DSA-forordning på vei – Nå vil EU regulere big-tech

Neste høst ventes DSA (Digital Services Act) og DMA (Digital Markest Act), kjent som EUs digitalpakke), å falle på plass. Det blir den største lovendringen på internett siden GDPR revolusjonerte feltet i 2018. Digitalpakken kommer etter at EU-kommisjonen i årevis har forsøkt å regulere innflytelsen til «big tech» – de store teknologiske selskapene i verden. 

Har du ikke hørt om DSA eller DMA? Vel, det kommer du snart til å gjøre. Like sikkert som de fleste nå vet hva de engang kryptiske bokstavene G-D-P-R står for. GDPR, EUs forordning om digitale personvernrettigheter var første noensinne om grunnleggende borgerrettigheter. Snart kommer «del 2», forordningene om digitale tjenester og digitale markeder. Kjent som EUs digitalpakke, er dette kort forklart EUs forsøk på å temme store teknologiske selskaper. De teknologiske gigantene blir større og mektigere for hver dag. Sosiale medier har allerede 4600 millioner brukere – det er over halvparten av verdens befolkning ¾ av alle som er gamle nok. Big tech kan påvirke både presidentvalg og folkeavstemninger, og hva vi kjøper til partneren vår neste bursdag. Nå vil EU inn og sørge for at det finnes grenser, også i cyberspace. 

– I praksis skal det sørge for at det som er ulovlig offline, skal være ulovlig online, oppsummerte hun kommisjonsleder Ursula Von der Leyen da EU-kommisjonen kom med forslaget i desember 2020. Hun sa da DSA blir  «historisk og vil oppgradere grunnreglene for alle nettjenester i EU». Det skal fullføre det indre marked – også digitalt – samtidig som det gjør nettet trygt, sikrer ytringsfrihet og lager lov og orden for digitale virksomheter.

EU-parlamentet er nå enig

Europaparlamentet ble enig om innholdet 23. april i år og godkjente teksten i juli. Pakken må formelt godkjennes av EU-kommisjonen og Rådet. Det skjer antakelig høsten 2023, og så er pakken ventet å tre i kraft 1. januar 2024. 

– Digitalpakken er EØS-relevant, så Norge kommer ganske sikkert til å innlemme dette i lov, men datoen er ukjent, sier Arve Føyen, advokat med spesialisering på digital rett. 

– DSA blir nok advokatmat. Det er ingen tvil om at både advokater, bedrifter og forvaltningen får mye å gjøre med dette i årene som kommer slik man raskt fikk med GDPR i sin tid, sier Føyen, som allerede merker interessen øke kraftig. 

Også i Brussel er interessen høyt, ikke minst fra big tech selv. Washington-lobbyistene er kommet til Brussel og det har vakt debatt, fordi de bruker grep, mener kritikerne, som europeiske aktører har skydd unna. Det gjelder  spesielt bruken av «revolving doors»: å hyre politikere og byråkrater.

– Halvparten av alle som lobber for Google i Brussel, har selv vært ansatt i EU-organene før. Og Apple, som har flere store konkurransesaker gående i EU-kommisjonen, har i praksis kjøpt opp og selv ansatt mange av de beste hodene som saksøkte dem. Det er blitt en «battle of minds», sier EU-parlamentarikeren Daniel Freund fra tyske De Grønne, som har lobbyisme i Brussel som sin hovedvalgsak. 

– DSA blir nok advokatmat. Det er ingen tvil om at både advokater, bedrifter og forvaltningen får mye å gjøre med dette i årene som kommer slik man raskt fikk med GDPR

Arve Føyen

Må åpne algoritmene 

Så hva er det forordningene sikter på? Utkastet på bordet pålegger plattformene å dele mer data med myndigheter og andre selskaper. DSA vil med dette bekjempe desinformasjon og polarisering, for eksempel muligheten som ekstremistiske grupper har til å la Facebook spre budskapet sitt. 

Forordningen definerer også hvem som er ansvarlig for ulovlig innhold og sørger for at også plattformene kan bøtelegges for ikke å fjerne ulovlig innhold raskt nok. Ikke minst krever EU at plattformene viser frem mer av sin bevarte hemmelighet: algoritmene, som påvirker oppførselen vår. Bedrifter vil måtte sende inn en årlig rapport om sitt modereringsarbeid, brukere vil bli informert om innholdet deres fjernes, og det vil finnes et nytt varslervern for «betrodde varslere», national digital coordinators, som har som oppgave å følge mer med enn andre (men spørsmålet gjenstår hvilke organer og bedrifter som får status som varslere og informanter, og dermed makt til å påvirke internetts innhold. I Norge er det flere kandidater).

