Sociala medier och olika sorters ansvar

En intressant nyhet som drunknat i veckans Almedalsflod är att Datainspektionen avslutat ett inledande projekt om sociala medier genom att meddela beslut i tre tillsynsärenden avseende vilket ansvar en myndighet, ett företag respektive en kommun har för sådant som andra skriver på deras facebooksidor.

Det hela sammanfattas i rubriken ”Myndigheter och företag på Facebook ansvarar för andras inlägg”, vilket kanske låter lite märkligt om man tänker straffansvar och den grundläggande principen att man enbart har ett straffrättsligt ansvarar för sina egna handlingar. Men det finns många sorters ansvar, och Datainspektionen siktar in sig på ett av dem, nämligen personuppgiftsansvaret. En liten terminologilektion är kanske på sin plats:

Datainspektionens tillsyn tar sikte på sådana handlingar som på något sätt involverar personuppgiftsbehandling (1), och som kränker den personliga integriteten (2). För sådana handlingar har den personuppgiftsansvarige (3) ett skadeståndsansvar (4), medan straffansvaret (5) ligger på den som utför (6) själva handlingen.

Många kursiva uttryck i det föregående stycket. Vi tar dem ett efter ett:

  1. Personuppgiftsbehandling är i princip vad som helst man gör med en dator som rör information som har det allra minsta att göra med en nu levande människa. Något så trivialt som lagring räknas som behandling, och något så personavlägset som ett fotografi av en registreringsskylt räknas som personuppgift.
  2. Vad som är en kränkning av den personliga integriteten är inte möjligt att generellt slå fast, men gränsen bestäms ytterst av domstolspraxis.
  3. Den personuppgiftsansvarige är den som bestämmer varför och på vilket sätt personuppgiftsbehandlingen ska gå till.
  4. Skadeståndsansvar betyder att man, vid skada, ska ersätta den som drabbats med en mängd pengar som, så långt det är möjligt, är tänkta att reparera den inträffade skadan. Det är ganska lätt att räkna ut den mängden när man ska ersätta ett nedbrunnet hus, men lite knepigare när någons integritet kränkts. Men det betyder inte att man inte ska försöka! Ett bra sätt att göra bort sig i en juridisk debatt är att förväxla skadestånd med böter.
  5. Straffansvar betyder att man, vid en straffbar handling, får betala böter eller sitta i fängelse (det finns några andra sanktioner också). Böterna går till staten, inte den som drabbats, och är genom dagsbotsystemet anpassade så att det ska svida lika mycket för fattig som för rik. Medan skadestånd kan drabba en juridisk person (exv ett företag) kan straffansvaret bara falla på en fysisk person.
  6. ”Den som utför” är lite svårare att definera, åtminstone för mig. Den som matar in uppgifter, eller direkt får en dator att utföra behandlingen. Med tanke på att även passiv lagring kan anses som behandling måste det finnas många scenarier där det är svårt att bedöma vem som ”utfört” ”behandlingen”.

Ok, vad betyder det i ett facebookscenario? I alla tre ärendena var fråga om juridiska personer som hade en Facebook-sida. Genom att bli ett fan kan varje facebookanvändare skriva meddelanden på sidan. Det datainspektionen i sitt beslut kom fram till var att de juridiska personerna (myndigheten, företaget respektive kommunen) uppfyllde kraven för att vara personuppgiftsansvarig för den personuppgiftsbehandling som förekom på deras respektive sidor:

Arbetsmiljöverket är en myndighet som har valt att finnas på Facebook genom att tillhandahålla Facebook-sidan i sin verksamhet. Arbetsmiljöverket har namngett sidan och kan bestämma vilka möjligheter det ska finnas för andra att behandla personuppgifter (göra inlägg) samt ge anvisningar för vilket innehåll sidan ska ha. Arbetsmiljöverket innehar den faktiska möjligheten att ta bort personuppgifter som publicerats på sidan. […] Arbetsmiljöverket får anses inneha möjlighet att bestämma över såväl ändamål som medel för behandlingen av personuppgifter på Facebook-sidan.

