Personuppgiftslagen och kampen mot piratkopiering
Ur Lov&Data nr 84 december 2005, s. 7-11.
Datainspektionen har i ett beslut funnit personuppgiftslagen tillämplig på Antipiratbyråns insamling och registrering av IP-nummer. Då IP-numren kunde hänföras till sådana fysiska personer som gjort skyddade prestationer tillgängliga på internet i strid med upphovsrätten ansågs behandlingen utgöra ett brott mot förbudet i 21 § personuppgiftslagen för andra än myndigheter att behandla personuppgifter om lagöverträdelser (Datainspektionens beslut 2005-06-08, dnr 1019-2005). Datainspektionen har i ett senare beslut givit Antipiratbyrån ett på vissa sätt begränsat undantag från lagens förbud (Datainspektionens beslut 2005-10-13, dnr 1019-2005).
Bakgrund
Datainspektionen inledde efter ett stort antal klagomål en granskning av Svenska Antipiratbyrån Ekonomisk förening (Antipiratbyrån), som på uppdrag av sina medlemmar i film- och datorspelsbranschen arbetar med att motverka intrång i medlemsföretagens upphovsrättigheter och närstående rättigheter. En del av Antipiratbyråns verksamhet är att kartlägga och försöka hindra sådana intrång som sker genom tillgängliggörande i s.k. fildelningsnätverk på internet.
Vid inspektioner och genom skriftväxling framkom att Antipiratbyrån vid efterforskningen av intrångsgörare samlar in och lagrar IP-nummer, alias, filnamn och sökväg, vilken server e.dyl. som den tillgängliggörande datorn är uppkopplad mot samt tidpunkten för tillgängliggörandet. Antipiratbyrån använder denna information på två sätt beroende på omfattningen av det olovliga tillgängliggörandet. När det gäller särskilt grova fall görs en polisanmälan. I övriga fall skickas ett s.k. abuse-brev till den internetoperatör som är registrerad innehavare av det aktuella IP-numret, med begäran om att operatören skall ingripa mot överträdelsen av upphovsrättslagen eller abonnemangsvillkoren. Antipiratbyrån sparar inte uppgifterna om IP-nummer, annat än i krypterad form under en kort tid, efter det att abuse-brevet skickats. Vid polisanmälan sparar Antipiratbyrån endast en papperskopia av polisanmälan. Verksamheten har karaktären av masshantering. Antipiratbyrån har under det senaste året gjort 136 polisanmälningar och dagligen skickat 1500-2000 abuse-brev.
Antipiratbyråns inställning i frågan har varit att de uppgifter, bl.a. IP-nummer, som Antipiratbyrån använder i sin sökning efter olovligen tillgängliggjort material inte utgör personuppgifter i personuppgiftslagens mening. Detta eftersom Antipiratbyrån inte har tillgång till de personuppgifter som identifierar vem som är innehavare av ett abonnemang som använder en viss IP-adress. Antipiratbyrån är även genom den tystnadsplikt som enligt 6 kap. 20 § lagen om elektronisk kommunikation åvilar tillhandahållare av ett elektroniskt kommunikationsnät lagligen förhindrad att få del av dessa uppgifter. För det fall personuppgiftslagen ändå skulle anses tillämplig menade Antipiratbyrån att behandlingen är tillåten enligt de grundläggande kraven i 9 § och enligt intresseavvägningen i 10 § f) personuppgiftslagen. Antipiratbyrån menar att den i samband med utskick av abuse-brev inte behandlar uppgift om lagöverträdelser, utan endast uppgifter om faktiska skeenden. För det fall Datainspektionen skulle anse att uppgifterna utgör en uppgift om lagöverträdelse är behandlingen tillåten enligt 1 § d) i Datainspektionens föreskrifter om undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m. (DIFS 1998:3), eftersom behandlingen är nödvändig för att tillvarata ett rättsligt anspråk. Om Datainspektionen skulle anse att IP-nummer är en personuppgift är behandlingen tillåten enligt det sistnämnda undantaget även vid polisanmälningar.
