Rättsläget är inte så glasklart trots allt

Lagbok

Det har varit en del snack i IT-branschen i veckan om nyheten från IDG om att det nu skulle vara olagligt att ladda ner applikationer till sin dator utan tillstånd från arbetsgivaren. Brottet rubriceras som dataintrång.

”Sista ordet är sagt” skriver IDG.

Nja, det stämmer ju inte riktigt. Det är riktigt att hovrätten friade mannen vad gäller installationen av ”Google Talk”. Den domen står sig nu eftersom varken mannen eller Riksåklagaren (RÅ) väljer att ta fallet vidare till Högsta domstolen (HD). RÅ menar att HD inte behöver pröva fallet eftersom praxis är att all olovlig installation, oavsett om det är skadliga eller ”nyttiga” program bedöms som dataintrång.

Men det RÅ skriver är en bedömning. Det är ingen dom. Jag ifrågasätter inte RÅ:s bedömning om gällande praxis men å andra sidan finns det (mig veterligen) inget rättsfall där någon dömts för en olovlig installation av ett ”nyttigt” program, d v s något som inte är skadlig. Som med alla brott måste det rimligtvis finns ett uppsåt. Jag skulle nog avvakta att uttala mig vad som är kriminellt eller inte förrän jag sett en annan dom i högsta instans. Tills dess är det faktiskt så att hovrättens dom gäller.

Jag skulle bli mycket förvånad om någon arbetsgivare polisanmälde en anställd för att att ha laddat ner Spotify och att åklagaren sedan väljer att åtala personen för dataintrång.

Det är först när det finns ett sådant eventuellt åtal, och sedan dom, som man kan se om praxis ändrats. Tills dess är det så att hovrättens dom vinner laga kraft, mannen har friats på just denna punkt, och ingen anställd behöver vara rädd för att åka i fängelse om man olovligen installerar ett program på sin arbetsdator.

Med det sagt så ska man också komma ihåg att en anställd alltid är skyldig att följa arbetsgivarens regler och är det förbjudet att installera program så kan det naturligtvis bli tal om andra påföljder. Det finns självklart en poäng att arbetsgivaren vill ha en kontrollerad IT-miljö och på vissa arbetsplatser är det viktigare än på andra.

Läs andra bloggar om: , , , , , ,

  • Pingback: Hovrätten: Olovlig installation av Google Talk är inte dataintrång | Peter Lindén()

  • Fredrik C. Ljungqvist

    Ditt inlägg om ”Rättsläget är inte så glasklart trots allt” är utmärkt och, skulle jag våga säga, det enda bra som har skrivits i mediebruset om Riksåklagarens ”utspel” i frågan. Svea Hovrätt konstaterade mycket klart i sin dom att installation av normal programvara, oavsett om arbetsgivaren inte tillåter det, inte är olagligt och inte utgör dataintrång enligt 4 kap. 9 c § brottsbalken. Att Riksåklagaren är av en annan åsikt innebär ju inte, precis som du skriver, en ändring av domen; Riksåklagaren kan varken döma någon eller upphäva en dom – det kan endast en domstol göra och Svea Hovrätts friande dom står således fast.

    I avsaknad av andra domar som rör just otillåten installation av ofarlig programvara skulle jag faktiskt bli ganska förvånad om en ny dom skulle falla ut annorlunda än den från Svea Hovrätt i ett nytt mål om olovlig installation av ofarlig programvara. Normalt tittar man på det närmaste analoga rättsfallet även om domstolen inte är bunden att följa det.

    Jag kan se åtminstone tre skäl till att det inte torde vara troligt att tro att en domstol heller framöver betraktar installation av programvara, som inte kan eller avser att skada datasystemet, som olaglig i straffrättslig mening enligt 4 kap. 9 c § brottsbalken:

    1. För att något ska utgöra ett brott ska det normalt innebära, eller riskera att innebära, skada på något vis för någon.

    2. Ändamålet med lagstiftningen är uttryckligen att skydda datalagrat material. Lagstiftaren (här måste även EU:s rambeslut beaktas) har därmed avsett situationer när säkerheten för datalagrat material på något sätt äventyras. Avsikten med lagstiftningen har därmed inte varit att förbjuda programinstallationer som inte medför skada och i svensk rätt brukar just ändamålet med lagstiftningen i förarbetena väga ganska tungt.

    3. Av #1–2 torde följa att när en medarbetare, som otillåtet installerar program på sin egen arbetsdator, bör det knappast kunna jämställas med när en IT-attack utförs av någon utanförstående person med ett skadligt uppsåt, vilket är den situation lagstiftaren tagit sikte på även om den kortfattade lagtexten i sig inte gör någon distinktion.