Det hela sammanfattas i rubriken ”Myndigheter och företag på Facebook ansvarar för andras inlägg”, vilket kanske låter lite märkligt om man tänker straffansvar och den grundläggande principen att man enbart har ett straffrättsligt ansvarar för sina egna handlingar. Men det finns många sorters ansvar, och Datainspektionen siktar in sig på ett av dem, nämligen personuppgiftsansvaret. En liten terminologilektion är kanske på sin plats:

Datainspektionens tillsyn tar sikte på sådana handlingar som på något sätt involverar personuppgiftsbehandling (1), och som kränker den personliga integriteten (2). För sådana handlingar har den personuppgiftsansvarige (3) ett skadeståndsansvar (4), medan straffansvaret (5) ligger på den som utför (6) själva handlingen.

Många kursiva uttryck i det föregående stycket. Vi tar dem ett efter ett:

1. Personuppgiftsbehandling är i princip vad som helst man gör med en dator som rör information som har det allra minsta att göra med en nu levande människa. Något så trivialt som lagring räknas som behandling, och något så personavlägset som ett fotografi av en registreringsskylt räknas som personuppgift.
2. Vad som är en kränkning av den personliga integriteten är inte möjligt att generellt slå fast, men gränsen bestäms ytterst av domstolspraxis.
3. Den personuppgiftsansvarige är den som bestämmer varför och på vilket sätt personuppgiftsbehandlingen ska gå till.
4. Skadeståndsansvar betyder att man, vid skada, ska ersätta den som drabbats med en mängd pengar som, så långt det är möjligt, är tänkta att reparera den inträffade skadan. Det är ganska lätt att räkna ut den mängden när man ska ersätta ett nedbrunnet hus, men lite knepigare när någons integritet kränkts. Men det betyder inte att man inte ska försöka! Ett bra sätt att göra bort sig i en juridisk debatt är att förväxla skadestånd med böter.
5. Straffansvar betyder att man, vid en straffbar handling, får betala böter eller sitta i fängelse (det finns några andra sanktioner också). Böterna går till staten, inte den som drabbats, och är genom dagsbotsystemet anpassade så att det ska svida lika mycket för fattig som för rik. Medan skadestånd kan drabba en juridisk person (exv ett företag) kan straffansvaret bara falla på en fysisk person.
6. ”Den som utför” är lite svårare att definera, åtminstone för mig. Den som matar in uppgifter, eller direkt får en dator att utföra behandlingen. Med tanke på att även passiv lagring kan anses som behandling måste det finnas många scenarier där det är svårt att bedöma vem som ”utfört” ”behandlingen”.

Ok, vad betyder det i ett facebookscenario? I alla tre ärendena var fråga om juridiska personer som hade en Facebook-sida. Genom att bli ett fan kan varje facebookanvändare skriva meddelanden på sidan. Det datainspektionen i sitt beslut kom fram till var att de juridiska personerna (myndigheten, företaget respektive kommunen) uppfyllde kraven för att vara personuppgiftsansvarig för den personuppgiftsbehandling som förekom på deras respektive sidor:

Arbetsmiljöverket är en myndighet som har valt att finnas på Facebook genom att tillhandahålla Facebook-sidan i sin verksamhet. Arbetsmiljöverket har namngett sidan och kan bestämma vilka möjligheter det ska finnas för andra att behandla personuppgifter (göra inlägg) samt ge anvisningar för vilket innehåll sidan ska ha. Arbetsmiljöverket innehar den faktiska möjligheten att ta bort personuppgifter som publicerats på sidan. [...] Arbetsmiljöverket får anses inneha möjlighet att bestämma över såväl ändamål som medel för behandlingen av personuppgifter på Facebook-sidan.

Med detta inte sagt att (i det här fallet) Arbetsmiljöverket var den enda personuppgiftsansvarige i sammanhanget:

Inspektionen omfattar således inte det eventuella personuppgiftsansvar som enskilda användare eller företagen Facebook, Twitter m.fl. kan ha för behandlingen av personuppgifter

Det ligger i sakens natur att Datainspektionen, med sitt begränsade tillsynsområde, inte kan belysa alla övriga ansvarsaspekter som finns. Men låt mig ändå räkna upp de andra jag kommer på. För att bli konkret kan vi ta exemplet att ett företag sätter upp en facebooksida, och en privatperson på denna sida skriver ett meddelande som dels kränker en enskild (namngiven) individs integritet genom att förtala denne, dels utgör hets mot folkgrupp.

