Att IP-nummer kan vara personuppgifter är nog ställt utom tvivel. I det betänkande som föregick personuppgiftslagen kan den intresserade läsa följande (SOU 1997:39 s 337):

Det krävs såvitt vi kan förstå enligt direktivet bara att en fysisk person kan identifieras med hjälp av uppgifterna, inte att den persondataansvarige själv skall förfoga över samtliga uppgifter som gör identifieringen möjlig.

[...]

Motsvarande resonemang kan för övrigt föras beträffande s k  nätnodsadresser och liknande elektroniska identiteter som den som driver en elektronisk tjänst på t ex Internet samlar in. Sådana uppgifter om användarna kan nämligen ofta hänföras till en individ med hjälp av uppgifter som användarens Internetleverantör har tillgång till.

Det krävs alltså inte - enligt betänkandet - att Antipiratbyån kan identifiera någon med IP-numren. Det räcker att någon annan kan göra det, och det är ju precis så Antipiratbyrån använder uppgifterna, så det torde vara uppenbart att identifiering av fysiska personer är själva syftet med insamlingen av uppgifterna. Det går inte heller att hävda att fler personer kan ha ett IP-nummer och att det därför inte är personuppgift enligt betänkandet (SOU 1997:39 s 338):

Det bör även påpekas att i vissa fall kan uppgifter direkt hänföras till en så begränsad grupp personer, t ex en handfull personer med tillgång till en och samma dator eller nätanslutning, att en enskild individ med hjälp av andra uppgifter enkelt kan identifieras och att uppgifterna då får betraktas som personuppgifter.

Till detta kommer så Ponténs försvar om att uppgifterna ej sparas. Detta måste sannolikt vara ett missförstånd. Lagen gör inga sådana avgränsningar. Personuppgiftslagens centrala begrepp är "behandling" av personuppgifter och behandling definieras som:

Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte,t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning,inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.

Av detta framgår att Antipiratbyrån faktiskt behandlar uppgifter på tre olika sätt: man samlar in dem, lagrar dem tillfälligt och sedan - om Pontén har rätt - förstör man dem. Det sista kan tyckas fånigt att påpeka, men mycket att rättssäkerheten för den enskilde består väl ändå i att han eller hon kan se i efterhand när numret samlades in, vilken trafik som väckte byråns uppmärksamhet m.m.?

Vad vet vi alltså efter denna analys? Slutsatsen syns bli att APB samlar in personuppgifter och att denna insamling definitivt faller under lagens definition av behandling.

Men vi kan inte stanna där i analysen. Vi måste fråga vilka typer av uppgifter det rör sig om. Det är nämligen uppgifter om vilka IP-nummer som förekommit tillsammans med överföring av upphovsrättsligt skyddat material. Material som APB själva menar överförs i strid med gällande lagar, och där överföringen utgör ett brott.

Det betyder i så fall att APB samlar in personuppgifter som rör brott. Dessa uppgifter är det förbjudet att samla in (21 §). Om sådana uppgifter gäller enligt Datainspektionen att:

Huvudregeln är att bara myndigheter får behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Som exempel kan nämnas en uppgift om att någon har eller kan ha begått ett visst brott (det krävs inte att det finns en dom eller motsvarande beträffande brottet), att någon är häktad eller att någon är föremål för tvångsvård. Det är inte tillåtet att behandla dessa uppgifter med stöd av ett samtycke från den registrerade.

Men det finns undantag, särskilt ett som är intressant, nämligen om:

behandlingen avser endast enstaka uppgift som är nödvändig för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras i ett enskilt fall

Frågan kommer alltså i slutänden att bli om det anses nödvändigt för APB att samla in IP-nummer för att kunna göra rättsliga anspråk gällande. Men frågan är vilka rättsliga anspråk APB har? Vilket mandat har APB att göra rättsliga anspråk gällande för rättighetsinnehavarna?

Det borde nog bli en nyckelfråga för Datainspektionen, eftersom APB knappast kan samla in personuppgifter om brott för att förebygga piratkopiering i allmänhet: det krävs ett konkret rättsligt anspråk av något slag att grunda behandlingen på för att inte träffas av förbudet. Det torde också betyda att det är uteslutet att peka på X antal piratkopierade filer som skäl för insamlingen av uppgifterna. APB borde nog egentligen - enligt lagen - vara tvungna att klarera att den vars rättigheter man avser skydda ställer sig bakom denna begäran innan man kan samla in uppgifterna.

När man sedan samlat in dem borde man vara tvungen att omedelbart överlämna ärendet till polis. APB kan inte bedriva egen informationsverksamhet mot individer eftersom det går utöver vad som krävs för att fastställa rättsliga anspråk såvitt jag kan se.

Sedan måste Datainspektionen också fundera över vad det betyder att all information och alla IP-nummer samlats in i lönndom: därmed har ju inget ändamål med insamlingen avgivits och den enskilde inte kunnat försvara sig. Det kan också verka försvårande om Datainspektionen bedömer att vad som skett är ett brott mot PUL. 

En parentes: att anmäla APB till Datainspektionen är en sak, men kanske vore det intressantare att utnyttja den rätt till information som personuppgiftslagen ger till att se till att få reda på vad APB har lagrat om just dig eller att få detta rättat eller utplånat? Den som samlar in personuppgifter är nämligen skyldig att lämna information och rätta eller utplåna uppgifter som är felaktiga eller som behandlats i strid mot lagen (28 §):

Den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har utfärdats med stöd av lagen. Den personuppgiftsansvarige skall också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

Kanske kommer någon att upprätta ett enkelt formulär för att låta enskilda begära att de stryks ur APB:s register eftersom insamlingen skett i strid med lagen?

Det borde också gå att göra ett formulär där enskilda kan begära information - gratis - om vilken information APB har samlat in om just deras IP-nummer enligt 26 §, men ansökan måste skrivas ut och skickas med post:

Den personuppgiftsansvarige är skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej. Behandlas sådana uppgifter skall skriftlig information lämnas också om
   a) vilka uppgifter om den sökande som behandlas,
   b) varifrån dessa uppgifter har hämtats,
   c) ändamålen med behandlingen, och
   d) till vilka mottagare eller kategorier av mottagare som uppgifterna läm-nas ut.
   En ansökan enligt första stycket skall göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den sökande själv. Information enligt första stycket skall lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får information dock lämnas senast fyra månader efter det att ansökan gjordes. [...]

Fast vem vågar väcka den upphovsrättsadvokat som sover?

Till sist: om vi nu anser att APB samlar in personuppgifter om brott och endast kan göra det för att fastställa rättsliga anspråk så är situationen ganska allvarlig för APB. Det finns ju nämligen grund för skadestånd i personuppgiftslagen, 48 §:

Den personuppgiftsansvarige skall ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med denna lag har orsakat.
   Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

Här finns alltså en risk att enskilda personer begär skadestånd från APB. Intressanta frågor i brytningspunkten mellan upphovsrätten och den personliga integriteten! Och nu skall det bli spännande att ta del av Datainspektionens bedömning.

Ovanstående är inte juridisk rådgivning, utan rättsliga funderingar. Skaffa advokat om du behöver en!