6 Juridiske vurderinger og rammeverk
Usikkerhet om juridiske spørsmål fremheves ofte som en hindring for datadeling i næringslivet. Lovgivningen inneholder ikke noen generell rettslig definisjon av “data” eller noen generell regulering av deling av data innenfor privat næringsliv. Dette henger også sammen med at det i praksis er vanskelig eller umulig å gi noen generell definisjon av hva “data” eller “industridata” er. Det er imidlertid mange rettsregler som får anvendelse på data og som har eller kan ha betydning for deling av data, og en viktig kilde til rettslig usikkerhet er at det kan være vanskelig for den enkelte virksomhet å skaffe seg en oversikt over de reglene som er relevante for virksomheten om den skal dele data.
Det kan være usikkerhet omkring rettigheter til data og frihet til å sette grenser for bruk, og usikkerhet om mulighet for å ta del i eventuell økonomisk fortjeneste som følge av bruk av dataene. Det er også usikkerhet om ansvar knyttet til deling av data, for eksempel brudd på tredjeparters rettigheter, ansvar for feil i dataene og ansvar for ulovlig bruk. Som beskrevet ovenfor, er det konkrete avtaler som gir grunnlag for deling av data i næringslivet. Den rettslige usikkerheten må håndteres gjennom vilkår i avtalen som regulerer deling, for eksempel en datalisens.
I utgangspunktet gjelder det avtalefrihet, både om data skal deles, vilkårene for deling og fordeling av eventuelt ansvar. Lovgivningen inneholder regler som setter rammene for avtalen, og til dels begrenser avtalefriheten. Nedenfor peker gruppen på det den oppfatter som sentrale og generelle regler som bør vurderes når avtalevilkår skrives og forhandles.
En del av den rettslige usikkerheten rundt deling av data, kommuniseres i diskusjonen om “eierskap” til data. Lovgivningen gir imidlertid ingen rettslige posisjoner som samsvarer med en forventning om “eierskap”. Flere har pekt på et behov for å skape bedre forutsigbarhet i lovgivning som gjelder data og som er relevant ved deling av data, særlig når det gjelder forventninger om en form for “eierskap”.Det pågår for tiden lovarbeid som forventes å gi bedre forutsigbarhet, særlig innenfor EU, som nærmere omtalt nedenfor. Ekspertgruppens rolle er ikke først og fremst å vurdere mulige lovendringer, men vurdere muligheter innenfor dagens lovverk.
6.1 Eierskap, ansvar og bruksrettigheter
En sentral del av ekspertgruppens mandat er å gi “anbefalinger til konkrete tiltak for hvordan avklare ansvar, eierskap og bruksrettigheter i forbindelse med deling av industridata innad i næringslivet.”
Som blant annet ekspertgruppen for datadeling i næringslivet har påpekt, finnes det i dag ikke lovverk som gir noen form for eiendomsrett til data. Når data forstås som «informasjon» i vid betydning, er forutsetningen i norsk rett, at ingen kan eie informasjon eller kunnskap. Lovverket har en god del ulike regler som etter omstendighetene kan få betydning for deling av data. For det første er det regler som gir rettigheter til data eller samlinger av data, som for eksempel databaserettigheter etter åndsverkloven. For det andre er det regler som krever deling av data, regulerer eller legger til rette for deling – slik som betalingstjenestedirektivet18 eller DISKOS19. Til sist er det regler som begrenser deling av data, for eksempel sikkerhetsloven, personopplysningsloven eller ulike regler om taushetsplikt. Utenfor lovreglenes anvendelsesområder, gjelder alminnelig handlefrihet og kontraktsfrihet. I praksis er mange virksomheter alene om å ha tilgang til egenproduserte data eller de dataene som de samler inn og lagrer som ledd i sin virksomhet. Det er i utgangspunktet fritt opp til den enkelte virksomhet om den ønsker å dele data med andre eller ikke. Det er dog ingen lovbestemt eierposisjon eller eksklusiv rettslig posisjon knyttet til dataene som skaper rettslige eneretter eller «eierretter» til dem.