1. Straffansvar enligt PUL 49 §. Tillkommer, som vi konstaterat enligt ovan, den som utför handlingen. Det borde i första hand vara privatpersonen, men kanske kan även ansvar inträda för någon person på företaget (den som har möjlighet att ta bort publicerade meddelanden) efter att denne blivit uppmärksammad på meddelandets innehåll (krävs för att uppfylla brottets subjektiva rekvisit)? Ytterligare en fråga är om någon, och i så fall vem, på Facebook som kan bli straffrättsligt ansvarig (men i praktiken lär något sådant straff aldrig dömas ut)
2. Straffansvar enligt BrB 5:1 för förtal och BrB 16:8 för hets mot folkgrupp. Tillkommer privatpersonen enbart.
3. Straffansvar enligt BBS-lagen 5 och 7 §§ för den som tillhandahåller tjänsten. Enligt förarbetenas definition av ”tillhandahållande” ska detta vara den ”som kan bestämma över tjänstens användning, inklusive de tekniska och administrativa rutinerna”. Det borde i första hand träffa företaget (och där den eller de personer som har ansvar för och möjlighet att ta bort meddelanden).
4. Om det har gjorts en databasanmälan eller ansökts om utgivningsbevis enligt YGL så blir den ansvarige utgivaren exklusivt straffrättsligt ansvarig för allt ovanstående. Det ska inte gå, eftersom databasen kan ändras av andra än den som driver verksamheten (särskilt om vem som helst kan skriva på sidan), men det har inte hindrat folk från att försöka liknande saker.
5. Sedan kan kanske även privatpersonen bli skadeståndsskyldig, antingen genom PUL 48 § (om man anser att denne har ett delat personuppgiftsansvar tillsammans med företaget) eller genom SkL 2:1 (om man menar att kränkningen är en ren förmögenhetsskada). De här frågorna prövar datainspektionen inte, och jag vågar mig inte heller på en gissning. Kommentarsfältet är öppet för spekulationer.

En sak som man kanske kan tycka är konstig är att man som företag, myndighet eller privatperson är ansvarig för vad folk skriver till en på en facebooksida, men inte för @-omnämnanden på twitter (enligt det tredje beslutet). Men det är ändå två helt olika kommunikationsmodeller, och i Twitterfallet kan man inte ha någon kontroll över @-omnämnanden. Därför vore det orimligt att utkräva något ansvar för detta.

Man kan kanske tycka att det är orimligt att utkräva ansvar från den som startat en facebooksida, med hänvisning just till den grundläggande principen att alla svarar endast för sina egna handlingar. Poängen är dock att detta ansvar inte försvinner — i exemplet ovan är det fortfarande så att privatpersonen svarar för sina handlingar.  Men när man startar och driver en facebooksida får man nya, sekundära ansvar (personuppgiftsansvar enligt PuL, tillsynsansvar enligt BBS-lagen). Detta ansvar sammanfaller med förmågan att ta bort kränkande meddelanden — en inte helt orimlig konstruktion.

Om något är orimligt i sammanhanget är det kanske snarare PULs breda definitioner av ”personuppgift” och ”behandling”, och smala definition av ”privat behandling” som gör att i princip allt som är intressant i sociala medier (dvs sådant som på ett eller annat sätt anknyter till levande människor, dvs det sociala) är föremål för lagreglering på ett sätt som det offentliga samtalet aldrig någonsin var på papperstidning-och-torgmöte-tiden.

Uppdatering: Det verkar som en liten men viktig parantes ramlat bort från listan över fem saker man får göra enligt PUL. Den femte punkten ska lyda: ”Nästan vad som helst, så länge du inte delar med dig av uppgifterna (rent privat natur)”

På samma ställe finns även den artikel om PUL som jag stressade ihjäl mig för i slutet av februari, dock dessvärre inte fritt nedladdningsbar. Den som tycker sig känna mig kan dock höra av sig för den oredigerade versionen.

Det är ju sådant jag redan skriver om här på bloggen. Jag skulle vilja skriva mer, men med tanke på alla andra saker jag har för mig har det i varit svårt att hitta tid och motivation att sitta ner och blogga igenom ett ämne såpass noggrant att det ger någonting. Det tar ju ändå några timmar. Att få i uppgift av någon annan att skriva är precis en sådan motivator jag behöver för att få lite mer gjort. Morötter och piskor i form av pengar, bylines, utrymmesbegränsningar, deadlines och så vidare är också viktiga faktorer.

