Sociala medier och olika sorters ansvar

En intressant nyhet som drunknat i veckans Almedalsflod är att Datainspektionen avslutat ett inledande projekt om sociala medier genom att meddela beslut i tre tillsynsärenden avseende vilket ansvar en myndighet, ett företag respektive en kommun har för sådant som andra skriver på deras facebooksidor.

Det hela sammanfattas i rubriken ”Myndigheter och företag på Facebook ansvarar för andras inlägg”, vilket kanske låter lite märkligt om man tänker straffansvar och den grundläggande principen att man enbart har ett straffrättsligt ansvarar för sina egna handlingar. Men det finns många sorters ansvar, och Datainspektionen siktar in sig på ett av dem, nämligen personuppgiftsansvaret. En liten terminologilektion är kanske på sin plats:

Datainspektionens tillsyn tar sikte på sådana handlingar som på något sätt involverar personuppgiftsbehandling (1), och som kränker den personliga integriteten (2). För sådana handlingar har den personuppgiftsansvarige (3) ett skadeståndsansvar (4), medan straffansvaret (5) ligger på den som utför (6) själva handlingen.

Många kursiva uttryck i det föregående stycket. Vi tar dem ett efter ett:

  1. Personuppgiftsbehandling är i princip vad som helst man gör med en dator som rör information som har det allra minsta att göra med en nu levande människa. Något så trivialt som lagring räknas som behandling, och något så personavlägset som ett fotografi av en registreringsskylt räknas som personuppgift.
  2. Vad som är en kränkning av den personliga integriteten är inte möjligt att generellt slå fast, men gränsen bestäms ytterst av domstolspraxis.
  3. Den personuppgiftsansvarige är den som bestämmer varför och på vilket sätt personuppgiftsbehandlingen ska gå till.
  4. Skadeståndsansvar betyder att man, vid skada, ska ersätta den som drabbats med en mängd pengar som, så långt det är möjligt, är tänkta att reparera den inträffade skadan. Det är ganska lätt att räkna ut den mängden när man ska ersätta ett nedbrunnet hus, men lite knepigare när någons integritet kränkts. Men det betyder inte att man inte ska försöka! Ett bra sätt att göra bort sig i en juridisk debatt är att förväxla skadestånd med böter.
  5. Straffansvar betyder att man, vid en straffbar handling, får betala böter eller sitta i fängelse (det finns några andra sanktioner också). Böterna går till staten, inte den som drabbats, och är genom dagsbotsystemet anpassade så att det ska svida lika mycket för fattig som för rik. Medan skadestånd kan drabba en juridisk person (exv ett företag) kan straffansvaret bara falla på en fysisk person.
  6. ”Den som utför” är lite svårare att definera, åtminstone för mig. Den som matar in uppgifter, eller direkt får en dator att utföra behandlingen. Med tanke på att även passiv lagring kan anses som behandling måste det finnas många scenarier där det är svårt att bedöma vem som ”utfört” ”behandlingen”.

Ok, vad betyder det i ett facebookscenario? I alla tre ärendena var fråga om juridiska personer som hade en Facebook-sida. Genom att bli ett fan kan varje facebookanvändare skriva meddelanden på sidan. Det datainspektionen i sitt beslut kom fram till var att de juridiska personerna (myndigheten, företaget respektive kommunen) uppfyllde kraven för att vara personuppgiftsansvarig för den personuppgiftsbehandling som förekom på deras respektive sidor:

Arbetsmiljöverket är en myndighet som har valt att finnas på Facebook genom att tillhandahålla Facebook-sidan i sin verksamhet. Arbetsmiljöverket har namngett sidan och kan bestämma vilka möjligheter det ska finnas för andra att behandla personuppgifter (göra inlägg) samt ge anvisningar för vilket innehåll sidan ska ha. Arbetsmiljöverket innehar den faktiska möjligheten att ta bort personuppgifter som publicerats på sidan. […] Arbetsmiljöverket får anses inneha möjlighet att bestämma över såväl ändamål som medel för behandlingen av personuppgifter på Facebook-sidan.