Datainspektionens första beslut
Datainspektionen prövade inledningsvis om Antipiratbyrån behandlade personuppgifter. Enligt 3 § personuppgiftslagen avses med personuppgifter all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Vägledning vid tolkningen av vad som utgör en personuppgift kan hämtas från punkt 26 i dataskyddsdirektivets (95/46/EG) ingress. Där framgår det att man vid bedömningen av om en person är identifierbar skall beakta alla hjälpmedel som i syfte att identifiera vederbörande rimligen kan komma att användas antingen av den personuppgiftsansvarige eller av någon annan person. Datainspektion hänvisade vidare till vissa uttalanden i de svenska förarbetena till personuppgiftslagen där det anges att IP-nummer i vissa fall kan anses utgöra personuppgifter (SOU 1997:39 s. 341).
Datainspektion konstaterade därefter för egen del att en uppgift om IP-nummer kan vara en personuppgift i personuppgiftslagens mening, men att en bedömning får göras i varje enskilt fall. Inspektionen menade att IP-nummer utgör en personuppgift i de fall som någon, t.ex. en internetleverantör, kan hänföra uppgiften till en enskild abonnent eller användare som är en fysisk person. Detta betyder, menade Datainspektionen, att den som avser att behandla uppgifter om IP-nummer måste följa bestämmelserna i personuppgiftslagen. I det aktuella fallet ansågs Antipiratbyrån behandla personuppgifter på ett sådant sätt att personuppgiftslagen var tillämplig. Det förhållande att Antipiratbyrån inte själv kunde identifiera individerna saknade enligt Datainspektionen betydelse, så länge någon annan kunde göra det. Det framhölls vidare att själva avsikten med Antipiratbyråns behandling var att åtgärder baserat på denna skulle vidtas mot användare.
Datainspektionen konstaterade att Antipiratbyrån inte anmält behandlingen av personuppgifter i enlighet med bestämmelserna i 36 § personuppgiftslagen och att något undantag från anmälningsskyldigheten inte var tillämpligt i det aktuella fallet.
Datainspektionen övergick därefter till att pröva om Antipiratbyrån behandlade personuppgifter om lagöverträdelser som innefattar brott (21 § personuppgiftslagen). Enligt de svenska förarbetena skall en uppgift om att någon har eller kan ha begått något visst brott utgöra en personuppgift om lagöverträdelse, även om det inte finns någon dom eller motsvarande beträffande brottet (SOU 1997:39 s. 383). Sett mot bakgrund av uppgifterna i bl.a. abuse-brevet, där det talades om brott mot upphovsrättslagen, bedömde Datainspektionen att Antipiratbyrån behandlade personuppgifter om lagöverträdelser som innefattar brott i den mening som avses i personuppgiftslagen.
Inget undantag från förbudet ansågs vara tillämpligt i det aktuella fallet. Den undantagsmöjlighet som låg närmast till hands var annars 1 § d) i Datainspektionens föreskrifter om undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m. (DIFS 1998:3). Enligt denna bestämmelse gäller undantag från förbudet om behandlingen avser enstaka uppgifter som är nödvändiga för att rättsliga anspråk skall kunna framställas, göras gällande eller försvaras i ett enskilt fall. Datainspektionen menade visserligen att behandlingen var nödvändig för dessa ändamål och tillade dessutom att det förelåg ett berättigat intresse av behandlingen som vägde tyngre än den registrerades intresse av integritetsskydd, varför behandlingen fick anses vara tillåten enligt 10 § f) personuppgiftslagen. Behandlingens omfattning innebar emellertid att den inte kunde sägas avse endast enstaka uppgifter. Förutsättningen för att Antipiratbyrån skulle kunna fortsätta med den aktuella behandlingen var alltså att Datainspektionen efter ansökan beviljade undantag från förbudet.