Tidligere initiativer og utredninger har etterspurt nye og klare regler om eierskap eller eiendomsrett til data for at datadeling skal skje uten så stor usikkerhet om rettslige posisjoner20. Det er imidlertid ikke kommet initiativer fra lovgivere som går i retning av å gi eneretter eller noe juridisk “eierskap” til data. EU-kommisjonen vurderte å innføre en såkalt “Data Producer’s Right”, men dette initiativet synes foreløpig å være forlatt.
Det siste initiativet fra EU-kommisjonen, er forslaget til en europeisk “Data Act”. Istedenfor å gi eierrettigheter eller eksklusive rettigheter til dataprodusenter eller tilbydere av databaserte tjenester, er det et sentralt grep i Data Act at brukerne av databaserte tjenester får en lovfestet rett til tilgang til data som er samlet inn fra og om dem selv, herunder industridata som samles inn gjennom sensorer. Brukerne, både forbrukere og næringsdrivende, får også rett til å disponere over disse dataene. Data Act er foreløpig på forslagsstadiet, og innholdet kan bli endret betraktelig før et eventuelt vedtak. Forslaget til Data Act indikerer at lovgivere er opptatt av å balansere kontroll og tilgang til data, og særlig å sikre brukerrettigheter overfor selskaper som tilbyr ulike tjenester basert på innsamling og lagring av data.
Innenfor dagens rettslige rammeverk, er det nødvendig med kontrakt for å regulere vilkårene for tilgang til og deling av data. En lisensavtale gir tilgang og rett til å bruke data, i motsetning til en kjøpsavtale som vanligvis brukes om et endelig salg, der selger ikke lenger skal ha rettigheter eller plikter i det som blir solgt. Lisensavtalen fastsetter vilkårene for bruken, og regulerer risiko og ansvar. Dersom Data Act blir vedtatt og gjennomført i EØS og dermed i Norge, forutsetter den at deling av data reguleres i kontrakter/lisenser, men avtalen må respektere og oppfylle kravene i Data Act. Også i fremtiden, vil altså kontrakter være helt sentrale for å regulere deling av data. Det er også fullt mulig å fordele rettigheter og plikter i kontrakten ved å bruke ord som “eierskap” og lignende, men det motsvares altså ikke av noen konkret rettslig posisjon i lovverket.
6.2 Regler som gir rettigheter til data eller datasamlinger – immaterialrettigheter
6.2.1 Vern for databaser
Samlinger av industridata kan utgjøre en database. Dersom vilkårene i åndsverkloven § 24 er oppfylt, kan den som har fremstilt databasen, få en enerett til å råde over hele eller vesentlige deler av databasens innhold. Lovens vilkår er at innsamling, kontroll eller presentasjon av innholdet i databasen innebærer en “vesentlig investering”. Eneretten innebærer en rett til å forby andre å kopiere eller å gjøre databasen tilgjengelig for allmennheten så fremt det gjelder hele eller vesentlige deler av databasen. Eneretten gir også vern mot gjentatt og systematisk utnytting av uvesentlige deler av databasen, dersom dette skader den normale bruken av databasen eller urimelig tilsidesetter fremstillerens legitime interesser.
Åndsverkloven § 24 gjennomfører EUs databasedirektiv21. I databasedirektivet er en database definert som en samling av selvstendige verk, data eller annet materiale som er strukturert systematisk eller metodisk, og som er tilgjengelig individuelt ved bruk av elektroniske eller andre midler. Søkbare samlinger av industridata, vil regelmessig utgjøre en database. Samlingen kan være statisk eller dynamisk, altså slik at stadig nye data registreres. Databasevernet er et vern for samlingen av data som sådan, og retten gir ikke vern for enkeltdata eller rådata som inngår i databasen.
Det sentrale vilkåret for vern etter åndsverkloven § 24, er at innsamling, kontroll eller presentasjon av databasens innhold innebærer en “vesentlig investering”. Investeringen må være knyttet til innsamlingen, kontrollen eller presentasjonen av databasen, det vil si arbeidet med å strukturere og sette sammen databasen. Investeringer i forbindelse med produksjon av data, gir ikke vern etter § 24. Hvor stor investeringen må være, altså hvor mye ressurser i form av tid eller penger som er brukt, må vurderes konkret i forhold til den enkelte database. Formålet med databaseretten er å gi et vern for investeringene, og for å oppnå vern, må det være snakk om betydelige ressurser.
