Som lovet har vi laget et sammendrag av det vi gjennomgikk i nettverket sist da Camilla Ongre fra Norges delegasjon til EU presenterte nye it-initiativer. Vi lager ikke mange slike sammendrag, men regelverkene her er såpass mange og viktige at det kan være fint med en skriftlig oversikt. Stor takk til William Eitrem som var med å skrive dette sammendraget.

Jeg er sikker på at vi vil komme tilbake til flere av disse regelverkene fremover og jeg registrerte at mange hadde spørsmål knyttet til virkeområdet til DSA. DSA ser ut som å bli det regelverket som er praktisk sett viktigst for mange om ganske kort tid. Etter at vi hadde  presentasjonen er DSA blitt offisielt publisert i EU, og trer i kraft 15 måneder senere. Det betyr at DSA er en del av rammeverket i 2024.

God lesning, del gjerne nyhetsbrevet med andre du tenker dette er nyttig for. 

Hilsen Eva

1. EU-KOMMISJONENS MÅL

EU-kommisjonen har etablert noen overordnede prioriteringer for sin periode. Teknologi spiller en sentral rolle for flere av disse, blant annet «A Europe fit for the digital age» og «A new push for European democracy». I mars 2021 lanserte kommisjonen en visjon kalt «2030 Policy Programme: Path to the Digital Decade». Visjonen består av utvikling av fire punkter knyttet til teknologi. De fire punktene er (1) utvikling av digitale ferdigheter, (2) digitalisering av næringslivet, (3) utvikling av digital infrastruktur og (4) digitalisering av offentlig sektor. Disse punktene er omsatt til noen konkrete mål, blant annet at:

• Europa skal ha over 20 millioner IKT-eksperter,
• 80 % av den europeiske populasjonen skal ha grunnleggende digitale ferdigheter,
• 5g-teknologi skal være tilgjengelig i hele Europa,
• 75 % av europeiske selskaper skal benytte seg av skytjenester, KI eller big data, og
• Alle borgere i europeiske land skal ha tilgang på sine medisinske journaler på internett.

Flere initiativer er igangsatt som en del av arbeidet for å nå disse målene.

2. ULIKE REGELVERK SOM ER PÅ VEI

Direktiver og forordninger spiller en stor rolle når EU forsøker å takle utfordringene som oppstår rundt personvern, big data, falske nyheter og store plattformers markedsmakt. EU har allerede vedtatt Data Governance Act, Digital Markets Act og Digital Services Act, mens Data Act, Media Freedom Act og regler om kunstig intelligens også er underveis. Rent umiddelbart fremstår DSA som den praktisk mest relevante av disse.
 
EU-kommisjonen har altså lansert en lang rekke tiltak siden de tok over i 2019. Det er imidlertid grunn til å anta at færre forslag vil bli foreslått frem mot 2024. Dette er fordi kommisjonen da skal fratre, og det er sannsynlig at den vil prioritere gjennomføring av allerede foreslåtte tiltak fremfor å lansere nye.

3. DIGITAL SERVICES ACT

3.1 INTRODUKSJON

Digital Services Act («DSA») er et horisontalt regelverk som hovedsakelig tar sikte på å beskytte forbrukere og dere fundamentale rettigheter, etablere et tydelig rammeverk for transparens og ansvarliggjøring av plattformer på nett, og styrke innovasjon, vekst og konkurransekraft i EUs indre marked.[1]
 
Målene skal blant annet nås gjennom å gi klare regler for ansvar for ulovlig innhold. Bedrifter blir pålagt å etablere systemer for håndtering av ulovlig innhold, ytringer og varer, samt skape transparens rundt hvilket innhold man presenteres for på internett. Det pålegges også flere plikter for rapportering, og det opprettes en nasjonal tilsynsmyndighet i alle EØS-stater.

[1] https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/digital-services-act-ensuring-safe-and-accountable-online-environment_en

3.1 HVILKE BEDRIFTER OMFATTES?

Det er fire kategorier av bedrifter som blir påvirket av regelverket. Disse er tilbydere av mellomliggende tjenester, tilbydere tjenester som lager innhold, internettbaserte plattformer og svært store internettbaserte plattformer. Antall plikter øker i antall og intensitet avhengig av hvilken kategori man er en del a, antakelig i starten av 2023.
 