Med detta inte sagt att (i det här fallet) Arbetsmiljöverket var den enda personuppgiftsansvarige i sammanhanget:

Inspektionen omfattar således inte det eventuella personuppgiftsansvar som enskilda användare eller företagen Facebook, Twitter m.fl. kan ha för behandlingen av personuppgifter

Det ligger i sakens natur att Datainspektionen, med sitt begränsade tillsynsområde, inte kan belysa alla övriga ansvarsaspekter som finns. Men låt mig ändå räkna upp de andra jag kommer på. För att bli konkret kan vi ta exemplet att ett företag sätter upp en facebooksida, och en privatperson på denna sida skriver ett meddelande som dels kränker en enskild (namngiven) individs integritet genom att förtala denne, dels utgör hets mot folkgrupp.

  1. Straffansvar enligt PUL 49 §. Tillkommer, som vi konstaterat enligt ovan, den som utför handlingen. Det borde i första hand vara privatpersonen, men kanske kan även ansvar inträda för någon person på företaget (den som har möjlighet att ta bort publicerade meddelanden) efter att denne blivit uppmärksammad på meddelandets innehåll (krävs för att uppfylla brottets subjektiva rekvisit)? Ytterligare en fråga är om någon, och i så fall vem, på Facebook som kan bli straffrättsligt ansvarig (men i praktiken lär något sådant straff aldrig dömas ut)
  2. Straffansvar enligt BrB 5:1 för förtal och BrB 16:8 för hets mot folkgrupp. Tillkommer privatpersonen enbart.
  3. Straffansvar enligt BBS-lagen 5 och 7 §§ för den som tillhandahåller tjänsten. Enligt förarbetenas definition av ”tillhandahållande” ska detta vara den ”som kan bestämma över tjänstens användning, inklusive de tekniska och administrativa rutinerna”. Det borde i första hand träffa företaget (och där den eller de personer som har ansvar för och möjlighet att ta bort meddelanden).
  4. Om det har gjorts en databasanmälan eller ansökts om utgivningsbevis enligt YGL så blir den ansvarige utgivaren exklusivt straffrättsligt ansvarig för allt ovanstående. Det ska inte gå, eftersom databasen kan ändras av andra än den som driver verksamheten (särskilt om vem som helst kan skriva på sidan), men det har inte hindrat folk från att försöka liknande saker.
  5. Sedan kan kanske även privatpersonen bli skadeståndsskyldig, antingen genom PUL 48 § (om man anser att denne har ett delat personuppgiftsansvar tillsammans med företaget) eller genom SkL 2:1 (om man menar att kränkningen är en ren förmögenhetsskada). De här frågorna prövar datainspektionen inte, och jag vågar mig inte heller på en gissning. Kommentarsfältet är öppet för spekulationer.

En sak som man kanske kan tycka är konstig är att man som företag, myndighet eller privatperson är ansvarig för vad folk skriver till en på en facebooksida, men inte för @-omnämnanden på twitter (enligt det tredje beslutet). Men det är ändå två helt olika kommunikationsmodeller, och i Twitterfallet kan man inte ha någon kontroll över @-omnämnanden. Därför vore det orimligt att utkräva något ansvar för detta.

Man kan kanske tycka att det är orimligt att utkräva ansvar från den som startat en facebooksida, med hänvisning just till den grundläggande principen att alla svarar endast för sina egna handlingar. Poängen är dock att detta ansvar inte försvinner — i exemplet ovan är det fortfarande så att privatpersonen svarar för sina handlingar.  Men när man startar och driver en facebooksida får man nya, sekundära ansvar (personuppgiftsansvar enligt PuL, tillsynsansvar enligt BBS-lagen). Detta ansvar sammanfaller med förmågan att ta bort kränkande meddelanden — en inte helt orimlig konstruktion.

Om något är orimligt i sammanhanget är det kanske snarare PULs breda definitioner av ”personuppgift” och ”behandling”, och smala definition av ”privat behandling” som gör att i princip allt som är intressant i sociala medier (dvs sådant som på ett eller annat sätt anknyter till levande människor, dvs det sociala) är föremål för lagreglering på ett sätt som det offentliga samtalet aldrig någonsin var på papperstidning-och-torgmöte-tiden.

