Luckor i lagen för äganderätt och kontroll av data

Digi­ta­li­se­ring­en som sve­per fram genom sam­häl­let har knap­past und­gått någon. Begrepp som AI, Inter­net of Things, Big Data och så vida­re hörs allt ofta­re i allt fler sam­man­hang. Som en följd av tek­nik­ut­veck­ling­en har dess­utom mäng­den data som pro­du­ce­ras ökat expo­nen­ti­ellt. Sam­ti­digt har öka­de möj­lig­he­ter att sam­la och explo­a­te­ra data ska­pat nya affärsmo­del­ler, vil­ket gjort data till en i många fall vär­de­full tillgång.

Men vem äger egent­li­gen datan? Det­ta är inte en helt lätt frå­ga att besva­ra och för när­va­ran­de finns det ing­en spe­ci­fik svensk lag­stift­ning eller EU-lag­stift­ning som regle­rar frå­gan. Det ute­slu­ter dock inte att det finns annan lag­stift­ning som har bety­del­se för hur kon­troll sna­ra­re än ägan­de­rätt över data kan uppnås.

Upphovsrättslagstiftningens möjligheter till kontroll

Som tidi­ga­re nämnt finns det ing­en spe­ci­fik lag­stift­ning utan rät­ten, eller sna­ra­re möj­lig­he­ten, till kon­troll över data får sökas i annan lag­stift­ning som exem­pel­vis upp­hovs­rättsla­gen, lagen om skydd för före­tags­hem­lig­he­ter och Data­skydds­för­ord­ning­en (GDPR).

Upp­hovs­rättsla­gen har begrän­sad räck­vidd avse­en­de rät­ten till kon­troll över data. För­ut­satt att datan som sam­man­ställs uppnår en till­räck­lig grad av ori­gi­na­li­tet genom mänsk­lig kre­a­ti­vi­tet kan ett visst skydd upp­nås för den form i vil­ken den kom­mit till uttryck. Det inne­bär till exem­pel att ett doku­ment upp­rät­tat av en per­son i ett före­tag kan kom­ma att erhål­la upp­hovs­rätts­ligt skydd.

Emel­ler­tid är skyd­det av begrän­sad nyt­ta i det­ta sam­man­hang av ett antal skäl. Dels eftersom det som skyd­das är den kon­kre­ta for­men av den sam­man­ställ­da datan och inte datan i sig. Det inne­bär i teo­rin att en annan aktör kan utnytt­ja eller erhål­la skydd för sam­ma data om den uttrycks i en annan ori­gi­nell form.

Ett annat skäl som stäl­ler upp­hovs­rät­tens prak­tis­ka nyt­ta på sin spets är att de sto­ra voly­mer av data som han­te­ras idag i regel över­sti­ger mänsk­lig för­må­ga. Det leder in oss på områ­det masking­e­ne­re­rad data, såsom exem­pel­vis data gene­re­rad genom maski­nin­lär­ning och arti­fi­ci­ell intelligens.

Dessvär­re erbju­der upp­hovs­rättsla­gen ing­en möj­lig­het att upp­nå ett skydd för data gene­re­rad på des­sa sätt eftersom lagen före­skri­ver att en män­ni­ska ger upp­hov till verket.

Där­e­mot erbju­der lagen ett upp­hovs­rätts­ligt skydd för data­ba­ser som i vis­sa fall kan vara av nyt­ta. Det är dock inte hel­ler här själ­va infor­ma­tio­nen i data­ba­sen som skyd­das utan sam­man­ställ­ning­en av datan, det vill säga inve­ste­ring­en i form av tid och kost­nad att sam­man­stäl­la denna.

Det kan följakt­li­gen kon­sta­te­ras att upp­hovs­rättsla­gen ger begrän­sa­de möj­lig­he­ter att kon­trol­le­ra data.

Kontroll av data som företagshemlighet

Data kan även upp­nå ett indi­rekt skydd genom att han­te­ras som en före­tags­hem­lig­het. Lagen om före­tags­hem­lig­he­ter är likt upp­hovs­rättsla­gen inte ursprung­li­gen ska­pad för att skyd­da ägan­de­rätt till data utan främst ska­pad för att för­hind­ra att obe­hö­ri­ga röjer käns­lig infor­ma­tion. Effek­ten av lagen är att ett egen­doms­lik­nan­de skydd upp­står för infor­ma­tion om vis­sa för­ut­sätt­ning­ar uppfylls.

De för­ut­sätt­ning­ar som skall upp­fyl­las är att infor­ma­tio­nen avser affärs- eller drift­för­hål­lan­den, att den finns hos före­ta­get i dess rörel­se, att den hålls hem­lig och att själ­va röjan­det är ägnat att med­fö­ra ska­da i kon­kur­rens­hän­se­en­de. Vik­tigt att poäng­te­ra är att lagen för­ut­sät­ter att datan hålls hem­lig vil­ket kan upp­nås genom till exem­pel lösenords­skydd eller and­ra tek­nis­ka spär­rar. I prin­cip kan datan som gene­re­ras inom ramen för en rörel­se där­för i prin­cip utgö­ra företagshemlighet.

