Tech Review 2023 – AI, Sociala medier och Dataskydd
Gott nytt tech-år! Här listar Delphis Tech & IP-jurister de viktigaste händelserna inom tech-världen under 2023.
AI
Årets stora snackis, efter möjligen Taylor Swift, är kommersiell generativ AI. Med OpenAI:s ChatGPT i spetsen, har AI:s förmåga att interagera och skapa text förändrat hur vi ser på världen. EU:s AI-förordning med syfte att tillförsäkra säker och etisk utveckling för användningen av AI, väntas antas vid årsskiftet och träda i kraft under 2024. Inom ramen för förordningen tillämpas ett riskbaserat nivåsystem där viss användning är helt förbjuden, viss användning är behäftad med strikta krav och övrig användning kräver att transparenskrav efterföljs.
Immateriella rättigheter är en central fråga i det juridiska landskapet som omgärdar AI. Konflikter har uppstått både på input- och output-sidan, där användningen av upphovsrättsskyddat material för AI-träning och rättigheterna till AI-genererade alster står i fokus. OpenAI har även hamnat i hetluften för påstådda brister i sitt dataskydd och personuppgiftsbehandling. Dessutom finns ett fall där en amerikansk advokat använt sig av AI för att skriva sitt slutanförande med konsekvensen att felaktig information presenterades i fallet.
- Tillgängliggörandet av LLM-modeller till allmänheten har förändrat samhället.
- EU:s AI-förordning är överenskommen och väntar på slutgiltig bekräftelse.
- Frågor kring immaterialrätt, transparens och dataskydd har varit de mest framträdande juridiska frågorna inom AI-sfären.
E-handel och marknadsföring
Årets mest intressanta avgörande på E-handelsområdet kom mitt i sommarvärmen. I Winefindermålet fann Högsta domstolen att danska Winefinders onlineförsäljning av alkoholhaltiga drycker till svenska konsumenter inte stod i strid med alkohollagen. Till följd av målet har en diskussion om det svenska alkoholmonopolet blossat upp.
Nya konsumenträttsliga regler infördes under hösten 2022. En av dessa var den så kallade 30-dagasregeln, enligt vilken det tidigare priset för en vara ska uppges i samband med en prissänkning. Det tidigare priset ska vara det lägsta priset som tillämpats under de senaste 30 dagarna före prissänkningen. I december meddelade Konsumentverket att man inleder 70 tillsynsärenden mot företag som inte har efterlevt 30-dagarsregeln.
De senaste åren har bristande reklamidentifiering i samband med influencer marketing uppmärksammats. Det hela drogs till sin spets när såväl bolaget Clean Eating, vars produkter marknadsfördes, som influencern Katrin Zytomierska, som marknadsförde produkterna, dömdes till att utge höga vitesbelopp.
- Winefinder fick rätt mot Systembolaget – deras distansförsäljning strider inte mot alkoholmonopolet.
- 70 svenska företag lever inte upp till reglerna som infördes under förra året för att motverka prisfusk.
- Att inte tillräckligt reklamidentifiera inlägg i sociala medier kan bli dyrt. Clean Eating och Katrin Zytomierska åkte på miljonbelopp.
Dataskydd och personuppgifter
Högsta förvaltningsdomstolen har i två fall prövat frågan om enskilda kan överklaga Integritetsskyddsmyndighetens (IMY) beslut. Enligt GDPR ska varje fysisk eller juridisk person ha rätt till ett effektivt rättsmedel mot ett rättsligt bindande beslut som meddelats av en tillsynsmyndighet och som rör dem. HFD ansåg i båda fallen att beslut som innebär att IMY fattar beslut i annan riktning än den klagande begärde, ska förstås som ett rättsligt bindande beslut.
För att få överföra personuppgifter till länder utanför EU krävs enligt GDPR att landet innehar så kallad adekvat skyddsnivå alternativt att lämpliga skyddsåtgärder, som bindande företagsbestämmelser eller standardklausuler, har vidtagits. Under 2023 har USA genom Data Privacy Framework (DPF) uppnått adekvat skyddsnivå, vilket innebär att personuppgifter från EU får överföras till amerikanska bolag som har anslutit sig till ramverket och uppfyller kraven enligt överenskommelsen.
IMY har också varit på hugget vad gäller företag som inte efterlever GDPR. Företag som H&M, Spotify, Trygg-Hansa, Bonnier och offentliga organ har alla fått sanktionsavgifter för att ha misslyckats med att skydda personuppgifter i tillräckligt hög grad.
- Enskilda får överklaga beslut som fattats av IMY.
- Data Privacy Framework har gjort det lättare och säkrare att överföra personuppgifter till USA.
- Det riskbaserade förhållningssättet som präglar GDPR har fått genomslag i IMY:s beslut om sanktioner mot svenska företag.
Sociala medier
Mot bakgrund av den starka ställning och inflytande som vissa plattformar har på den digitala marknaden, antogs Digital Markets Act (DMA) under 2022. I höstas meddelade EU-kommissionen att sex företag är att betrakta som så kallade grindvakter enligt DMA: Alphabet, Amazon, Apple, ByteDance, Meta och Microsoft. Även ansvar för innehållet på sociala medier har blivit föremål för EU-rättslig reglering, genom Digital Services Act (DSA). I april 2023 utsåg kommissionen de första 19 aktörerna som ansågs vara ”mycket stora onlineplattformar” respektive ”mycket stora onlinesökmotorer”. DSA ställer bland annat krav på innehållsmoderering samt skydd mot olagligt innehåll och så kallade dark patterns.
X, tidigare Twitter, är den första plattformen som formellt ska prövas under DSA. Beslutet att inleda ett förfarande mot X grundar sig i den mängd desinformation om Hamas attack mot Israel den 7 oktober som spridits på plattformen. Nu i december utsågs ytterligare tre plattformar till ”mycket stora onlineplattformar”. Tre pornografiska webbsidor blir nu också skyldiga att efterleva reglerna om att skydda användare från illegalt innehåll. I december lanserades också Metas X-utmanare Threads för europeiska användare. Fördröjningen har berott på de krav som ställs i europeisk datalagstiftning, bland annat DSA.
- EU-kommissionen har i år meddelat vilka aktörer som träffas av DMA respektive DSA.
- Fler plattformar lär tillkomma på listan för DMA – iMessage och Bing är under utredning.
- DSA har redan fått effekt – desinformation på plattformen X om Hamas terrorattack den 7 oktober prövas nu av kommissionen.
Cybersäkerhet
Under 2023 har EU antagit och implementerat två betydande regelverk inom cybersäkerhetsområdet, The Network and Information Security Directive 2 (NIS2) och Digital Operational Resilience Act (DORA).
NIS2 är ett EU-direktiv som uppställer krav på informationssäkerhet och incidentrapportering för leverantörer av samhällsviktiga tjänster. Leverantörerna klassificeras som antingen väsentliga eller viktiga entiteter. NIS2 omfattar även vissa leverantörer av digitala tjänster, som tillhandahållare av marknadsplatser online, sökmotorer och sociala medieplattformar. Målet med NIS2 är att entiteter inom EU ska uppnå en enhetlig cybersäkerhetsnivå med krav på kontroll över leverantörskedjor och tungt ansvar för implementering av detta för beslutsfattare inom organisationer. NIS2 antogs 28 november 2022 och tillämpas från 18 oktober 2024.
DORA-förordningen är ämnad att hantera digitala risker inom finanssektorn. Detta nya regelverk innebär en förändring i synsättet på riskhantering, där man utökar perspektivet från att tidigare bara fokusera på företagens ekonomiska status till att även inkludera deras förmåga att upprätthålla drift och motståndskraft mot diverse incidenter. Regelverket omfattar finansiella företag och leverantörer av informations-, kommunikations- och teknik-tjänster och kommer ställa krav på banker, värdepappersföretag, försäkringbolag och andra aktörer och underleverantörer på finansmarknaden. DORA antogs den 16 januari 2023 och tillämpas från 16 januari 2025.
- EU har som ett led i sin digitala strategi förhöjt fokus på cyberssäkerhet till följd av den ökade digitalisering vilket lett till högre systemrisker.
- Lagstiftningsakter som NIS2 och DORA har antagits och börjat implementeras.
Tech-året 2024
Slutligen några korta spaningar inför nästkommande år:
- Vi tror att AI-hypen följer med oss in i 2024, men med mer fokus på frågor om integritet och makt. Frågor rörande desinformation, etisk AI och utveckling av avancerade AI-system kommer sannolikt diskuteras flitigt. Rättsfall kring AI-systems intrång i upphovsrätter som påbörjats i USA, som stämningen av det amerikanska författarförbundet samt New York Times mot OpenAI, förväntas avgöras och vi kommer se de första effekterna av AI-förordningen.
- Vi har redan sett hur DSA och DMA fått effekt. Fortsatta diskussioner om vilka plattformar som ska anses stora och dominerande nog för att omfattas av de striktare kraven lär vänta runt hörnet.
- De senaste åren har flera tunga EU-lagstiftningspaket släppts på techområdet. Sannolikt lär snart konsoliderade versioner av rättsakterna lanseras, för att underlätta förståelsen för hur allt hänger ihop.