DEBATT

Hvem eier dataene i tingenes internett?

KOMMENTAR: Dette er data som kan være gull verdt.

Tingenes internett skaper en enorm mengde data. Hvem eier alt dette?
Tingenes internett skaper en enorm mengde data. Hvem eier alt dette? Bilde: Colourbox
Kristian FossKristian FossBidragsyter
6. mars 2015 - 13:27

En av de sterkeste kommersielle driverne for aktørene i tingenes internett er eierskap til data. Dataene er verdifulle ikke bare fordi de gir informasjon om deg og meg som kan brukes til målrettet reklame. Produkttilbakemelding, kundeadferd og beregning av risiko er også gull verdt. Spørsmålet er hvem som eier dataene, og hvordan disse kan brukes.

Dette er del 3 av 6 i en serie kommentarer advokat Kristian Foss har skrevet for digi.no om Internet of Things (tingenes internett) og mulige uheldige virkninger for deg og samfunenet. Få også med deg disse:

  1. Forsikringstrøbbel med IoT
  2. Uvitende stjerne i ditt eget live video show?

Hva en virksomhet som har tilgang på data kan gjøre med disse, bestemmes først og fremst av om det dreier seg om persondata eller ikke. Selv om hovedfokus ofte er på personopplysninger, ligger vel så store verdier andre steder.

Verdi

Se for eksempel på samspillet mellom flyselskap og leverandører av flymotorer. Jetmotorer fra GE mater data tilbake til GE fra flyene. Tilsvarende mater vindmøller data tilbake om optimal vridning på blad og vinkel mot vinden. Disse dataene oppstår hos brukerne av utstyret – flyselskaper og vindmølleeiere.

Dataene er verdifulle fordi leverandørene lærer om hvordan tingene fungerer i praksis og hvordan kundene bruker dem.

For kundene er det verdifullt å få advarsel om at vedlikehold trengs, og hvordan effektivitet kan forbedres.

Advokat Kristian Foss er IT-advokat i Gille advokater, hvor han arbeider særlig med personvern, kontrakter og immaterialrett knyttet til teknologi. Gille bistår private og offentlige virksomheter.
Advokat Kristian Foss er IT-advokat i Gille advokater, hvor han arbeider særlig med personvern, kontrakter og immaterialrett knyttet til teknologi. Gille bistår private og offentlige virksomheter. Bilde: cf@kolonihaven.no Wesenberg
Persondata kan være interessante av lignende grunner. Trolig vil dataene Tesla samler inn fra bilene utgjøre personopplysninger etter personopplysningsloven (pol.). Samtidig er dataene nødvendige for å kunne bestille servicebil, avdekke svakheter og oppdatere programvaren når noe svikter.

Et annet bruksområde for persondata er selvfølgelig målrettet reklame. For eksempel vil ofte leverandører av pulsklokker leverer tilhørende tjeneste for deling av treningsinformasjon. Dette kan være interessant for leverandører av løpesko.  

Upersonlige data

Eierskapet til data består i å kunne bestemme hvordan dataene skal benyttes. I eksemplene med upersonlige data fra flymotorer og vindmøller, oppstår dataene når kundene bruker utstyret. Hvem skal bestemme over bruken?

Utgangspunktet må være at den som skaper noe, må stå nærmest til å disponere om det som skapes. Her vil flyselskapet og vinmølleeieren skape dataene. Dermed vil flymotorprodusenten og vindmølleleverandøren være avhengig av en avtale om bruksrett.

For å få til en slik avtale har leverandørene flere gulrøtter. I tillegg til å sette disposisjonsrett som vilkår for salget, kan leverandørene friste med flere fordeler. For det første kan leverandørene analysere dataene for kundene, slik at kundene kan dra nytte av dem. For det andre kan leverandørene sammenligne dataene med andre kunders, og slik tilby læring fra de beste i klassen. For det tredje kan leverandøren tilby reservedeler og preventivt vedlikehold før tingen svikter.

Hvem som får disposisjonsrett - blir «eier» -  utover den som produserer dataene, bestemmes dermed av om vedkommende ledd i verdikjeden kan tilby verdi nok til at å motta en disposisjonsrett.

I eksemplene over vil typisk leverandørene kunne tilby så store fordeler, at kundene vil ønske å gi leverandørene disposisjonsrett til dataene. På den måten blir man «eier» av upersonlige data.

Personlige data

Som vi kunne lese om i forrige del i denne serien må den som behandler personopplysninger ha tilstrekkelig rettslig grunnlag. Det mest praktiske grunnlaget er samtykke. Selv om samtykke ikke er nødvendig dersom behandlingen av personopplysningene er nødvendig for gjennomføringen av en avtale (pol. § 8 a), vil de kommersielle interessene ofte ligge i å behandle personopplysningene utover det som er nødvendig for å oppfylle avtalen.

I eksemplet med pulsklokker vil behandlingen være nødvendig for å gjennomføre tjenesteavtalen. Formålet med tjenesten er å dele dataene med treningsfeller. Da kan ikke leverandøren uten samtykke selge disse dataene til reklameformål, slik at for eksempel leverandører av joggesko skal kunne reklamere (pol. § 11 b). For å kunne utnytte denne muligheten må klokkeleverandøren sørge for at samtykket dekker det «uttrykkelig angitte formål».

Samtykket må omfatte formålet

Samtykket innhentes normalt som del av vilkårene for en abonnementstjeneste eller leveranse. Det må av slike vilkår fremgå at formålet med behandlingen også er å for eksempel avgi dataene til tredjeperson for markedsføringsformål. Dette må gjøres så klart at samtykket kan anses å være informert (pol. § 2 nr. 7).

