NJA 2014 s. 221

En polisman har gjort sökningar om sig själv i polisens IT-system utan att sökningarna har varit nödvändiga för någon arbetsuppgift. Polismannen har dömts för dataintrång.

Växjö tingsrätt

Allmän åklagare väckte vid Växjö tingsrätt åtal mot L.-E.N. för dataintrång enligt följande gärningsbeskrivning:

L.-E.N. arbetade bl.a. dagarna den 1 och 8 december 2010 samt den 25 mars 2011 som kommissarie vid polismyndigheten i Kronobergs län med placering i Växjö. Han beredde sig vid dessa tillfällen uppsåtligen och olovligen tillgång till uppgift avsedd för automatiserad behandling genom att via s.k. multifrågor och följdfrågor till dessa använda polisens IT-system för att inhämta uppgifter om vad som fanns antecknat om honom själv i olika register. Slagningarna var inte nödvändiga för att genomföra en viss arbetsuppgift.

Lagrum: 4 kap. 9 c § BrB jämfört med 4 § Rikspolisstyrelsens föreskrifter och allmänna råd om användning av IT-system inom Polisen (RPSFS 2005:8).

Domskäl

Tingsrätten (ordförande rådmannen Lars-Olle Larsson) anförde i dom den 12 juni 2012:

Domskäl

L.-E.N. har vidgått de faktiska förhållandena men förnekat brott.

Åklagaren har till utveckling av talan anfört: Av Rikspolisstyrelsens författningssamling RPSFS 2005:8 4 § framgår att IT-system som är tillgängliga inom polisen får användas för att genomföra en viss arbetsuppgift om det är sannolikt att användandet i det enskilda fallet är till nytta för arbetets genomförande.

Polismyndigheten har ett IT-system som benämns PMFWEB. Vid användandet av detta system kan brukaren ställa en så kallad multifråga och då få information om en viss person är upptagen i vissa angivna register. För ytterligare information kan brukaren därefter gå in i det eller de register personen förekommer i. Den 1 december 2010 har L.-E.N. ställt en multifråga avseende sig själv och därefter gått vidare in i ett fastighetsregister. Den 8 december 2010 har han ställt ytterligare en multifråga avseende sig själv och då gått in i passregistret. Båda dessa register innehåller i sig information som är tillgänglig för allmänheten. Den 25 mars 2011 har L.-E.N. via en multifråga rörande sig själv tagit sig in i det så kallade misstankeregistret och där erhållit information om att han var misstänkt för visst angivet brott. Denna information var vid tillfället inte tillgänglig för honom.

Hörd över åtalet har L.-E.N. berättat: Han har behörighet att ta sig in i polismyndighetens IT-system. I december 2010 planerade han att företa en semesterresa. Han var osäker på när giltighetstiden för hans pass gick ut och tog sig därför in i passregistret. Den information han eftersökte kunde han lika gärna fått genom att ta fram sitt pass. Vid samma tidpunkt stod han i beredskap att genomföra en fastighetsaffär och behövde då information rörande sin fastighet. Den sökta informationen var tillgänglig för honom på annat sätt. Han fann det dock behändigare att nyttja polismyndighetens IT-system för informationsinhämtande. - Han förestår viss internutbildning inom polismyndigheten i Kronobergs län. Under utbildningen redogör han bland annat för polisens datastöd och bland annat vilken information som kan inhämtas från misstankeregistret. Vid ett utbildningstillfälle hörde han att eleverna viskade till varandra något i stil med ”undra om han själv förekommer i registret”. För att kunna förklara för eleverna att han inte själv förekom i registret gick han därför via en multifråga den 25 mars 2011 in i misstankeregistret och kunde då konstatera att han var föremål för brottsmisstanke. Han anser själv att detta inhämtande av information var för att genomföra en viss arbetsuppgift; nämligen att kunna undervisa med bibehållen auktoritet.

Tingsrätten gör följande bedömning.

L.-E.N. har ostridigt tagit sig in i polismyndighetens IT-system vid de tillfällen åklagaren påstått. Oaktat vad L.-E.N. uppgivit om skälen härtill har han inte gjort detta för att genomföra en viss arbetsuppgift. Han har därigenom brutit mot 4 § i RPSFS 2005:8. Denna bestämmelse är inte straffsanktionerad och kan därför inte ensam ligga till grund för att konstatera brott.

Av 4 kap. 9 c § BrB framgår att den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatisk databehandling döms för dataintrång.

I målet är inte påstått annat än att de uppgifter L.-E.N. erhållit genom att ta sig in i passregistret och fastighetsregistret är uppgifter som var kända för honom och därför informationen fanns att tillgå på annat sätt. Han kan därför i dessa delar inte anses ha olovligen berett sig tillgång till uppgifterna. Åtalet skall därför ogillas i dessa delar.

Vad gäller uppgifterna från misstankeregistret har dessa i det skede då de inhämtades inte varit tillgängliga för L.-E.N. Polisen skall ha möjlighet att utreda brott utan att den misstänkte kan påverka utredningen. Inhämtandet av information från misstankeregistret har därför varit olovligt och L.-E.N. skall i denna del fällas till ansvar för dataintrång.

Vad L.-E.N. låtit sig komma till last bör sonas med ett måttligt bötesstraff.

Domslut

Domslut

Tingsrätten dömde L.-E.N. enligt 4 kap. 9 c § BrB för dataintrång till 30 dagsböter å 370 kr.

Göta hovrätt

Såväl åklagaren som L.-E.N. överklagade i Göta hovrätt.

Åklagaren yrkade att hovrätten skulle döma L.-E.N. för dataintrång även den 1 december 2010 och den 8 december 2010 och skärpa bötesstraffet.

L.-E.N. yrkade att hovrätten skulle frikänna honom.

Domskäl

Hovrätten (hovrättsråden Lennart Östblom och Charlotta Sundin, referent, samt tf. hovrättsassessorn Martina Elén) anförde i dom den 21 december 2012.

Hovrättens domskäl

Skuldfrågorna

Utredningen i hovrätten

Hovrätten har tagit del av samma bevisning som tingsrätten. Förhöret med L.-E.N. har lagts fram genom uppspelning av ljud och bild från förhöret i tingsrätten.

Hovrätten noterar att L.-E.N. har angett följande skäl till att han inhämtade uppgifter om sig själv i det s.k. misstankeregistret. Han är ansvarig för Nationella viltolycksrådet i Kronobergs län. I det sammanhanget har han kontakt med cirka 250 s.k. eftersöksjägare. Vid ett tillfälle hade han en informationsträff för dessa. Han berättade då vilka krav Polismyndigheten ställer på de personer som önskar uppdrag som eftersöksjägare. Han talade om att Polismyndigheten kontrollerar vederbörandes vandel genom en slagning i polisens register. Han hörde sedan några av deltagarna vid mötet prata med varandra, varvid en av dem yttrade ”undrar om han själv förekommer i registret”. Han svarade att registret beträffande honom var blankt. För att bevara sitt förtroende som polisman ”bevakade” han sedan registret med avseende på uppgifter om honom själv eftersom han, mot bakgrund av att han sagt att han inte förekom i registret, inte ville att eventuella uppgifter i detta skulle komma till andras kännedom innan han själv tog del av dessa.

Hovrättens bedömning

Det är utrett att L.-E.N. den 1 december 2010, den 8 december 2010 och den 25 mars 2011 har använt polismyndighetens IT-system genom att vid vart och ett av tillfällena till systemet ställa en s.k. multifråga beträffande sig själv, vilket har inneburit att systemet har sökt igenom de register som polismyndigheten för, däribland misstankeregistret (MR) och det allmänna spaningsregistret (ASP), för att sedan lämna svar på i vilka register det finns uppgifter om honom. Vidare är det utrett att han därefter har valt att gå vidare i sina slagningar, varvid han i detalj har inhämtat uppgifter om sig själv den 1 december 2010 från fastighetsregistret och folkbokföringsregistret med inkomstuppgifter, den 8 december 2010 från fastighetsregistret och folkbokföringsregistret med inkomstuppgifter och uppgifter om relationer samt den 25 mars 2011 från misstankeregistret. Det är också utrett att han den 1 december 2010 har inhämtat uppgifter om sig själv från passregistret, även kallat RES.

Av 4 kap. 9 c § BrB följer att den ska dömas för dataintrång som olovligen bereder sig tillgång till en uppgift som är avsedd för automatisk databehandling. Bestämmelsen skyddar helt allmänt datalagrat material mot obehöriga åtgärder oavsett om åtgärderna medför ett otillbörligt integritetsintrång eller inte (se prop. 1973:33 s. 105). Bestämmelsen förutsätter inte heller att intrånget sker i ett visst syfte, t.ex. för att hämta information eller för att åstadkomma skada eller någon annan följd. Det som är straffbart är själva intrånget (se kommentaren till 4 kap. 9 c § BrB, Zeteo, maj 2012). En förutsättning för straffansvar är därtill att åtgärden sker olovligen.