For typiske industridata, må det vurderes konkret både hvor store investeringer som har gått inn i databasen, og hva investeringene er brukt til. En del industridata registreres som del av en annen virksomhet, og i så fall er det tvilsomt om åndsverkloven § 24 får anvendelse. Dersom investeringene knytter seg til virksomheten, og dataene som registreres er erfaringsdata eller data om resultater av virksomheten eller observasjoner om virksomheten, er det ikke gitt at databasen er vernet. Det innebærer for eksempel at et selskap som leverer turbiner til produksjon av vann- eller vindkraft, og som registrerer erfaringsdata om vær- og naturforhold som er avgjørende for dimensjonering av turbinene, normalt ikke kan påberope seg databaseretten etter åndsverkloven § 24 for databasen med erfaringsdata. Slike data kan være vernet som forretningshemmeligheter, se mer om dette nedenfor.
En database kan også være resultat av en kreativ åndsinnsats og dermed være vernet som åndsverk, jf. åndsverkloven § 2. Kravet er i så fall at innsamlingen og struktureringen av databasen er uttrykk for en individuell, skapende innsats. For databaser som består av data samlet inn ved bruk av sensorer og lignende teknologi, er dette svært sjelden aktuelt.
Retten etter åndsverkloven § 24 oppstår hos den som gjør den vesentlige investeringen, vanligvis et selskap. Dersom ansatte i virksomheten bruker tid og arbeid på innsamling og strukturering av databasen, anses dette som arbeidsgivers investering. Dette er naturlig så lenge databaseretten er et vern for investeringer. Dersom flere selskaper samarbeider om innsamling og frembringelse av en database, kan rettighetene til databasen oppstå i sameie mellom dem, dersom alle har investert i frembringelsen. Loven gir ingen retningslinjer for utnytting av rettigheter i sameie, og det bør reguleres i avtale.
Databaseretten omfatter ikke dataene som sådan. Åndsverkloven § 24 forutsetter også at en database kan bestå av svært ulikt innhold, ikke bare digitale enkeltdata eller -opplysninger. Databaseretten består uavhengig av, og berører heller ikke, eventuelle rettighetshavere til materiale i databasen, for eksempel forfattere dersom databasen består av tekster som er individuelle åndsverk. Databaseretten får heller ikke betydning for andre regler som regulerer de dataene som inngår i databasen, for eksempel reglene om persondata.
6.2.2 Loven om forretningshemmeligheter
Industridata som er erfaringsdata eller data som er registrert fra virksomhet, kan være beskyttet av reglene om forretningshemmeligheter. Lov om forretningshemmeligheter § 2, definerer forretningshemmeligheter som en samling opplysninger som ikke er allment kjent, som har kommersiell verdi fordi de er hemmelige og som innehaveren har truffet rimelige tiltak for å holde hemmelige. Etter forarbeidene har opplysninger kommersiell verdi der inngrep vil kunne skade interessene til innehaveren av forretningshemmeligheten «på en måte som undergraver personens vitenskapelige og tekniske potensiale, forretningsmessige eller finansielle interesser, strategiske plasseringer eller evne til å konkurrere».
For opplysninger som utgjør forretningshemmeligheter, gir loven et vern mot at andre urettmessig skaffer seg tilgang til opplysningene og mot at andre skaffer seg eller bruker opplysningene på en måte som er i strid med god forretningsskikk. Retten til forretningshemmeligheter tilkommer enten juridiske eller fysiske personer. Reglene om forretningshemmeligheter beskytter typisk erfaringsdata, konkrete og individuelle data om en virksomhet, og omfatter industridata og sensordata. Det stilles ikke andre krav til dataenes innhold enn de nevnte.
Reglene om forretningshemmeligheter gir beskyttelse mot at andre skaffer seg tilgang til eller bruker data uten at dette er avtalt. Loven gir også tilgang til sanksjoner. Det kan kreves dom for at misbruket opphører, og det kan innebære at det nedlegges forbud mot at inngriper tilbyr varer eller tjenester som er basert på hemmeligheten. Loven har også regler om erstatning og økonomisk kompensasjon. Det er den som vil påberope seg reglene om forretningshemmeligheter som må dokumentere at vilkårene for vern i lovens § 2 og § 3 er oppfylt.
