Personvernnemndas avgjørelse av 5. november 2010 (Eva I. E. Jarbekk, Ingvild Hanssen-Bauer, Tom Bolstad, Leikny Øgrim, Ann Rudinow Sætnan, Jostein Halgunset, Ørnulf Rasmussen)
1 Innledning
Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på tilsynets vedtak av 22.6.2009, hvor Datatilsynet ga avslag på søknad fra Simonsen Advokatfirma DA om forlengelse av konsesjon til å behandle personopplysninger.
2 Saksgang
Simonsen Advokatfirma DA (heretter ”Simonsen”) ble meddelt en tidsbegrenset konsesjon til å behandle personopplysninger 27.11.2006. Konsesjonen ble gitt gyldighet til 31.12.2007. I brev av 21.12.2007 søkte Simonsen om forlengelse av konsesjonen til 31.12.2009.
Datatilsynet fattet 6.6.2008 vedtak om at konsesjon var forlenget til 1.6.2009. Simonsen søkte om ny forlengelse i brev av 1.6.2009. Det ble søkt om forlengelse til 31.12.2010. I brev av 22.6.2009 ble søknaden avslått. Simonsen påklaget avslaget i brev av 13.7.2009. I mellomtiden sendte Simonsen en e-post til Datatilsynet 2.7.2009 med anmodning om utsatt ikrafttredelse av vedtak. Datatilsynet besluttet i brev av 20.7.2009 utsatt iverksetting av vedtaket av 22.6.2009 til klagen er endelig avgjort.
Saken ble oversendt Personvernnemnda ved brev fra Datatilsynet datert 4.9.2009. Den 7.9.2009 ettersendte Datatilsynet ytterligere et brev fra klager, datert 3.9.2009, som var innkommet etter at Datatilsynet hadde ferdigbehandlet klagesaken.
Klager ble orientert om at klagesak var mottatt hos Personvernnemnda i brev fra nemnda datert 15.9.2009, med frist til uttalelse innen 1.10.2009. Personvernnemnda mottok deretter brev fra klager datert 1.10.2009 med kommentarer til Datatilsynets oversendelsesbrev. Videre mottok nemnda et nytt brev fra klager 25.5.2010 med fem vedlegg. Deretter mottok nemnda e-post fra klager av 15. juni med vedlegg.
Personvernnemnda hadde en del spørsmål rundt faktum i denne saken og besluttet å kalle inn klager for en redegjørelse. Advokat Rune Ljostad og utreder Morten Lier Svendsen møtte nemnda den 25. august 2010, redegjorde for faktum og demonstrerte hvordan utreder arbeider med saken. Simonsen hadde også med et brev til nemnda datert 24.8.2010 hvor den såkalte ”Altibox”-saken, avsagt i Høyesterett 18.6.2010, var vedlagt. Simonsen sendte deretter et brev til nemnda 21.9.2010 med en oppsummering av hovedelementene i det som fremkom under møtet 25.8.2010.
3 Faktum
Simonsen fikk i 2006 innvilget en tidsbegrenset konsesjon til å behandle personopplysninger. Formålet med behandlingen av personopplysninger er å bistå rettighetshavere til musikk og filmverk i deres arbeid med å stanse ulovlig eksemplarfremstilling og tilgjengeliggjøring for allmennheten, blant annet på Internett, av deres rettslig beskyttede verker og arbeider.
Advokatfirma Simonsen har et bredt mandat fra rettighetsorganisasjonene, men iverksetter utredning etter konkrete oppdrag – de overvåker ikke internett generelt. Det finnes prioriterte lister over låter, filmer etc som skal overvåkes, dette er lister som rullerer. Utreder søker etter konkrete verker og deretter ser de på IP-adressene som kan knyttes til det krenkede verket. Utreder oppsøker også nettsteder hvor krenkelser erfaringsmessig finner sted. Det vil si ulike knutepunkt, slik som fildelingsnettverk. Det er der man gjerne starter et søk etter de verkene man skal lete etter. Av og til er knutepunktet målet – og verkene blir eksempler (på omfanget av krenkelsen – volum, da kan også andre titler tas med enn de titlene som de har på listene). Av og til vil det være verket som sådan som er målet for søket (selve krenkelsen). Undersøkelsene må illustrere omfang og volum, derfor tar utreder stikkprøver av fillistene for å sjekke om det er reelt innhold. Utreder verifiserer tittelen ved å laste ned filmer og låter.
Teknisk sett har Simonsen de samme muligheter som enhver annen internettbruker. Deres tilstedeværelse er som alle andre på internett.
Simonsen har konsentrert seg om de hubbene som er av en viss størrelse, for eksempel Lyse-hubben i Altibox-saken. Tilgang til enkelte slike hubber forutsetter at det skjer en opphavsrettskrenkelse idet inngangsbilletten er selv å krenke ved tilgjengeliggjøring – i hvert fall i de store hubbene. De som ikke krever slik inngangsbillett, er gjerne mindre hubber. Det finnes åpne og lukkede knutepunkter. Store, lukkede nettverk har gjerne egne systemer for å bli invitert inn. Da er utreder avhengig av å bli invitert.
Utreder kan bare registrere og iaktta den kommunikasjon som han selv er del av. Kan også registrere det som skjer på chattekanaler hvis han er invitert inn.
4 Klagers anførsler
Klager påklaget Datatilsynets avslag på søknad om forlengelse av tidsbegrenset konsesjon til å behandle personopplysninger.
Klager mener at Datatilsynets begrunnelse, hvor det vises til at det ikke er kommet noen politiske signaler på hvilke virkemidler rettighetshaverne skal kunne benytte, er utenforliggende hensyn. Klager viser til personopplysningsloven § 33, jf § 34, som gir anvisning på hva man skal vektlegge ved avgjørelse av om konsesjon skal gis. Tilsynet har allerede vurdert de formelle og materielle sider ved å tildele konsesjon og det er satt vilkår for behandlingen. Proporsjonalitetsvurderingen som § 34 gir anvisning på er foretatt for den omsøkte virksomhet. Den faktiske og rettslige situasjonen er uendret. Vedtakets begrunnelse om ”politiske signaler” og ”regelverksutvikling på dette området” er utenforliggende hensyn.
Det er ikke korrekt som Datatilsynet hevder at det ikke vil komme politiske signaler på dette området. Det pågår allerede en høring med utgangspunkt i Personvernkommisjonens sluttrapport. I tillegg arbeides det med en revisjon av åndsverkloven. I påvente av utfallet av disse prosessene ga Kultur- og kirkedepartementet klare politiske signaler om at det også i påvente av dette arbeidet er viktig at rettighetshavere har mulighet til å forfølge brudd på åndsverkloven og at departementet i et møte med Datatilsynet 8.5.2009 anmodet om at konsesjonen ble forlenget (brev fra KKD til Simonsen datert 5.8.2009 s 2). Av hensyn til ryddighet overfor de pågående prosessene er dette i følge KKD et så klart og konkret ”politisk signal” som kan gis på det nåværende tidspunkt.
