Journalnummer: 2016-217-1119
Datatilsynet vender hermed tilbage til den undersøgelse af behandlingen af personoplysninger hos Advokatanpartsselskabet Opus (herefter ”Opus”) i forbindelse med håndhævelse af ophavsrettigheder, som Datatilsynet indledte efter at have modtaget flere borgerhenvendelser herom.
Opus har den 17. august 2016 fremsendt en redegørelse til sagen på baggrund af spørgsmål, som Datatilsynet stillede ved brev af 29. juni 2016.
Datatilsynet har nu færdigbehandlet sagen og har ikke fundet grundlag for at tilsidesætte Opus’ vurdering af, at den omhandlede behandling af personoplysninger kan ske inden for rammerne af persondataloven.1
Nedenfor er en gennemgang af sagen og en nærmere redegørelse for baggrunden for Datatilsynets konklusion.
1. Sagsfremstilling
Opus har oplyst at være et specialiseret advokatkontor, der blandt andet beskæftiger sig med håndhævelse af immaterielle rettigheder – herunder ophavsret. Opus bistår en række danske og udenlandske rettighedshavere inden for film og tv i sager om filmpirateri på internettet.
Opus’ behandling vedrører efter det oplyste den civilretlige påtale af ophavsretlige krænkelser og fremsættelse af krav om økonomisk kompensation. Opus har sideløbende hermed et samarbejde med Statsadvokaten for Økonomisk og International Kriminalitet (SØIK) om særligt alvorlige sager, hvor krænkelserne har et omfang eller en karakter, der giver anledning til nærmere undersøgelser af, om der er begået strafbare forhold.
Opus’ har forklaret, at en krænkelse af ophavsrettighederne kan medføre straf efter ophavsretslovens § 76, der som udgangspunkt er undergivet privat påtale, jf. ophavsretslovens § 81. Opus’ klienter har indgået aftale med en tysk virksomhed, der skal kortlægge og dokumentere de (formodede) ophavsretlige krænkelser på internettet. Dette sker ved, at det tyske firma foretager registrering af IP-adresser, der har deltaget i et peer-to-peer-baseret fildelingsnetværk, hvorfra der er foretaget ulovlig download og distribution af eksempelvis film og tv-serier.
Det tyske firma registrerer ifølge Opus udelukkende IP-adresser og det tidsrum, hvor disse er konstateret aktive i et fildelingsnetværk. Det tyske firma overlader IP-adresserne til Opus via en krypteret transmission over internettet.
Opus fremlægger oplysningerne i retten i forbindelse med editionsbegæringer i henhold til retsplejelovens § 343, stk. 1, samt § 299, stk. 1, hvorved retten anmodes om at pålægge internetudbyderen at udlevere oplysninger om navn og adresse på de abonnenter, som IP-adresserne er knyttet til.
Når internetudbyderen som følge af et editionspålæg fra retten har udleveret disse oplysninger, retter Opus henvendelse til de pågældende abonnenter.
De sager, der efter Opus' vurdering giver anledning til retsforfølgning, forelægges enkeltvis for klienterne. Klienterne tager på den baggrund stilling til, hvorvidt der skal iværksættes yderligere retsskridt. Dette vil også kunne ske efter en skriftlig instruks om, hvilke typer af sager, som klienten ønsker retsforfulgt.
2. Dataansvar
Datatilsynet har forstået Opus’ udtalelse til sagen således, at Opus i relation til behandlingen af oplysninger om de personer, der formodes at have krænket Opus’ klienters ophavsrettigheder, anser sig som databehandler for sine klienter. Opus har i den forbindelse bl.a. påpeget, at advokatfirmaet ikke behandler oplysningerne til egne formål.
Datatilsynet har ikke fundet anledning til i nærværende sammenhæng at søge spørgsmålet om dataansvaret nærmere belyst, da dette forhold ikke har afgørende betydning for tilsynets konklusioner i sagen. I forhold til det oplyste om, at Opus også repræsenterer udenlandske klienter, skal Datatilsynet dog understrege, at nærværende udtalelse alene vedrører behandling af personoplysninger, der er omfattet af persondataloven, jf. herved bl.a. § 4 om lovens geografiske anvendelsesområde.
3. Persondatalovens behandlingsregler
Behandling af såkaldte almindelige ikke-følsomme oplysninger såsom navne, adresser og IP-adresser, skal ske i overensstemmelse med persondatalovens § 6, stk. 1, nr. 1-7.
Behandling af sådanne oplysninger kan herefter bl.a. ske, hvis behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse, jf. § 6, stk. 1, nr. 7.
