Niðurstaða frumkvæðisathugunar á 365 miðlum hf. vegna eftirlits með IP-tölum
Mál nr. 2016/1705
Persónuvernd hefur komist að niðurstöðu í frumkvæðisathugun stofnunarinnar á 365 miðlum hf. í kjölfar fréttatilkynningar um eftirlit fyrirtækisins á IP-tölum þeirra sem hlaða höfundarréttarvörðu sjónvarpsefni inn á dreifiveitur.
Efni: Leiðbeinandi bréf vegna frumkvæðisathugunar Persónuverndar á 365 miðlum hf. í kjölfar fréttatilkynningar um eftirlit fyrirtækisins á IP-tölum þeirra sem hlaða höfundarréttarvörðu sjónvarpsefni inn á dreifiveitur.
I.
Tildrög máls
Þann 25. nóvember 2016 sendu 365 miðlar hf. fréttatilkynningu til fjölmiðla þar sem tilkynnt var um að félagið myndi fylgjast með IP-tölum þeirra sem hlæðu íslensku sjónvarpsefni inn á ólöglegar síður og dreifiveitur. Í fréttatilkynningunni kom meðal annars fram að tilgangur þessa eftirlits væri að vernda framleiðslu á íslensku dagskrárefni. Jafnframt sagði í fréttatilkynningunni að 365 miðlar hefðu nýlega lagt fram kærur á hendur aðilum sem gerst hefðu sekir um að dreifa ólölega höfundarréttarvörðu efni.
Í viðtali við fréttastofu RÚV þann 26. nóvember 2016, sagði [...], þáverandi forstjóri 365 miðla, m.a.:
„Það sem við gerum er að við fáum frá FRÍSK upplýsingar um hverjir hafa sett efnið okkar með ólögmætum hætti á netið. Og það sem við höfum einfaldlega gert er að skoða hverjir mögulega geti verið þarna á bakvið. Og við höfum sent kæru til lögreglunnar.“
II.
Bréfaskipti
1.
Tilkynning um frumkvæðisathugun
Með bréfi, dags. 30. nóvember 2016, tilkynnti Persónuvernd að stofnunin hefði ákveðið að kanna nánar þá vinnslu persónuupplýsinga sem umrætt eftirlit hefði í för með sér. Í bréfi Persónuverndar var óskað staðfestingar á að framkvæmd eftirlitsins væri í samræmi við það sem fram kom í fréttatilkynningu 365 miðla. Jafnframt var óskað upplýsinga um hvaða persónuupplýsingar unnið væri með í tengslum við umrætt eftirlit; hvert persónuupplýsingarnar væru sóttar og hvaða tæknilegu aðferðir væru notaðar til þess; á grundvelli hvaða heimildar í 8. og 9. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, vinnsla persónuupplýsinga í tengslum við eftirlitið færi fram; hvernig 365 miðlar teldu umrætt eftirlit samrýmast 7. gr. laga nr. 77/2000; og hvort fræðsla væri veitt hinum skráða og, ef svo væri, hvers efnis sú fræðsla væri.
2.
Samskipti við 365 miðla
Svar 365 miðla barst Persónuvernd með bréfi, dags. 29. desember 2016. Þar segir að sú lýsing á málavöxtum sem fram komi í fréttatilkynningu félagsins, dags. 25. nóvember 2016, þess efnis að sérhæfð fyrirtæki fylgist með IP-tölum þeirra sem hlaði efni inn á vefsíður, sem og að FRÍSK kæmi að því að upplýsa um IP-tölur þeirra sem slíkt gera, sé röng og byggi á misskilningi af hálfu 365 miðla. Í bréfi lögmanns, f.h. 365 miðla hf., segir m.a. um framkvæmd umrædds eftirlits.
„Hið rétta er að FRÍSK, rétthafasamtök sem umbjóðandi minn er aðili að, réði utanaðkomandi aðila til þess að skrifa einfaldan hugbúnað sem fylgist með því hvort höfundarvörðum titlum og verkum er hlaðið upp á ólögmæta torrentasíðu á slóðinni deildu.net, en síðan er hýst erlendis. Skilar hugbúnaðurinn niðurstöðum í s.k. RSS-feed sem hægt er að gerast áskrifandi að og skrá sig fyrir tilkynningum um það með tölvupósti, þegar efni eða sérstök leitarorð sem uppfylla skilyrði áskrifandans er hlaðið upp á fyrrnefnda vefsíðu. Geta félagsmenn FRÍSK þannig beðið um að fá sendar tilkynningar þegar efni sem inniheldur tiltekin leitarorð er hlaðið upp á síðuna. [...] Þegar umbjóðandi minn hefur fengið upplýsingar þess efnis að verk, sem hann á höfundaréttindi yfir, er dreift á netinu, hefur hann hins vegar leitast sjálfur við að komast að IP-tölu þess nafnlausa aðila sem deilir og hleður efninu inn á netið í fyrsta skipti, með því að sækja sjálfur efnið hjá viðkomandi aðila með notkun skráaskiptihugbúnaðar. Með þeim hætti er IP-tala hins brotlega sýnileg umbjóðanda mínum enda eru IP-tölur allra þeirra sem dreifa efni með BitTorrent tækni alla jafna sýnilegar þeim sem það sækja. Hefur umbjóðandi minn tekið skjáskot af því ferli.“
Í bréfinu segir að framangreint hafi einungis verið gert í þeim tilgangi að kæra verknaðinn til lögreglu. Einnig segir að 365 miðlar hafi aldrei tengt IP-tölur brotlegra aðila við nöfn eða aðrar persónugreinanlegar upplýsingar og hafi vinnsla persónuupplýsinga ekki farið fram af hálfu 365 miðla.