Antipiratbyrån har överklagat beslutet, men någon prövning i länsrätten har när detta skrivs inte gjorts.
Datainspektionens andra beslut
Parallellt med överklagandet ansökte Antipiratbyrån om undantag från förbudet i 21 § personuppgiftslagen. I ansökan beskrevs personuppgiftsbehandlingen och dess syften på i princip samma sätt ovan. Därutöver anfördes bl.a. att det inte var möjligt för Antipiratbyrån att informera de registrerade om den behandling som utfördes eftersom det inte var möjligt för Antipiratbyrån att identifiera de registrerade utan internetoperatörernas hjälp. De registrerade skulle emellertid informeras i samband med en eventuell polisutredningen. I ansökan anfördes vidare att de aktuella uppgifterna kunde komma att användas för civilrättsliga åtgärder mot intrångsgörare, t.ex. talan om skadestånd. Uppgifter som behandlades för dessa ändamål skulle som längst lagras i 30 månader. Antipiratbyråns möjligheter att utnyttja uppgifterna för civilrättsliga ändamål förutsätter dock att det görs en brottsutredning som leder till att den misstänkte intrångsgöraren identifieras.
Datainspektionen får enligt 9 § personuppgiftsförordningen besluta om undantag från förbudet i 21 § personuppgiftslagen. Inspektionen konstaterade emellertid inledningsvis att det av ordalydelsen i dessa bestämmelser inte närmare framgår under vilka förutsättningar undantag kan beviljas. Inspektionen anförde därefter följande:
Bestämmelsen i 21 § PuL har sin grund i artikel 8.5 i dataskyddsdirektivet. I artikeln anges att behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder får utföras endast under kontroll av en myndighet eller – om lämpliga skyddsåtgärder finns i nationell lag – med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. I förarbetena till PuL förutsätts att undantag föreskrivs på det sätt som krävs enligt dataskyddsdirektivet när enskilda har ett befogat intresse av behandlingen och den står under tillfredsställande kontroll av en myndighet (se SOU 1997:39 s. 379).
Av bland annat ovanstående uttalanden i förarbetena, drar Datainspektionen slutsatsen att möjligheten att meddela undantag från förbudet ska utnyttjas restriktivt.
När det gäller Antipiratbyråns begäran om undantag från förbudet att behandla uppgifter om lagöverträdelser, finns ett antal faktorer, som är relevanta för prövningen. Följande omständigheter talar särskilt mot att medge undantag:
- Många Internetanvändare kan uppleva Antipiratbyråns hantering som ett otillbörligt integritetsintrång.
- Sammantaget är det fråga om en omfattande behandling av personuppgifter.
- Det finns en risk att vissa mottagare av de s.k. varningsbreven är fullständigt oskyldiga.
Följande faktorer talar särskilt för att medge det begärda undantaget:
- Antipiratbyrån har i uppdrag av sina medlemmar att tillvarata deras intressen vid brott mot upphovsrätten.
- De aktuella personuppgifterna översänds enbart till berörd Internetleverantör eller i vissa fall till polis och domstol.
- Antipiratbyrån har beskrivit att man endast eftersöker information om upphovsrättskyddade verk som en person otillåtet tillgängliggjort i sådana förteckningar, som personen redan genom att ingå i ett s.k. fildelningsnätverk, gjort tillgängliga för omvärlden.
- Antipiratbyrån identifierar inte vem som har använt ett visst IP-nummer.
Datainspektionen bedömer att Antipiratbyrån har ett befogat intresse att utföra de begärda behandlingarna av personuppgifter och de beskrivna behandlingarna får anses vara proportionerliga med hänsyn till det syfte behandlingen avser. Det är inte fråga om att upprätta ett systematiskt register över sådana Internetanvändare som misstänks syssla med otillåten fildelning och uppgifterna kommer inte att sparas längre än vad som är nödvändigt. Vidare kan konstateras att uppgifter om anknytningen mellan en IP-adress och en Internetanvändare inte tas fram av Antipiratbyrån. Slutligen bedömer Datainspektionen att det eventuella integritetsintrånget begränsas av att det enbart avser sökning i förteckningar, som i princip är tillgängliga för alla Internetanvändare, som anslutit sig till ett ’fildelningsnätverk’.
