Hobbyjuridisk tolkning av IPRED & Bahnhof

Jag satte mig ner här idag, och verkligen läste igenom dom paragrafer i ”Lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk” som utgör IPRED. Och jämförde dom med dom paragrafer i ”Lagen (2003:389) om Elektronisk Kommunikation” (LEK) som är det som Bahnhof, AllTele & NetAtOnce numera använder sig av för att skydda vår integritet.

Detta dokument är, för att vara mer lättläst, uppdelat i delar: Disclaimer, Copyright?, Inledning, Tolkning, Slutsats, Källor.
Likväl har jag försökt att länka lagtexter så mycket jag kan. Just tolkning innehåller väldigt mycket citerade lagtexter, och orkar du inte läsa dom kan du hoppa ner till slutsatsen på en gång.

Disclaimer:
Jag har enbart tittat på dom berörda lagarna, så chansen finns att jag missat något, och det kan finnas felaktigheter i mina tolkningar. Jag har ingen som helst juridisk utbildning, utan har enbart utifrån sunt förnuft och korsjämförelser i lagarna gjort mina tolkningar och slutsatser.

Copyright?:
Som alla andra saker jag skriver är denna artikel fri att länka till, men om ni kopierar all denna texten ser jag gärna att ni länkar tillbaka till denna bloggens förstasida, alternativt detta specifika blogginlägget. Men det är inget krav.

Inledning:
Många som har letat efter IPRED har säkert gått på bet att hitta den i sen helhet. IPRED är författning 2009:109 i SFS, och ändrar/lägger till i ”Lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk”.
Specifikt utgörs IPRED av 53b 53c 53d 53e 53f 53g 53h 54 55 56 56a 56b §§ i ”Lagen (1960:729) om upphovsrätt till litterära verk” (kommer benämnas IPRED i resten av detta dokument).
Lagen (2003:389) om elektronisk kommunikation, kommer benämnas LEK, Personuppgiftslagen (1998:204) kommer benämnas PUL.
Du hittar länkar till alla Lagar i botten av detta dokument.

Tolkning:
Vår personliga integritets kränkning i och med införande av IPRED är rejäla. Dock finns det en lag som faktiskt ligger i direkt konflikt med IPRED, nämligen LEK.
LEK 6 kapitlet 5 § statuerar att:

Trafikuppgifter som avser användare som är fysiska personer eller avser abonnenter och som lagras eller behandlas på annat sätt av den som bedriver verksamhet som är anmälningspliktig enligt 2 kap. 1 §, skall utplånas eller avidentifieras när de inte längre behövs för att överföra ett elektroniskt meddelande, om de inte får sparas för sådan behandling som anges i 6 eller 13 §.

LEK 2 kapitlet 1 § statuerar:

Allmänna kommunikationsnät av sådant slag som vanligen tillhandahålls mot ersättning eller allmänt tillgängliga elektroniska kommunikationstjänster får endast tillhandahållas efter anmälan till den myndighet som regeringen bestämmer (tillsynsmyndigheten).

Alltså, enligt LEK 2 kapitlet 1 § så faller en internetleverantör under de som ska följa LEK 6 kapitlet 5 §, och därigenom utplåna identifieringsuppgifter när dom inte längre behövs.

Dock har vi inte tittat på LEK 6 kapitlet 6 § & LEK 6 kapitlet 13 § som också nämns i LEK 6 kapitlet 5 §.

LEK 6 kapitlet 6 § statuerar:

Trafikuppgifter som krävs för abonnentfakturering och betalning av avgifter för samtrafik får behandlas till dess att fordran är betald eller preskription inträtt och det inte längre lagligen går att göra invändningar mot faktureringen eller avgiften.

Om den som uppgifterna rör har samtyckt till det, får den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst behandla de uppgifter som avses i 5 § för att marknadsföra elektroniska kommunikationstjänster eller för att tillhandahålla andra tjänster där uppgifterna behövs, i den utsträckning och under den tid som är nödvändig för tjänsten eller marknadsföringen. Ett samtycke kan när som helst återkallas.

Den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst skall informera den uppgiften rör om vilken typ av trafikuppgifter som behandlas och hur länge uppgifterna behandlas för sådana ändamål som anges i första och andra stycket. Informationen skall lämnas innan samtycke inhämtas.

LEK 6 kapitlet 6 § berör vissa internetleverantörer, de som fakturerar för trafikmängd. Övriga internetleverantörer berörs inte av den.

LEK 6 kapitlet 13 § statuerar:

Den som tillhandahåller ett allmänt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst får

* 1. på begäran av en abonnent temporärt åsidosätta skydd mot nummerpresentation för att kunna identifiera störande samtal samt lagra sådana uppgifter som identifierar den anropande abonnenten och hålla dem tillgängliga för abonnenten på begäran, samt
* 2. för Polisen eller en regional alarmeringscentral som avses i lagen (1981:1104) om verksamheten hos vissa regionala alarmeringscentraler åsidosätta skydd mot nummerpresentation och tillhandahålla sådan organisation lokaliseringsuppgifter vid nödsamtal, utan samtycke eller trots vägran från abonnenten eller användaren.