Klager mener at vilkårene for å gi konsesjon er oppfylt. Det å fastsette, gjøre gjeldende eller forsvare et rettskrav er et legitimt behandlingsgrunnlag og kan ikke sies å volde problemer for den enkelte, jf personopplysningsloven § 9 bokstav e. Det vises også til forarbeidene til den tidligere personregisterloven (Ot prp nr 2 1977-78) som lyder:
Etter proposisjonens lovutkast er det klart at samtykke bare kan nektes når opprettelsen og bruk av personregisteret kan volde problemer for den enkelte
Det vises også til forarbeidenes uttalelse om sletteregelen i § 28, der det sies at sletting som kan føre til at andres mulighet til å dokumentere et rettskrav går tapt, ikke finnes ”forsvarlig” slik loven benytter ordet. Registrering av informasjon for å kunne dokumentere et rettskrav står således meget sterkt.
Utreder hos Simonsen er til stede i fildelingsnettverk for å iaktta hva de øvrige brukerne gjør. Utrederen dokumenterer det som iakttas i den grad dette er nødvendig for å kunne rette en henvendelse til og et krav mot overtrederen, eventuelt politianmelde forholdet eller gå til sivilrettslige skritt.
Opplysninger som registreres er; når og hvor krenkelsen fant sted, hvem som begikk den, hva krenkelsen gikk ut på – ulovlig eksemplarfremstilling, tilgjengeliggjøring og/eller medvirkning til dette – samt hva og hvem krenkelsen rammet. Utrederen vil dokumentere dato og klokkeslett krenkelsen fant sted, hvilket fildelingsnettverk den fant sted i, overtrederens kallenavn og IP-adresse, samt fillister som viser hvilke av rettighetshavernes titler som blir krenket (musikkspor, filmer og tv-serier). Det blir også foretatt enkeltnedlastinger for å fastslå at fillistene er reelle og at de faktisk er tilgjengelige. I tilfeller av medvirkning kan det være nødvendig å dokumentere overtrederens skyld, for eksempel i form av utdrag fra pratekanallogger som viser at overtrederen kjente den ulovlige aktiviteten.
Det vanlige er at brukerne opptrer anonymt på fildelingsnettverket. Kombinert med taushetsplikten i ekomloven § 2-9, medfører dette at klager normalt ikke får tilgang til overtrederens identitet. For å få tilgang til identiteten må klager enten gå til politiet, departementet (Post- og teletilsynet) eller domstolen som kan oppheve taushetsplikten i forbindelse med bevissikring etter tvistelovens regler, jf tvisteloven § 22-3.
Klager anfører at behandlingen er nødvendig for å ivareta rettighetshavernes lovfestede rettigheter. Det finnes ingen annen og mindre inngripende måte å ivareta rettighetshavernes rettigheter på. Dette har ikke Datatilsynet bestridt, jf side 2 i Datatilsynets oversendelsesbrev til Personvernnemnda. Klagers virksomhet har ingen særlige fullmakter utover oppdraget fra rettighetshaverne og konsesjonen fra Datatilsynet. Utreder utfører sitt arbeid i samsvar med retningslinjer.
Det at rettighetshaverne har valgt å samarbeide om utredningsarbeidet bidrar til at det totale omfanget av behandlingen blir betydelig mindre enn om den enkelte rettighetshaver hver for seg skulle være til stede for å dokumentere krenkelsene. Det forhold at klagers utredningsarbeid – som følge av krenkelsenes enorme omfang og samarbeidet mellom rettighetshaverne – er mer omfattende enn tilsvarende utredningsarbeid for andre krenkede, kan ikke brukes som begrunnelse for å nekte konsesjon. Dette er tvert imot hensyn som taler for behandlingen, jf personopplysningsloven § 34.
Reaksjonene er politianmeldelser eller sivile skritt. Klager tar også kontakt med overtrederen via vedkommendes internettleverandør, hvor det kreves umiddelbar stans av krenkelsene, at rettighetshavernes tap kompenseres og overtrederen avstår fra fremtidige krenkelser. Blokkering av nettverk er også en mulig fremgangsmåte.
Klager mener at de ulemper som behandlingen eventuelt volder den enkelte kan avhjelpes gjennom bestemmelsene i personopplysningsloven kap II – V og vilkår etter § 35. Det er adgang til å sette vilkår for konsesjonen og føre tilsyn med at disse blir fulgt.
Behovet for behandlingen er stort. Sett hen til det enorme omfanget av ulovlig fildeling på Internett og at det i 2008 bare var én sak som ledet til straff av lovovertrederen, var håndhevingen av rettighetshavernes rettigheter nærmest totalt fraværende også i 2008. Dette viser at det er behov for å intensivere bruken av sivile skritt. De skadelige konsekvensene for rettighetshaverne er blitt enda større siden Datatilsynet innvilget konsesjonen i 2006. The Pirate Bay opplyser selv at nærmere 150 000 nordmenn deler filer der hver eneste dag. Det norske platesalget har falt med mer enn 30 % på 10 år og Kultur- og kirkedepartementet konkluderte i St meld nr 21 (2007-2008) s 49 med at det er grunn til å tro at nedgangen først og fremst skyldes ulovlig nedlasting.
Det vises også til Personvernkommisjonens rapport NOU 2009:1 pkt 13.5.4 om organ for nettytringer og pkt 13.5.5 om slettehjelp.
Klager anfører at det ikke er korrekt som Datatilsynet skriver at klager utøver provokasjonslignende tiltak som aktivt legges ut som ”åte”. Det er både uønskelig og unødvendig å bruke provokasjon. Videre sier retningslinjene for utredningsarbeidet at det ikke skal brukes provokasjon. Arbeidet innebærer heller ikke kommunikasjonskontroll, infiltrasjon eller vaktvirksomhet.
Klager anfører videre at det ikke er korrekt som Datatilsynet hevder at man ikke er kommet nærmere noen løsning ved hjelp av konsesjonen. Konsesjonen har gjort det mulig for klager å foreta utredninger som har dannet grunnlag for anmeldelser av ulovlig fildeling til politiet. Konsesjonen har videre gjort det mulig for klager å henvende seg til internettleverandører vedrørende videresending av varselbrev. Dette har ledet til å avklare viktige lovtolkningsspørsmål. Videre har konsesjonen muliggjort klagers utredning i viktige prinsippsaker som Pitbullterje-saken, Lyse Tele-saken og Telenor-saken. Dersom konsesjonen ikke forlenges, vil dette viktige arbeidet blir skadelidende og i verste fall stanse helt opp.