Culpatic programming

In the legal world, there is this latin term ”culpa”, which translates
roughly to ”carelessness” or ”neglience”. The term does not seem to be
used in US Law, but I’m guessing a similar concept still exists in all
Common Law countries (it might be worth mentioning to the casual
Google refereant that this post is written based in my understanding
of swedish law — if you’re in some other jurisdiction you
should take this with an even larger grain of salt).

The concept of culpa, or rather careless behaviour, is very important
when it comes to assessing whether a certain harmful action (or
sometimes inaction) by a person should make that person liable for
damages. The rules differ somewhat if the two parties were in a legal
agreement of some kind, but basically — if you cause harmful effects,
you’re generally worse off if it was due to carelessness than if it
was by accident (”casus”).

For example, if a supplier did not deliver his goods to the customer
at the agreed time and place, and this was harmful to the customer in
some way, the supplier is more likely to be liable for damages if the
reason for the failed delivery was due to him forgetting about it, as
opposed to there being a unforeseeable traffic jam that prevented him
from reaching the delivery place on time.

To determine wheter a particular action should be categorized as casus
or culpa, a court need to have some sort of guideline as to what is
generally considered to be careless in the context of the harmful
action. In some cases (such as traffic, or working environments), there
are rules that more or less spell out what is considered careless. In
the absence of those rules, courts generally observe what level of
carefulness that is considered adequate by those proficient in the
profession or trade.

In the programming world, there’s a whole lot of ”culpatic
programming” going on — proficient developers know about appropriate
steps to ensure at least some level of quality in their delivered
products, ranging from design methologies to source code management to
customer involvement to established QA techniques. They also know that
these steps often are not followed — for whatever reason. The result
is buggy software that cost time, money and sometimes lives.

Yet, the fact that many programs and systems are carelessly written
ise rarely discussed — most of the time, it is observed that bugs
will happen, a EULA or
other agreement that absolves the company of liabilities due to bugs
in the code is slapped on, and that’s the end of that.

While is true that it’s impossible (in any practical sense) to write
bug-free programs, it is possible to make a meaningful
distinction between bugs cased by carelessness (”culpa” bugs) and bugs
cased by accident (”casus” bugs). The intented usage for the system
will probably affect how the distinction is made (a off-by-one bug
might well be determined to be a ”casus” bug in a admin UI for a
in-house CMS, but is probably a ”culpa” bug in the firmware for a
electronic pacemaker). This also means that software that, when
written, is likely to capture a mass market (such as the RPC server in
the next Windows version) could and should be held to a higher
standard than software written on a hobby basis, when it comes to
determine carelessness.

Often, when the issue of software liability is raised, the
discussion is cut short by the observation that software will always
have bug, and that some of them will cause disastrous effect. It’s
also observed that there is a point in software development where the
cost of finding and fixing the remaining bugs is larger than what the
customers are prepared to pay, and if we make the law demand software
developer liability, no programs (particularly open source ones) will
get released. While it’s true, it’s a all-or-nothing argument. As a
(semi-retired) developer, I’ve caused my fair share of bugs in my
time. Many of these were casus bugs, but some were culpa bugs, bugs
that I would not have created had I followed adequate development
procedures. It’s the latter sort of bug I’m talking about — the ones
that are technologically AND economically feasible to eliminate, but
developers lack incentive to do so (other than pride of
craftmanship).

One large problem is that very few are qualified to determine
whether a bug is culpa or casus. Then again, very few are qualified to
determine if a certain food handling procedure is adequate or
neglient, or wheter a car’s failing braking system was carelessly
designed or not. The legal system still demands that we make a
destinction between culpa and casus in these cases, and does not allow
the food or car industry to sell their products with attached general
disclaimers that frees them from responsibility. Wheter enough care
was taken is determined by experts in the respective fields. For the
software case, this will mean letting independent parties review the
code and particular the conditions of the bug. This will, in many
cases, be expensive, but so are the problems that software bugs
cause.