I dette nyhetsbrevet for mai gir CMS Kluges eksperter innen IP, IT, teknologi og GDPR en oversikt over viktige nyheter og sentrale temaer innen immaterialrett, IT/teknologi og medierett.
Patent
EUs enhetspatentordning og felles patentdomstol blir operative den 1. juni 2023
Det har i lang tid blitt jobbet med å etablere et system for å kunne meddele patenter for hele EU-territoriet under ett, og for å etablere et felles europeisk tvisteløsningssystem i patentsaker. 25 EU-land sluttet seg i 2012 til forordning (EU) 1257/2012 om enhetspatenter, og forordning (EU) nr. 1257/2012 om krav til oversettelser. Det ble i 2013 inngått en avtale om etablering av en felles domstol for europeiske patenter – Unified Patent Court (UPC). Enhetspatentordningen vil først bli operativ når UPC-avtalen trer i kraft. Som følge av tysk ratifikasjon av UPC-avtalen i februar 2023, blir nå både enhetspatentordningen og UPC operative 1. juni 2023.
Enhetspatent vil gjøre det mulig å oppnå patentbeskyttelse innenfor alle EU-landene som er med i ordningen ved å sende inn én enkelt søknad til det Europeiske Patentkontoret (EPO). EPO vil deretter være en «one-stop shop» for innvilgede enhetspatenter. Dette innebærer både en betydelig forenkling og kostnadsbesparelser for patentsøkere. EPO beskriver selv enhetspatentreformen som “the single most important reform in the history of the European patent system since its creation in 1973”.
I dag kan patentsøkere både oppnå patentbeskyttelse i EU ved å søke om nasjonal patentering og ved å søke om et europeisk patent til EPO. Frem til innføringen av enhetspatentsystemet har det imidlertid vært nødvendig å validere og vedlikeholde innvilgede europeiske patenter individuelt i hvert land hvor patentet er meddelt. Dette innebærer betydelig arbeid og kostnader til vedlikehold av europeiske patenter, som vil kunne unngås ved enhetspatent.
Ved innføringen av enhetspatentet vil systemet for europeiske patenter bli todelt. Verken søknadssystemet for europeiske patenter eller vilkårene for meddelelse av patent endres, og søknad skal fortsatt sendes til EPO. Etter meddelelse av et europeisk patent, kan patenthaver enten (i) som tidligere, innen tre måneder validere patentet i de landene patenthaver ønsker, eller (ii) innen én måned kreve enhetseffekt for patentet i alle land som på det tidspunktet deltar i ordningen, slik at patentet vil gjelde i alle disse landene.
Per dags dato har 17 EU-land ratifisert UPC-avtalen og deltar dermed i enhetspatentordningen. Dette gjelder Belgia, Bulgaria, Danmark, Estland, Finland, Frankrike, Italia, Latvia, Litauen, Luxembourg, Malta, Nederland, Portugal, Slovenia, Sverige, Tyskland og Østerrike. Norge kan som EØS-stat ikke delta i enhetspatentordningen, men ordningen vil stå åpen for norske virksomheter som vil kunne søke om og inneha enhetspatenter. Dette gir en mulighet for enklere og billigere patentering i de 17 EU-landene som i dag deltar i fellespatentordningen.
UPC vil ha myndighet i alle de 17 landene som er omfattet av ordningen, og vil ha eksklusiv jurisdiksjon i relasjon til enhetspatenter, så vel som «klassiske» europeiske patenter (uten enhetsvirkning). Både spørsmål om inngrep og gyldighet av slike patenter vil høre under UPC. Det gjelder imidlertid en overgangsperiode på 7 år hvor saker vedrørende «klassiske» europeiske patenter fortsatt kan bringes inn for nasjonale domstoler, og det vil også være mulig for individuelle patenthavere å trekke sine europeiske patenter fra UPCs eksklusive jurisdiksjon. UPC vil bestå av en førsteinstans med hovedsete i Paris, og en ankedomstol i Luxembourg.