Denna lagen är helt ovital för en Internetleverantör, eftersom dom varken sysslar med nummerpresentation eller alarmering av Polis/Räddningstjänst.

Vi fortsätter titta på LEK 6 kapitlet (som faktiskt heter ”Integritetsskydd”), och hittar lite mera intressant.

LEK 6 kapitlet 1 § statuerar att:

I detta kapitel avses med

elektroniskt meddelande: all information som utbyts eller överförs mellan ett begränsat antal parter genom en allmänt tillgänglig elektronisk kommunikationstjänst, utom information som överförs som del av sändningar av ljudradio- och TV-program som är riktade till allmänheten via ett elektroniskt kommunikationsnät om denna information inte kan sättas i samband med den enskilde abonnenten eller användaren av informationen,

trafikuppgift: uppgift som behandlas i syfte att befordra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller för att fakturera detta meddelande.

Begreppen behandling, personuppgiftsansvarig och samtycke har i kapitlet samma innebörd som i personuppgiftslagen (1998:204).

Detta beskriver hur lagen ska tolkas, och olika innebörder av saker som nämns. Intressant är att se att just behandling & samtycke har samma innebörd som i PUL.

LEK 6 kapitlet 2 § statuerar:

I fråga om behandling av personuppgifter vid tillhandahållande av elektroniska kommunikationsnät och elektroniska kommunikationstjänster samt vid abonnentupplysning gäller personuppgiftslagen (1998:204), om inte annat följer av denna lag.

Bestämmelserna i personuppgiftslagen om rättelse och skadestånd gäller även vid behandling av personuppgifter enligt denna lag.

I det allmännas verksamhet skall sekretesslagen (1980:100) tillämpas i stället för 20 21 22 23 §§.

LEK 6 kapitlet 2 § är intressant, den beskriver hur LEK 6 kapitlet förhållningen gentemot annan lagstiftning ska vara.
LEK 6 kapitlet 21 § berör FRA lagstiftning, och är inte väsentlig i denna tolkning. LEK 6 kapitlet 23 § berör radiomottagare, och är inte applicerbart.
LEK 6 kapitlet 22 § är dock intressant.

LEK 6 kapitlet 22 § statuerar att:

Den som tillhandahåller ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst och därvid har fått del av eller tillgång till uppgift som avses i 20 § första stycket skall på begäran lämna
* 1. uppgift som avses i 20 § första stycket 1 till en myndighet som i ett särskilt fall behöver en sådan uppgift för delgivning enligt delgivningslagen (1970:428), om myndigheten finner att det kan antas att den som söks för delgivning håller sig undan eller att det annars finns synnerliga skäl,
* 2. uppgift som avses i 20 § första stycket 1 och som gäller misstanke om brott till åklagarmyndighet, polismyndighet eller någon annan myndighet som skall ingripa mot brottet, om fängelse är föreskrivet för brottet och det enligt myndighetens bedömning kan föranleda annan påföljd än böter,
* 3. uppgift som avses i 20 § första stycket 3 och som gäller misstanke om brott till åklagarmyndighet, polismyndighet eller någon annan myndighet som skall ingripa mot brottet, om det för brottet inte är föreskrivet lindrigare straff än fängelse i två år,
* 4. uppgift som avses i 20 § första stycket 1 till Kronofogdemyndigheten om myndigheten behöver uppgiften i exekutiv verksamhet och myndigheten finner att uppgiften är av väsentlig betydelse för handläggningen av ett ärende,
* 5. uppgift som avses i 20 § första stycket 1 till Skatteverket, om verket finner att uppgiften är av väsentlig betydelse för handläggningen av ett ärende som avser kontroll av skatt eller avgift eller rätt folkbokföringsort enligt folkbokföringslagen (1991:481),
* 6. uppgift som avses i 20 § första stycket 1 till polismyndighet, om myndigheten finner att uppgiften behövs i samband med underrättelse, efterforskning eller identifiering vid olyckor eller dödsfall eller för att myndigheten skall kunna fullgöra en uppgift som avses i 12 § polislagen (1984:387),
* 7. uppgift som avses i 20 § första stycket 1 till polismyndighet eller åklagarmyndighet, om myndigheten finner att uppgiften behövs i ett särskilt fall för att myndigheten skall kunna fullgöra underrättelseskyldighet enligt 33 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare, och
* 8. uppgift som avses i 20 § första stycket 1 och 3 till regional alarmeringscentral som avses i lagen (1981:1104) om verksamheten hos vissa regionala alarmeringscentraler.