Datainspektionen bedömer därför att det finns förutsättningar att meddela undantag från förbudet att behandla uppgifter om lagöverträdelser. För att säkerställa att behandlingen sker under tillfredsställande kontroll avser Datainspektionen att följa upp Antipiratbyråns verksamhet under 2006. Mot denna bakgrund och eftersom det är fråga om en omfattande behandling av uppgifter som sker med teknik i snabb utveckling och det är svårt att säkert överblicka konsekvenserna av ett undantag finner inspektionen skäl att tidsbegränsa undantaget till att gälla längst t.o.m. utgången av 2006. Beslutet om undantag kan återkallas om det visar sig att Antipiratbyrån behandlar eller kan komma att behandla personuppgifter på ett sätt som strider mot förutsättningarna för detta beslut, exempelvis att behandlingen av personuppgifter inte är i överensstämmelse med övriga bestämmelser i PuL.”
Kommentarer
Det upphovsrättsliga systemet förutsätter idag att rättighetshavarna själva aktivt arbetar med att spåra upp och dokumentera intrång i sina rättigheter. För att en straffrättslig påföljd skall bli aktuella vid ett intrång krävs en polisanmälan som visar ett konkret intrång. Polisen bedriver ingen generell övervakning av t.ex. internet för att hitta pågående upphovsrättsintrång. För att civilrättsliga påföljder skall bli aktuella vid ett intrång måste rättighetshavaren själv identifiera intrångsgöraren. På grund av utformningen av bestämmelserna om tystnadsplikt i 6 kap. 20 § lagen om elektronisk kommunikation kan civilrättsliga åtgärder vid intrång som sker via fildelningsnätverk i princip bara bli aktuella i anslutning till en straffrättslig utredning, där uppgifter om vilken abonnent som vid en given tidpunkt hade ett visst IP-nummer har lämnats ut av accessleverantören till polis- eller åklagare enligt 6 kap. 22 § punkten 2 i samma lag.
För att rättighetshavarna överhuvudtaget skall kunna göra sin upphovsrätt eller närstående rättighet gällande i praktiken är det alltså nödvändigt att samla in och dokumentera de intrång som begås. När intrång sker i mycket stor skala t.ex. via fildelningsnätverk på internet får denna verksamhet med nödvändighet karaktären av masshantering. Att en sådan hantering inte kan vara helt förbjuden enligt personuppgiftslagen framstår mot bakgrund av upphovsrättssystemets utformning som rimligt. Samtidigt finns det naturligtvis integritetsrisker förknippade med en omfattande behandling av uppgifter som han hänföras till enskilda individer. En sådan behandling bör därför stå proportion till de intressen som den är avsedd att skydda. Enligt min mening är resultatet av de två besluten just detta: Behandlingen anses utgöra en behandling av personuppgifter om lagöverträdelser i personuppgiftslagens mening. Genom undantaget från förbudet är emellertid behandlingen tillåten enligt 21 § personuppgiftslagen, men den måste ske i enlighet med lagens övriga regler som är tänkta att skydda användarna och abonnenternas personliga integritet. Det innebär t.ex. en begränsning av de ändamål för vilka uppgifterna kan behandlas samt ett krav på säkerhet i behandlingen. I praktiken torde Antipiratbyråns möjligheter att lämna information till den registrerade dock vara begränsade, eftersom en enskild registrerade inte kan identifieras av Antipiratbyrån (förrän Antipiratbyrån fått en kopia av en förundersökning där uppgift om abonnent hämtats in från internetopertören). Däremot kan naturligtvis allmän information om behandlingens syfte och karaktär ges.