Mindre manipulering

Et annet grunnleggende hovedpoeng i EUs digitalpakke er det nye forbudet mot skadelig praksis, det vil si manipulering, reklame rettet mot barn og bruk av spesielt sensitive personopplysninger, som etnisitet, politisk eller seksuell legning. Målet er også å gjøre onlinehandel tryggere gjennom plikt til å spore produkter. 

De store selskapene er ikke i dag ansvarlige for innholdet på plattformene sine, og de får heller ikke «redaksjonsansvar», men de må fjerne personene som sprer ulovlig innhold og rapportere eventuelle klager som er inngitt mot dem. De har en oppgave med å moderere innholdet sitt. I tillegg forventes det at selskapene gjør en risikovurdering for å unngå konflikter. De må rapportere om hvordan de bekjemper feilinformasjon, nettvold mot kvinner og barn, og altså utnevne interne og eksterne varslere for å nå de nye målene.

– De store plattformene som reguleres av direktivet, blir ikke nødt til å føre løpende kontroll med alt innhold, men blir nødt til å være mer proaktive, sier Arve Føyen.  

Vi går nå fra ansvar til regulering. En viktig nyvinning er «the good samaritan clause»

Sebastian Felix Schwemer

En viktig videreutvikling av gamle prinsipper

DSA og DMA er forordninger, det vil si at de forventes innført i medlemslandenes lov «ord for ord» – antakelig også i Norge, selv om det finnes noen få unntaksklausuler. Det gjenstår å se om Norge bruker noen av dem, men uansett er det dagens E-handelslov forordningen vil erstatte – eller endre. Førsteamanuensis II ved Institutt for privatrett på Det juridiske fakultet i Oslo, Sebastian Felix Schwemer (og også ved Centre for Information and Innovation Law i Universitet I Copenhaguen), var involvert i forarbeid til tekstene i 2019. Schwemer mener DSA blir en milepæl og en viktig utvikling av dagens lov, som bygger på et EU-direktiv fra 2000, «e-Commerce Directive», som ble til den norske loven om elektronisk kommunikasjon (ekomloven) av 2003. 

– Ehandelsdirektivet er gammelt og regulerte de digitale tjenestene, men ikke hva brukerne gjør på disse tjenestene, sier Schwemer. 

Hovedprinsippet i lovgivningen til nå har vært som følger: Store plattformer (som Facebook) er ikke ansvarlig for det som deles hos dem, med mindre det er noe ulovlig, og når det blir gjort oppmerksom på det ulovlige, må de fjerne innholdet. [

– DSA handler om hvordan vi som samfunn ønsker oss internett regulert. Vi går nå fra ansvar til regulering, sier han. 

Samartinaklausulen

En viktig nyvinning i DSA er det som Schwemer kaller «the good samaritan clause» - etter mannen i Bibelen som hjalp sin neste, selv om han var en fremmed. I reguleringen av internett betyr det at digitale tjenester, herunder plattformer, ikke mister deres ansvarsfritak bare fordi de frivillig fjerner ulovlig innhold for eksempel ved at bruge algoritmer. Men det styrker den private regulering av internettaktører og derfor er det viktig å balansere motstridende interesser.

Det blir også større krav til hva som ligger i «terms and conditions». Mange leser jo ikke disse i dag.

– Selskapene må offentliggjøre opplysninger om hva de gjør. De nye reglene vil gi brukerne mer sikkerhet fordi det blir lettere å klage, både i en bedrift og på institusjoner, og både for ulovlig innhold og for eliminering av eget innhold, sier Schwemer.

Ytringsfriheten skal også leve

Hensynet til å slå ned ulovlig informasjon må veies opp mot retten til og fordelene med ytringsfrihet og DSA regulerer ikke såkalte «fake news». DSA definerer ikke hva som er ulovlig, dette er opp til hvert enkelt land. 

– Som utgangspunkt fokuserer DSA på ulovlig informasjon. Men noe kan jo være «lawful but awful». Tiden vil vise om DSA inneholder tilstrekkelige mekanismer for å beskytte rettigheters som ytringsfriheten når innholdet skal modereres, sier Schwemer.