Når en IP-adresse, der er knyttet til en fysisk person, kædes sammen med ulovlig download og/eller distribution af ophavsretligt beskyttede værker, kan der være tale om en følsom oplysning om vedkommendes strafbare forhold omfattet af persondatalovens § 8.2
Det følger af persondatalovens § 8, stk. 4, at private virksomheder mv. bl.a. kan behandle oplysninger om strafbare forhold, hvis det er nødvendigt til varetagelse af en berettiget interesse, og denne interesse klart overstiger hensynet til den registrerede.
Det fremgår af bemærkningerne til lovforslaget til persondataloven, at bestemmelsen giver mulighed for, at en virksomhed kan registrere oplysninger om strafbare forhold med henblik på indgivelse af politianmeldelse, f.eks. om butikstyveri, og eventuel senere afgivelse af vidneforklaring i retten. Oplysningerne skal dog destrueres snarest muligt, jf. lovens § 5, stk. 5.
Behandling af oplysninger om strafbare forhold må endvidere finde sted, hvis betingelserne i persondatalovens § 7 er opfyldt, jf. lovens § 8, stk. 6, f.eks. hvis behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares, jf. § 7, stk. 2, nr. 4.
Al behandling af personoplysninger skal desuden ske i overensstemmelse med de grundlæggende principper i persondatalovens § 5 om bl.a. om god databehandlingsskik, saglighed, proportionalitet, ajourføring og sletning.
Herunder følger det af § 5, stk. 3, at oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.
Efter lovens § 5, stk. 5, må indsamlede oplysninger ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.
Bestemmelserne udtrykker bl.a. persondatalovens grundlæggende krav om proportionalitet. Behandling af personoplysninger må således ikke gå videre – hverken i omfang eller varighed – end hvad der kræves til opfyldelse af de formål, som den dataansvarlige er berettiget til at forfølge.
4. Berettigelsen af den omhandlede behandling af personoplysninger
Datatilsynet finder ikke at kunne tilsidesætte Opus’ vurdering af, at behandlingen af oplysninger om personer, der formodes at have krænket Opus’ klienters ophavsrettigheder, er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares i forbindelse med politianmeldelse eller civilretlig forfølgning. Det er derfor Datatilsynets vurdering, at behandlingen kan ske i medfør af persondatalovens § 7, stk. 2, nr. 4, jf. § 8, stk. 6, § 8, stk. 4, og § 6, stk. 1, nr. 7.
I den forbindelse har tilsynet lagt vægt på det oplyste om, at ophavsretskrænkelser som hovedregel er undergivet privat påtale, og at det derfor i praksis ofte være umuligt for rettighedsindehavere at håndhæve deres rettigheder, hvis oplysningerne ikke kunne behandles.
Datatilsynet har også lagt vægt på, at de indsamlede IP-adresser, der er kædet sammen med rettighedskrænkelserne, ikke er umiddelbart personhenførbare, før det tidspunkt, hvor oplysninger om navn og adresse på abonnenten modtages fra internetudbyderen på baggrund af en retskendelse.
Datatilsynet lægger i den forbindelse til grund, at der ved rettens vurdering af, hvorvidt en internetudbyder skal pålægges at udlevere disse identifikationsoplysninger, er foretaget en afvejning mellem bl.a. hensynet til beskyttelsen af personoplysninger og kommunikationshemmeligheden over for hensynet til effektiv håndhævelse af f.eks. immaterialretligheder med inddragelse af eksempelvis proportionalitetsprincippet, jf. persondatalovens § 5, stk. 3, som er omtalt ovenfor under afsnit 3.3
Som nævnt ovenfor følger det af persondatalovens § 5, stk. 5, at indsamlede personoplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.
Under henvisning hertil skal Datatilsynet bemærke, at de omhandlede personoplysninger skal slettes snarest muligt. Særligt i de tilfælde, hvor der ikke opnås editionskendelse ved retten, et civilt søgsmål opgives eller ved afslutning af retsforfølgning af den registrerede må det således nøje overvejes, om en fortsat behandling af personoplysningerne er nødvendig.
5. Afsluttende bemærkninger
Datatilsynet anser hermed sagen for afsluttet og foretager sig på det foreliggende grundlag ikke yderligere i den anledning.
For god ordens skyld skal Datatilsynet orientere om, at tilsynet forventer at offentliggøre denne udtalelse på sin hjemmeside.
_________________________________
1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer
2 Se hertil også Datatilsynets udtalelse i sagen med j.nr. 2002-219-0135. Udtalelsen er tilgængelig på Datatilsynets hjemmeside
3 Se hertil EU-Domstolens dom af 29. januar 2008, sag C-275/06, Promusicae, præmis 67-70