Just den här första krönikan är faktiskt ett sådant utvecklande av en gammal bloggpost som jag påbörjade för ett tag sedan men aldrig slutförde – jag har irriterat mig på att personuppgiftsregleringen i praktiken gör det osäkert i vilken utsträckning jag kan vidareutveckla lagen.nu (exv publicera domskäl i brottmålsdomar), och ett sätt ut ur det hela skulle vara att skaffa utgivningstillstånd för att på så sätt hamna under YGL och slippa bry mig om PUL. Men då det ställs så detaljerade krav på hur en webbplats ska vara beskaffad för att kunna få utgivningstillstånd blir jag i praktiken bakbunden vad det gäller utvecklingsmöjligheterna (exv mot wiki-hållet), på ett sätt som traditionell media inte är.

Och så vidare. Ni kan läsa om det i krönikan — poängen är att det här är en av många texter som nu förhoppningsvis blir skrivna, istället för att stanna som halvfärdiga resonemang i huvudet på mig.

En av sakerna jag lärde mig handlar om personuppgifter: tidigare sa jag tvärsäkert att jag inte behandlade sådana på lagen.nu, eftersom de bara förekom i domslutsreferaten, och jag brydde mig ju bara om data man hittar i detaljvyn, som titel, lagrum, domstol, målnummer… målnummer? Låt oss se hur definitionen på personuppgift lyder:

Personuppgifter

All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.

Jepp. Ett målnummer passar jättebra in på den här definitionen, då den indirekt kan hänföras till parterna i ett civilmål, eller den tilltalade i ett brottmål. Jag kände mig hyfsat dum när det här påpekades för mig. Och på tal om brottmål blir det ännu bättre om vi kollar 21 §:

Det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Oops. Jag, som inte vill begå några brott mot PUL, tog raskt bort all rättsfallsinformation från lagen.nu medans jag utredde situationen.

Men, var det inte den här paragrafen som APB nyss fick dispens ifrån? De kanske kan göra ett undantag för mig också, tänkte jag och ringde datainspektionens callcenterjurister. Efter att ha redogjort för min situation förklarade den vänliga juristen på andra sidan att min användning rymdes under rubriken ”journalistisk verksamhet”. Jag tyckte det lät mycket konstigt, och underströk att jag inte gör något sorts redaktionellt urval eller överhuvudtaget nånting som liknar det som journalister håller på med, men tydligen ska uttrycket tolkas så pass extensivt.

Poängen med att behandlingen anses ske uteslutande för journalistiskt ändamål är att stora delar av PUL då inte blir tillgänglig, bland annat 10 § och 21 § — fantastiskt smidigt. Nästan som att skaffa ett utgivningsbevis för att falla under YGL, men utan alla nackdelar. Som jag ska skriva om i detalj nån annan gång.

Uppdatering: Bara för att min användning tydligen faller under journalistisk verksamhet, är det inte säkert att din gör det. Det här är inte juridisk rådgivning. Om du är osäker, ring eller maila datainspektionen, de är pigga på att svara på frågor.

Domstolsverket hade ursprungligen tänkt att Google och andra sökmotorer inte skulle kunna indexera rättsfallen genom att man valt en relativt komplicerad weblösning för att göra dessa tillgängliga, men då jag lade in direktlänkar på lagen.nu brast den förutsättningen.

Fråga uppstod om huruvida jag inte borde ha kontaktat domstolsverket innan, och även om min hantering kunde tänkas bryta mot personuppgiftslagen. Vad gäller att be om tillstånd innan man länkar har jag alltid tyckt att det är fullständigt fel. Välkommen till webben, det är så här den funkar, liksom. Vad gäller PUL så är jag relativt säker på att min behandling, som enbart befattar sig med den data som finns i varje domsluts detaljvy, inte faller under dess bestämmelser, då personuppgifter enbart kan förekomma i referaten.

Jag har, från tid till annan, funderat på att även behandla/lägga upp referaten, men valt att inte göra det just på grund av hänsyn till personuppgiftslagen. En lösning på problemet skulle vara att skaffa ett utgivningsbevis för lagen.nu så att YGL blir tillämplig; då gäller (enkelt uttryckt) inte PUL. Av flera olika anledningar är dock inte det aktuellt i dagsläget. Men det är ett ämne för ett inlägg någon annan dag.

