Journalnummer: 2002-219-0135
På baggrund af omtale i pressen og en henvendelse fra Forbrugerrådet anmodede Datatilsynet den 3. december 2002 Antipiratgruppen om en redegørelse om behandlingen af personoplysninger i forbindelse med Antipiratgruppens fremsættelse af erstatningskrav over for personer, der har foretaget distribuering af blandt andet ophavsretligt beskyttet musik via internettet.
Ved brev af 20. december 2002 har Antipiratgruppen afgivet en redegørelse til Datatilsynet. Tilsynet har endvidere modtaget kopi af Antipiratgruppens brev af 28. november 2002 til Forbrugerrådet om sager mod brugere af fildelingstjenesten KaZaa.
Det fremgår af sagen, at Antipiratgruppen er en sammenslutning af brancheorganisationer, forbund og foreninger inden for musik- og filmbranchen, hvis hovedformål er at bekæmpe ulovlig kopiering og distribution af produkter, som medlemmerne repræsenterer rettighederne til.
Antipiratgruppen har den 10. december 2001 anmeldt organisationens behandlinger til Datatilsynet, og tilsynet har den 13. maj 2002 meddelt tilladelse til organisationen. Antipiratgruppens anmeldelse har imidlertid ved en fejl været slettet fra Datatilsynets fortegnelse.
Af Antipiratgruppens skrivelse af 28. november 2002 til Forbrugerrådet fremgår bl.a., at organisationen som omtalt i pressen har gennemført en række sager mod brugere af fildelingstjenesten KaZaa. KaZaa fungerer ved, at brugere kan downloade et stykke software, som herefter muliggør, at brugerne kan udveksle filer direkte med hinanden. Der udveksles løbende et meget stort antal piratkopier af musiknumre, film og spil via KaZaa.
Når en bruger anvender KaZaa, sker dette via den pågældende brugers internetforbindelse. Internetbrugeren er tildelt et givent IP-nummer, som enten kan være fast eller dynamisk afhængig af, hvilken internetudbyder og abonnementstype den enkelte internet bruger har valgt at have. Uanset om en internetbruger er forbundet til internettet via et fast eller dynamisk IP-nummer, er den pågældende internetbrugers teleudbyder bekendt med identiteten af internetbrugeren, som er abonnent hos teleudbyderen.
Den enkelte brugers IP-nummer er offentligt tilgængelig og fremtræder i alle sammenhænge, når en bruger er online på internettet, og uanset om den pågældende bruger vælger at anvende KaZaa eller andre internettjenester.
I relation til de enkelte KaZaa brugere har Antipiratgruppen sikret sig oplysninger om IP-nummer samt skærmprints med oversigt over, hvilke musiknumre, film og/eller spil den enkelte bruger i strid med ophavsretsloven har gjort tilgængelige for andre KaZaa brugere.
Antipiratgruppen har anført, at denne indsamling af oplysninger svarer til at gennemgå en avis for annoncer om salg af piratkopier og at sikre oplysninger om de piratkopier, som udbydes til salg, og det telefonnummer, man skal ringe til for at bestille kopierne.
Antipiratgruppen har understreget, at organisationen ikke foretager generel overvågning af internettet eller registrering af personers færden på internettet. Organisationen har målrettet søgt efter piratkopier af musiknumre, film og/eller spil via fildelingstjenesten KaZaa, hvor KaZaa brugere af egen drift har valgt at tilgængeliggøre piratkopier af musiknumre, film og spil for andre KaZaa brugere i strid med ophavsretsloven.
Som svar på Datatilsynets forespørgsel har Antipiratgruppen oplyst, at organisationen behandler oplysninger om personer, der har krænket rettigheder i henhold til ophavsretsloven. Antipiratgruppen behandler oplysninger om de pågældendes navn, adresse, IP-adresse samt dokumentation for omfanget af overtrædelsen af ophavsretsloven.
Som led i efterforskning og opklaring af ulovlig kopiering, tilgængeliggørelse og/eller distribution af ulovlige kopier af musik og film indsamles, registreres og samkøres data om identificerbare og ikke-identificerbare personer, der via internettet eller på anden måde ulovligt kopierer, tilgængeliggør og/eller distribuerer ulovlige kopier af musik og/eller film. Behandlingen sker elektronisk. Korrespondance opbevares endvidere manuelt.
Formålet med behandlingen er at efterforske og opklare ulovlig kopiering, tilgængeliggørelse og/eller distribution af musik og film, hvortil Antipiratgruppens medlemmer har rettighederne.