Med detta inte sagt att (i det här fallet) Arbetsmiljöverket var den enda personuppgiftsansvarige i sammanhanget:

Inspektionen omfattar således inte det eventuella personuppgiftsansvar som enskilda användare eller företagen Facebook, Twitter m.fl. kan ha för behandlingen av personuppgifter

Det ligger i sakens natur att Datainspektionen, med sitt begränsade tillsynsområde, inte kan belysa alla övriga ansvarsaspekter som finns. Men låt mig ändå räkna upp de andra jag kommer på. För att bli konkret kan vi ta exemplet att ett företag sätter upp en facebooksida, och en privatperson på denna sida skriver ett meddelande som dels kränker en enskild (namngiven) individs integritet genom att förtala denne, dels utgör hets mot folkgrupp.

  1. Straffansvar enligt PUL 49 §. Tillkommer, som vi konstaterat enligt ovan, den som utför handlingen. Det borde i första hand vara privatpersonen, men kanske kan även ansvar inträda för någon person på företaget (den som har möjlighet att ta bort publicerade meddelanden) efter att denne blivit uppmärksammad på meddelandets innehåll (krävs för att uppfylla brottets subjektiva rekvisit)? Ytterligare en fråga är om någon, och i så fall vem, på Facebook som kan bli straffrättsligt ansvarig (men i praktiken lär något sådant straff aldrig dömas ut)
  2. Straffansvar enligt BrB 5:1 för förtal och BrB 16:8 för hets mot folkgrupp. Tillkommer privatpersonen enbart.
  3. Straffansvar enligt BBS-lagen 5 och 7 §§ för den som tillhandahåller tjänsten. Enligt förarbetenas definition av ”tillhandahållande” ska detta vara den ”som kan bestämma över tjänstens användning, inklusive de tekniska och administrativa rutinerna”. Det borde i första hand träffa företaget (och där den eller de personer som har ansvar för och möjlighet att ta bort meddelanden).
  4. Om det har gjorts en databasanmälan eller ansökts om utgivningsbevis enligt YGL så blir den ansvarige utgivaren exklusivt straffrättsligt ansvarig för allt ovanstående. Det ska inte gå, eftersom databasen kan ändras av andra än den som driver verksamheten (särskilt om vem som helst kan skriva på sidan), men det har inte hindrat folk från att försöka liknande saker.
  5. Sedan kan kanske även privatpersonen bli skadeståndsskyldig, antingen genom PUL 48 § (om man anser att denne har ett delat personuppgiftsansvar tillsammans med företaget) eller genom SkL 2:1 (om man menar att kränkningen är en ren förmögenhetsskada). De här frågorna prövar datainspektionen inte, och jag vågar mig inte heller på en gissning. Kommentarsfältet är öppet för spekulationer.

En sak som man kanske kan tycka är konstig är att man som företag, myndighet eller privatperson är ansvarig för vad folk skriver till en på en facebooksida, men inte för @-omnämnanden på twitter (enligt det tredje beslutet). Men det är ändå två helt olika kommunikationsmodeller, och i Twitterfallet kan man inte ha någon kontroll över @-omnämnanden. Därför vore det orimligt att utkräva något ansvar för detta.

Man kan kanske tycka att det är orimligt att utkräva ansvar från den som startat en facebooksida, med hänvisning just till den grundläggande principen att alla svarar endast för sina egna handlingar. Poängen är dock att detta ansvar inte försvinner — i exemplet ovan är det fortfarande så att privatpersonen svarar för sina handlingar.  Men när man startar och driver en facebooksida får man nya, sekundära ansvar (personuppgiftsansvar enligt PuL, tillsynsansvar enligt BBS-lagen). Detta ansvar sammanfaller med förmågan att ta bort kränkande meddelanden — en inte helt orimlig konstruktion.

Om något är orimligt i sammanhanget är det kanske snarare PULs breda definitioner av ”personuppgift” och ”behandling”, och smala definition av ”privat behandling” som gör att i princip allt som är intressant i sociala medier (dvs sådant som på ett eller annat sätt anknyter till levande människor, dvs det sociala) är föremål för lagreglering på ett sätt som det offentliga samtalet aldrig någonsin var på papperstidning-och-torgmöte-tiden.