Loven om forretningshemmeligheter viser til standarden om god forretningsskikk når det skal avgjøres om bruk av opplysninger er inngrep i forretningshemmeligheter. I vurderingen av dette, ses det hen til markedsføringsloven § 25, generalklausulen om forbud mot handlinger i strid med god forretningsskikk i næringsvirksomhet, og praksis etter denne. Reglene i markedsføringsloven supplerer reglene i forretningshemmelighetsloven, men det vil nok ikke være så stort rom for å anvende mfl. § 25 ved siden av forretningshemmelighetsloven § 3.
6.3 Regler som begrenser deling av data
6.3.1 Konkurranserett
Ekspertgruppen for datadeling i næringslivet pekte i sin rapport på at usikkerhet rundt konkurranserettslige spørsmål er en barriere for deling av data mellom konkurrenter, men utdyper i liten grad hvorfor denne usikkerheten oppstår eller hvilke tiltak som kan foretas for å redusere den22.
Konkurranseretten angir rammebetingelsene for markedsaktørenes opptreden i markedet, og handler om hvordan selskaper må forholde seg til hverandre for å sikre et velfungerende marked hvor konkurranse gir lavere priser, større utvalg og bedre produkter og tjenester. De sentrale bestemmelsene er forbudet mot konkurransebegrensende samarbeid (konkurranseloven §10), forbudet mot utilbørlig utnyttelse av dominerende markedsstilling (konkurranseloven §11) og forbudet mot oppkjøp og sammenslutninger som svekker konkurransen (konkurranseloven §16).
For selskaper som ønsker å dele data er ikke nødvendigvis oppkjøp eller sammenslutning av flere foretak særlig relevant, og ekspertgruppen har ikke mottatt tilbakemeldinger på at dette er et område som skaper juridisk usikkerhet i denne sammenheng.
De juridiske problemstillingene som har vært viet mest oppmerksomhet i den europeiske diskursen om datadeling de siste årene har hovedsakelig vært knyttet til forhold mellom store og små aktører og misbruk av dominerende markedsstilling. Nye forslag til regelverk, som Digital Services Act, Digital Markets Act og til dels forslaget til Data Act23har blitt lagt frem som en respons på opplevd manglende regulering av aktører med bruk av data som en kjerne i sin virksomhet. Mye av fokuset i europeiske initiativ på feltet de siste årene kan synes å ligge på innlåsingseffekter i sosiale plattformer, skytjenester og andre digitale tjenester. Det har på den andre siden vært lite som tyder på at problemstillinger knyttet til utilbørlig utnyttelse av dominerende markedsstilling har vært et særlig fremtredende diskusjonstema for industrielle data. Videre er spørsmål om misbruk av dominerende markedsstilling kun relevant for et fåtall aktører – fordi terskelen for markedsdominans settes relativt høyt. Disse selskapene er nok også oppmerksom på forbudet i konkurranseloven § 11 selv. Vi vil derfor i denne rapporten først og fremst fokusere på konkurranselovens §10, som omhandler konkurransebegrensende samarbeid.
Konkurranselovens §10 sier at enhver avtale eller beslutning mellom virksomheter som har til formål eller virkning å hindre, innskrenke eller vri konkurransen, er forbudt. Det er med andre ord nok at virkningen av deling av data skader konkurransen, og det trenger ikke ha vært planlagt eller en uttalt målsetning.
Imidlertid er det kun samarbeid som skader konkurransen som er problematisk, og mange former for deling av data er nettopp gunstig for konkurransen i markedet. Samarbeid som bidrar til å effektivisere produksjon, skaper innovasjon i produkter eller tjenester, og samtidig sikrer at kunder nyter godt av det gjennom for eksempel lavere salgspriser, er som regel uproblematiske.
EU-kommisjonens rapport Competition Policy for a Digital Era24 identifiserer særlig fire områder hvor datadeling kan få negative konkurransemessige konsekvenser:
For det første, dersom sammenslutninger deler data internt, kan det innebære at det blir vanskelig for aktører som ikke er med i sammenslutningen å komme inn på markedet. Dersom et samarbeid fører til at andre aktører nektes tilgang til markedet, er det problematisk i forhold til konkurranselovens § 10. Dette kan for eksempel være tilfelle for bransjeforeninger som samler inn data som medlemmene får kollektivt tilgang til. Samordnet opptreden gjennom en bransjeforening omfattes av konkurranselovens § 10, og dersom tilgang til en slik bransjedatabase er en forutsetning for å komme inn på markedet og tilby sine varer eller tjenester, kan samarbeidet etter omstendighetene rammes av forbudet. Dersom slik adferd er ensidig og fra en dominerende aktør, kan det rammes av konkurranselovens § 11.
