Telia i topp över internetleverantörer som delar IP-uppgifter till advokatfirmor

Det är förstås olagligt att lämna ut uppgifterna frivilligt. Det rör sig om personuppgifter och enligt GDPR får man inte hantera personuppgifter hur som helst. Istället måste operatörerna vänta tills det finns ett domstolsbeslut där det står om uppgifterna ska lämnas ut eller inte och sedan tvingas operatörerna att rätta sig efter detta.

"De uppgifter vi har lagrat har antingen raderats inom 24 timmar, eller varit strikt avsedda för LEK och endast lämnats ut inom ramarna för den lagen. När vi har fått förfrågningar om att lämna ut kunddata enligt IPRED har vi alltså inte haft något att lämna ut"

Saxat från Bahnhofs egen hemsida, och precis som jag sa är det skillnad på data och data, det Bahnhof lagrar för LEK är inget som de kan tvingas lämna ut till advokatfirmorna då det endast är till för brottsbekämpande myndighet.
Du får jättegärna komma med något underlag till att Bahnhof i domstol kan fällas att behöva dela LEK-loggar till advokatfirmorna.

Skillnaden mellan Telia/ComHem och Bahnhof är ju att Telia och ComHem faktiskt har loggar med kunddata som de sparar för annat än LEK, som då också kan lämnas ut

Mot bakgrund av vad som nu har sagts bedömer kammarrätten att intresset att ge bl.a. Polismyndigheten en sådan tillgång till uppgifter om abonnemang som nu är aktuell i syfte att undersöka, avslöja och väcka åtal för brott väger tyngre än enskildas integritetsintresse. Den skyldighet som avses i föreläggandet och som innebär att Bahnhof på begäran av bl.a. Polismyndigheten ska lämna ut uppgifter om abonnemang står därför inte i strid med artikel 15.1 i direktiv 2002/58/EG jämförd med artiklarna 7, 8 och 52.1 i EU:s rättighetsstadga.

https://lagen.nu/dom/rk/2018:1 kan du läsa lite, var runt denna tiden Bahnhof slutade smutskasta andra när charaden att Bahnhof inte lämnar ut uppgifter var över. Det spelar ingen roll vad Bahnhof kallar sitt "register" eller vilken anledning de sparar datan för. Datan existerar och Bahnhof har en skyldighet att lämna ut datan.

Kortfattat i ett utdrag, notera bland annat, inte bara Polisen de måste lämna uppgifterna till.

Personligen äcklar det svenska rätts-systemet mig med sina beslut. Men Bahnhofs PR lögner om att de skulle vara bättre än andra på integritet? Lite som att en måltavla på en skjutbana skryter om att alla väljer att skjuta en annan tavla.

"I denna del hade Post- och telestyrelsen därför rätt att förelägga operatören att lämna ut uppgifter till brottsbekämpande myndigheter som ska ingripa mot brottet oavsett det misstänkta brottets svårhetsgrad."

"Operatörer är skyldiga att lagra uppgifter om t.ex. IP-adresser enligt lagen om elektronisk kommunikation för att uppgifterna ska kunna användas av myndigheter för brottsbekämpande ändamål. Dessa uppgifter kan inte begäras ut med hänvisning till IPRED, utan rättighetsägare är hänvisade till andra uppgifter som kan finnas i operatörers loggar eller databaser som används av operatören själv. Vissa operatörer har valt att minimera behovet av lagring av IP-adresser, genom att radera den informationen så fort de anser sig inte längre behöva den, till exempel Bahnhof."

Frågan är om de (advokatfirmorna alltså) fortfarande kan hävda att syftet är att väcka åtal? De har ju misslyckats ganska kapitalt om de har tänkt göra det i hundratusentals fall men aldrig kommit till skott liksom. Lagen säger inte att de måste lämna ut uppgifter för andra syften, som hotbrev, utpressning eller bluffakturor.

Jag tycker det här är en intressant tanke. Ifall 190.000 personers uppgifter hämtats ut inom området fildelning av film utan att ett enda åtal väckts (Bahnhofs uppgift om jag förstår artikeln rätt) så borde man väl kunna intressera Integritetsskyddsmyndigheten (alltså Datainspektionen) för ifall vissa aktörer ska få hämta ut uppgifter på det här viset? Eller kan de hävda att några betalar och därför är det ett relevant sätt att använda lagen på?

Varför tar de här firmorna förresten ingen till domstol? Är det uppenbart att de skulle förlora?

Dataskyddsförordningen (artikel 6) kräver att det finns ett syfte med en personuppgiftsbehandling. Eftersom IPRED finns så är ett godkänt syfte för att lagföra personer som hanterar upphovsrättsskyddat material. Då får Njord & Co samla in såna uppgifter om de har upphovsrättsinnehavarens uppdrag att göra det. Så långt är jag med.

Men om de aldrig stämmer någon (och behåller uppgifterna) gör de istället en förteckning över folks filmsmak där det kanske går att se att jag har tittat på "Polisskolan 4", "Jack och Jill" och "10.000 timmar". Eftersom det inte är det skälet de angav till internetleverantören för att få uppgifterna från början så ser inte jag hur det skulle vara lagligt. Att vissa av mina personuppgifter är offentliga ger inte någon rätt att lagra dem av ett annat syfte än det angivna.

Tänker jag fel nånstans längs vägen här? Antagligen, men i så fall var?

En advokatbyrå får rimligen till exempel upprätta det som kallas ett motpartsregister i ditt dokument. Men som 3.1.2 och 3.1.3 på sidan 15 säger så får registret bara användas till syftet uppgifter samlades in för. Och om 0 uppgiftsinsamlingar av 190.000 använts för att gå till rättegång (är det verkligen så?) så tycker jag att Integritetsskyddsmyndigheten borde undersöka ifall det syfte som Njord med flera angett är trovärdigt. Och annars ge en instruktion till operatörerna att bara lämna ut uppgifter i fall där personuppgiftsutlämningen förväntas leda till stämning.

Nu har jag skrivit tre gånger i den här tråden, så det är nog dags att ge en självdeklaration. Jag varken fildelar eller har fått nåt utpressningsbrev. Men tycker att IPRED är ett uppseendeväckande exempel på hur det kan gå när för mycket lobbypengar blandas in i en lagstiftningsprocess.