Så snart det er muligt at identificere de fysiske eller juridiske personer bag IP-adresserne - som regel ved rettens mellemkomst ved retskendelse rettet mod teleudbydere - opgøres kravet mod krænkeren, og denne modtager et brev fra Antipiratgruppen eller dennes advokat indeholdende et erstatningskrav for de stedfundne krænkelser. I denne forbindelse modtager krænkeren samtlige oplysninger, der er nødvendige for, at krænkeren kan varetage sine interesser.
De registrerede oplysninger videregives til Antipiratgruppens advokat og til politiet. Antipiratgruppen har oplyst, at oplysningerne slettes senest ved endelig afslutning af retsforfølgningen af den registrerede.
Ophavsretslovens regler
Overtrædelser af ophavsretsloven kan medføre såvel strafansvar som erstatningsansvar.
Det følger af ophavsretslovens § 76, stk. 1, at forsætlige eller groft uagtsomme overtrædelser af en række af ophavsretslovens bestemmelser straffes med bøde. I § 76, stk. 2, er der fastsat en udvidet strafferamme for pirateri. Overtrædelser omfattet af § 76, stk. 1, er undergivet privat påtale. I sager omfattet af § 76, stk. 2, er der betinget offentlig påtale.
Efter ophavsretslovens § 83 er den, som krænker en rettighedshavers rettigheder, forpligtet til at betale erstatning til rettighedshaveren for det tab, som krænkelserne har påført rettighedshaveren.
Erstatningskravet omfatter et rimeligt vederlag for udnyttelsen og erstatning for de yderligere tab, krænkelsen har påført rettighedshaveren samt godtgørelse for ikke-økonomisk skade. Hertil kommer, at vedkommende er forpligtet til at betale rettighedshaverens omkostninger i forbindelse med sagen.
Datatilsynets udtalelse
Sagen har været behandlet på et møde i Datarådet, og Datatilsynet skal herefter udtale følgende:
Persondatalovens § 7, stk. 1, omhandler oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold. Disse oplysninger anses for følsomme oplysninger. Lovens § 8, stk. 1, omhandler oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de i § 7, stk. 1, nævnte. Disse oplysningstyper anses også for følsomme. Oplysningskategorier, som ikke er nævnt i § 7, stk. 1, eller § 8, stk. 1, er omfattet af lovens § 6, og kan karakteriseres som almindelige ikke-følsomme oplysninger.
Behandling af almindelige ikke-følsomme oplysninger, herunder f.eks. oplysninger om navn, adresse og IP-adresse skal ske i overensstemmelse med persondatalovens § 6, stk. 1, nr. 1-7. Behandling kan herefter bl.a. ske, hvis den registrerede har givet udtrykkeligt samtykke hertil, jf. § 6, stk. 1, nr. 1, eller hvis behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse, jf. § 6, stk. 1, nr. 7.
Oplysninger omfattet af lovens § 7, stk. 1, må for eksempel behandles, hvis den registrerede har givet sit udtrykkelige samtykke til behandlingen, jf. § 7, stk. 2, nr. 1, eller hvis behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares, jf. § 7, stk. 2, nr. 4.
Det følger af persondatalovens § 8, stk. 4, at private må behandle oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de i § 7, stk. 1, nævnte, hvis den registrerede har givet sit udtrykkelige samtykke hertil. Herudover kan behandling ske, hvis det er nødvendigt til varetagelse af en berettiget interesse, og denne interesse klart overstiger hensynet til den registrerede. Behandling af oplysningerne må endvidere finde sted, hvis betingelserne i § 7, er opfyldt, jf. § 8, stk. 6.
Det fremgår af lovens forarbejder, at § 8, stk. 4, tilsigter at videreføre den gældende retstilstand efter den tidligere lov om private registre m.v. Bestemmelsen opstiller derfor meget snævre rammer for, hvornår der kan ske registrering af følsomme personoplysninger uden samtykke. Det fremgår endvidere, at bestemmelsen - i lighed med den tidligere gældende retstilstand - giver mulighed for, at en virksomhed kan registrere oplysninger om strafbare forhold med henblik på indgivelse af politianmeldelse, f.eks. om butikstyveri, og eventuel senere afgivelse af vidneforklaring i retten. Oplysningerne skal dog destrueres snarest muligt, jf. lovens § 5, stk. 5.