For det andre kan datadeling innebære deling av markedssensitive opplysninger, som prisinformasjon eller produksjonskapasitet. Dersom foretak deler slike data, får de anledning til å tilpasse sine egne priser og konkurransevilkår til konkurrentenes, og det kan foreligge en samordning av opptreden som er skadelig for konkurransen og som rammes av konkurranselovens § 1025.
For det tredje kan deling av data gjøre det mindre attraktivt for tredjeparter å utvikle sine egne data og bruke disse, og derfor svekke konkurransen. Formålet med konkurransereglene er også å sikre et marked der uhindret konkurranse fører til innovasjon og utvikling av bedre produkter og tjenester over tid. Dessuten vil det at selskaper blir avhengige av data fra andre selskaper på sikt kunne svekke deres konkurranseevne. Avtalevilkår som stiller krav om at et selskap lisensierer data fra et annet selskap for å få tilgang til en tjeneste eller lignende, vil etter omstendighetene kunne komme i konflikt både med konkurranselovens § 10 og § 11.
Til sist kan det gis tilgang til data på en måte som ikke er rettferdig, rimelig og ikke-diskriminerende. Særlig foretak som har en dominerende markedsstilling, må være oppmerksomme på kravet om likebehandling i forhold til andre markedsaktører. Dersom det gis tilgang til data på vilkår som ikke er rettferdige eller som er diskriminerende, kan dette påvirke konkurransestillingen blant konkurrentene i markedet nedstrøms, og praksisen kan stride mot konkurranseloven § 11(2) c).
De generelle konkurransereglene setter altså nokså snevre grenser for markedsaktørenes adgang til å dele konkurransesensitiv informasjon, og særlig deling av prisinformasjon og informasjon om andre viktige konkurranseparametre, kan komme i faresonen for konkurranselovens § 10. En særlig situasjon gjelder prosjekt- eller tilbudssamarbeid. For mindre markedsaktører, kan det være en forutsetning for å kunne gi tilbud i større anbudskonkurranser at de samarbeider med andre aktører for å kunne dekke hele anbudet. Slikt samarbeid må foregå innenfor rammene som er skissert av Konkurransetilsynet i en egen veileder26. Dette innebærer at det settes grenser for hvilke opplysninger som kan deles og hvordan de deles.
6.3.2 Persondata – personopplysningsloven
Personopplysningsloven, som gjennomfører EUs personvernforordning (GDPR) i norsk rett, gir både plikter til dem som behandler data som inneholder personopplysninger, så vel som rettigheter til den opplysningene angår. Det er begrensninger i lovens virkeområde, særlig når det gjelder bruk av data i forskning og offentlig virksomhet, men som hovedregel gjelder personopplysningsloven når det er snakk om bruk av data i sammenheng med privat næringsvirksomhet. Personopplysninger er alle opplysninger som kan knyttes til en enkeltperson, enten de identifiserer enkeltpersoner (slik som navn, telefonnummer eller lignende) eller en enkeltpersons adferdsmønster (slik som opplysninger om hvor en person beveger seg eller hva vedkommende foretar seg på en datamaskin). En personopplysning kan også være en vurdering knyttet til en person, for eksempel en vurdering av kredittverdighet eller arbeidsprestasjon.
For at data skal være personopplysninger er det avgjørende at det finnes en tilknytning til en fysisk person. Denne koblingen kan ofte være enkel og direkte, for eksempel vil et navn eller en adresse åpenbart være koblet til en enkeltperson. Det vil imidlertid også være tilfeller hvor koblingen er indirekte, og man trenger annen data for at informasjonen kan kobles til en enkeltperson. Dette vil likevel være regnet som en personopplysning, og omfattet av loven. Et eksempel på dette kan være skiltnummer på en bil. Skiltnummeret sier ingenting om en enkeltperson i seg selv, men ettersom det finnes registre over hvem som eier hvilke biler – altså kobler navn og skiltnummer, vil dette kunne være en personopplysning. Dersom bilen er registrert på et foretak, er ikke nødvendigvis bilnummeret å regne som personopplysninger, men opplysninger om hvor bilen befinner seg og kjøremønster (geolokasjonsdata) vil likevel kunne gi indirekte personopplysninger om sjåføren. Dette innebærer at det må vurderes konkret om de aktuelle opplysningene er å regne som personopplysninger eller ikke, og at opplysningene må vurderes i sammenheng.