Í bréfinu segir jafnframt að ef Persónuvernd telji að hér sé um að ræða vinnslu persónuupplýsinga þá sé hún heimil á grundvelli 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000, enda séu 365 miðlar að vernda lögmæta hagsmuni sína og eignarrétt sinn með að stemma stigu við ólögmætri eintakagerð af höfundarréttarvörðum verkum. Að lokum segir í bréfinu að fræðsla sé ekki veitt hinum skráðu enda sé 365 miðlum ókunnugt um hverjir standi að baki IP-tölunum.
Með bréfi, dags. 18. janúar 2017, ítrekaði Persónuvernd beiðni sína um að 365 miðlar upplýstu á grundvelli hvaða heimildar í 9. gr. laga nr. 77/2000 umrædd vinnsla persónuupplýsinga færi fram. Í bréfinu kemur einnig fram sú afstaða að IP-tölur, bæði fastar og breytilegar, geti talist til persónuupplýsinga, sbr. nýlegan dóm Evrópudómstólsins, dags. 19. október 2016 í máli nr. 582/14 (Breyer gegn þýska ríkinu) þar um. Jafnframt var 365 miðlum tilkynnt um að starfsmenn Persónuverndar hygðust mæta á starfsstöð 365 miðla þar sem skoðað yrði hvernig staðið hefði verið að umræddu eftirliti.
Svar 365 miðla barst Persónuvernd með bréfi þann 24. janúar 2017. Í bréfinu er m.a. lýst þeirri afstöðu af hálfu félagsins að IP-tölur geti ekki talist til persónuupplýsinga, þ. á m. viðkvæmra, nema unnt sé að rekja þær til tiltekins einstaklings og tengja við hann. Þá er áréttað það sem fyrr hafði komið fram af hálfu 365 miðla að ekki hafi farið fram vinnsla persónuupplýsinga, enda hafi hvorki 365 miðlum né lögreglu enn sem komið er tekist að rekja IP-tölurnar til tiltekinna einstaklinga. Í bréfinu segir m.a.:
„Hugsanlega kann skýringin á framangreindu að vera sú að þeir einstaklingar sem stunda ólögmæta eintakagerð gera það allajafna með noktun s.k. VPN-tenginga, sem hylja raunverulega IP-tölu þeirra og staðsetningu í heiminum.“
Í bréfinu segir jafnframt að jafnvel þótt félagið afli upplýsinga um IP-tölur sem rekja megi til einstaklinga þá sé sú vinnsla heimil á grundvelli 6. og 7. tölul. 9. gr. laga nr. 77/2000.
Þann. 2. febrúar 2017 fóru starfsmenn Persónuverndar í vettvangsheimsókn á starfsstöð 365 miðla að Skaftahlíð 24, 105 Reykjavík. Í minnisblaði Persónuverndar um vettvangsheimsóknina segir m.a.:
„Ástæða heimsóknarinnar var m.a. vegna þess misræmis sem hafði komið fram í fréttatilkynningu 365 miðla, og ummæla forstjóra félagsins í kjölfarið, um eftirlit félagsins með IP-tölum þeirra sem deila höfundarréttarvörðu efni inn á skráardeilingarsíður og þess sem kemur fram í svarbréfum 365 við spurningum Persónuverndar.
Í upphaflegri fréttatilkynningu segir að fyrirtækið hafi ráðið sérhæfð fyrirtæki sem muni fylgjast grannt með IP tölum þeirra sem hlaða íslensku sjónvarpsefni inn á ólöglegar síður og dreifiveitur. Í svarbréfum félagsins sagði hins vegar að skrifaður hefði verið einfaldur hugbúnaður, sem lætur tiltekna aðila vita með RSS-straumi (e. RSS-feed) þegar ákveðnum leitarorðum er hlaðið inn á síðuna Deildu.net.
F.h. 365 miðla voru viðstaddir tæknistjóri 365 miðla og lögmaður 365 miðla í málinu.
Í vettvangsheimsókninni voru starfsmönnum Persónuverndar sýnd dæmi um tilkynningar sem félagið fær, en eins og með hefðbundnum RSS-straumi (e. RSS-feed), þá eru einföld skilaboð send í pósthólf um að tilteknum leitarorðum hafi verið hlaðið upp á síðuna. Með skilaboðunum var tengill á síðuna deildu.net, en hann virkaði ekki.