Det kan skape problemer at EU har ikke avklart hva som er «ulovlig informasjon eller misinformasjon».

Et annet spørsmål er hvilken plattformer som reguleres. Plattformer som Facebook, Twitter og TikTok skal være regulert under DSA, men ikke Spotify eller Netflix. Dette er fordi DSA regulerer «hosting», det som brukerne laster opp. Spotify eller Netflix har eget innhold. Dette kan endres.

– DSA kan bli en nspirasjon for lover også på andre områder, sier forskeren.

Som utgangspunkt fokuserer DSA på ulovlig informasjon. Men noe kan jo være «lawful but awful»

Sebastian Felix Schwemer

Mer av samme personvern som før

Hvordan påvirker de nye forordningene personvernet? Kun indirekte. Føyen og Schwemer minner om at DSA ikke er et personvernsverktøy, men samtidig setter det jo grenser for aktørene, noe som betyr mye for personvernet. 

Sjef for internasjonal seksjon i Datatilsynet, Tobias Judin, ser positivt på  DSA når det gjelder databeskyttelse. 

– DSA inneholder noen bestemmelser som kanskje kan gå litt lenger enn GDPR, sier han. 

Han nevner da krav til mer informasjon om markedsføring på nett, for eksempel hvilke kriterier som har blitt brukt for å avgjøre hvem som får opp en annonse, krav til å dele informasjon om anbefalingssystemer, altså algoritmene som bestemmer hvilket innhold du blir presentert for, forbud mot manipulerende eller villedende design som påvirker brukernes valgfrihet (ofte omtalt som «dark patterns»), forbud mot reklame rettet mot barn og markedsføring basert på profilering ut fra særlige kategorier om personopplysninger, som for eksempel helse, religion, legning eller politisk ståsted. 

– Disse tingene er langt på vei er regulert av GDPR med samme resultat. Derfor er kanskje den største nyvinningen at disse reglene er mye klarere og levner mindre rom for tolkningstvil, sier Judin. 

Ikke minst kan bøtene bli mye større. De største bøtene for brudd på  GDPR er 20 millioner euro eller 4 prosent av global omsetning. DSA har en maksgrense på 6 prosent av global omsetning. 

– Gebyrene kan potensielt bli enda høyere med det nye regelverket», sier Judin.

De største bøtene for brudd på  GDPR er 20 millioner euro eller 4 prosent av global omsetning. DSA har en maksgrense på 6 prosent av global omsetning. 

Hvordan implementeres DSA i Norge 

Det er ikke avklart om Datatilsynet blir organet som forvalter DSA i Norge ennå. 

DSA er, som Føyen forklarer, en forordning, og må innføres som lov, og det kan ta mer tid. Det store spørsmålet er hvem som skal håndheve alle disse tiltakene. Europakommisjonen har selv opprettet et European Board of Digital Services for å overvåke. Men det er ikke avklart hvem som skal ilegge bøtene og hva som skjer hvis hvis de ikke blir betalt, spesielt av selskaper som bare har en postkasse i Europa og hovedkontor i USA. Vi stilte det samme spørsmålet i Grindr saken, som pågår nå. DSA legger opp til at EU-kommisjonen vil ha en håndhevingsrolle for de største plattformene og søkemotorene. EU-kommisjonen har ingen myndighet i de tre EFTA-EØS-landene Norge, Island og Liechtenstein, og må derfor finne en mekanisme som fungerer for disse tre landene før regelverket kan bli norsk lov.  Schwemer synes Datatilsynet kan være riktig institusjon hvis det bare er spørsmål om personvern. 

– Men DSA er mye mer enn personvern. Det handler også ytringsfrihetsspørsmål. 

Foreløpig er det ikke avgjort hvilken eller hvilke organer som vil håndheve DSA i Norge. Departementene vil trolig ta stilling til dette til høsten etter dialog med relevante organer. Aktuelle kandidater er henholdsvis Forbrukerrådet, NKOM og Datatilsynet – men det er ikke utenkelig at man lager nye organer heller. 

Norsk debatt: DSA i «verdens beste demokrati».

Teknologirådet arrangerte før sommeren et digitalt møte mellom flere aktører med ulike meninger om dette nye lovverket: Kjersti Løken Stavrum, leder av Ytringsfrihetskommisjonen som leverer sin rapport i august, Finn Myrstad, fagdirektør i Forbrukerrådet og en panelsamtale med politiske representanter.