Etter at endelig avgjørelse i Altibox-saken ble avsagt 18.6.2010, har klager anført at Høyesterett nå har fastslått at det er klar hjemmel i lov for begjæring om at en internettleverandør ved bevissikring utenfor rettssak skal pålegges å opplyse om identiteten til en abonnent når det er anført at abonnenten ved ulovlig fildeling eller medvirkning til dette har brutt bestemmelser i åndsverkloven. Når det gjelder hvilket omfang som kreves for en slik bevistilgang, sier Høyesterett seg enig i betraktninger i forarbeidene til den svenske IPRED-lagen om at som regel er tilgjengeliggjøring (opplasting) av én film eller et musikalsk verk for allmennheten tilstrekkelig.
5 Datatilsynets vurdering
Datatilsynet gjorde det klart allerede før konsesjon ble meddelt, at det var innstilt på å gi en tidsbegrenset konsesjon. Datatilsynet reiste en rekke prinsipielle problemstillinger som Datatilsynet så ved at en privat aktør skal overvåke internettaktivitet uten nærmere føringer fra lovgiver.
Datatilsynet anerkjenner at fildeling, uten lovlig kopieringsgrunnlag, er et problem for rettighetshaverne. Behandlingsansvarlig vil i sin behandling registrere overtrederens kallenavn, IP-adresse, samt fillister som viser hvilke av rettighetshavernes titler som blir krenket (musikkspor, filmer, TV-serier). En IP-adresse er ikke i seg selv tilstrekkelig for å identifisere fildeleren, da abonnenten av IP-adressen er belagt med taushetsplikt, jf ekomloven § 2-9. Dette representerer en trygghet for brukerne av Internett og er med på å dempe personvernkrenkelsen.
Tilsynet er ikke i tvil om at bransjen har en legitim interesse av å behandle personopplysninger. Spørsmålet blir om interessen overstiger individets krav på personvern. Datatilsynet viser til at anonymitet på Internett er beskyttet av EMK art 8 om beskyttelse av privatliv og korrespondanse.
Det er straffeprosessloven som gir retningslinjer for når politiet kan utøve kommunikasjonskontroll og annen etterforskning. Politiet gis, etter instruks fra Riksadvokaten, retningslinjer for når og hvordan etterforskning med infiltrasjons- og provokasjonstilsnitt kan benyttes. Tilsvarende gir lov om vaktvirksomhet retningslinjer ved ervervsmessig vaktvirksomhet. Slik er det ikke for behandlingsansvarlig i denne saken og Datatilsynet finner det bekymringsfullt at private aktører skal kunne utøve privat etterforskning, eller kommunikasjonskontroll, med provokasjonslignende tiltak – som aktivt legge ut ”åte” – uten noen form for kontroll eller fullmakt fra lovgivende myndighet. Datatilsynet mener at dette setter den enkeltes rettssikkerhet på prøve.
Datatilsynet ser imidlertid at rettighetshavere kan bli skadelidende dersom konsesjonen ikke blir forlenget. Tidsbegrensningen ble satt fordi Datatilsynet etterlyste politiske signaler eller initiativer på området. Det ligger ingen automatikk i at konsesjonen skal forlenges. Søknaden om forlengelse er derfor ikke vurdert i lys av § 33, jf § 34. Her foreligger verken lovhjemmel eller samtykke fra de enkelte. Datatilsynet ser det ikke som sin oppgave å være lovgivende myndighet ved å meddele konsesjon på permanent basis. Simonsen har dog søkt om konsesjon til 31.12.2010. Det foreligger imidlertid ikke politiske signaler på at man innen denne datoen vil ha en annen rettstilstand enn den man har i dag.
Datatilsynet vil presisere at verken konsesjonsvilkår eller forutsetninger for virksomheten er brutt av Simonsen. Simonsen har gjennom hele perioden holdt seg innenfor konsesjonens rammer. Også når det gjelder informasjonstiltak har bransjen og Simonsen utvist stor aktivitet.
En tidsbegrenset konsesjon ble gitt for å avdekke omfanget og behovet for virkemidler. Datatilsynet har høstet erfaringer i konsesjonsperioden og har sett nye problemstillinger man ikke så omfanget av da konsesjonen ble gitt. Blant annet spørsmål om teletjenestetilbydernes rolle som formidlere av brev fra Simonsen, grensen mot forbudet mot selvinkriminering, og retten til å få utlevert identiteten bak en IP-adresse. Man har sett ulike bivirkninger av tiltaket og nå er det behov for en avklaring fra politisk hold.
6 Personvernnemndas merknader
Nestleder i Personvernnemnda, Arve Føyen, valgte å fratre behandlingen av denne saken idet det kunne oppstå spørsmål vedrørende hans habilitet i saken. I hans sted har vararepresentant Ingvild Hanssen-Bauer deltatt.
Det som skal vurderes i denne saken er hvorvidt den behandling av personopplysninger som skjer i forbindelse med overvåkningen av fildelingsnettverkene har hjemmel i personopplysningsloven og om det skal gis konsesjon. Selve overvåkningen som sådan, det forhold at utreder hos Simonsen er til stede i fildelingsnettverkene og iakttar hva de øvrige brukerne gjør, medfører ikke behandling av personopplysninger og er således et forhold som ikke reguleres av personopplysningsloven. Simonsens utreder er til stede i fildelingsnettverkene som enhver annen internettbruker og dette krever ingen konsesjon. Det er først på det tidspunkt utrederen dokumenterer det som iakttas at det behandles personopplysninger.
Av Datatilsynets brev av 25. oktober 2006 fremgår at Datatilsynet finner at den behandlingsansvarlige har behandlingsgrunnlag i lovens § 8 bokstav f, og videre at behandlingen har grunnlag i personopplysningsloven § 9 bokstav e. Personvernnemnda er enig i at opplysningene som behandles er å anse som sensitive personopplysninger, jf lovens § 2 nr 8 bokstav b. I NOU 1997:19 s. 133 fremgår at det ikke er nødvendig at det er innledet noen straffesak, og at blant annet et vaktselskaps register over personer som blir pågrepet med ubetalte varer omfattes av oppregningen. Det vises også til Ot prp nr 34 (1986-87) s 24 høyre spalte.
Personvernnemnda er også enig i at det foreligger behandlingsgrunnlag etter personopplysningsloven § 8 f) og at behandlingen har grunnlag i personopplysningsloven § 9 e).