Kra­ven på hem­lig­hål­lan­de och att infor­ma­tio­nen ska vara före­tags­spe­ci­fik gör emel­ler­tid lagen om före­tags­hem­lig­he­ter till ett trub­bigt verk­tyg i för­hål­lan­de till data som före­kom­mer i kom­mer­si­el­la sam­man­hang. Många gång­er är fle­ra aktö­rer inblan­da­de, som till exem­pel vid insam­ling och ska­pan­de av data. Där­för bör det ofta råda oklar­het till vem före­tags­hem­lig­he­ten (datan) till­hör, men det inne­bär ock­så utma­ning­ar kring kra­vet på hemlighållande.

Nya regler på EU-nivå

Den nyli­gen inför­da GDPR regle­rar inte ägan­de av data. För­ord­ning­en syf­tar istäl­let till att skyd­da indi­vi­dens per­son­li­ga integri­tet i för­hål­lan­de till per­son­upp­gif­ter (med vil­ket avses alla upp­gif­ter som direkt eller indi­rekt kan kopp­las till en levan­de indi­vid). Genom rät­ten att begä­ra ut och över­fö­ra data om sig själv, så kal­lad data-por­ta­bi­li­tet, som GDPR före­skri­ver upp­står emel­ler­tid en ägan­de­rätts­lik­nan­de funk­tion för indi­vi­den. Exem­pel­vis har indi­vi­den möj­lig­het att begä­ra ut en kopia av lag­rad infor­ma­tion om sig själv i maskin­läs­bar ver­sion och över­läm­na den till en annan orga­ni­sa­tion. Det kan poten­ti­ellt bli något som före­tag är vil­li­ga att beta­la för i framtiden.

Utö­ver GDPR, och snart E‑privacy för­ord­ning­ens infö­ran­de (läs vår arti­kel pub­li­ce­rad i Knt­nt Maga­sin den 25 sep­tem­ber), är intres­set för digi­ta­li­se­ring­en på EU-nivå omfat­tan­de. Bland annat har Euro­pe­is­ka Kom­mis­sio­nen lan­se­rat ”Digi­tal Sing­le Mar­ket stra­te­gy”. Inom ramen för det­ta stra­te­gi­ar­be­te har man iden­ti­fi­e­rat att ett regel­verk sak­nas för han­te­ring av rät­ten till data, även om inte ägan­de­rät­ten till data iden­ti­fi­e­rats som ett pro­blem för berör­da aktö­rer. Istäl­let är det främst till­gång­en till och åter­an­vänd­ning­en av data som upp­fat­tas som hin­der.[1]

Kontroll över data genom avtal

Det sätt som före­tag van­ligt­vis tilläm­par för att säker­stäl­la kon­troll eller till­gång till data före­fal­ler vara att träf­fa avtal. Avtals­vä­gen har fle­ra för­de­lar. Under för­ut­sätt­ning att ett avtals­upp­lägg inte bry­ter mot någon tving­an­de lag så är avtals­fri­he­ten gene­rellt stor. Det ger en flex­i­bi­li­tet vil­ket är sär­skilt lämp­ligt på områ­det data som är i så snabb utveck­ling, både tek­no­lo­giskt och oli­ka typer av affärsmodeller.

Att kon­stru­e­ra ett genom­tänkt avtal krä­ver lik­väl en ana­lys på fle­ra områ­den så som att iden­ti­fi­e­ra rele­van­ta par­ter, vad som skall till­han­da­hål­las samt vad för slags data som skall sam­las in och hur den ska använ­das med mera. Exem­pel­vis kan slu­tan­vän­da­ren av en pro­dukt eller tjänst bidra med data, vil­ket inne­bär att par­ter i fle­ra led kan behö­va regle­ra till­gäng­lig­het och kon­troll över datan. Om per­son­upp­gif­ter behand­las mås­te även GDPR beaktas.

Kontroll för långsiktigt värdeskapande

I dags­lä­get finns det såle­des ing­en spe­ci­fik lag­stift­ning som regle­rar ägan­de­rät­ten till data. Istäl­let för ägan­de av datan tycks det sna­ra­re hand­la om att för­sö­ka skaf­fa sig kon­troll över data. Befint­lig lag­stift­ning erbju­der viss möj­lig­het till kon­troll, men är sam­ti­digt något trub­bi­ga verktyg.

Sam­man­fatt­nings­vis talar myc­ket för att det är avtal som är vägen fram­åt då ing­en spe­ci­fik lag­stift­ning på områ­det ser ut att vara på gång i när­tid och exi­ste­ran­de regel­verk bär på utma­ning­ar. Intres­sant att note­ra är att anta­let tvis­ter på områ­det hitin­tills varit lågt, vil­ket kan vara ett tec­ken på att avtal eller and­ra sam­för­stånds­lös­ning­ar är ett i prak­ti­ken fun­ge­ran­de verktyg.

[1] Euro­pe­an Com­mis­sion, Study on emer­ging issues of data owners­hip, inte­ro­pe­ra­bi­li­ty, (re-)usability and access to data, and lia­bi­li­ty, Euro­pe­an Com­mis­sion, 25 April 2018