Det första ärendet illustrerar på ett tydligt sätt att personuppgiftslagstiftningen på flera sätt är relativ och att dess tillämpning innefattar intresseavvägningar i det enskilda fallet. Det gäller inte bara förutsättningarna för att en behandling som omfattas av lagen skall vara tillåten enligt exempelvis 9 och 10 §§, utan även de begrepp som avgör om lagens olika bestämmelser är tillämpliga. I det första ärendet aktualiserades dels frågan om vad som utgör en personuppgift i lagens mening, dels frågan om vad som utgör en personuppgift om en lagöverträdelse.
Personuppgiftsbegreppet är grundläggande för personuppgiftslagstiftningens tillämpningsområde. Begrepp har utan tvekan givits en vid innebörd. Samtidigt kan de gränser som naturligtvis måste finnas i vissa fall vara oklara. För det första kan det diskuteras vad som över huvud taget är en uppgift som avser en person, och inte endast en uppgift om t.ex. ett skeende eller en fysisk sak. För det andra kan det diskuteras när uppgifter avser en ”identifierbar” fysisk person.
Nästan alla uppgifter kan åtminstone indirekt hänföras till fysiska personer som är i livet (jfr 3 § personuppgiftslagen). Uppgifter om fysiska föremål kan många gånger hänföras till ägare och brukare. Uppgifter om ett skeende kan på samma sätt hänföras till olika fysiska personer som varit mer eller mindre inblandade. Att dessa uppgifter kan hänföras till en fysisk person är alltså i de flesta fall klart. Samtidigt är det enligt min mening knappast rimligt att personuppgiftslagstiftningen skall tillämpas på varje behandling av uppgifter om föremål, skeenden, platser etc. I dataskyddsdirektivets definition av begreppet personuppgift talas om upplysningar som ”avser” en identifierad eller identifierbar fysisk person (jfr artikel 2). Detta uttryck illustrerar på ett tydligare sätt än den svenska definitionen att det finns en gränsdragning att göra på denna punkt och att denna gränsdragning handlar om något annat än om en person är identifierbar (jfr nedan). Det handlar istället snarare om när det är adekvat att tala om en uppgift som avser en person. Uppgifter om vilka egenskaper en viss växtart har kan t.ex. rimligen av någon komma att kopplas samman med den som upptäckte arten. Detsamma gäller uppgifter om en plats som har besökts av vissa personer. Även om man med säkerhet vet att uppgifterna om växtarten respektive platsen kommer att knytas till en fysisk person av en tredje man kan de inte anses vara personuppgifter. Det kan som jag ser det bara vara fråga om en personuppgift om uppgiften i någon rimlig mening tillför någon information om personen, t.ex. när det gäller hans egenskaper eller handlande.