Det fremgår av avslaget fra Datatilsynet at Datatilsynet ikke har vurdert søknaden om forlengelse i henhold til personopplysningsloven § 33 og 34. Personvernnemnda mener at dette må anses som en saksbehandlingsfeil, idet søknaden om forlengelse må vurderes etter de samme regler som søknad om ny konsesjon. Saksbehandlingsfeilen kan imidlertid ikke anses å ha hatt virkning på avgjørelsen, idet nemnda er av den oppfatning at utfallet i denne saken ville blitt det samme dersom Datatilsynet hadde vurdert §§ 33 og 34. Datatilsynet gjør i begrunnelsen av sitt vedtak en form for interesseavveining og peker på de relevante hensyn.
Av personopplysningsloven § 34 følger at det ved avgjørelsen av om konsesjon skal gis skal kartlegges om behandlingen av personopplysninger kan volde ulemper for den enkelte som ikke kan avhjelpes gjennom bestemmelsene i kapitlene II-IV og vilkår etter § 35. I så fall må det vurderes om ulempene blir oppveid av hensyn som taler for behandlingen.
Ved avgjørelsen av om konsesjon skal gis må det altså først vurderes om behandlingen av personopplysninger vil volde problemer for den enkelte, og om problemene eventuelt avhjelpes ved lovens regler for behandlingen, eventuelt ved at det stilles vilkår. Dersom behandlingen ikke volder problemer for den enkelte vil det som regel ikke være aktuelt å nekte konsesjon, jf Ot. prp. nr 92 (1998-99) s. 130. Dersom man finner at behandlingen vil volde problemer for den enkelte må det vurderes om fordelene ved behandlingen oppveier disse ulempene. Det vises også til kommentarene til tidligere personregisterloven § 10 i Ot. prp nr 2 (1977-78) s. 80 hvor det fremgår at samtykke bare kan nektes når opprettelse og bruk av personregisteret kan volde problemer for den enkelte. Personopplysningsloven bygger på tidligere lovs § 10, og det var ikke tilsiktet å gjøre endringer i loven på dette punkt.
Ved vurderingen må man altså vurdere de konkrete personvernulempene som overvåkningen i den aktuelle sak vil representere. Personvernnemnda er ikke uenig i at man på dette området bør få en rettspolitisk avklaring og en lovregulering, men mener at det forhold at det ikke er kommet en slik avklaring ikke alene kan begrunne at konsesjon ikke gis. En konsesjonssøknad må likevel vurderes basert på personopplysningslovens regler, og Personvernnemnda er henvist til å begrense sin saksbehandling til en vurdering av den aktuelle klage. Det samme syn er kommet til uttrykk i flere av Personvernnemndas tidligere vedtak, se for eksempel PVN-2005-11 og PVN-2005-12.
I denne saken har Datatilsynet i forbindelse med den første søknaden vurdert at det er grunnlag for å gi konsesjon. Datatilsynet har i forbindelse med den første konsesjonen foretatt den interesseavveining som personopplysningsloven § 34 gir anvisning på, det er stilt vilkår, og Datatilsynet har funnet at konsesjon kan gis. Datatilsynet har uttalt at det ikke er noen automatikk i at konsesjonen skal forlenges. Personvernnemnda er enig i dette, men slik nemnda ser det må det foreligge endrede forhold som skulle tilsi at vurderingen i henhold til personopplysningslovens regler nå faller annerledes ut enn da den første tidsbegrensede konsesjonen ble gitt. Som man vil se nedenfor, deler Personvernnemnda seg i et flertall og et mindretall for så vidt gjelder vurderingen av om det foreligger endrede forhold.
Det fremgår av Datatilsynets brev av 4. september 2009 at Datatilsynet mener at verken konsesjonsvilkår eller de forutsetninger for virksomheten for øvrig som fremgår av tildelt konsesjon og øvrig korrespondanse mellom Simonsen og Datatilsynet er brutt. Datatilsynet uttaler videre at når det gjelder informasjonsvirksomhet har bransjen og Simonsen utvist stor aktivitet. Datatilsynet har heller ikke gitt uttrykk for innvendinger i forhold til de tiltak som er iverksatt i henhold til reglene om informasjonssikkerhet og internkontroll, jf personopplysningsloven §§ 13 og 14.
Datatilsynet viser til at begrunnelsen for å gi en tidsbegrenset konsesjon var at man ønsket å gi en rimelig mulighet for å sjekke om et tiltak har virkning og for å innhente grunnlagsdata for å dokumentere et problems løsning og behovet for virkemidler. Datatilsynet uttaler at man slik Datatilsynet ser det ikke har kommet nærmere noen løsning, og at man har sett ulike ”bivirkninger” av tiltaket og hvordan personopplysningslovens grunnprinsipper skal kunne overholdes i møtet med annen lovgivning.
Personvernnemnda har grundig analysert og vurdert denne saken og de hensyn som Datatilsynet har begrunnet avslaget med. Nemnda har i vedtaket delt seg i et flertall og et mindretall.
Personvernnemndas flertall (Eva Jarbekk, Ingvild Hanssen-Bauer, Tom Bolstad og Jostein Halgunset) er kommet til at konsesjonen bør forlenges. Begrunnelsen for denne konklusjonen er som følger:
Datatilsynet viser til følgende tre problemstillinger som man ifølge Datatilsynet ikke så fullstendig omfanget av da konsesjon ble gitt. For det første henvises til teletjenestetilbydernes rolle som formidlere av brev fra Simonsen. Av saksdokumentene fremgår imidlertid at eksempel på kravbrev som sendes via Internettleverandør ble oversendt fra Simonsen i november 2006 før den første tidsbegrensede konsesjonen ble gitt. Både brevets innhold og det forhold at dette skulle sendes ut via Internettleverandørene synes derfor å ha vært vurdert av Datatilsynet før den første konsesjonen ble gitt. Det er ikke vist til, og det fremgår heller ikke av saksdokumentene, hvilke endringer som eventuelt skulle ha funnet sted i forhold til dette.
Den andre problemstillingen Datatilsynet viser til er grensen mot forbudet mot selvinkriminering. Flertallet kan ikke se at dette er relevant. Forbudet mot selvinkriminering innebærer at ingen kan tvinges til å vitne mot en selv eller erkjenne seg skyldig i en straffesak anlagt mot vedkommende. Flertallet kan ikke se at dette er relevant i forhold til den behandling av personopplysninger som skjer i forhold til overvåkningsvirksomheten i herværende sak.