Opphavsrett
Lagmannsrettens dom i den såkalte Harry Potter-saken
Saken gjaldt hvorvidt markedsføringen og gjennomføringen av en konsertrekke der filmusikken til Harry Potter ble spilt, representerte immaterialrettskrenkelser.
Warner Bros Entertainment Inc. (Warner Bros) er innehaveren av immaterialrettighetene knyttet til Harry Potter-universet, herunder varemerket Harry Potter, og opphavsrettighetene til filmusikken. Selskapet Star Entertainment Gmbh. (Star) har arrangert flere konserter i Norge med filmusikk fra Harry Potter-filmene, kalt «The Magical Music of Harry Potter – live in concert». I Norge er det TONO som forvalter opphavsrettigheter til musikkverk, og som gir lisens til andres bruk av musikkverk. I nærværende sak hadde TONO gitt samtykke til Stars bruk av filmmusikken.
Warner Bros. anførte at musikken Star spilte, var en bearbeidelse av originalmusikken. Hovedspørsmålet i saken var om TONO kunne gi tillatelse til at Star fremføring musikken i en form som avviker fra originalversjonene. Warner Bros. mente at TONOs lisens bare ga Star rett til å fremføre musikkverkene i originalversjoner, mens Star mente lisensen også ga dem rett til å fremføre verkene i endret eller bearbeidet skikkelse.
Lagmannsretten kom til at det nok var vanlig i praksis at det ble gjennomført mindre eller større endringer ved fremføring av andres musikkverk, men konkluderte med at TONO allikevel ikke har rett til å lisensiere fremføringen av Harry Potter-musikken i bearbeidet skikkelse. Etter en konkret vurdering, der originalverkene og musikkverkene som Star fremførte ble sammenlignet, konkluderte lagmannsretten med at musikkverkene Star hadde fremført var en bearbeidelse av originalverkene.
Siden TONO, etter lagmannsrettens syn, ikke kunne gi lisens til å fremføre bearbeidelser, representerte konsertene opphavsrettsinngrep. Mot denne bakgrunn ble Star dømt til å betale i overkant av 880 000 NOK, og de ble forbudt å fremføre filmmusikken i bearbeidet form.
Videre anførte Warner Bros. at Star krenket HARRY Potter-varemerket, og at Star hadde opptrådt i strid med god forretningsskikk. Lagmannsretten mente imidlertid ikke at Star hadde krenket Warner Bros.’ varemerkerett, eller at Star hadde opptrådt i strid med god forretningsskikk ved markedsføringen av konsertene, og på dette punkt ble Star frifunnet.
Det er verdt å merke seg at dommen legger til grunn at TONO ikke kan overføre bedre rett til de som gis lisens, enn det TONO selv utledet fra avtaleverket som gir TONO rett til å forvalte opphavsretten i Norge. Dette samsvarer med det etablerte utgangspunktet om at ingen kan overføre bedre rett enn man selv har. I vurderingen av hva TONO-lisens kan gi lisens til og hva som omfattes av lisensen, bør man se hen til avtaleverket som danner det rettslige grunnlaget for TONOs forvaltning i Norge.
Varemerke
Konkurranseutvalgets (NKU) avgjørelse i en klagesak vedrørende bruk av påstått etterlignede kjennetegn i strid med markedsføringsloven
Selskapet EVS Broadcasting Equipment SA (EVS) klaget inn selskapet Vimond Media Solutions AS (Vimond) for bruken av kjennetegnet «VIA» på bakgrunn av forvekslingsfare etter markedsføringsloven § 30. I tillegg hevdet EVS at Vimonds bruk av kjennetegnet er i strid med god forretningsskikk etter markedsføringsloven § 25.
Vimond anførte at NKU ikke hadde kompetanse til å vurdere saken, ettersom det avgjørende for vurderingen av om Vimond har handlet i strid med markedsføringsloven er om EVS i utgangspunktet har enerett til varemerket «VIA» etter varemerkeloven. For å oppnå enerett til å bruke et varemerke som kjennetegn for varer eller tjenester, må varemerket enten registreres i varemerkeregisteret eller innarbeides, jf. varemerkeloven §§ 1 og 3. EVS har ikke registrert kjennetegnet «VIA». Spørsmålet om EVS har enerett til å benytte varemerket som kjennetegnet er derfor om EVS har innarbeidet varemerket etter lovens kriterier.
NKU har i utgangspunktet ikke kompetanse til å vurdere varemerkerettslige spørsmål, jf. NKUs vedtekter § 1. NKU uttaler imidlertid at markedsføringsloven kan supplere varemerkeloven i saker som omfattes av begge regelsett. I slike tilfeller mener NKU at de har kompetanse til å behandle de markedsføringsrettslige spørsmålene som reises i saken, til tross for at saken har varemerkerettslige sider.
I den konkrete saken kunne utvalget ikke finne at Vimonds bruk av kjennetegnet «VIA» innebar en etterligning i strid med markedsføringsloven. Ordelementet ‘via’ var lite særpreget. Likheten i den figurmessige utformingen ble ansett som en konsekvens av et naturlig designvalg, og logoens helhet var så vidt forskjellig at det ikke kunne sies å utgjøre en etterligning. Videre fant NKU heller ikke at Vimond hadde utnyttet EVS sin innsats eller resultater ved bruk av kjennetegnet. Siden vilkårene etter § 30 ikke var oppfylt, fant NKU ikke grunn til å gå nærmere inn på vurderingen av om det forelå forvekslingsfare. NKU kunne heller ikke se at Vimond har handlet i strid med god forretningsskikk etter markedsføringsloven § 25.
Saken illustrerer viktigheten av å registrere varemerker for å unngå at andre benytter seg av like og det man kan oppleve som forvekselbare kjennetegn. Dersom EVS hadde registrert varemerket ville selskapet ha hatt enerett til bruk av «VIA» som kjennetegn, og slik unngått en konflikt med Vimond. CMS Kluge bistår jevnlig klienter med vern og håndhevelse av varemerkerettigheter, og ser betydningen det har at selskaper fokuserer på å sikre sine immaterielle rettigheter på skikkelig vis, eksempelvis de varemerker selskapet benytter.
IT og teknologi
AI fortsetter å sette sitt preg på teknologien og samfunnsdebatten - EU er på vei til å lovregulere bruk av AI
I god EU-ånd har «Artificial Intelligence Act (på norsk KI-forordningen) to hovedformål. Det ene formålet er å regulere bruken av AI av hensyn til helse, sikkerhet og fundamentale rettigheter. Det andre formålet er å lovregulere bruk av AI for å sikre fri flyt av AI-baserte varer og tjenester mellom EU-statene.
Selve definisjonen av AI i forordningen virker å være ganske bred, noe som innebærer at de fleste typer av IT-produkter som har «elementer» av autonomi og på en eller annen måte generer produksjon av innhold, prediksjoner, anbefalinger eller avgjørelser vil «rammes» av forordningen.
AI Act vil imidlertid ha ulik påvirkning på bruk av kunstig intelligens avhengig av hvor stor risiko bruken av AI innebærer ovenfor fysiske personer. I forordningen deles bruk av AI opp i fire forskjellige kategorier:
Forordningen sikter på å forby bruk av AI som inkluderer en uakseptabel risiko mot EUs grunnleggende verdier og bruk som innebærer brudd på grunnleggende rettigheter. Et eksempel er flere former for masseovervåkning i det offentlig rom.
Videre vil bruk av AI som innebærer «høyrisiko» ha flere særskilte strenge regler som markedsaktørene og offentlig myndigheter må forholde seg til. Tilnærmingen er såkalt risikobasert, som innebærer at det må gjøres flere risikovurderinger i forbindelse med bruken. Her ser man likhetene med annen lovgivning som regulerer bruk av teknologi, for eksempel GDPRs bestemmelser om informasjonssikkerhet.
AI-systemer som innebærer «begrenset» risiko vil i mindre grad være omfattet av særskilte reguleringer, men bruken skal for eksempel uansett være transparent. Blant annet må systemer som skal samhandle med fysiske personer være innrettet på en måte som gjør at den fysiske personen blir informert at de samhandler med et AI-system.
Størsteparten av de AI-systemene som er i bruk i dag vil imidlertid sannsynligvis inkludere «minimal» risiko, som i utgangspunktet ikke vil bli utsatt for regulering av forordningen. Dette er for eksempel bruk av spamfiltere og bruk av AI i videospill.
Brudd på forordningen kan gi store overtredelsesgebyrer, med et makstak på inntil 6% av global omsetning. Denne type gebyrordninger er også på generelt grunnlag vanlig innenfor EU-retten – bøtene skal være store nok til at lovbrudd ikke lønner seg.
AI Act er enda ikke vedtatt i EU, men dette er forventet å skje senest rundt årsskiftet. Uansett vil det ta en stund før forordningen faktisk trer i kraft, og det er enda ikke klart om forordningen også skal inntas i EØS-avtalen – selv om det er antatt at AI Act også vil være EØS-relevant.
GDPR
5-årsjubileumet for GDPR – hva har vi lært?
25. mai 2023 var det fem år siden EUs personvernforordning, GDPR, trådte i kraft i EU. Det gikk ennå et par måneder før forordningen ble norsk lov. Regelverket gjelder behandling av personopplysninger, som vil omfatte nær sagt enhver befatning med slik informasjon – dvs. opplysninger om en bestemt fysisk person.
Hva har vi så lært de siste årene med GDPR? Vi mener disse 8 lærdommene kan trekkes ut av praksis og erfaring med regelverket:
- Kartlegging er viktig. Altfor mange bruker tid på personvernerklæringer og glemmer at slike erklæringer må være basert på fakta i virksomheten; dvs. hva slags opplysninger som faktisk behandles.
- Du må forklare hvorfor før du forklarer hvordan. GDPR er ikke et «one size fits all»-regelverk: Valgene av beskyttelsestiltak skal lages på bakgrunn av risikobildet. Lag risikovurderinger som viser trusselbildet og hvordan du skal håndtere det.
- Dokumenter at du gjør noe. Mange virksomheter har solide systemer og sikkerhetskultur, men kan ikke dokumentere praksis. Da vet hverken du, de som informasjonen gjelder eller Datatilsynet om reglene følges.
- Ikke kast penger ut av vinduet for nye systemer. Det er ikke uten videre mulig å kjøpe en løsning som er «GDPR compliant», siden dette kommer an på hva risikoen tilsier. Du bør derfor finne ut om det er noe poeng å anskaffe nytt datasystem, jf. punkt 1 og 2.
- Lag sletterutiner. GDPR tillater oppbevaring og bruk av informasjon i den grad det er nødvendig. Finn derfor ut hva hjemmelen du har tilsier for lagring, og sett slettefrister hvis du ikke har gode grunner for fortsatt lagring.
- Du trenger færre databehandleravtaler enn du tror. Mange tror at all deling av personopplysninger med samarbeidspartnere krever en databehandleravtale. Det er imidlertid kun aktuelt hvis noen tar på seg et oppdrag som går ut på å behandle personopplysninger.
- Vit hvor data sendes. Mye tid er brukt på å avklare om informasjonen sendes ut av EU/EØS. Finn ut av dette før informasjonen overføres.
- Bruk andre hjemler enn samtykke. Mange bruker samtykke ukritisk, f.eks. i arbeidsforhold. Dette er ikke den eneste hjemmelen, og flere andre hjemler er ofte mer hensiktsmessige/praktiske.
Dersom du har spørsmål eller behov for bistand er det selvsagt bare å ta kontakt med oss.
