torsdag, juni 18, 2009

Svartlistor kan vara olagliga

PUL är en lustig lag med konstiga konsekvenser.

Att IP-adresser verkligen är att betrakta som personuppgifter står idag slutgiltigt klart efter att regeringsrätten avslagit Antipiratbyråns begäran om prövningstillstånd. Och läser man kammarrättens domskäl är det lite svårt att protestera:
Det är i målet ostridigt att en IP-adress tillsammans med uppgifter som finns hos internetleverantörerna kan användas för att identifiera en internetabonnent, vilken i vissa fall är en fysisk person. Oavsett om det är en internetabonnent själv eller någon annan som faktiskt använder abonnemanget kan således en IP-adress avse en identifierbar fysisk person, nämligen internetabonnenten.
Att PUL gör det olagligt för alla utom myndigheter att föra elektroniska register över personuppgifter förknippade med brott låter ju också som en integritetsmässigt bra idé. Men sammantaget med ovanstående gör det livet jobbigt för systemadministratörer.

Som alla andra i branschen har jag svartlistor över IP-adresser som ligger bakom icke önskvärda aktiviteter, som i vissa fall till och med är brottsliga (till exempel dataintrång). Det här är enligt Datainspektionens tolkning av PUL olagligt om man inte fått ett undantag beviljat. Jag klarar mig undan, eftersom jag är statlig tjänsteman - jag har diskuterat den detaljen med Datainspektionens generaldirektör - men ni andra ligger nog illa till.

Mer diskussioner om det här hittar man i kommentarerna till det här blogginlägget hos Mark Klamberg.

2 kommentarer:

Staffan Malmgren sa...

DI har tidigare menat att säkerhetsintresset hos den enskilda organisationen i sådana fall väger över integritetsintrånget för den registrerade:
http://www.idg.se/2.1085/1.9601

Leif Nixon sa...

Sedärja.

Som datannörd är det lätt att förvänta sig att alla lagar och regler alltid ska tolkas hundraprocentigt bokstavligt. Det är en lättnad när det finns utrymme för sunt förnuft i systemet.

 
MediaCreeper Creeper