Den tredje problemstillingen Datatilsynet henviser til er retten til å få utlevert identiteten bak en IP-adresse. Flertallet kan ikke se at dette heller skulle begrunne at interesseavveiningen i henhold til personopplysningsloven § 34 nå skulle falle annerledes ut. Det vises til tvisteloven § 22-3 om opphevelse av taushetsplikten i forbindelse med bevisfremleggelse eller bevissikring i sivil sak og straffeprosessloven § 118 om politiets adgang til taushetsbelagte opplysninger i forbindelse med etterforskning. Tilgang til identiteten bak en IP-adresse etter disse reglene forutsetter tillatelse fra departementet (delegert til Post- og teletilsynet), samt at domstolen kontrollerer at vilkårene for slik tilgang er oppfylt. Dette skulle sikre tilstrekkelige rettssikkerhetsgarantier for den registrerte. Høyesterett uttaler dessuten i Altibox-saken at det er klar hjemmel i lov for begjæring om at en internettleverandør ved bevissikring utenfor rettssak skal pålegges å opplyse om identiteten til en abonnent når det er anført at abonnenten ved ulovlig fildeling eller medvirkning til dette har brutt bestemmelser i åndsverkloven. Videre uttaler Høyesterett at det ikke er uttrykk for en uriktig generell lovforståelse når lagmannsretten fastslår at abonnenten ikke kunne ha en berettiget forventning om beskyttelse av rettsstridig bruk.
I sitt brev av 4. september 2009 henviser Datatilsynet også til provokasjonsanalogien. Datatilsynet mener at det er svært betenkelig at en privat aktør skal kunne utøve privat etterforskning eller kommunikasjonskontroll, med provokasjonslignende tiltak – som aktivt å legge ut åte. Dette er kommentert i brev fra Simonsen av 1. oktober 2009 hvor det vises til retningslinjene som er utarbeidet av Simonsen hvorav fremgår at det ikke skal brukes provokasjon i forbindelse med utredningsarbeidet. Flertallet er enig i at det derfor synes å være en svikt i det faktiske grunnlaget for Datatilsynets vedtak. Uansett, det forhold at det ikke skal brukes provokasjonslignende tiltak er et forhold som kunne vært regulert i form av vilkår for konsesjonen.
Hovedbegrunnelsen fra Datatilsynets side for ikke å forlenge konsesjonen synes å være at den politiske avklaringen, som Datatilsynet etterlyste forut for den første tidsbegrensede konsesjonen ble gitt, ikke har kommet. Som det fremgår ovenfor mener flertallet at Datatilsynet, så lenge vilkårene for å tildele konsesjon er oppfylt og interesseavveiningen etter personopplysningsloven § 34 faller ut i søkers favør, ikke kan avslå en konsesjonssøknad med den begrunnelse at det bør lovreguleres hvilke virkemidler rettighetshaverne skal kunne benytte. Konsesjonssøknaden må vurderes i henhold til gjeldende regelverk. Hvorvidt det er betenkelig eller ikke at en privat aktør overvåker nettet på den måten Simonsen gjør på vegne av rettighetshaverne, og hvorvidt det er nødvendig med lovregulering, er et rettspolitisk spørsmål som ligger utenfor denne konkrete saken. Flertallet er derfor enig med klager i at Datatilsynet ikke kan avstå fra å bruke sin kompetanse basert på at Datatilsynet mener det er behov for lovregulering.
Datatilsynet har ikke vurdert om det er noen nye eller endrede forhold som skulle tilsi at interesseavveiningen skulle falle annerledes ut enn ved vurderingen av den første søknaden om konsesjon, og heller ikke om det foreligger endrede forhold som skulle ha betydning for hjemmelsgrunnlaget. Tvert i mot forstår flertallet det slik at Datatilsynet mener det ikke foreligger slik nye eller endrede forhold. Flertallet mener derfor at konsesjonen bør forlenges frem til 31.12.2010 som omsøkt. Ved en eventuell ny søknad om forlengelse må Datatilsynet igjen vurdere hjemmelsgrunnlaget og foreta interesseavveiningen etter personopplysningsloven § 34, herunder om det har skjedd noen endringer som skulle tilsi at vurderingen faller annerledes ut.
Særbemerkning. Nemndas leder, Eva I E Jarbekk, er enig i flertallets konklusjon, men baserer denne på en noe annen argumentasjon. Hun ønsker derfor å komme med en særbemerkning. Jarbekk finner grunn til å presisere at Personvernnemnda står fritt til å vektlegge andre elementer enn hva Datatilsynet har gjort. For eksempel kan nemnda tiltre tilsynets konklusjon, men med en annen begrunnelse. Det er også grunn til å presisere at Datatilsynet står fritt til å trekke tilbake midlertidige konsesjoner basert på eget skjønn, herunder på grunn av behov for lovregulering. På disse punkter står Jarbekk ved mindretallets oppfatning. Slik klager har beskrevet sin aktivitet, vurderes fakta i denne saken slik at det ikke foreligger vesentlige personvernulemper som ikke kan avhjelpes ved vilkår i konsesjonen og de informasjonstiltak som er iverksatt.
Personvernnemndas mindretall (Ørnulf Rasmussen, Ann R Sætnan og Leikny Øgrim) er kommet til at konsesjonen ikke skal forlenges. Spørsmålet er om et privat foretak, Simonsen advokatfirma, skal få permanent konsesjon til å registrere IP-nummer som er benyttet av aktører som fildeler på såkalte knutepunkter, altså møtesteder på nettet for fildeling. Fildeling som sådan er lovlig. Deling av filer som er vernet av opphavsretten, er ulovlig. Slik deling kan være straffbar og erstatningsbetingende, smln åndsverksloven §§ 54 og 55. Det er slik deling klageren mener å ha registrert, i henhold til den tidsbegrensede konsesjon fra 2006. Spørsmålet nå er om denne konsesjonen skal gjøres permanent. Datatilsynet har avslått søknad om det. Mindretallet ser det slik at Datatilsynets vedtak er gyldig og hensiktsmessig, og mener det bør stadfestes. Mindretallet deler i hovedtrekk tilsynets begrunnelse, og vil også peke på følgende:
Slik registrering krever konsesjon. Det skyldes at registeret inneholder sensitiv informasjon, jf personopplysningsloven § 2 nr 8 b). Registeret har som formål å ha oversikt over IP-nummer man mistenker er benyttet til ulovlig fildeling, altså for kriminell virksomhet.
Spørsmålet om konsesjon skal gis vurderes av Datatilsynet etter personopplysningsloven § 33, jf § 34. Denne vurderingen forutsetter at ”…det klarlegges om behandlingen av personopplysninger kan volde ulemper for den enkelte som ikke avhjelpes gjennom bestemmelsene i kapittel II- V og vilkår etter § 35. I så fall må det vurderes om ulempene blir oppveid av hensyn som taler for behandlingen.”