Tæknistjóri 365 miðla lýsti því hvernig framkvæmdin væri, þ.e. að þegar 365 miðlar fengju sendan tölvupóst vegna RSS, þá færi starfsmaður fyrirtækisins inn á viðkomandi torrent-síðu og hlæði niður efninu. Ef einungis einn aðili er að deila efninu í upphafi þá vita 365 miðlar að hann sé sá sem hlóð efninu upp á síðuna. Ef fleiri eru að hlaða niður efninu þá er engin leið fyrir fyrirtækið að vita hver hóf niðurhalið fyrst.
Í þeim tilvikum þar sem einungis einn aðili er að deila efninu þá tekur fyrirtækið skjáskot af IP-tölunni og sendir á lögreglu.“
II.
Leiðbeiningar Persónuverndar
Persónuvernd telur rétt að taka fram að upphafleg fréttatilkynning 365 miðla benti til þess að félagið stundaði umfangsmikið og kerfisbundið sjálfvirkt eftirlit með tilgreindum einstaklingum. Við rannsókn málsins hefur hins vegar komið í ljós að svo er ekki. Telur Persónuvernd þó engu að síður rétt að veita almenna leiðbeiningu til félagsins um hvernig staðið skuli að vinnslu persónuupplýsinga í tilviki eins og því sem hér um ræðir.
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna.
Í bréfi 365 miðla segir að hvorki félaginu né lögreglu hafi auðnast að rekja IP-tölur til tiltekinna einstaklinga, en möguleg skýring sé að þeir einstaklingar nýti sér svokallað sýndareinkanet (VPN-tenging) sem hylji raunverulega IP-tölu og staðsetningu einstaklinganna. IP-tölur hafa almennt verið skilgreindar sem persónugreinanlegar upplýsingar í framangreindum skilningi, jafnvel þótt aðili þurfi viðbótargögn frá þriðja aðila til að rekja IP-tölu til tiltekins einstaklings. Þessi túlkun var staðfest með dómi Evrópudómstólsins frá 19. október 2016 í máli nr. C-582/14. Þegar einnig er litið til þess tilgangs umræddrar vinnslu er að rekja IP-tölur til þeirra einstaklinga sem deila höfundarréttarvörðu efni á skráardeilingarsíður, þ.e. í þeim tilgangi að kæra viðkomandi til lögreglu, verður því að líta svo á að hér geti verið um að ræða vinnslu persónuupplýsinga í skilningi laga nr. 77/2000 í þeim tilvikum þar sem ekki er til staðar VPN-tenging eða sambærileg aðferð sem hylji raunverulega IP-tölu viðkomandi.
Brot gegn höfundalögum nr. 73/1972 varða refsiábyrgð, sbr. VII kafla þeirra. Teljast upplýsingar um hvort einstaklingur hafi gerst brotlegur við ákvæði höfundalaga því til viðkvæmra persónuupplýsinga, sbr. b-lið 8. tölul. 2. gr. laga nr. 77/2000. Öll vinnsla slíkra upplýsinga verður að styðjast við eitthvert skilyrði samkvæmt bæði 1. mgr. 8. gr. og 1. mgr. 9. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Í því tilviki sem hér um ræðir koma helst til skoðunar skilyrði 7. tölul. 1. mgr. 8. gr. og 7. tölul. 1. mgr. 9. gr. laganna.
Að auki verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfunum um gæði gagna og vinnslu í 1. mgr. 7. gr. laga nr. 77/2000. Þar er mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem eru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli afmá eða leiðrétta (4. tölul.); og að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).
Í 21. gr. laga nr. 77/2000 segir að þegar persónuupplýsinga sé aflað hjá öðrum en hinum skráða skuli ábyrgðaraðili veita honum fræðslu um ýmis atriði, m.a. atriði sem hinn skráði þarf að vita um til að geta gætt hagsmuna sinna. Í ljósi þess að 365 miðlum er ókunnugt um hverjir standa að baki umræddum IP-tölum þá kemur til skoðunar hvort óframkvæmanlegt sé að láta hinn skráða vita, sbr. 1. tölul. 4. mgr. 21. gr. laga nr. 77/2000 þar sem mælt er fyrir um undanþágu frá umræddri fræðsluskyldu í slíkum tilvikum.
Með vísan til þeirra skýringa sem 365 miðlar hafa veitt Persónuvernd við rannsókn málsins eru ekki gerðar athugasemdir við umrædda vinnslu persónuupplýsinga, að svo stöddu. Berist Persónuvernd kvörtun frá einstaklingi yfir meðferð persónuupplýsinga í tengslum við söfnun og notkun IP-talna hjá 365 miðlum verður það mál tekið fyrir og úrskurðað í því í ljósi málsatvika, kröfugerðar og þeirra málsástæðna sem fram verða settar.
Að lokum vekur Persónuvernd athygli á mikilvægi þess að við upplýsingavinnslu eins og hér um ræðir sé ávallt gætt að öllum kröfum laga nr. 77/2000. Sérstaklega er lögð áhersla á að félagið gæti að fyrrnefndum kröfum 7. gr. laganna, þ. á m. að unnið sé með persónuupplýsingar með sanngjörnum, málefnalegum og lögmætum hætti, auk þess sem að vinnsla og miðlun persónuupplýsinga sé ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar.