Keymetrics

Internet of Things och den juridiska verkligheten

Smarta hem, intelligenta returlådor , uppkopplade tandborstar  samt bilar med 120 datorer som ska synkroniseras på en och samma gång. Yes, vi skriver om det heta ämnet – Internet of Things eller sakernas internet – och den juridiska verkligheten som vi nu alla står inför.

”Trenden är tydlig. Uppkopplade saker kommunicerar i allt större utsträckning med varandra och skapar helt nya affärsmodeller och ekosystem. Det innebär till exempel att den uppkopplade bilen på sikt blir en del av ett intelligent transportsystem, vårdutrustning kommer att ingå i patientnära vårdprocesser oberoende av vårdgivare inom hälso- och sjukvård och uppkopplade hus och byggnader skapar smarta städer” (TeliaSonera, rapport om sakernas internet 2016).

För mig personligen låter det helt fantastisk och jag verkligen ser fram emot dagen då jag säger till min mobil att den ska fixa en Cappuccino och börja spela upp tionde avsnittet från tredje säsongen av Californication. Men woops! Mjölken är slut och vem är den skyldige? Kylskåpstillverkare som glömde kontakta den lokala butiken? Eller den lokala butiken som investerade i en billig applösning, som inte alltid är uppkopplad? Vem är ansvarig och hur lätt är det att utreda konflikterna?

Jag har vänt mig till juristen Sofia Gunnarsson från juristbyrån Sharp Cookie Advisors för att få svar på dessa frågor.

Sofia GunnarssonHej Sofia, tack för att vi fick ställa några frågor till dig angående IoT. Är det ens möjligt att hitta den skyldige i den uppkopplade verkligheten?

När smarta enheter blir fler och fler och samarbetar med varandra mer och mer, så blir det svårt att utreda vem som står ansvarig när en IoT-enhet är inblandad i en skada. Ett typiskt exempel är när en självkörande bil krockar på E4:an och orsakat både person och sakskada, vem ska då stå ansvarig för skadorna? Är det den slutliga biltillverkaren, leverantören som tillverkat sensorerna på bilen, mjukvaruutvecklaren vars programvara som kopplar ihop sensorerna med bilens styrsystem, eller är det internetoperatören som vars uppkoppling till karttjänster har brutits, ska stå som ansvarig? Det är dock inte omöjligt att utreda ansvaret.

Det är ju egentligen inget nytt att en skadeståndsfråga behandlar ansvarskedjor. Ett kugghjuls mekaniska samarbete med en kamrem, kan ju jämföras med ditt exempel på hur ett uppkopplat kylskåp och en butiks uppkopplade varulager, via en app, samarbetar, förutom att antalet ”samarbeten” mellan IoTs kan bli väldigt många. Företag kommer dock sannerligen i mycket stor utsträckning både på utomkontraktuell och kontraktuell grund att försöka skylla sitt ansvar på en annan IoT som det egna företagets IoT samarbetar med, eller på slutanvändarens användande. IoT-företag kommer behöva lägga ner resurser på att med hjälp av jurister i bestämma sitt ansvar, i ett ekosystem där den egna IoT:n är kompatibel med andra IoT:s. Detta kan behöva regleras i användaravtal för IoT:n, men också i samarbetsavtal med andra IoT-leverantörer.

När skada uppkommit av viss produkt på grund av säkerhetsbrist kan man i Sverige utkräva skadestånd enligt produktansvarslagen. (Hjälper dock inte i frågan med vem som slutligen hålls ansvarig).

Vilket känt svenskt fall skulle du kunna hänvisa oss till?

Internet of Things aktualiserar många olika rättsliga frågeställningar och problem, vilket vi kommer att komma in på. Om det just är ansvar vi här pratar om så finns det ingen IoT-rätt som ger svar på alla ansvarsfrågor. Analysen är skadeståndsrättslig och kontraktsrättslig och kan också inbegripa böter och ersättningar från olika speciallagstiftningar så som produktansvarslagen, PUL och lag om skydd för företagshemligheter. Därför finns det inte heller något allomfattande IoT-rättsfall som jag kan hänvisa till.

Världen är global och utvecklare eller designers håller sig ytterst sällan bara inom Sveriges gränser. Vad borde IoT-leverantörer tänka på?