For å kunne behandle personopplysninger må virksomheten ha et behandlingsgrunnlag. Datatilsynet har laget en veileder for vurdering av behandlingsgrunnlag27med eksempler på hvordan dette kan vurderes.
6.3.2.1 Pseudonymiserte data
Pseudonymiserte data er data hvor personopplysninger er fjernet, slik at man ikke kan koble data til en enkeltperson uten tilleggsopplysninger. Pseudonymisering av data gjøres for eksempel ved at identifiserende trekk (slik som navn) er erstattet med en kode som gjør at kun dem som har kodenøkkelen kan koble navn og annen informasjon. Slike data omfattes også av personopplysningsloven. Det vil derfor ikke være tilstrekkelig å pseudonymisere data for å kunne dele eller bruke data til andre formål uten at lov om personopplysninger kommer til anvendelse. Dersom man ønsker dette, kan det imidlertid være et alternativ å anonymisere dataene (se under).
En utfordring når man skal vurdere om data er pseudonymiserte eller anonymiserte er at data kan være pseudonyme selv om man ikke besitter en nøkkel til å koble dataen selv. Dersom data inneholder detaljer som kan brukes til å identifisere enkeltpersoner, kan de regnes som pseudonymiserte data selv om direkte identifiserbar informasjon er fjernet, og for eksempel erstattet med et tilfeldig generert nummer. Dersom noen kan koble opplysninger i datasettet med andre opplysninger i datasett du ikke har direkte kontroll over, og på den måten identifisere enkeltpersoner, vil datasettet være omfattet av loven.
6.3.2.2 Anonymiserte data
Personvernlovgivningen gjelder ikke data som er anonymiserte. Data er anonymisert dersom det ikke lenger er mulig, med de hjelpemidlene som med rimelighet kan tenkes at blir brukt, å identifisere enkeltpersoner i dataene. Anonymisering av data vil derfor kunne gjøre det enklere å dele data, men kan i praksis være vanskelig å gjøre. Det er også ofte slik at jo større datasett, jo lettere er det å identifisere personer i data som i utgangspunktet er anonymisert.
Datatilsynet har publisert en veileder i anonymisering av data28 som kan hjelpe virksomheter å anonymisere data som inneholder personopplysninger på en robust og sikker måte.
6.4 Europeisk regulatorisk arbeid – Data Act
23. februar 2022 lanserte EU-kommisjonen et utkast til et nytt regulatorisk rammeverk for deling av data – Data Act. Bedre rammevilkår for deling av industridata er kjernen i forslaget. Under lanseringen av Data Act sa kommisjonæren for det indre marked, Thierry Breton, at dagen var «Et viktig steg i å utnytte verdiene i industriell data» og understreket at verdiskapingspotensialet og innovasjonspotensialet i bruk av industriell data er enormt.
Formålet med forslaget er å stimulere til økt dataoverføring mellom selskaper og sikre tilgang til data særlig for små- og mellomstore virksomheter. I tillegg er det en målsetning å lage klarere regler for når og hvordan myndighetene kan kreve å få utlevert data. Dette skal gjøres gjennom å klargjøre hvem som kan kreve tilgang til data, når og på hvilket grunnlag. EU-kommisjonen har med dette forslaget beveget seg bort fra tidligere forslag om å gi eksklusive rettigheter til produsenter av data, en såkalt “Data Producers Right”, og har heller valgt å gi rettigheter til brukerne av tjenester som regelmessig også er de som generer data og som også er datasubjektene. Denne tilnærmingen gir bedre balanse mellom tjenestetilbyder og bruker når det gjelder “rett” til dataene, men det blir nødvendig med strengere kontroll med vilkårene for tjenestene og for tilgangen til dataene, noe som reflekteres i forslagets strenge krav til balanserte kontrakter. Forslaget retter seg mot fire situasjoner:
- Regler for å sikre at de som genererer data, f.eks. ved bruk av sensorer, måleinstrumenter eller andre tjenester skal kunne få tilgang til dataene som genereres
- Regler mot misbruk av markedsmakt gjennom skjeve avtalevilkår;
- Regler for å sikre myndighetene tilgang til data i kritiske situasjoner og harmonisering av lovverk mellom EU-land; og
- Regler for å sikre dataportabilitet mellom skyleverandører og regler for datalokalisering.