En välbevarad upphovsrättshemlighet

Not: Jag tar som vanligt inget ansvar för den eventuella
juridiska korrektheten av nedanstående — se det som en högljudd
fundering, bara.

Jag satt och tittade på Miljöpartiets
hearing om fildelning
som sändes för ett tag sedan. Ett vanligt
tema hos några av debattörerna var att Sverige inte kan
legalisera fildelning (defineras som ned- och uppladdning av verk0), ens om den politiska viljan skulle finnas,
på grund av internationella åtaganden, inte minst de olika deklarationa om
mänskliga rättigheter vi tillträtt. Vi börjar med att prata om
nedladdning:

Osökt dyker den väl bevarade hemligheten URL 53 § 2 st upp, en
undangömd paragraf som inte fått mycket omnämnande under
fildelningsdebatterna — den säger i princip att det inte är
straffbart (”skall inte dömas till ansvar”) att kopiera datorprogram för privat
bruk (om förlagan inte används i närings- eller offentlig
verksamhet). Notera dock — och det här är mycket viktigt
— att handlingen fortfarande kan resultera i civilrättsliga
sanktioner. Dvs, man kan inte få böter eller fängelse, men man kan
(som för alla upphovsrättsintrång) få betala skadestånd till
rättsinnehavaren. Notera att det alltid är, och alltid har varit,
straffbart att tillgängliggöra datorprogram till allmänheten (”ladda
upp”).

(En liten sidnot: Det är skillnad på straff- och civilrätt. Det är
exempelvis inte kriminellt att sälja ett hus med mögel i källaren,
eller knuffa omkull gamla damer i trängsen (åtminstone inte så länge
det inte sker med uppsåt), och man kan inte få böter eller fängelse
för det, men man kan bli skadeståndsskyldig gentemot den man
orsakar skada. Processuellt har rättsväsendet andra möjligheter att
utreda ett brottmål jämfört med ett civilmål. Samtliga
fildelningsdomar som fallit i Sverige har varit brottmål.)

Och då undrar man ju — hur går det här ihop med Sveriges åtaganden?
Är Infosoc-direktivets krav på ”lämpliga sanktioner och möjligheter
att vidta rättsliga åtgärder” i artikel 8(1) tillfredsställt genom enbart
en civilrättslig reglering? Tja, vad gäller just datorprogram får vi
titta på historiken — iom Sveriges EU-inträdande blev vi skyldiga att
implementera direktiv 91/250/EEG (Datorprogramdirektivet). På den
tiden var det lagligt att kopiera alla sorters verk för eget bruk,1
men EU (då EG) ville alltså harmonisera upphovsrättsskyddet för
datorprogram. EU har inte kompetens att föreskriva att länderna ska
implementera straffbestämmelser (även jag vill minnas att EG-domstolen
börjat göra en del djärva tolkningar av EUs befogenhet inom det
området). Mellan EU-inträdet och Infosoc-implementationen gällde
alltså strängare regler för datorprogram än övriga verkstyper.

När Infosoc sedan implementerades så var ett av målsättningarna (skäl
20) att inte påverka bestämmelserna i datorprogramdirektivet. Helt
plötsligt behandlades privatkopiering av datorprogram – i någon mån –
mildare än andra verkstyper.2 Så kan det gå.

Men, min frågeställning blir nu, med tanke på att vi åtminstone inte
straffbelagt nedladdning av datorprogram i enskilt bruk, och ännu inte
blivit utslängda ur FN: Skulle det, teoretiskt, vara möjligt för
Sverige att avkriminalisera privat exemplarframställan för alla typer
av upphovsrättsskyddade verk, så länge vi behåller de
civilrättsliga sanktionerna? Skulle det vara tillräckligt för Infosoc,
Bernekonventionen, TRIPS, WCT och allt annat vi skrivit på? Jag vet inte, men det är en vinkel jag inte hört diskuteras.