Personopplysningsloven § 9 stiller opp minstekrav for at sensitive personopplysninger ”kan …behandles”. In casu er lit e) aktuell; ”behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav,” Hvis man anser vilkåret oppfylt, vil det være opp til Datatilsynet å foreta en samlet vurdering i henhold til personopplysningsloven § 34. Denne bestemmelsen synes å overlate til Datatilsynet å utøve et skjønn innenfor en ganske romslig ramme. Ved den foretatte skjønnsvurdering har tilsynet forutsatt at det knytter seg personvernmessige ulemper til en permanent konsesjon i et slikt tilfelle, og da ulemper av en slik art at disse ikke kan avhjelpes gjennom ”bestemmelsene i kapitlene II-V og vilkår etter § 35.”, jf personopplysningsloven § 34 første setning. Tilsynet har ikke funnet at ”ulempene blir oppveid av hensyn som taler for behandlingen.”, jf personopplysningsloven § 34 annen setning. Som vi ser, vil det altså til sist bero på en skjønnsmessig interesseavveining, om konsesjon skal gis eller ikke. Mindretallet mener den vurdering Datatilsynet her har foretatt er lovlig og forsvarlig.
Mindretallet legger til grunn bl.a. følgende faktum:
Identifiseringen av IP- nummer skjer ved at klageren går aktivt ut på slike ”møteplasser”, og der tilbyr eller etterspør fildeling av filmer eller musikk. Respondenter på adresseringen blir identifisert for klageren på skjermen ved sitt IP-nummer. Dette nummer registreres så av klageren.
Klageren overvåker altså ikke trafikk mellom andre. Klageren fremkaller aktivt en trafikk, som så blir registrert hos klageren i et register over slik trafikk. Det er et register over IP- nummer som klageren mener er benyttet for å begå en straffbar handling, nemlig trafikken med klageren. På grunnlag av en konstatering av denne trafikken, presumerer man antakelig, at vedkommende respondent også kommuniserer med andre.
For i det hele å komme i posisjon til å tilby eller etterspørre fildeling, må møteplassen være tilgjengelig for klageren. Slike møteplasser er dels åpne for enhver, dels lukkede og da begrenset for dem som er opptatt i ”fellesskapet” på den aktuelle møteplassen. For slikt opptak stilles ulike krav på ulike møteplasser. Klageren har opplyst at man dels opptrer på åpne plasser, dels på lukkede, og da i situasjoner der man later som om man oppfyller de krav som stilles.
Vi kjenner ikke forholdet mellom trafikkvolumet på åpne og lukkede plasser, men det legges til grunn at de åpne alene, muliggjør en omfattende trafikk, altså fildeling. Hvor serverne til disse møteplasser befinner seg, er delvis uvisst, og angivelig ikke helt lett å bringe på det rene. De kan være plassert hvor som helst i verden, hvor det finnes nettdekning. Hvem som oppretter slike møteplasser er heller ikke lett å finne ut av, om de som gjør det ønsker å ha skjult identitet. Det har vært hevdet at for eksempel Pirate Bay-serverne etter hvert har blitt ”selvgående” i den forstand at man ikke vet hvor de er og hvem som administrerer dem. En enkel måte å nå åpne plasser på, er ved søk i Google på musikk- eller filmtittel, og bruk av torrent-port.
Det er altså det IP-nummer som brukes av den annen part i klagerens fildelingstrafikk man registrerer. Dette IP-nummer er ikke genuint for den enkelte som tilbyr eller etterspør fildeling. Det identifiserer bare den nettilknytning som er benyttet ved den aktuelle fildelingen.
Store virksomheter kan ha ett IP-nummer. Flere norske bedrifter har bare ett, eller få nummer. Dette nummer benyttes da av alle som bruker abonnentens nettilknytning. Det kan være alle ansatte. Men det kan og være abonnentens kunder. En av de største hotellkjedene her i landet har ett nummer som benyttes av gjestene eller andre som midlertidig oppholder seg i hotellet. Disse kan da få i resepsjonen en kode for å koble seg på nettet. Slike koder er i noen tilfelle lik for alle som kobler seg på. De kan også være genuine for hver som kobler seg på, men da slik at tildeling av slik kode ikke blir registrert på den enkelte bruker. En annen kjede har oppslått koden ved maskinen. I slike tilfelle vil altså ikke brukeren kunne bli identifisert, og dermed heller ikke registrert.
En abonnent med et IP-nummer kan ha trådløst nettverk mellom sitt moden, via en ruter, til den som måtte ønske å koble seg på. Det kan altså benyttes av alle og enhver, med abonnentens IP-nummer. Åpne trådløse nettverk er ikke uvanlig. De vil ofte være fysisk lett tilgjengelige uten at bruker forespør abonnenten, eller uten at abonnenten i det hele er eller kan være, klar over hvem som faktisk bruker nettverket.
Trådløs kommunikasjon mellom abonnentens modem (som har IP-nummeret) til den enkelte brukers lap top, vil normalt være så effektiv at man kan nytte slike nettverk fra parkert bil utenfor hus som har slikt. Nettet, og dermed IP-adressen, kan da benyttes illegitimt, uten at det blir oppdaget.
Terminaler eid av abonnenten kan også være disponible for vide, og eller ubestemte, kretser av personer, som selv ikke blir identifisert ved bruken av terminalene. Hurtigruten har, som eksempel, fri bruk av faste terminale. I noen tilfelle betales tjenesten ved myntinnkast. Ingen vet hvem som har kastet mynt.
IP-nummeret er altså ikke logisk knyttet til den enkelte bruker (fildeler), og heller ikke til den maskin som benyttes ved fildelingen. At det ofte faktisk kan være slik at det er abonnenten som har IP-nummeret som også faktisk fildeler, eller i alle fall at det er abonnentens maskin som benyttes, er annen sak. Omfanget av slik ”fremmedbruk” av IP- adresser, finnes det ikke oversikter over. Mindretallet legger til grunn at det nok har et ikke ubetydelig omfang. Man vil da ha registrert abonnenter som ikke er kriminelle, i et register over antatt kriminelle. De kriminelle fildelere befinner seg i slike situasjoner ikke i det aktuelle register over kriminelle.
Mindretallet er i likhet med flertallet blitt orientert av klager om at klageren i 2008 anmeldte ”et hundretalls” (sitat klageren) innehavere av IP-nummer for brudd på åndsverksloven. Påtalemyndigheten henla alle. Mindretallet legger videre til grunn at sivile erstatningskrav vil måtte behandles i samsvar med alminnelig erstatningsrettslige prinsipper, som bl.a. innebærer at økonomisk tap må dokumenteres. Noe solidarisk ansvar for alle fildelere er det neppe grunnlag for å oppstille i norsk rett. Det vil måtte innebære at erstatningsansvar vil ble avgrenset til det tap rettighetshaveren påviselig har lidt som følge av den saksøkte fildelers tilbud om å la andre få kopiere hans fil.
