General for Competition, Montjoye, Y., Schweitzer, H., Crémer, J., Competition policy for the digital era, Publications Office, 2019, https://ec.europa.eu/competition/publications/reports/kd0419345enn.pdf
  19. Lov 1. juni 2018 nr. 24 Lov om nasjonal sikkerhet (sikkerhetsloven).
  20. Prop. 153 L (2016–2017), 19.5 kapittel 5 informasjonssikkerhet.
Hermon Melles
Hermon Melles, portrett