Varning, skitlång text om juridik nedan.
Jag önskar inte apputvecklarna någon långdragen rättstvist, men det skulle nog behövas en HD-dom här, vad gäller bestämmelsen i brottsbalken.
Citat:
4 kap. 9 c § Den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år.
Att både utvecklare och användare av appen berett sig tillgång till uppgifter som man får som inloggad och identifierad med bank-ID är ju otvetydigt. Då är frågan om tillgången är olovlig...
Förarbetena tycker jag på den punkten är riktigt dåliga.
Jag har svårt att se att Stockholms stad eller någon annan kan hävda att tillgången till uppgifterna är olovlig för den som har rätt att se uppgifterna genom stadens egna system, dvs föräldrarna.
Jag tror inte, som staden försöker påskina i sin rättsutredning, att No Free Beer HB/utvecklarna har haft möjlighet att se andra föräldrars uppgifter genom appen (som den ser ut idag). Jag förutsätter att man i så fall måste bevisa det innan man kan döma någon till ansvar. Att någon i framtiden skulle kunna förändra appen för att bereda sig sådan tillgång kan inte vara No Free Beers problem straffrättsligt. Det är däremot stadens problem, dataskyddsmässigt.
Jag vet inte hur den gamla proxy-lösningen fungerade, men möjligen kan man bli dömd för att ha haft möjlighet att olovligen bereda sig tillgång till andra föräldrars uppgifter genom att ha driftat en server med proxy-lösningen. Jag vet inte om den lösningen någonsin var i drift. Stadens rättsutredning pekar (korrekt) på förarbeterna som säger att det räcker att göra intrång i systemet, inte att man faktiskt tar del av uppgifterna, för att agera brottsligt. Den delen av förarbeterna skrevs så klart i en helt annan kontext än för en proxy-lösning för en mobilapp.
Vad gäller olovlighetsrekvisitet säger förarbetet bland annat följande om remiss-invändningar från advokatsamfundet:
Citat:
Därtill kommer att avsikten med rekvisitet just är att kunna fånga upp gärningar av skiftande slag. Att i lagtext i detalj försöka räkna upp samtliga dessa är enligt regeringens mening inte lämpligt och inte heller möjligt. Den närmare avgränsningen får i stället överlämnas åt rättstillämpningen att avgöra med ledning av samtliga omständigheter i varje enskilt fall
(i kontexten arbetsrätt, får en arbetsgivare kolla anställdas mail eller är det dataintrång?)
Citat:
Det bör slutligen tilläggas att frågan om tillämpningen av olovlighetsrekvisitet oftast inte torde vålla några större svårigheter
Jaha?
Förarbetet hänvisar också till befintlig praxis. Jag har inte hittat någon (relevant) sådan, men det kanske någon annan gör?
Jag noterar att både stadens rättsutredning, brottsbalken och förarbeterna fukuserar på tillgång till uppgifterna, inte att det skulle vara olovlig användning av stadens system(resurser) som skulle kunna vara brottslig.
Medhjälp och anstiftan till dataintrång är straffbelagt (även förberedelse och försök, om brottet inte skulle blivit ringa). Det kan komma att bli en relevant diskussion.
Problemet för staden är att ju grövre en domstol skulle tycka att ett eventuellt brott är, desto värre har man satt dit sig själv vad gäller brott mot sin skyldighet att skydda "sina" personuppgifter från att bli olovligen förfogade över. Man har uppenbarligen valt en IT-arkitektur som gör det omöjligt att skydda uppgifterna på ett effektivt sätt.
Att staden eventuellt måste upprätta ett API-avtal och genomföra andra åtgärder för att se till att persondata skyddas på rätt sätt är inte No Free Beers/utvecklarnas straffrättsliga problem. Man kan ju definitivt konstatera att det är klantigt att inte ha tekniskt skydd på plats för att kunna se till att ett API-avtal är en nödvändighet för att komma förbi det tekniska skyddet.
No Free Beer kanske har egna skyldigheter vad gäller behandling av personuppgifter. Frågan är ju dock vem det är som står för behandlingen av personuppgifter? Är det användaren som kör appen eller är det utvecklaren som har skrivit koden för appen? Jag har inte använt appen själv, så jag vet inte om det finns någon funktion för att "godkänna behandling av personuppgifter", i så fall skulle utvecklarna både erkänna att de behandlar personuppgifter och eventuellt skjuta över ansvaret på användaren.
Jag hoppas och tror att det här kommer sluta med att man inte kan döma någon till ansvar (eller åtala) eftersom olovlighetsrekvisitet är så odefinierat. Om någon åker dit är det nog för att de varit för offentliga med hur deras proxy-lösning fungerade.