Mindretallets vurdering:
1. Mindretallet er enig i at den som har beskyttede rettigheter til åndsverk har interesse i å sikre seg mot illegitim kopiering av disse. Men mindretallet ser ikke at dette egentlig er temaet i denne saken. Vi ser det slik at saken dreier seg om den aktuelle registrering skal anses i samsvar med de regler og prinsipper vi har for personvern. Som pekt på ovenfor vil det, i siste runde, være et spørsmål om Datatilsynets skjønnsutøvelse er forsvarlig. Det er dette saken gjelder.
2. Det må først diskuteres om, og i hvilken grad, den aktuelle registrering vil ha personvernmessige virkninger som kan ”volde ulemper”, jf personopplysningsloven § 34 første setning.
Saken utfordrer viktige prinsipielle personvernhensyn som er utviklet gjennom lang tid, og som har ligget og ligger, bak vår personvernregulering. Det vises for så vidt til personopplysningsloven § 1, som også uttrykker slike.
Det ene er prinsippet om korrekthet, jf § 1 ”tilstrekkelig kvalitet på personopplysningene”. Det vil være påregnelig at det blir foretatt registrering også av feil personer, jf ovenfor. Betydningen av, og bekymringen over, det kan selvsagt henge sammen med hva slags type register det er tale om. Her er det et register over folk som klageren gjennom sine skriv, formidlet gjennom teleselskapene, karakteriserer som kriminelle. Å bli registrert i et register over kriminelle er i seg selv en personvernmessig utfordring. Denne blir ikke mindre av at det er påregnelig med feilregistreringer. Slik feilregistrering kan i prinsippet også føre til tvangsmessig bevissikring uten varsel, altså en fysisk intervenering i den registrertes tilværelse, uten forvarsel, sml. den rettssetning Høyesterett har basert Altibox-kjennelsen i Rt 2010 s 774 på. Denne personvernkrenkelsen kan altså også innebære en risiko for en integritetskrenkelse.
Det andre er at prinsippet om at den som aksjonerer har bevisbyrden for rett jus og faktum, blir snudd på hodet. I slike tilfelle vil den registrerte - abonnenten på det aktuelle IP-nummer - måtte sannsynliggjøre at det ikke er vedkommende som er den kriminelle, men at hans nummer er blitt benyttet av en annen. En systematisk helomvending av innarbeidede bevisprinsipper bør ikke skje i ly av en konsesjon etter personopplysningsloven. Mindretallet anser ikke det for å være i samsvar med § 1 annet ledd.
Det tredje er at dette register blir opprettet som følge av en provokasjonsliknende opptreden. Det er et omstridt spørsmål – av rettssikkerhetsmessige grunner – om og i hvilken grad provokasjon skal aksepteres i politietterforskning. Denne er tross alt underlagt forvaltningsmessig, og dermed demokratisk og politisk kontroll og styring. Det er ikke tilfellet her. Politiets registre over anmeldelser er underlagt en utstrakt konfidensialitet i det daglige. I siste instans er bruken underlagt et konstitusjonelt ansvar. Slik er det ikke med den aktuelle form for registrering. Bruken av en slik provokasjonsliknende fremgangsmåte er personvernmessig prinsipielt bekymringsfull, etter mindretallets oppfatning.
Det fjerde er således at dette er en helt privat registrering, uten den kontroll som offentlig virksomhet vil innebære. Spørsmålet om ønskeligheten av privat politiliknende virksomhet er rettspolitisk komplisert, og kan utfordre både integritets- og personvernprinsipper, jf personopplysningsloven § 1.
Det femte er at en slik overvåkning som utløses av klagerens aksjonering på møtestedene, i prinsippet representerer en deprivatisering og skaper en økt gjennomsiktighetsfølelse, sml. personopplysningsloven § 1. Det er på flere måter sammenliknbart med overvåkning av telefonsamtaler og registrering (= opptak) av slike. Det har vært et omstridt spørsmål, hvilken adgang man bør ha til å registrere privat, innholdet i telefonsamtaler uten at den annen part vet om en slik registrering. Dette gjelder også i situasjoner der man mener at samtalens innhold vil kunne avsløre rettsstridig krenkelse av opptakerens private økonomiske interesser. Bedrifter som gjør dette systematisk, vil normalt opplyse om det ved starten av samtalen, også om man skulle ha konkret mistanke om at samtalen er ment som ledd i en kriminell virksomhet, så som et forsikringsbedrageri.
Mindretallet ser dette som tunge argumenter for at det foretas en lovgivervurdering av adgangen til denne formen for privat registrering. Vi anser det som et åpenbart lovlig og saklig hensyn ved Datatilsynets skjønnsutøvelsen. Når en slik vurdering foreløpig ikke synes å ha blitt politisk initiert, mener vi det ligger trygt innenfor Datatilsynets kompetanse å avslå konsesjonssøknaden.
Det har blitt hevdet at departementet har gitt føringer for å akseptere en slik søknad. Det er ikke dokumentert. Uansett legger mindretallet ingen vekt på en slik uttalelse. Verken Datatilsynet eller Personvernnemnda er underlagt noen departemental styring for så vidt gjelder den faktiske skjønnsutøvelse.
Mindretallet kan ikke slutte seg til den perspektivering av saken som til dels er gjort; at det her er tale om alene en konflikt mellom nødvendige tiltak for ivaretakelse av lovbeskyttede økonomiske rettigheter, mot på den annen side kriminelles vern mot legitim rettslig forfølgning. Et slikt fokus er for snevert. En konsesjon vil utfordre grunnleggende personvernprinsipper som til dels har ligget motiverende bak utviklingen av vår lovgivning på dette område i mer enn tretti år. Personvern relaterer seg til mer enn den konkret krenkedes interesse. Det gjelder til sist spørsmålet om hvilket samfunn vi vil ha. I en slik vurdering er det opplagt legitimt å mene at personvern ikke skal anses som en omkostning i systemet, men som en selvstendig og prioriteringsverdig verdi i vårt samfunn. Det betyr at vi må akseptere at personvernet kan ha omkostninger, i form av lavere grad av vern av konkurrerende interesser. Dette er, i en slik sak, slik mindretallet ser det, en legitim betraktning ved Datatilsynets utøvelse av forvaltningsskjønn i en konsesjonssak.
3. Det må dernest vurderes om de personvernmessige ulemper kan dempes eller nøytraliseres ved hjelp av vilkår som stilles til konsesjonen, sml. personopplysningsloven § 34, jf. § 35. Datatilsynet har sett det slik at en vilkårstillelse her ikke vil kunne bøte på de ulemper man mener foreligger. Tilsynet mener slik privat registrering av antatt straffbare forhold under slike omstendigheter, er uheldig, og bør vurderes lovregulert. Dette kan ikke avhjelpes med vilkårsstillelse i den enkelte sak.