Vid bedömningen av om en person är identifierbar skall enligt punkt 26 i dataskyddsdirektivets ingress ”alla hjälpmedel som i syfte att identifiera vederbörande rimligen kan komma att användas antingen av den registeransvarige eller av någon annan person” beaktas. Varje situation där en identifiering är faktisk möjlig skall alltså inte medföra att det anses vara fråga om en personuppgift i lagens mening. En faktor som skapar osäkerhet för den som skall bedöma om personuppgiftslagen är tillämplig på hans behandling av personuppgifter är att han måste ta ställning till vilka hjälpmedel som ett annat subjekt rimligen kan komma att använda. En fråga i sammanhanget är också om uttrycket ”rimligen kan komma att användas” bara syftar på själva sättet för identifiering eller om det även avser hur rimligt det är att uppgifterna kommer till en tredje man och att denne i praktiken genomför identifieringen. Om den senare tolkningen är den rätta skulle personen t.ex. inte anses vara identifierbar om det finns tillräckliga garantier för att uppgifterna inte lämnas ut till någon som kan göra identifieringen. Praktiska skäl kan sägas tala för en sådan tolkning. Personuppgiftslagen skulle helt enkelt få ett orimligt omfattande tillämpningsområde om alla tillgängliga identifieringsmöjlighet i hela världen skulle beaktas. Mot en sådan tolkning talar att uppgifterna alltid kan hamna på villovägar, t.ex. genom dataintrång eller genom fel av dem som hanterar uppgifterna, och att en identifiering då kan komma att göras hos tredje man. Vissa av de skyddsintressen som ligger bakom personuppgiftslagstiftningen gör sig alltså gällande även när det gäller denna typ av behandling. I det första beslutet uttalar Datainspektion att ett ”IP-nummer utgör en personuppgift i de fall som någon, t.ex. en Internetleverantör, kan hänföra uppgiften till en enskild abonnent eller användare som är en fysisk person”. Datainspektionen tycks därmed mena att rimlighetsbedömningen inte skall omfatta risken för att uppgifterna verkligen kommer till Internetoperatören och att denna gör en identifiering av abonnenten. Personligen menar jag emellertid att rimlighetsbedömning måste göras med utgångspunkt i en helhetsbedömning. Vid en sådan bedömning bör sannolikheten för att en identifiering kan komma att ske beaktas, liksom t.ex. integritetsriskerna förknippade med de aktuella uppgifterna och behandlingen av dem. Datainspektionens uttalande om att IP-nummer utgör en personuppgift i de fall som någon kan hänföra uppgifterna till en enskild abonnent eller användare som är en fysisk person är alltså enligt min mening alltför kategoriskt.
När det gäller personuppgiftsbegreppets tillämpning i det konkreta fallet menar jag att det inte råder någon tvekan om att Datainspektionen gjort en riktig bedömning när man funnit att behandling av uppgifter om fildelningsaktivitet tillsammans med uppgifter om IP-numren utgjorde en behandling av personuppgifter. Hela syftet med Antipiratbyråns verksamhet kan sägas vara att uppgifterna skall kunna hänföras till en bestämd fysisk persons agerande eller när det gäller abuse-breven åtminstone användningen av ett visst abonnemang. Det faktum att det med säkerhet inte alltid går att fastställa vem som använt datorn vid den aktuella tidpunkten är inget hinder mot att det anses vara fråga om personuppgifter.
Inte heller gränserna för vad som utgör en personuppgift om lagöverträdelse kan sägas vara helt skarp. Även här kan det vara nödvändigt att göra en gränsdragning mellan vad som är en personuppgift om en lagöverträdelse och vad som är en uppgift om ett faktiskt skeende som utgör ett brott. Varje loggningsfunktion eller digital övervakningskamera som kan komma att fånga ett brott kan inte omfattas av förbudet i 21 §. I det aktuella fallet var emellertid hela syftet med att karlägga det faktiska skeendet att det utgjorde ett intrång i upphovsrätten och därmed ett brott. Jag delar därför Datainspektion bedömning att det handlade om en behandling av personuppgifter om lagöverträdelser.
Det kan som jag ser det diskuteras om de undantag som finns i Datainspektionens föreskrift om undantag från förbudet i 21 § personuppgiftslagen är adekvat utformade. Det kan t.ex. diskuteras om det är rimligt att en rättighetshavare måste ansöka om ett individuellt tillstånd när det handlar om att fastställa, göra gällande och försvara rättsliga anspråk bara därför att intrången har en sådan omfattning att det krävs att mer än enstaka uppgifter behandlas. Enligt min mening finns ett skydd mot en för omfattande behandling redan genom reglerna i 9 § och begränsningen i det generella undantaget till ”enstaka uppgifter” skulle därför kunna tas bort. Det kan vidare diskuteras om det inte uttryckligen i 21 § personuppgiftslagen borde införas en rätt att behandla personuppgifter som avser lagöverträdelser efter samtycke av den registrerade.