For bruk og deling av data i industrien er det primært forslagene knyttet til tilgang til data, dataportabilitet og de detaljerte reglene som stiller krav til kontraktsutforming som nok vil få størst umiddelbar betydning. Samtidig er dette også områdene som det kan virke å være størst uenighet om, og endringer kan forekomme før en endelig forordning vedtas.
6.5 Bransjeretningslinjer og frivillig regulering
I mange bransjer har det vokst frem ulike former for retningslinjer, standarder eller annen frivillig regulering av datadelingstjenester og -samarbeid. Slike retningslinjer søker å rydde av veien noe av den usikkerhet rundt de rettslige posisjonene i og til data, som hindrer og forsinker deling av data. I noen bransjer er det også viktig å oppveie skjevhet i forhandlingssituasjonen der store tjenestetilbydere tilbyr plattformbaserte datadrevne tjenester, der brukeren “betaler” blant annet med data, men der brukeren ikke får tilgang til eller disposisjonsrett over data som er samlet inn fra brukeren selv dersom tjenesteforholdet opphører. Utvalget oppfatter at slike retningslinjer eller standarder har stor betydning i praksis, og at de bare vil få større betydning fremover. EU-kommisjonens forslag til Data Act er også basert på Code of conduct on agricultural data sharing by contractual agreement29. En viktig virkning av bransjestandarder og retningslinjer, er at de vil gi en målestokk for hva som oppfattes som balanserte og rimelige vilkår innen en gitt bransje. Sentrale punkter for slike standarder eller retningslinjer er tjenestetilbyders råderett over innsamlede data og krav til samtykke ved videre bruk at dataene, brukerens rett til tilgang til data samlet inn fra henne selv, dataportabilitet og overgang til andre tjenestetilbydere, sentrale kontraktsvilkår for tjenesteavtaler og avtaler om deling av data.
6.5.1 Frivillig regulering på internasjonalt og EU-nivå
Det finnes mange initiativer til frivillig regulering på internasjonalt og EU nivå, og her nevnes kun noen eksempler. Under paraplyen til World Economic Forum, arbeides det i flere retninger for standardisering og utarbeidelse av retningslinjer for bedre regulatoriske rammer for datadeling30. Internasjonalt samarbeid er viktig for å sikre like rammevilkår for deling av data på tvers av landegrenser. Internasjonale bransjeorganisasjoner som gjennom slike felles initiativ eller på egen hånd setter internasjonale rammevilkår for datadeling, påvirker og harmoniserer vilkårene for datadeling på nasjonalt plan.
Ett eksempel fra EU er de felles bransjeorganisasjonenes rammevilkår for landbruket, Code of conduct on agricultural data sharing by contractual agreement.
6.5.2 Frivillig regulering på nasjonalt nivå
Landbruks- og sjømatnæringene utviklet i 2021 felles bransjeretningslinjer for deling av data i disse sektorene, blant annet basert på europeiske bransjeorganisasjoners Code of conduct on agricultural data sharing by contractual agreement. Formålet med dokumentet er å klargjøre spørsmål knyttet til eierskap, ansvar og bruksrettigheter til data produsert i disse næringene. Dokumentet angir overordnede prinsipper for samarbeid som går ut på deling av data, og som skal være førende for innholdet i konkrete kontraktsvilkår. Disse må nedfelles og utfylles i konkrete, individuelle avtalevilkår, og det arbeides for tiden med kontraktsmaler for å utfylle retningslinjene. En Code of Conduct gir de mindre virksomhetene, typisk den enkelte bonde eller oppdretter, et mål for hva som er viktige vilkår å regulere i en avtale om tilgang til en databasert tjeneste, og et mål for hva som generelt er rimelige og balanserte vilkår.