Nettverket diskuterte hvem som treffes av regelverket og vil komme tilbake med mer nøyaktig informasjon om dette.
 
Tilbydere av mellomliggende tjenester, for eksempel internettilbydere som ICE og Telenor, er blant annet pålagt gjennomsiktsrapportering, krav til bruksvilkår som ivaretar hensynet til grunnleggende rettigheter og å samarbeide med nasjonale myndigheter. De som tilbyr lagringstjenester er pålagt visse forpliktelser om å gi opplysninger til brukerne, samt melde fra om ulovlige handlinger. Internettplattformer må blant annet også opprette utenomrettslige tvisteløsningsordninger, være transparente om hvordan anbefalingsalgoritmer fungerer og avstå fra all målrettet reklame mot barn.
 
Det er det største internettplattformene som pålegges de mest intensive pliktene. Utover pliktene som tidligere er opplistet, er disse blant annet pålagt risikostyringsforpliktelser, utarbeide av kriseberedskap og pålagt å tilby brukerne en mulighet for å ikke motta anbefalinger basert på profilering. De vil også måtte gi innsyn til eksterne revisorer, et middel som benyttes for å sørge for at de største aktørene oppfyller pliktene de er pålagt. Denne kategorien omfatter tjenester som Google og Facebook.

3.3 SÆRLIG OM «DARK PATTERNS»

DSA er det første regelverket som uttrykkelig forbyr såkalte «dark patterns». I fortalepunkt 67 er begrepet «dark patterns on online interfaces of online platforms» definert som «practices that materially distort or impair, either on purpose or in effect, the ability of recipients of the service to make autonomous and informed choices or decisions». Et konkret eksempel er der det er veldig lett å inngå en avtale om en tjeneste, men vanskelig å avslutte den.
 
Implisitt utgjør allerede deler av personvernforordningen forbud mot slike, for eksempel ved reglene om informert samtykke. Likevel er det en lang vei å gå. Et uttrykkelig mål med DSA er å forby «dark patterns» som ikke omfattes av personvernforordningen.

3.4 VIRKNINGSTIDSPUNKT

Regelverket i sin endelige form ble publisert i EUs offisielle journal den 27. oktober. Regelverket vil tre i kraft 17. februar 2024, se artikkel 93 andre ledd.

3.5 HÅNDHEVING

Medlemsland har en plikt til å opprette nasjonale tilsynsmyndigheter («Digital Services Coordinator»), som skal jobbe for at bedrifter implementerer og etterfølger regelverket, samt håndheve eventuelle brudd. Koordinatorene skal opptre med full selvstendighet fra både offentlige og private aktører. Som navnet tilsier skal de ha et særlig ansvar for å sørge for at nasjonale og internasjonale aktører kan samarbeide, og at alle offentlige myndigheter som bør være involvert, er involvert.
 
Et interessant poeng er at de nasjonale koordinatorene har ansvar for mellomliggende tjeneste-tilbydere, tilbydere av lagringstjenester og internettbaserte plattformer, mens det er EU-kommisjonen selv som er tilsynsmyndigheten for de aller største plattformene. Årsaken er antakelig at de fleste EU-land har for begrensede ressurser til å etablere tilsynsmyndigheter som kan opptre som tilsynsmyndighet overfor såpass store aktører som de omfattede internettplattformene faktisk er. I tillegg opererer disse internettplattformene i alle medlemsstater, og det gir derfor mening at et internasjonalt organ skal utføre tilsyn.

3.6 OMSTRIDT

En utfordring ved utformingen av reglene er balansegangen mellom ytringsfrihet og fjerning av ulovlig innhold. Dette har utløst mye debatt i både EU-organene og medlemsland. Motstandere mener regelverket vanskeliggjør innovasjon, virker konkurransebegrensende og legger begrensninger på ytringsfriheten. Andre mener forordningen ikke går langt nok. Debatten blir tidvis opphetet, og det er liten grunn til å tro den vil roe seg. Tiden vil vise hvem som har rett.