IoT-leverantörer bör ha i åtanke att regleringar beträffande IoT är olika världen över. Detta ställer såklart till det för företag som vill kunna lansera sin IoT globalt. Relevant lagstiftning kan t.ex. vara personuppgiftslagstiftning, t.ex. när ett sportarmband samlar in hälsoinformation eller när kylskåpet samlar in hur mycket mjölk en privatperson konsumerar.

Här i EU kommer vi från och med våren 2018 att ha en unionsgemensam lagstiftning på just personuppgiftsområdet vilket kommer underlätta för IoT-företag som är verksamma i EU. Det kan också nämnas att rekommendationer som kommit från den amerikanske handelskommissionen FTC, har rekommendationer beträffande IoT som i mångt om mycket är i linje med den nämnda EU-lagstiftningen, med fokus på datasäkerhet, samtycke till datainsamling och minimering av insamlad data.

Vilka typer av avtal borde IoT-leverantörer veta om?

Utöver avtal som hanterar personuppgifter bör IoT-leverantörer se till att ha avtal anpassade för just deras IoT, beträffande:

  • Tillverkning av hårdvaran, tillräckliga kvalitetsgarantier, leverans i tid, ansvar för teknisk specifikation.
  • Utveckling av programvaran, samt licenshantering för de tredjeparts programvaror som behövs.
  • Kundavtal med kund och slutkund, där kundens användning av hårdvara, mjukvara, prenumerationslösningar för tjänst, insamling och ägande av data etc. regleras.
  • Molntjänstleverantörsavtal med tillräckliga säkerhets- och personuppgiftsbiträdesregleringar.

Jag är nyfiken på ägarfrågor av data. Vad borde man tänka på när det kommer till hur IoT-utvecklare får lov att dela data med varandra?

Här får vi försöka hålla isär några olika teman. Det första är vem som är ägare eller har ensamrätt till insamlad data om inte avtal skrivits. Det andra är om datan insamlats på ett acceptabelt sätt. Det tredje om ett IoT-företag får lov att dela insamlad data med andra IoT-leverantörer.

  • Först så är det viktigt att utreda vem som äger insamlad data, eller som har ensamrätt till insamlad data som jag hintade om, då ett IoT-företag har stora möjligheter att samla in data från olika enheter och använda det på flera sätt, så som t.ex. användarprofiliering och kanske direktmarknadsföring. Det är nämligen så att den insamlade informationen kan uppnå upphovsrättsligt skydd eller skydd enligt katalogskyddet i upphovsrättslagen. (Beträffande katalogskyddet för sammanställd data kan IoT-företaget åtnjuta en rad ensamrätter, så som sprida och bearbeta databasen. Men det krävs att det handlar om ett stort antal uppgifter eller att IoT-företaget har lagt ner väsentliga investeringar för att företaget ska erhålla ensamrätterna, vara ”ägare” till denna data. Kom dock ihåg att vi nu pratar om data som en katalog, som en databas, dvs inte som enskilda uppgifter.)
  • För det andra ska insamlad data ha samlats in på ett erforderligt sätt. Data kan innehålla både personuppgifter och företagshemligheter. Med utgångspunkt i svensk lagstiftning så kräver personuppgiftsbehandling för det mesta samtycke både för insamling och bearbetning. Skulle insamlad information klassas som företagshemligheter så kan den som olovligen berett sig denna dömas till bl.a. företagsspioneri.
  • För det tredje måste personuppgifter som en IoT samlat in, för att denna data ska få delas med andra IoT: s, som huvudregel ha föregåtts av att samtycke har givits beträffande just spridning till tredje man. Den som uppsåtligen eller av oaktsamhet utnyttjar eller röjer en företagshemlighet kan, dömas till skadestånd. Det är alltså väldigt viktigt att IoT-utvecklare och IoT-leverantörer ser till att avtala om hur uppgifter de samlar in får användas, i form av t.ex. personuppgiftspolicies och samarbetsavtal.

Tack Sofia för din tid!

Tidigare artiklar med Sofia Gunnarsson: Nu blir det åldersgräns i sociala medier och E- handel: Det här ska du tänka på när din lokala verksamhet blir global

På Dagensanalys.se skriver vi för alla som jobbar med digitala medier och digital marknadsföring. Vi plockar upp trender, skriver om nyheter och delar våra tips och idéer. Häng med genom att läsa Dagensanalys.se!

RELATERADE NYHEER
3 tips från Arla Foods om hur du kan arbeta effektivare med PLM