Det er Datatilsynets opfattelse, at Antipiratgruppens behandlinger af oplysninger om bl.a. strafbare forhold må anses for nødvendige, da ophavsretskrænkelserne som hovedregel er undergivet privat påtale. Hvis Antipiratgruppen ikke kan behandle oplysningerne, vil det i praksis være umuligt for indehaverne af ophavsrettighederne at håndhæve disse. Efter tilsynets opfattelse er behandlingen af oplysningerne således nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares, jf. persondatalovens § 7, stk. 2, nr. 4.
Det er endvidere Datatilsynets opfattelse, at Antipiratgruppen tillige med hjemmel i persondatalovens § 8, stk. 4, kan behandle oplysninger om strafbare forhold med henblik på overvejelse om, hvorvidt der skal indgives politianmeldelse eller iværksættes privat påtale for overtrædelse af ophavsretslovgivningen.
Enhver behandling af personoplysninger skal desuden leve op til de grundlæggende regler i persondatalovens § 5. Af lovens § 5, stk. 1, følger, at oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Heri ligger ifølge lovens forarbejder, at behandlingen skal være rimelig og lovlig. En rimelig behandling af oplysninger forudsætter bl.a., at registrerede personer kan få kendskab til en behandlings eksistens og, når der indsamles oplysninger hos dem, kan få nøjagtige og fyldestgørende oplysninger med hensyn til de nærmere omstændigheder ved indsamlingen, jf. lovens §§ 28 og 29 om oplysningspligt.
Ifølge det oplyste behandler Antipiratgruppen kun oplysninger, som organisationen er kommet i besiddelse af gennem offentligt tilgængelige kilder, eller som organisationen har modtaget ved en lovlig videregivelse, f.eks. i medfør af retskendelse. Datatilsynet finder ikke, at organisationen herved handler i strid med god databehandlingsskik.
I forbindelse med persondatalovens § 29 om oplysningspligt over for den registrerede bemærkes, at individuel underretning af en registreret person efter Datatilsynets opfattelse må anses for umulig, så længe Antipiratgruppen kun identificerer personen med et IP-nummer. I disse tilfælde medfører undtagelsesreglen i persondatalovens § 29, stk. 3, at der ikke skal gives underretning. Når personens navn og adresse er modtaget, er underretning imidlertid ikke umulig. Hvis oplysninger om en registreret person herefter undergives elektronisk databehandling eller behandles i et manuelt register, jf. lovens § 1, stk. 1, vil der efter Datatilsynets opfattelse som udgangspunkt skulle gives meddelelse i medfør af persondatalovens § 29.
Datatilsynet har noteret sig, at Antipiratgruppen - så snart det er muligt at identificere en person - sender den registrerede et brev, hvori indgår de oplysninger, der er nødvendige for, at den pågældende kan varetage sine interesser.
Der er endvidere krav om, at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og at de oplysninger, som behandles, skal være relevante og tilstrækkelige, jf. § 5, stk. 2 og 3.
Efter Datatilsynets opfattelse udgør håndhævelse af ophavsrettigheder et sagligt formål, og den beskrevne behandling af oplysninger går efter Datatilsynets opfattelse ikke videre, end hvad der kræves til opfyldelse af dette formål.
Af lovens § 5, stk. 5, følger, at indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.
Under henvisning hertil skal Datatilsynet understrege, at oplysningerne skal slettes snarest muligt, det vil sige senest, når sagen er afsluttet hos politiet eller domstolene. Hvis retsforfølgning opgives eller ikke indledes inden rimelig tid, skal oplysningerne slettes umiddelbart. Antipiratgruppen skal i hvert enkelt tilfælde konkret vurdere, hvornår en oplysning skal slettes. I forbindelse med Datatilsynets inspektionsvirksomhed på dette område vil tilsynet være særligt opmærksom på, at oplysningerne slettes så hurtigt som muligt.
Datatilsynet skal endelig henlede opmærksomheden på vigtigheden af, at Antipiratgruppen i overensstemmelse med persondatalovens krav om god databehandlingsskik og behandlingssikkerhed etablerer hensigtsmæssige sagsbehandlingsprocedurer og giver den fornødne instruktion til de medarbejdere, der behandler oplysningerne.
Det er herefter Datatilsynets samlede vurdering, at Antipiratgruppens aktiviteter ikke er i strid med persondatalovens regler. Antipiratgruppens tilladelse af 13. maj 2002 er således fortsat gældende.