Videre må formålet være begrunnet i behandlingsansvarliges virksomhet (pol. § 11 b). Dette er nok en bestemmelse det ofte syndes mot. Vil for eksempel salg av data til tredjepart for markedsføring være en del av klokkeprodusentens virksomhet?

Gjennom å bestemme formålet med bruken av dataene, blir tjenesteleverandøren (klokkeleverandøren) en behandlingsansvarlig (pol. § 2 nr. 4). Dermed trer en rekke plikter etter personopplysningsloven inn, slik som krav til informasjonssikkerhet, innsyn og forholdsmessighet. Se forrige kommentar om dette.

For ordens skyld er det verdt å nevne at selv om personopplysningsforskriften unntar kunde- og abonnementsregistre fra meldeplikt til Datatilsynet (§ 7-7) trenger man likevel et rettslig grunnlag for behandlingen, som beskrevet over.  

Disposisjonsrett eller eierskap?

Spørsmålet om eierskap til data blir på denne bakgrunn mer et spørsmål om hvilken disposisjonsrett en virksomhet har over dataene. 

Og hvem er det som har eller kan skaffe seg slik disposisjonsrett? Det finnes en rekke interessenter.

De viktigste er:

  • tjenestelevererandøren (klokkeleverandøren, Strava, GE, vindmølleleverandøren),
  • produsenten av tingene (klokken, tv-en, flymotoren, vindmøllen),
  • programvareutvikleren (appen, webtjenesten),
  • eieren av dataplattformen (sosiale nettverk), og
  • nedstrøms mottagere av dataene (joggeskoprodusenten).

Alle disse kan tenkes å bestemme formålet med bruken – behandlingen – av persondataene. Dermed vil de være behandlingsansvarlige, med alle de plikter som følger av personopplysningsloven. Herunder må også disse interessentene ha samtykke (avtale) eller annet grunnlag for bruken av dataene.

Dette betyr at hvert ledd i kjeden må påse at det eller de foregående leddene har rett til å overlate dataene til det neste leddet. Om ikke, vil interessenten ikke ha rett til å bruke dataene.

Hva om grunnlag mangler?

Gjelder det upersonlige data vil manglende grunnlag kunne utgjøre et avtalebrudd. Da vil vanlige sanksjoner for avtalemislighold gjelde, det vil si primært erstatning. Ofte vil det nok imidlertid være vanskelig å påvise tap. I tillegg vil fremtidig bruk kunne nektes.

Under dagens personopplysningslov med tilhørende praksis vil sanksjonene være relativt begrenset. Hovedreaksjonen, dersom forholdet i det hele tatt blir påtalt av Datatilsynet, er i praksis at forholdet bringes i orden, kanskje med tillegg av et overtredelsesgebyr.

Kraftigere lut fra EU

Men dersom den nye personvernforordningen EU-kommisjonen foreslo i 2012 blir vedtatt kan denne situasjonen endre seg dramatisk. For brudd på de sentrale bestemmelsene i forordningen ligger det i Europaparlamentets forslag om at bøter på inntil 5% av total konsernomsetning skal kunne gis. Det betyr fare for ekstremt store bøter.

Dersom forordningen blir vedtatt, vil den få direkte virkning som lov. Det vil si at det ikke vil være nødvendig å implementere reglene i nasjonal lov, slik situasjonen er med direktiver.

Forordningen ble foreslått av EU-kommisjonen i 2012, og ble ansett som streng. Forslaget ble behandlet av Europaparlamentet i 2014. Godt hjulpet av Snowden-avsløringene, strammet Europaparlamentet ytterligere litt inn.

Les også: Rungende «ja» til EUs nye personvern

Rett før jul 2014 behandlet EUs Minsterråd forslaget. Mange punkter er omforent, men det er mye diskusjon knyttet til flere viktige punkter. Interessant nok foreslår Ministerrådet å vanne ut kravet til samtykke og relatert informasjon. Videre foreslår rådet at krav til personvernanalyse og personvernansvarlige droppes for de fleste virksomheter.

Prosentbøtene som for de to tidligere utgavene medførte mye oppmerksomhet, er i Ministerrådet latt stå åpne i påvente av enighet.  Som følge at disse og et utall andre diskusjonspunkter, vil trolig det meste av 2015 passere før EU-kommisjonen, parlamentet og ministerrådet klarer å forhandle seg frem til enighet.

Med et rimelig implementasjonsvarsel kan man dermed se for seg at forordningen blir gjeldende fra 2017 eller 2018. Tidligst.

Har databaser beskyttelse?

Dersom rettigheten til dataene er vel på plass, enten det skulle være personopplysninger eller andre data, vil disse ofte plasseres i en database. Slike data kan som det fremgår over være verdifulle. Hvilket vern har så databaseeieren?

Dersom en aktør «frembringer et formular, en katalog, en tabell, et program, en database eller lignende arbeid som sammenstiller et større antall opplysninger, eller som er resultatet av en vesentlig investering», får den et vern etter åndsverkloven § 43. Vilkåret om at et «større antall opplysninger» vil i «big datas» tidsalder sjeldent by på problemer.

Vernet består i en «enerett til å råde over hele eller vesentlige deler av arbeidets innhold ved å fremstille eksemplar av det og ved å gjøre det tilgjengelig for allmennheten.» I praksis, et forbud for andre mot å kopiere det.

Dette betyr at databaseeieren ikke er avhengig opphavsrett for å få vern. Databasen er i seg selv vernet, bare den er av en viss størrelse.  Og det gir jo en følelse av eierskap.

Neste del i denne serien vil handle om datakriminalitet.

kristian@gille.no

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.