Om inte måste man svara på vad som är så speciellt med datorprogram jämfört med andra verk — det har ju uppenbarligen ansetts OK att explicit inte ha straffbestämmelser för privatkopiering för dessa.

I sammanhanget är Henry Olssons kommentar till 53 § 2 st intressant:

Den speciella regeln om datorprogram och om digitala
sammanställningar föranleddes av de kriminalpolitiska problemen med
att straffbelägga kopiering för enskilt bruk i allmänhet. Det är
praktiskt taget omöjligt eller i varje fall mycket svårt att övervaka
efterlevnaden av en straffbestämmelse på detta område. Om
efterlevnaden av en regel inte kan övervakas är den i praktiken
verkningslös och dessutom finns det en risk för att respekten i
allmänhet för lagstiftningen minskar.

(Olsson, Copyright, 2006, s 310 f)

Jag ser inget i det argumentet som inte kan appliceras på nedladdning
av film, musik och andra icke-datorprogram-verk. Argumentationen känns
dessutom igen från förespråkarna av fri fildelning.

Personligen är jag väl inte helt säker på att en enbart
civilrättslig sanktion uppfyllerInfosoc 8(1)’s krav på ”effektiva,
proportionella och avskräckande” sanktioner — en sanktion som
inte ens har brottsutredningskraft bakom sig är ännu mindre
avskräckande än dagens läge. Men EU får som sagt inte besluta om
ländernas straffbestämmelser, så i någon mån betyder ett de facto
EU-krav på kriminalisering att EU de facto överträtt sin
befogenhet. Men det är bara min spekulation.

Vad gäller uppladdning: Detta defineras som tillgängliggörande för
allmänheten medelst överföring (2 § 3 st 4 p) och har alltid (typ) varit
förbjudet. Men vad är då ”allmänhet”? Enligt Levin är det ”enligt
gängse språkbruk en obestämd krets av personer som får
möjlighet att ta del av verket” (Levin, Lärobok i Immaterialrätt,
supplement 2006, s 95).

Om Biddle, England, Peinado och Willman3 har rätt,
kommer nätverken bli mindre och i många fall bara bestående av
utvalda, dvs inte obestämda, människor — många (alla?) nätverk högt
upp i warez-hierarkierna är invite-only. Om jag delar med mig av en
datorprogram till tio personer jag känner (kanske via Sneakernet-P2P)
kan detta knappast vara ett allmänt tillgängliggörande. Om sedan någon
av dessa delar vidare programmet till tio andra, påverkar det
bedömningen av min handling, så att det i tredje eller fjärde led ska anses som ”… till allmänheten”? Åtminstone straffrättsligt känns det
tveksamt att göra en sån tolkning.

En annan approach, laglig fildelning via avtalslicenser har IRI-medarbetaren Katarina Renman Claesson. Mycket läsvärt och intressant bemötande av ”det går inte”-argumentet.

0: För sakens skull pratar jag alltid i den här texten om
upphovsrättsskyddat material där upphovsmannen inte gett sitt
tillstånd till vilken handling jag nu råkar diskutera.

1: Några bedömare menar att det redan då var civilrättsligt otillåtet
med privat exemplarframställning från en olovlig förlaga. Levin
skriver ”Av 12 § 4 st framgår det dessutom den självklara principen
att utan ett lovligt offentliggörande finns det inte heller
någon rätt till privat kopiering, oavsett god tro” (min kursivering)
(a.a. s 134). Olsson
skriver däremot ”[…] i juli 2005 tillkom en ny förutsättning för
att kopiering skall få ske enligt privat bruk” (min kursivering)
(a.a. s 191) vilket måste anses mena att
förutsättningen inte tidigare fanns.

2: Obs att privatkopiering av andra verkstyper från en lovlig förlaga
är helt och hållet tillåtet, till skillnad från vad gäller
datorprogram. Du får alltså inte göra en egen, privat, kopia av ett
datorprogram du köpt (såvida du inte kan stödja dig på undantagen i 26
§)

3: ”The Darknet and the Future of Content Distribution” (Word, PDF)
obligatorisk läsning för alla som vill debattera
upphovsrätten i den digitala tidsåldern.