4. Sluttelig må det vurderes om de positive sider ved registreringen oppveier de personvernmessige betenkeligheter, jf personopplysningsloven § 34 annen setning. Ved denne vurdering må selvsagt den registrerendes motiv for registreringen være relevant å vektlegge. Det kan imidlertid ikke være avgjørende hva klageren måtte ønske å oppnå. Man må se på hva han faktisk vil kunne oppnå ved den omsøkte registrering. Det vil altså bli en objektiv vurdering, der konstaterbare eller klart påregnelige fordeler en konsesjon vil gi konsesjonæren (eller som her, hans oppdragsgiver), må vektlegges. Dette må ses i perspektiv av hvilken grad av samfunnsmessig beskyttelse disse interesser bør gis. Det er neppe meningen at enhver privat interesse skal nyte den samme rettsbeskyttede posisjon, altså på likt vis kunne oppveie en definert personvernmessig ulempe. Noen interesser veier tyngre enn andre, ved slike avveininger.
Mindretallet forstår og mindretallet vektlegger at klageren har legitimt ønske om begrensning av slik ulovlig fildeling. Men mindretallet kan ikke se at denne formen for fremprovosert identifisering av IP-adresser fremstår overbevisende som et effektivt virkemiddel for å oppnå en slik begrensning. Mindretallet kan ikke se det er dokumentert eller sannsynliggjort, at denne registreringen har kvalifisert tungtveiende betydning for rettighetshavernes mulighet for stansning av fildelerne.
For det første peker mindretallet her på at klageren selv har orientert nemnda i møte om at påtalemyndigheten ikke har prioritert slike anmeldelser. I 2008 ble angivelig ”et hundretalls” innehavere av IP-nummer brukt ved fildeling, anmeldt. Påtalemyndigheten henla alle sakene.
Mindretallet er kjent med Høyesteretts kjennelse i Altibox-saken, Rt 2010 s 774, herunder uttalelsen i pkt 50 og pkt 51, som bygger på det syn at rettighetshaveren har en selvstendig interesse i å forfølge en krenkelse i sivil sak, uavhengig av hvordan politi og påtalemyndighet vurderer straffverdigheten. Uttalelsen synes imidlertid nettopp å bygge på den erkjennelse at påtalemyndigheten har sett krenkelsene som mindre alvorlige. Det er ikke uten relevans, når interessens samfunnsmessige beskyttelsesverdighet nettopp skal vurderes opp mot de personvernulemper en slik registrering kan skape.
Viktigere er at sannsynligheten for at abonnenten er identisk med fildeleren, slett ikke alltid er overveldende. Det vises til omtalen ovenfor. Å identifisere abonnenten, for eksempel Statoil, NSB, den private hybelutleier, hotellkjeden etc fører altså ikke til noen adekvat begrensning av fildelingen.
Det er tankevekkende at klageren, som etter fire år med konsesjon til registrering har hatt anledning til å registrere enorme mengder av IP-adresser, likevel ikke synes å ha oppnådd noe vesentlig i jakten på ”piratene”. Det kan illustrere et perspektiv av Datatilsynets vurdering; at det bør være et politisk spørsmål å vurdere og å ta stilling til hvilke juridiske, faktiske og tekniske mekanismer samfunnet bør ha, for å hindre slik ulovlig virksomhet. Mindretallet skal ikke gå nærmer inn i slike vurderinger.
Samlet sett anser mindretallet de personvernmessige betenkeligheter som så viktige og prinsipielle, at den effekt en slik registrering måtte ha for konsesjonæren, ikke kan oppveie disse. Det betyr at Datatilsynet, etter vår mening, har vurdert saken korrekt, lovlig og hensiktsmessig.
Flertallet er kommet til at konsesjonen skal forlenges. Personvernnemnda har derfor vurdert hvorvidt det bør stilles ytterligere konsesjonsvilkår i forbindelse med forlengelsen. Personvernnemnda mener at det forhold at det foreligger en usikkerhet knyttet til om identiteten bak en IP-adresse faktisk samsvarer med den som har utført den påståtte rettsstridige handling medfører at det er en viss usikkerhet knyttet til kvaliteten på opplysningene, jf personopplysningsloven § 11. Dette får betydning i forhold til de brev som Simonsen ønsker å sende ut til abonnentene via Internettleverandørene. Nemnda mener at brevet fra Simonsen slik dette lyder i dag ikke i tilstrekkelig grad hensyntar denne usikkerheten. Nemnda mener på denne bakgrunn at et vilkår for forlenget konsesjon må være at varselbrevet omformuleres. Det bør tydeliggjøres ytterligere i brevet at opplysningene kun kan knyttes til det internettabonnement som abonnenten er ansvarlig for og ikke til en enkeltperson. Det må således ikke anføres i brevet at mottageren har begått en straffbar handling, men tydeliggjøres at dette kan være begått av andre med tilgang til Internettabonnementet. Videre må informasjon om grunnlaget for henvendelsen vedlegges brevet slik at mottager ikke behøver å kontakte Simonsen for å få ytterligere informasjon. Brevet må informere mottager om hvilke opplysninger man har registrert, hvor man har fått opplysningene fra, når de ble lagret, osv, jf personopplysningsloven § 20 tredje ledd. Dette kan gjøres ved at brevet vedlegges liste over IP-adresser, dato, klokkeslett, opp/nedlastede filer mv. Endelig bør brevet informere om hvordan man kan låse sitt nettverk og lignende tiltak. Den opprinnelige konsesjonens bestemmelser om informasjonsplikt, slettefrister etc skal fortsatt gjelde.
Personvernnemnda er videre av den oppfatning at det bør klargjøres gjennom vilkår i konsesjonen at klager ikke kan registrere opplysninger om tredjeparter, for eksempel i forbindelse med chatting. Det som kan registreres er kun det som antas å være ulovlig.
Det er søkt om forlengelse til 31.12.2010. Datatilsynet står fritt til å avslutte en midlertidig konsesjon, hvis det har skjedd noe som gjør at utfallet av interesseavveiningen faller annerledes ut. I denne saken har Personvernnemndas flertall kommet til at personverninteressen må vike fordi personvernulempene ikke er store nok til å begrunne avslag på forlengelse. Forlengelse innvilges derfor som omsøkt, men med de vilkår og føringer som følger av nemndas vedtak. Personvernnemnda overlater til Datatilsynet å utforme de nærmere vilkår i samsvar med dette vedtak.
7 Vedtak
Klagen tas til følge. Konsesjonen forlenges til 31.12.2010 og det skal settes ytterligere vilkår.
Oslo, 5. november 2010
Eva I. E. Jarbekk
Leder