4. DIGITAL MARKETS ACT

Digital Markets Act («DMA») er et supplement til eksisterende konkurranseregelverk. Regelverket tar for seg rollen til såkalte «portvoktere”, altså teknologibedrifter som dominerer markedet og i stor grad styrer hvilke aktører som kan få operere på plattformene deres. Forslaget legger opp til en konkurranserettslig forhåndsregulering. Med andre ord er det ikke konkurransebegrensende handlinger som kvalifiserer til om man pålegges forpliktelser, men objektive kriterier, som påvirkning plattformen har på det indre markedet. Noen tjenester som åpenbart vil omfattes, er Facebook, Google, Amazon og Apple Store.
 
Regelverket inneholder to typer forpliktelser. Én av typene gjelder alle portvoktere automatisk, mens én av typene kan tilpasses den enkelte portvokteren. Et eksempel på førstnevnte finnes i artikkel 5 tredje ledd. Bestemmelsen etablerer et forbud mot at portvoktere kan hindre bedriftsbrukere fra å tilby produkter eller tjenester til sluttbrukere på portvokterens plattform. Særlig Apple, via Apple Store, har mottatt mye kritikk for retningslinjene sine på dette området.
 
En sentral regel, med store personvernimplikasjoner, er at portvoktere ikke lenger skal kunne gjenbruke personopplysninger som er samlet inn på én tjeneste, på en annen tjeneste. Flere portvoktere tilbyr en lang rekke ulike tjenester, som lagring, mailtjenester, bildetjenester, musikktjenester og sosiale medier, og det er åpenbart at denne regelen vil måtte medføre store endringer i nåværende praksis.

5. REGELVERK OM KUNSTIG INTELLIGENS

I april 2021 ble det foreslått et regelverk som skal regulere kunstig intelligens («KI»). Målet er å øke tillit til KI-systemer og å styrke innovasjon. Regelverket benytter en risikobasert tilnærming, hvor risikokategoriene er «uakseptabel risiko» (slike systemer vil være forbudt), «høy risiko», «begrenset risiko» og «minimal risiko». Antall regler, samt reglenes intensitet, vil avhenge av risikonivået.

Eksempler på systemer som har «uakseptabel risiko» er:

• KI-system som anvender subliminale teknikker som går ut over den menneskelige bevissthet,
• KI-system som utnytter en spesifikk gruppe av personers sårbarheter (f.eks. på grunnlag av alder eller fysisk eller psykisk handicap), og
• KI-system med biometrisk gjennkenning av personer på avstand, som brukes til rettshåndhevelse.

Eksempler på systemer som vil ha «høy risiko» er:

• Systemer som gjelder kritisk infrastruktur (f.eks. transport), som kan bringe liv og helse i fare,
• Utdannelse – systemer som kan være avgjørende for folks adgang til utdannelse og karrieremuligheter (f.eks. bedømmelse av eksamener),
• Produktsikkerhetskomponenter (f.eks. bruk av kunstig intelligens i robotassisteret kirurgi),
• Ansettelsesforhold, forvaltning av arbeidskraft og adgang til selvstendig næringsvirksomhet (f.eks. programvare til sortering av CV-er i ansettelsesprosesser),
• Viktige private og offentlige tjenester (f.eks. kredittvurderinger som kan forhindre folk i at foretaket visse investeringer),
• Rettshåndhevelse som kan gripe inn i folks grunnleggende rettigheter (f.eks. kontroll av bevismateriales autentisitet),
• Migrasjon, asyl og grensekontroll (f.eks. kontroll av reisedokumenters ekthet), og
• Rettspleie og demokratiske prosesser (f.eks. vurdering av hvordan loven anvendes på konkrete fakta).

Nettverket har hatt et møte om innholdet i denne forordningen våren 2022, men vil antakelig komme tilbake til dette senere når man er nærmere en endelig ordlyd. Mange av bestemmelsene ligner på reguleringer i GDPR, særlig gjelder dette plikten til dokumentasjon på ulike vurderinger.

KOMMENDE MØTE

Se hele oversikten over kommende aktiviteter i nettverket her.

SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works IT-juridiske nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.