Regler för användning av polisens IT-system finns i Rikspolisstyrelsens föreskrifter och allmänna råd om användning av IT-system inom Polisen (RPSFS 2005:8). Av 4 § i dessa föreskrifter följer att polisens IT-system endast får användas när det är nödvändigt för att genomföra en viss arbetsuppgift.

Mot bakgrund av de uppgifter L.-E.N. har lämnat beträffande skälet till hans åtgärder, är det klarlagt att dessa inte har varit nödvändiga för att han skulle kunna genomföra en viss arbetsuppgift. Att en användning av IT-systemet på det sätt som har skett inte är tillåtet enligt de föreskrifter som har utfärdats av Rikspolisstyrelsen måste ha stått klart för L.-E.N., som vid tidpunkten för gärningarna var poliskommissarie i chefsställning. Det är alltså visat att L.-E.N. med uppsåt olovligen har berett sig tillgång till polisens IT-system vid de aktuella tillfällena.

Eftersom den s.k. multifrågan får till följd att datasystemet lämnar information om och i så fall i vilken utsträckning vederbörande förekommer i de register som Polismyndigheten för, har L.-E.N. redan genom att ställa en sådan fråga beträffande sig själv berett sig tillgång till uppgifter avsedda för automatiserad behandling. Var och en av de multifrågor han har ställt den 1 december 2010, den 8 december 2010 och den 25 mars 2011 utgör därmed ett brott. De efterföljande slagningar som L.-E.N. har gjort i registren till följd av de svar systemet har lämnat, får enligt hovrättens bedömning närmast ses som gärningar inom ramen för dessa brott. L.-E.N. ska därför i denna del dömas för dataintrång i tre fall.

När det gäller de uppgifter som L.-E.N. den 1 december 2010 olovligen har berett sig tillgång till ur passregistret, utvisar utredningen att han inte har inhämtat dessa uppgifter via en multifråga, utan slagningen har skett separat. Hovrätten konstaterar att de brottsliga gärningar som åklagaren enligt gärningsbeskrivningen har påstått att L.-E.N. har begått, består i att han via multifrågor och följdfrågor till dessa har berett sig tillgång till de ifrågavarande uppgifterna. Enligt hovrättens bedömning omfattas inte nu aktuell gärning av en så utformad gärningsbeskrivning. L.-E.N. kan därför inte dömas för dataintrång beträffande slagningen i passregistret.

Påföljdsfrågan

Hovrätten finner vid en samlad bedömning av omständigheterna kring L.-E.N:s gärningar och med särskilt beaktande av att han genom att söka i misstankeregistret i någon mån har kunnat äventyra en pågående förundersökning mot honom själv, att dagsböternas antal ska bestämmas till femtio.

Hovrättens domslut

Hovrätten ändrar tingsrättens dom på följande sätt.

1.

Hovrätten dömer L.-E.N. även för dataintrång den 1 december 2010 och den 8 december 2010 enligt 4 kap. 9 c § BrB.

2.

Hovrätten bestämmer påföljden för tre fall av dataintrång till 50 dagsböter om vardera 350 kr.

Högsta domstolen

L.-E.N. överklagade hovrättens dom och yrkade ogillande av åtalet.

Riksåklagaren motsatte sig att hovrättens dom ändrades.

Betänkande

HD avgjorde målet efter föredragning.

Föredraganden, justitiesekreteraren Christer Thornefors, föreslog i betänkande en dom i vilken under rubriken DOMSKÄL, efter en redogörelse för åtalet och hovrättens dom samt tillämpliga bestämmelser, anfördes följande:

Bedömningen i detta fall

L.-E.N. har vidgått att han vid aktuella tillfällen har genomfört slagningar i polisens IT-system genom att ställa en multifråga och därefter gått vidare med sökningar på sig själv i passregistret, fastighetsregistret respektive misstankeregistret.