Sedan i eftermiddag har domstolsverket valt att lösa problemet genom att stoppa in en restriktiv robots.txt på sin tjänst. Detta gör att jag inte, enligt den sedvänja som gäller på internet, får screenscrape:a tjänsten. Vilket jag naturligtvis tycker är dumt, inte minst med avseende på offentlighetsprincipen, och vilket leder till att listorna med rättsfall under paragraferna på lagen.nu gradvis kommer bli mer och mer irrelevanta. Jag har mailat en förfrågan om huruvida domstolsverket kan göra ett undantag i denna policy för mig, men inte fått något slutgiltigt besked.

Trots att slutresultatet, åtminstone som det ser ut nu, går lagen.nu emot, så tycker jag ändå att domstolsverket har handlat ganska rätt. Visst borde de haft en robots.txt uppe sen dag ett, och visst borde de göra undantag för min webrobot, och kanske borde man fråga sig vad personuppgifterna har att göra i domslutsreferat som ska vara anonymiserade, men nu har de iaf löst ett tekniskt problem med en teknisk, snarare än en juridisk, åtgärd. Alla tjänar på att sådana här riktlinjer uttrycks med kod, inte författningar.

Det är en intressant slutsats, men jag tror att den är felaktig. Det
finns ett par skäl till varför en vanlig brandvägg skulle vara
tillåten medans APB’s insamling av IP-nummer inte skulle vara
det. Alla skäl är inte tillämpliga i alla situationer, men tillsammans
täcker de in rätt många fall.

Privat verksamhet

Det första är framförallt tillämpligt på alla som har en brandvägg
hemma i lägenheten (om man räknar in loggande bredbandsrouters blir vi
rätt många): här är det fråga om ”verksamhet av rent privat
natur”, och då säger PUL 6
§ säger att lagen inte är tillämplig i dessa fall.

Lagen om elektronisk kommunikation

Den andra skälet bygger på anledningen till varför man har en
brandvägg överhuvudtaget — att skydda information. I lagen (2003:389)
om elektronisk kommunikation (LEK), 6 kap. 3 § sägs följande:

Den som tillhandahåller en allmänt tillgänglig elektronisk
kommunikationstjänst skall vidta lämpliga åtgärder för att säkerställa
att behandlade uppgifter skyddas. Den som tillhandahåller ett allmänt
kommunikationsnät skall vidta de åtgärder som är nödvändiga för att
upprätthålla detta skydd i nätet. Åtgärderna skall vara ägnade att
säkerställa en säkerhetsnivå som, med beaktande av tillgänglig teknik
och kostnaderna för att genomföra åtgärderna, är anpassad till risken
för integritetsintrång.

I klartext: sätt upp en brandvägg så att du inte blir
krakkad. Den här paragrafen ser onekligen ut att strida mot PUL. Men då
PUL enligt 2 § är subsidär,
har LEK högre prioritet:

2 § Om det i en annan lag eller i en förordning finns bestämmelser som
avviker från denna lag, skall de bestämmelserna gälla.

Just det här att PUL är en subsidär lag är rätt viktigt för
resonerandet i största allmänhet. Om man kan hitta något annat skäl i
författningarna till varför man är skyldig till att ha en brandvägg,
så gäller det alltid över PUL.

Så långt allt bra. Men vad är en ”elektronisk kommunikationstjänst”
enligt LEK? Enligt 1 kap. 7 § så är det
”tjänst som vanligen tillhandahålls mot ersättning och som helt
eller huvudsakligen utgörs av överföring av signaler i elektroniska
kommunikationsnät”. Exakt vad det innebär har jag inte grävt i,
men det torde utesluta åtminstone en del av de företagsbrandväggar som
finns idag. ISP’er och liknande borde dock kunna använda sig av det
här försvaret.

DIFS 1998:3

Det tredje skälet tar sikte på varför en brandvägg loggar uppgifter –
så att man i efterhand kan se varifrån ett angrepp kommit. Denna
uppgift är nödvändig för att kunna utkräva ansvar från en angripare
för skadan denne åsamkat — dvs att göra gällande ett rättsligt
anspråk. Sådant är, enligt DIFS
1998:3 1 § d (PDF) tillåtet, så länge som det gäller ”enstaka
uppgift”.

