torsdag, juni 18, 2009

IPRED är tillfälligt satt ur spel

DN skriver att regeringsrätten har satt IPRED ur spel med hänvisning till att Antipiratbyrån i strid med PUL registrerar IP-nummer. Även om jag inte engagerat mig i debatten är det helt klart ett intressant avgörande. Det skulle inte förvåna mig om det blir en justering av PUL eller en annan mindre justering av regelverket. Det kanske inte ens krävs detta. Datainspektionen skrev 2005 att myndigheten kan meddela undantag från PUL till fördel för Antipiratbyrån, men att Antipiratbyrån vid tillfället ej begärt ett sådant undantag. Därför är IPRED bara tillfälligt satt ur spel. Fortsättning följer.

Uppdatering 1. DNs text har uppdaterats och nu framgår det att regeringsrätten anser att IP-nummer är personuppgifter eftersom dessa nummer kan härledas till en fysisk person. Det är ett viktigt konstaterade även för andra frågor än IPRED, eftersom all övervakning av internetkommunikation synes bygga på registrering av IP-nummer.

Uppdatering 2. Nyheterna 24 ringde precis och väckte frågan om regeringsrättens dom inte redan är överspelad, vilket jag redan antytt ovan. Läs 53 g § i lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk.

Trots förbudet i 21 § personuppgiftslagen (1998:204) får personuppgifter om lagöverträdelser som innefattar brott enligt 53 § behandlas om detta är nödvändigt för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras.
Nämnda bestämmelse antogs i april 2009 och det är möjligt att regeringsrätten dömt utifrån det regelverk som gällde när de aktuella klagomålen mot Antipiratbyrån inkom 2005. Jag lämnar frågan öppen då jag inte har kunnat få tag på regeringsrättens dom, men det kommer säkert att klarna inom kort. Rick Falkvinge har som väntat koll på frågan. DN har nu uppdaterat.

Uppdatering 3. DN har nu publicerat domen, läs den här.

Media
DN, SvD, Metro, Nyheter24

15 kommentarer:

Leif Nixon sa...

Mark, just nu är jag tokförvirrad.

Datainspektionen meddelade ju Antipiratbyrån undantag från PUL senare under 2005. Om jag inte missat något (vilket dock är fullt möjligt) gäller undantaget fortfarande.

Mark Klamberg sa...

Leif,
Du har säkert rätt att Datainspektionen meddelat undantag 2005. Likväl finns det nog en enkel förklaring.

Regeringsrätten har förmodligen bedömt situationen före datainspektionen meddelade undantag.

Numera behövs inte ett undantag från datainspektionen med anledning av nya 53 g § i lagen om upphovsrätt, se det uppdaterade inlägget.

Leif Nixon sa...

Regeringsrättens beslut (samt tidigare instansers domar) finns hos DN:

http://www.dn.se/polopoly_fs/1.894326!SthlmRRejpt_3978_07.pdf

Mark Klamberg sa...

När jag nu läser domen kan jag konstaterar att mina preliminära slutsatser stämde. Datainspektionens och därmed regeringsrättens beslut vilar på de förhållanden som gällde 2005.

Anders Andersson sa...

I förarbetena till PUL diskuteras räckvidden av förbudet i 21 § mot att behandla personuppgifter om lagöverträdelser (SOU 1997:39 Integritet - Offentlighet - Informationsteknik, sid 383 i del 2, kap. 12):

En uppgift om att någon har eller kan ha begått stöld utgör otvivelaktigt en uppgift om lagöverträdelse även om det inte finns någon dom beträffande brottet; uppgiften har kvalificerats till att avse något visst brott. Det framstår däremot som mera tveksamt i vad mån uppgifter om faktiska iakttagelser kan anses utgöra uppgifter om lagöverträdelser, t.ex. en uppgift om att någon använt narkotika, en uppgift om att någon kört bil mellan två orter med viss (för hög) genomsnittlig hastighet, en uppgift om att någon som arbetar med att tömma parkeringsautomater har privat växlat in stora mängder mynt i bank osv. Elektronisk övervakningsutrustning, t.ex. kameror, installeras vidare ofta i privat verksamhet just i det befogade syftet att förr eller senare registrera lagöverträdelser, och det skulle givetvis innebära olägenheter om registreringen blev olaglig och skadeståndsgrundande i samma ögonblick som syftet med den uppnåtts, dvs. när genomförandet av t.ex. ett rån registrerats. Detta talar starkt för att uppgifter om faktiska iakttagelser om en persons handlande inte rimligen kan anses som uppgifter om lagöverträdelser i alla de fall handlandet kan innebära en lagöverträdelse. Var gränsen går får avgöras i praxis eller genom de närmare föreskrifter som kan utfärdas.

Enligt min bedömning ger ovanstående resonemang grund för tolkningen att registrering av ett faktiskt skeende, även när den utförs systematiskt och med automatik, inte nödvändigtvis innebär behandling av personuppgifter om lagöverträdelser i lagtextens mening. Att bevaka vilka IP-adresser som dyker upp på The Pirate Bay är enligt min mening analogt med att videofilma alla som vistas i en banklokal. Datalagskommittén fann det alltså orimligt att filmningen av en bankrånare skulle förbjudas med hänvisning till 21 § PUL. Är fildelning mer entydigt ett brott än vad bankrån är?

I regeringens lagförslag (prop. 1997/98:44) refereras SOU 1997:39 i sammanfattning, men den ovan nämnda aspekten av räckvidden hos 21 § nämns inte alls. Det tolkar jag som att regeringen inte hade någon invändning mot Datalagskommitténs resonemang, och att det därför också kom att ligga till grund för riksdagens beslut.

Har Regeringsrätten i den nu aktuella domen berört räckvidden hos 21 §, eller har man enbart ägnat sig åt huruvida IP-adresser skall anses som personuppgifter?

Min (och Datalagskommitténs) tolkning ovan skulle såvitt jag kan bedöma legitimera Antipiratbyråns verksamhet med avseende på 21 § PUL även utan såväl dispens som årets ändringar av upphovsrättslagen, men alternativet vore en orimligt långtgående begränsning av informationsfriheten för enskilda.

Om den här frågan prövas i någon högre instans, så hoppas jag att man lyckats hitta något annat exempel än Antipiratbyråns registrering av IP-adresser att basera all rättspraxis på. Alla lagöverträdelser handlar inte om fildelning.

Anders Andersson sa...

Jag observerade först inte Leif Nixons länk ovan. Nu har jag skummat igenom domen (som för Regeringsrättens del endast utgörs av nekat prövningstillstånd och fastställande av kammarrättens dom från 2007), och inte heller i den går någon av domstolarna in på räckvidden av 21 § PUL. Datainspektionen behandlade frågan summariskt i det beslut som föranledde prövningen, till synes utan att beakta Datalagskommitténs resonemang, och Antipiratbyrån verkar ha godtagit Datainspektionens lagtolkning i det avseendet. Min fråga förblir därmed obesvarad.

Mark, har du någon kommentar till detta?

Dan sa...

Ursaktar mig i forvag for att jag
placerar foljande lank har
men jag hittade ingen battre plats
i bradskan (har inte heller nagot svenskat tangentbord....)

men foljande ar intressant ut FRA synvinkel for Mark (tycker jag)

NSA och formodligen orginalet till vad fra vill gora....
https://www.wired.com/threatlevel/2009/06/pinwale

/Dan

Anonym sa...

Mark, nu när vi har en tydligare bild av situationen så är ju domstolens slutsats att IP-nummer är personuppgifter ändå intressant.

Min fråga är: hur påverkar detta polismetodutredningen? Där påstås ju att abonnentuppgifter INTE är personuppgifter, utan bara ej skyddsvärda kataloguppgifter.

Samtidigt är abonnentuppgifter det som, enligt domen, gör att IP-nummer är att betrakta som "indirekta" personuppgifter.

Kan domen ha någon inverkan på synen på abonnentuppgifter?

Anders Andersson sa...

Mikael, var i polismetodutredningen påstås det att abonnentuppgifter inte skulle utgöra personuppgifter? Påståendet låter helt befängt; abonnentuppgifter är uppgifter om en abonnent, och om abonnenten är en fysisk person (i stället för ett företag) så är uppgifterna om denne även personuppgifter.

Är det månne IP-adresser du syftar på, snarare än abonnentuppgifter? Frågan om huruvida IP-adresser utgör abonnentuppgifter eller trafikuppgifter har nämligen varit uppe för diskussion, men jag ser inte att Regeringsrättens dom besvarar den frågan på något sätt, då både abonnentuppgifter och trafikuppgifter i normalfallet också är personuppgifter.

Mark Klamberg sa...

Anders,
Det citerade avsnittet ur SOU 1997:39 verkar ta upp frågan om uppgifter om faktiska iakttagelser kan anses utgöra uppgifter om lagöverträdelser. Regeringsrätten har behandlat frågan om IP-adresser är personuppgifter. Jag uppfattar att det är två olikafrågeställningar.

Mark Klamberg sa...

Mikael,
Jag håller med vad Anders skriver om abonnentuppgifter.

Polismetodutredningen skiljer på abonnentuppgifter och trafikuppgifter där abonnentuppgifter kan lämnas ut för bötesbrott medan trafikuppgifter endast kan lämnas ut för brott för vilka inte är föreskrivet lindrigare straff än fängelse i sex månader. På så sätt anses trafikuppgifter mer skyddsvärda än abbonnentuppgifter. Det förändrar dock inte det faktum att abonnentuppgifter är personuppgifter.

Mark Klamberg sa...

Tack Dan,
Intressant artikel i Wired om NSAs avlyssning av amerikanska privatpersoner. Jag tror exakt samma sak kommer uppkomma med FRAs spaning, det kommer t.o.m. vara lagligt.

Anders Andersson sa...

Mark, du säger precis det som jag själv redan har konstaterat. Det jag undrar över är just räckvidden av 21 §, där Datainspektionen tycks bortse från Datalagskommitténs tolkning och i stället betraktar varje uppgift om en begången handling som en uppgift om lagöverträdelse närhelst handlingen kan innebära en sådan överträdelse.

Det ligger mycket riktigt utanför den fråga som nu avgjorts av Regeringsrätten, men det hänger likafullt samman med frågan om lagligheten i Antipiratbyråns metoder, och med det undantag för denna behandling som IPRED har inneburit. Strängt taget kan undantaget vara obehövligt, men det kan ju tjäna som förtydligande.

Hur PUL tolkas beträffande Antipiratbyrån har i princip bara betydelse för Antipiratbyrån. Jag är intresserad av hur lagen skall tolkas beträffande mig själv och alla andra som har anledning att registrera när våra rättigheter (inte bara immateriella sådana) kränks. Att vi tenderar att gå mer varsamt fram än Antipiratbyrån när vi hävdar dem innebär ju inte att vi beviljas något liknande undantag från PUL. Vilka friheter frånhänder vi oss egentligen när vi griper efter varje halmstrå att bakbinda Antipiratbyrån med?

Datainspektionen har i det närmaste gjort köttfärs av personuppgiftsdirektivet i sin lagtolkning i syfte att tillgodose olika politiska och ekonomiska intressen.

Daniel A. sa...

IPRED-lagstiftningen innehåller i sig skälvt ett undantag från PUL:

8.2.11 Undantag från 21 § personuppgiftslagen

Regeringens förslag: I … upphovsrättslagen … införs bestämmelser som innebär att det inte krävs särskilt undantag enligt 21 § personuppgiftslagen (1998:204) för att få behandla personuppgifter om immaterialrättsintrång, när behandlingen är nödvändig för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras.


Se mer hos Falkvinge

Anonym sa...

Detta verkar lite snurrigt.

Är IP-adresser att betrakta som personuppgifter? Faller alla logfiler under PUL nu?

Det blir lite svårt att driva en webservern i en sådan situation...