Ersättning för att lämna ut uppgifter enligt första stycket 8 skall vara skälig med hänsyn till kostnaderna för utlämnandet. Lag (2006:737).

Intressant! Här ser vi att en Internetleverantör endast får lämna ut uppgifter om en abbonent om straffet är fängelse, och sen i nästa punkt står det fängelse i två år.
Tyvärr är just de punkterna åsidosatta i IPRED, så dom kan få ut uppgifter även vid mildare brott.
LEK 6 kapitlet 20 § behandlar tystnadsplikt, och att en internetleverantör inte får lämna ut uppgifter till tredje part. Och är likväl åsidosatt i IPRED. Så nu har vi konstaterat att IPRED ger APB större befogenheter än polisen, genom IPRED.
MEN, vi har endast konstaterat en sak nu, att IPRED åsidosätter hur LEK 6 kapitlet 2 § fungerar, inte att den på något sätt berör LEK 6 kapitlet 5 §.

Alltså, än så länge har IPRED inte påverkat LEK 6 kapitlet 5 § överhuvudtaget.

Låt oss ta en titt på dom två paragrafer som främst är ett hot mot LEK.

IPRED 53f § statuera att:

Den som på grund av bestämmelserna i 53 c § andra stycket 2–5 har förelagts att enligt första stycket samma paragraf lämna information har rätt till skälig ersättning för kostnader och besvär. Ersättningen ska betalas av den som har framställt yrkandet om informationsföreläggande.

Den som tillhandahåller en elektronisk kommunikationstjänst och som till följd av ett informationsföreläggande har lämnat ut information som avses i 6 kap. 20 § lagen (2003:389) om elektronisk kommunikation ska sända en skriftlig underrättelse om detta till den som uppgifterna gäller tidigast efter en månad och senast efter tre månader från det att informationen lämnades ut. Kostnaden för underrättelsen ersätts enligt första stycket. Lag (2009:109).

IPRED 53g § statuerar att:

Trots förbudet i 21 § personuppgiftslagen (1998:204) får personuppgifter om lagöverträdelser som innefattar brott enligt 53 § behandlas om detta är nödvändigt för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras. Lag (2009:109).

Har även läst igenom resterande paragrafer som utgör IPRED, men endast dessa två kunde jag anse applierbara i vårat fall. Och vad ser jag? Ingenstans står det att en internetleverantör är tvungen att kvarhålla identifiering av ett enskilt IP en viss tid. Det kräver inte ens att uppgifterna kvarhålls överhuvudtaget.
Paragrafen i LEK dom hänvisar till, säger bara att dom har rätt att åsidosätta skyddet i som statueras i just den paragrafen.

Jag har spart det bästa till sist.
LEK 6 kapitlet 3 § statuerar att:

Den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst skall vidta lämpliga åtgärder för att säkerställa att behandlade uppgifter skyddas. Den som tillhandahåller ett allmänt kommunikationsnät skall vidta de åtgärder som är nödvändiga för att upprätthålla detta skydd i nätet. Åtgärderna skall vara ägnade att säkerställa en säkerhetsnivå som, med beaktande av tillgänglig teknik och kostnaderna för att genomföra åtgärderna, är anpassad till risken för integritetsintrång.

Ser ni? ”skall vidta lämpliga åtgärder för att säkerställa att behandlade uppgifter skyddas.”, en internetleverantör ska AKTIVT vida åtgärder för att behandlat uppgifter skyddas. Alltså, radera dom så att vår personliga integritet skyddas. :)

Slutsats:
En internetleverantör kan välja att följa LEK 6 kapitlet 5 § genom att en minimal tid spara identifieringsuppgifter (precis som Bahnhof, AllTele & Net at Once gör) på DHCP-servern (den server som delar ut IP:n i ett nät). För att kunna följa LEK 6 kapitlet 8 § kan man låta brandvägg & annan utrustning i nätet fånga upp obehörig trafik gentemot internetleverantören, och enbart logga den (vid behov loggning dvs).
Dessutom så kan man tolka som så att LEK 6 kapitlet 3 § *kräver* att dom ska vidta åtgärdernai i LEK 6 kapitlet 5 § för att skydda våran integritet.
Genom att göra på detta sättet kan en internetleverantör följa LEK 6 kapitlet till fullo, samtidigt som följer kraven i IPRED till fullo.
Och, deras abbonents integritet är skyddad. Min undran nu, är varför har inte fler internetleverantörer hakat på detta?

Källor:
Lagen (2003:389) om Elektronisk Kommunikation: Lagen.nu | Rixlex
Personuppgiftslagen (1998:204): Lagen.nu | Rixlex
Sekretesslagen (1980:100): Lagen.nu | Rixlex
Lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk: Lagen.nu | Rixlex
Lagen 2009:109 (IPRED): Lagen.nu