Just det här anförde APB gällande DI’s beslut. DI underkände
argumentet (PDF) främst på grund av att APB’s
personuppgiftsbehandling var så omfattande:

Behandlingens omfattning innebär dock att den inte kan sägas avse
endast enstaka uppgift. I denna bedömning har Datainspektionen beaktat
att det när det gäller abuse-breven är fråga om behandling av en
mycket stor mängd uppgifter som innebär att många människor riskerar
att utpekas som misstänkta brottslingar.

Skulle en brandvägg, som varje dag loggar tusentals intrångsförsök,
fortfarande kunna anses behandla ”enskilda uppgifter”? Det beror på;
om alla de tusentals intrångsförsöken skulle leda till krav på
skadestånd, så nej, kanske inte.

Blir man drabbad av flera tusen intrångsförsök varje dag är
sannolikheten stor att de allra flesta härstammar från maskar. Om man
däremot avgränsar sig till att enbart anmäla riktade attacker så är
det sannolikare att det är fråga om ”enskilda uppgifter”.

Det här resonemanget går inte att utläsa ur varken PUL eller DIFS
1998:3, men jag tycker att DI’s beslut i APB-fallet går längs den här
linjen.

I vilket fall som helst känns det absurt att en automatiserad
uppgiftsbehandling som är OK en vecka (då endast ett enstaka
intrångsförsök skedde) skulle vara otillåten nästa (då tusentals
intrångsförsök skett), när ingen ändring skett å egen part.

PUL 10 § f)

Det sista skälet tar sikte på varför man egentligen har
brandväggar — så att den stackars sysadminen kan hålla systemen
körande, skyddade från det stora farliga internet. Det får sägas vara
ett ganska berättigat intresse. Enligt 10 § f) PUL är det tillåtet
att behandla personuppgifter om det är nödvändigt för att:

ett ändamål som rör ett berättigat intresse hos den
personuppgiftsansvarige eller hos en sådan tredje man till vilken
personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse
väger tyngre än den registrerades intresse av skydd mot kränkning av
den personliga integriteten.

Den registrerades intresse av skydd mot kränkning av sin personliga
integritet får sägas väga ganska lätt i det här fallet…

Men är det inte fortfarande fråga om personuppgifter om
lagöverträdelser? Sådana går in under 21 §, där undantagen i 10 §
inte är tillämpliga. Njae, inte nödvändigtvis. Det hela hänger på om
man behandlar uppgifter om att ett datorintrångsförsök begåtts, eller
om ett IP-paket med ett visst innehåll mottagits. Från förarbetena
till PUL (SOU 1997:39 s 383):

En uppgift om att någon har eller kan ha begått stöld utgör otvivelaktigt
en uppgift om lagöverträdelse även om det inte finns någon dom beträffande
brottet; uppgiften har kvalificerats till att avse något visst brott.
Det framstår däremot som mera tveksamt i vad mån uppgifter om faktiska
iakttagelser kan anses utgöra uppgifter om lagöverträdelser, t.ex. en
uppgift om att någon använt narkotika, en uppgift om att någon kört
bil mellan två orter med viss (för hög) genomsnittlig hastighet, en
uppgift om att någon som arbetar med att tömma parkeringsautomater har
privat växlat in stora mängder mynt i bank osv. Elektronisk
övervakningsutrustning, t.ex. kameror, installeras vidare ofta i
privat verksamhet just i det befogade syftet att förr eller senare
registrera lagöverträdelser, och det skulle givetvis innebära
olägenheter om registreringen blev olaglig och skadeståndsgrundande i
samma ögonblick som syftet med den uppnåtts, dvs. när genomförandet av
t.ex. ett rån registrerats. Detta talar starkt för att uppgifter om
faktiska iakttagelser om en persons handlande inte rimligen kan anses
som uppgifter om lagöverträdelser i alla de fall handlandet kan
innebära en lagöverträdelse.

Dvs: om den brandväggsansvarige inte behandlar uppgifterna i syfte att
anmäla tusentals försök till datorintrång, utan bara för att hålla
koll på vad för trafik som kommer in (kanske med syfte att spärra
framtida kommunikation från specifika IP-nummer), så är 21 § inte
tillämplig, och därmed går undantaget i 10 § f) att använda.

Summering

Det här är resultatet av en knapp förmiddags grävande i författningar och förarbeten, och är således förmodligen bristfällig och säkert åtminstone delvis felaktig. De fyra olika invändningarna tycker jag ändå pekar på att frågan är komplicerad och inte alls så självklar åt ena eller andra hållet som många vill göra gällande.