Stavrum er skeptisk til digitalpakkene. 

–  «Be carefull what you wish for», sier hun. Hun sier Norge muligens er «det beste demokratiet i verden» på ytringsfrihet, og de nye endringene er kanskje ikke til det bedre i Norge. 

– Hvis vi skal gjøre endringer er det ikke sikkert det er best å gjøre det sammen. Vi er ikke en del av EU og de har problemer som vi ikke har. Vi må videreutvikle på våre premisser, mener lederen av Ytringsfrihetskommisjonen. 

– Det er ikke sikkert at vi alle forstår respekten for media og ytringsfriheten på samme måte. Disse store selskapene kommer til å bli kontrollert av EU-kommisjonen – hvis Norge vil kontrollere det, må det gjøres gjennom kommisjonen, og vi vet at det ikke fungerer effektivt fordi Irland ikke er interessert. Bør vi da samarbeide? sa Stavrum.

«Be carefull what you wish for»

Kjersti Løken Stavrum,

En annen uklarhet er hvem som er «Big Tech». Med den nye modellen vil nettbutikken Zalando, som ikke har like mange brukere som et sosialt medium, men mye makt, ikke telle som big tech. Likevel ønsket hun velkommen at de store selskapene skulle pålegges krav om mer  åpne om algoritmer og hvordan de fungerer.

«Håndhevelse, håndhevelse, håndhevelse»

Finn Myrstad, fagdirektør i Forbrukerrådet, er mer optimistisk og tenker på DSA som et «halvfullt» glass, ikke halvtomt. Det blir mer konkurranse, mer kontroll, flere krav til de store selskapene og bedre tilsyn, men «det er ikke klart hvordan det ender opp. Vi må ha fokus på håndhevelse. Vi har et forbrukerstilsyn».

– Det hjelper ikke med nye regler hvis vi ikke kan håndheve. Se på Grindr-saken

Finn Myrstad

Forbrukerrådet er en instans som kan ende opp med å håndheve DMA, som er en konkurranserettslig forordning. Det skal for eksempel bli umulig for Apple og Google å utelukke andre betalingsløsninger enn sine egne Apple Pay og Google Pay, og slike bestemmelser. 

– Dette vil gi rom for mindre leverandører, og i praksis betyr det jo europeiske aktører, sier Føyen om dette. 

Myrstad ønsket blant annet beskyttelsen av barn velkommen og sa «er det bra for barn, er det også bra for andre» – og at dette også kan forsvare voksne forbrukere. Stikkordet for å sikre markedsføringen på nett, sa han, er «Håndhevelse, Håndhevelse, Håndhevelse. 

– Det hjelper ikke med nye regler hvis vi ikke kan håndheve. Se på Grindr-saken, sa han.

Grindr-saken har Føyen fulgt tett og undervist om på Juristenes Utdanningssenter. 

Når må aktører i Norge begynne å tenke på dette?

– Jeg ville sittet på gjerdet til forordningen er endelig vedtatt, og det gjenstår flere høringsrunder. Men det kan være klokt å begynne å sette seg inn i dette allerede nå. Søk på debatten som har vært, les regjeringens ressurser på DSA og DMA, følge med høringsnotatene – og så ta det derfra. Men først og fremst er dette det beste rådet til jurister som for alle nye rettskilder: Begynn å lese selve lovteksten, sier Føyen. 

Serien er finansiert av Fritt Ord, med utgangspunkt i endringer i personvernet etter koronakrisen.

Les mer om DSA

• Regjeringens side om DSA

• Regjeringens side om DMA

• Ytringsfrihetskommisjonens rapport (2022) om DSA og DMA (s 138-142)

• EUs side om DSA

Les mer om personvern på Juridika:

Bøker:

• Lovkommentar til personopplysningsloven og GDPR

• av Jon Svergdrup Efjestad og Camilla Selman

• , 2. utg., Ingvild Bruce og Geir Sunde Haugland

• 

  Fagbøker om personvern.

Innsikt-saker:

• Grindr risikerer tidenes GDPR-gebyr | Juridika

• Kan personvernet overleve koronakrisen?

• Personvern og det norske korona-sertifikatet

• Smittestopp ble smitteflopp

• Består EUs personvernforordning (GDPR) koronatesten?

• GDPR blir advokatmat i årevis

(Podkast-episoder: