Antipiratbyrån fick ju som bekant undantag från Personuppgiftslagen (PUL) i torsdags. Vi kan notera att Datainspektionen (DI) beslutar att APB får "behandla uppgifter om lagöverträdelser i enlighet med ansökan". För att se detaljerna måste vi alltså läsa ansökan, vilket jag gjort.
Man har fått undantag för tre specifika syften:
1) Behandling av IP-nummer i syfte att polisanmäla och ange särskilt grova upphovsrättsintråg till åtal [min markering].
2) Behandling i syfte att upplysa Internetleverantörer om att deras abonnenter gör intrång i upphovsrätt
3) Behandling av IP-nummer i syfte att vidta civilrättsliga åtgärder i anledning av upphovsrättsintrång, primärt intrångsundersökning, interimistiska åtgärder och skadeståndstalan
Jag vill här påpeka att APB enligt DI:s beslut endast får samla in och behandla uppgifter som gäller särskilt grova upphovsrättsintrång. Själv kan jag inte bedöma vad detta innebär. En gissning (som jurister gärna får ha synpunkter på) är väl att något som av domstolar bedöms ge fängelse är särksilt grovt. I Västeråsrättegången sa åklagaren själv att fängelse inte kan komma ifråga, hon sökte böter eller villkorligt med samhällstjänst. Där var det frågan om misstänkt utdelning av en film.
Andra åklagare har slängt ut fall eftersom de ansett att det ringa brottet (som skulle ge böter enligt deras bedömning) inte uppvägt integritetsintrånget och att bevisningen då måste kastas ut, se t.ex. artikel i Computer Sweden från i våras, där Henrik Pontén sa att de måste koncentrera sig på fall då folk kanske delar ut minst 10 filmer, en siffra han högg ur luften. Vi känner ju inte till domstolarnas bedömning av fildelningsbrott. Vi vet inte heller om åklagarnas ståndpunkt skulle kunna ändras nu när DI har medgivit undantag från PUL, dvs nu när DI anser att upphovsmännens intressen uppväger integritetsintrånget vad avser PUL. Under alla omständigheter får dock bara APB behandla personuppgifter för särskilt grova fall av utdelning av upphovsrättsskyddat material.
Det tycks mig också som att de civilrättsliga målen (alltså när man kräver skadestånd från en fildelare i motsats till brottsmål när man polisanmäler) endast kan komma att drivas i anslutning till brottmål enligt punkt 1. Man vill kunna göra en s.k. intrångsundersökning hos enskilda fildelare, alltså en razzia av den typ man gjorde hos Bahnhof i mars 2005. Det är Kronofogden som utför en sådan razzia och endast efter beslut hos Tingsrätten. Här måste man fråga sig hur man kan veta vart man skall skicka Kronofogden, dvs hur skall man kunna koppla ihop en misstänkt IP-adress med en fysisk person/adress? Här krävs ju uppgifter från Internetoperatören, just de uppgifter som APB får genom polis och åklagare när man polisanmält för brott. Kan man inför en ren civilrättslig intrångsundersökning rättsligen kräva ut dessa uppgifter från en Internetoperatör?
I och för sig säger APB i ansökan att man vill behandla uppgifter för att "självständigt eller i anslutning till brottmålstalan förd av åklagare" kunna driva civilrättsliga mål. Detta upprepar DI i sitt beslut och ger dem alltså rätt att behandla personuppgifter för att "självständigt" kunna driva civilmål. Men man säger samtidigt i beslutet: "Antipiratbyrån får IP-uppgifter och därtill kopplade personuppgifter från stämningsansökan i brottmålet. Personuppgifterna har inhämtats av polis och åklagare från Internetoperatören.".
Min preliminära slutsats är att APB i praktiken kan göra skadeståndsrazzior hos fildelare endast i samband med brottmål.
Här dyker en intressant tanke upp. Nicklas Lundblad hävdar i en krönika i NyTeknik att Internetoperatören i sig knappast kan göra något om de får påstötning från APB: "Antipiratbyrån sänder sina uppgifter till en Internetleverantör som inte har något undantag borde denna bara svara att de mottagna uppgifterna inte får behandlas hos Internetleverantören, eftersom denne saknar undantag och det enligt DI uppenbarligen rör sig om sådana uppgifter som kräver undantag från förbudet i 21§ personuppgiftslagen.". Detta kan nog stämma vad gäller vidarebefordrande av abusebrev. Fast om åklagare hör av sig kan väl knappast Internetoperatören hänvisa till PUL?
Men frågan är om inte Internetoperatören, som ju lämnar ut personuppgifter till åklagare / polis, omedelbart borde meddela abonnenten om att personuppgifter har lämnats ut och varför. Detta framgår av informationsplikten i PUL och borde av Internetoperatören hur som helst betraktas som en god service till sin kund. Det är väl inte omöjligt att tänka sig att abonnenter - i det fall de faktiskt medvetet eller av misstag delat ut material - skulle kunna skydda sig mot eventuell civilrättslig intrångsundersökning genom att vidta preventiva åtgärder innan Kronofogden dyker upp. Om man även har tänkt sig att göra en razzia för att beslagta fysiska bevis för brottmålet skulle kanske Internetoperatören bli skyldig till något brott om man samtidigt notifierar kunden. Jag har inget svar här men mottar gärna kommentarer.
En annan komplikation är informationsplikten vid själva insamlingsögonblicket, dvs när APB ansluter till en Direct Connect-hubb. I ansökan säger man: "Antipiratbyrån saknar möjlighet att informera de registrerade om den behandling Antipiratbyrån genomfört eftersom det inte är möjligt att identifiera de registrerade utan uppgifter från Internetoperatören.". Jag själv tog fasta på DI:s egna "Allmäna råd" för hur informationsplikten skall uppfyllas. Man säger där: "När personuppgifter samlas in i samband med användning av Internet, t.ex. i form av s.k. loggar, bör informationen lämnas på en inloggningsbild eller liknande.". Man skall alltså informera innan man samlar in uppgifterna. Datarådet Samuelsson svarade på en direkt fråga från mig i torsdags att om det hela är tekniskt möjligt bör man göra så.
Nu idag bekräftar Samuelsson detta i en artikel av Sverker Brundin i Computer Sweden (som ställde frågan ett par gånger till Samuelsson som ett resultat av min artikel, vilket de kanske kunde ha nämnt). Denna artikel - samt Lundblads egen kommentar till den - aktualiserar en fråga jag tagit upp tidigare: Behovet av att Internetoperatörerna organiserar sig för att ha en gemensam policy. Operatörerna skall givetvis värna abonnenternas intressen här och stå upp för Internetmediets logik, nämligen att horisontellt utbyte av filer är fullkomligt naturligt, se t.ex. min artikel i SvD.
Slutsatserna av min nya läsning bekräftar Nicklas Lundblads omdöme att DI:s beslut väcker många frågor och kanske var en Pyrrhusseger för Antipiratbyrån.
Här vill jag också tipsa om en artikel i SvD (pdf) som Piratbyråns Rasmus Fleischer skrev efter DI:s beslut men som tyvärr bara finns som pdf och inte kan länkas på annat vis. Jag tror Rasmus träffar rätt i följande citat: "Varje försök att upprätthålla en stenhård digital upphovsrätt kommer att innebära blockeringar av itutvecklingen och inskränkningar av rättssäkerheten. Men inte ens det tyngsta artilleri kan föra oss tillbaka in i ett system där varje kopia av en låt eller film innebär en betalning.".
Recent Comments