|
Den omdebatterade IPRED-lagen
som träder i kraft i april om inte nån människa med
ryggrad i regeringen ändrar sig. Det är såklart trist
att Sveriges ledare faller som dominobrickor för lobbyism
och hot från de mäktiga och rika skiv- och filmbolagen,
men det är en helt annan historia.
Denna bloggpost handlar om det moment 22 som uppstår och
gör IPRED-lagen olaglig när den krockar med Personuppgiftslagen
(PUL). Det kommer nämligen bli ett brott mot PUL för
operatörer och tjänsteleverantörer att lagra och
registrera sina användares IP-adresser. Såhär funkar
det.
Vad är en personuppgift enligt PUL?
” All slags information som direkt eller indirekt kan hänföras
till en fysisk person som är i livet.” (PUL 3 § 4st).
I dagsläget innebär det att en IP-adress antagligen inte
skulle räknas som en personuppgift. Men vad händer när
IPRED-lagen träder i kraft då?
IPRED-lagens innebörd
Lagen kommer innebära att rättighetsinnehavare (musiker,
författare, filmbolag, skivbolag och programtillverkare)
vid “skäligt bevis” om stöld av deras skyddade verk
(via exempelvis fildelning) får rätten att veta vem som
abonnerat på en viss IP-adress vid tidpunkten för
fildelningen. Vad som exakt kommer vara skäligt bevis är
inte helt säkerställt, men vissa tror att en enkel skärmdump
ska kunna räkna som bevis.
IP-adresser är inte personuppgifter väl?
Jo, det räcker med att man indirekt kan hänföra en
IP-adress till en fysisk person som är i livet för att
den ska räknas som en personuppgift. Något som blir
verklighet med IPRED-lagen.
Strider inte detta mot PUL?
“Syftet med denna lag är att skydda människor mot att
deras personliga integritet kränks genom behandling av
personuppgifter.” (PUL 1§).
Ojdå det låter ju lite som att det strider mot PUL, men
låt oss titta närmare på varför.
När får man behandla personuppgifter?
Jo, man får alltid behandla personuppgifter om den
registrerade lämnat sitt samtycke. Kanske kommer det vara
så operatörer och Stasi.. jag menar Regeringen kommer
runt den här problematiken. Men kanske inte ändå.
Skulle vi registranter inte ge vårt medtyckande i avtalen
med Telia, Bredbandsbolaget och alla andra så får man
fortfarande registrera uppgifter om de faller inom vissa
andra kriterier. Dock måste behandlingen enligt 9:e
paragrafen i PUL fortfarande uppfylla följande krav:
b) personuppgifter alltid behandlas på ett
korrekt sätt och i enlighet med god sed,
Det är inte god sed eller korrekt att lämna ut
uppgifterna till Warner Bros.
c) personuppgifter samlas in bara för särskilda,
uttryckligt angivna och berättigade ändamål,
Att försvara upphovsrätten hos musikbolag är inte
angivet eller berättigat ändamål för någon som
anlitar Telia som bredbandsleverantör.
d) personuppgifter inte behandlas för något ändamål
som är oförenligt med det för vilket uppgifterna
samlades in,
Att kunna registrera och ange sina kunder för tjänster
som de anlitar för exakt samma ändamål är
uppenbarligen oförenligt.
e) de personuppgifter som behandlas är adekvata
och relevanta i förhållande till ändamålen med
behandlingen,
f) inte fler personuppgifter behandlas än som är nödvändigt
med hänsyn till ändamålen med behandlingen,
Man får alltså inte tvinga operatörerna att lagra mer
data eller data i längre tidsintervall bara för att man
ska ha mer tid på sig att sätta dit fildelare.
Effekter av att IP-adresser är personuppgifter
Om allt det här nu går igenom oavsett hela svenska
folkets motsättningar (eller ingorans i vissa fall) så
innebär det fortfarande en massa roliga saker som kommer
göra det väldigt ogynnsamt för operatörerna att
samarbeta med de elaka skivbolagen. Låt oss kolla varför:
-Du som registrerade har rätt att en gång om året få
ut alla personuppgifter lagrade om dig. Alla IP-adresser,
alla filer och alla anslutningar anförbara till din
person alltså som skett under ett helt kalenderår. De måste
även berätta vilka de lämnat ut uppgifterna till.
-Du har rätt att kräva att operatören rättar,
blockerar eller utplånar sådana uppgifter som inte
behandlats i enighet med avtalade syftet som jag nämnde
ovan.
-Operatörerna ska ersätta de registrerade personerna för
skada och kränkning av den personliga integriteten som
deras behandling har lett till. Om de lämnar ut uppgifter
till tredje man som skadar den registrerade så blir alltså
operatören skadeståndsskyldig gentemot den registrerade.
Slutsats
IPRED gör IP-adresser till personuppgifter vilket gör
att operatörerna beläggs med restriktioner enligt PUL för
lagring och delgivning av dessa uppgifter till tredje
part. Det kommer alltså strida mot lagen för operatörer
att anpassa sin registrering av ip-adresser och sessioner
för att göra skivbolagen glada. Det kommer även vara möjligt
till skadestånd när de bryter mot integriteten genom att
lämna ut dina uppgifter till tredje part.
|