Som skäl till att L.-E.N. sökte uppgifter om sig själv har han beträffande de två första tillfällena uppgett, att han inför en förestående utlandsresa ville kontrollera vilken giltighetstid hans pass hade samt att han stod i begrepp att genomföra en fastighetsaffär och därför behövde vissa uppgifter. Angående kontrollen i misstankeregistret har han uppgett, att han som ansvarig för utbildning av eftersöksjägare uppgett att han själv inte fanns i misstankeregistret, men sedan funnit att påståendet möjligen var förhastat och att han för att försäkra sig om att uppgiften var riktig ville kontrollera saken.

Det är uppenbart att ingen av de slagningar i IT-systemet som L.-E.N. gjort vid de tillfällen som åtalet omfattar har varit nödvändig för att genomföra en arbetsuppgift. De åtgärder som han har vidtagit har således skett olovligen. Han ska därmed fällas till ansvar för dataintrång vid dessa tillfällen.

Det av hovrätten utmätta bötesstraffet är väl avvägt.

Domslut

Domslut

HD fastställer hovrättens domslut.

Domskäl

HD (justitieråden Stefan Lindskog, Ella Nyström, Ingemar Persson, Lars Edlund och Anders Eka, referent) meddelade den 1 april 2014 följande dom:

Domskäl

Bakgrund

1.

Hovrätten har dömt L.-E.N. för tre fall av dataintrång begångna den 1 december 2010, den 8 december 2010 och den 25 mars 2011 samt bestämt påföljden till femtio dagsböter. Enligt domen har L.-E.N., som var poliskommissarie i chefsställning, vid dessa tillfällen med uppsåt olovligen berett sig tillgång till uppgifter avsedda för automatiserad behandling genom att via s.k. multifrågor och följdfrågor till dessa använda polisens IT-system för att inhämta uppgifter om vad som fanns antecknat om honom i olika register. Enligt hovrätten har L.-E.N. genom multifrågorna fått besked huruvida han förekom i olika register samt därefter inhämtat uppgifter ur folkbokföringsregistret, fastighetsregistret och misstankeregistret.

2.

L.-E.N. har yrkat att han frikänns från ansvar för brott. Han har anfört följande som skäl till att han i registren sökte uppgifter om sig själv. När det gäller tillfällena i december 2010 ville han inhämta vissa uppgifter inför en fastighetsaffär. Sökningen i misstankeregistret i mars 2011 skedde av det skälet att han, som ansvarig för utbildning av eftersöksjägare, vid sådan utbildning hade lämnat besked om att han själv inte fanns i misstankeregistret. Eftersom han senare fann att påståendet möjligen var förhastat ville han kontrollera uppgiften för att försäkra sig om att den var riktig.

Den rättsliga regleringen

3.

Enligt 4 kap. 9 c § BrB döms den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling för dataintrång till böter eller fängelse i högst två år.

4.

En motsvarighet till bestämmelsen i 4 kap. 9 c § BrB fanns tidigare i 21 § datalagen (1973:289). Denna bestämmelse överfördes till brottsbalken år 1998. I förarbetena till datalagen angavs att avsikten med bestämmelsen var att helt allmänt skydda datalagrat material mot obehöriga åtgärder, oavsett om åtgärderna medför otillbörligt integritetsintrång eller inte (se prop. 1973:33 s. 105).

5.

Bestämmelsen i 4 kap. 9 c § BrB fick sin nuvarande lydelse genom en lagändring år 2007. Den tar numera sikte på uppgifter som är avsedda för automatiserad behandling. Med detta avses, enligt uttalanden i förarbetena, uppgifter, dvs. fakta, information eller begrepp, som uttrycks i en för en dator anpassad och läsbar form. Även program omfattas. Vidare anges att uttrycket ”bereda sig tillgång till” ska förstås så att man kan få del av uppgifterna. Det krävs däremot inte att någon verkligen tar del av uppgifterna. (Prop. 2006/07:66 s. 23 f. och 49.)

6.

För att en handling ska leda till ansvar för dataintrång krävs att handlingen har skett olovligen med uppsåt. Ett förfarande är olovligt om det sker utan tillstånd av den som har rätt att förfoga över uppgiften och saknar stöd i gällande rätt. Det krävs inte att intrånget sker i ett visst syfte. Det är själva intrånget som straffbeläggs. (A. prop. s. 17 och 23.)

7.

Rikspolisstyrelsen har utfärdat föreskrifter och allmänna råd om användning av IT-system inom polisen (RPSFS 2005:8, FAP 170-1). I 4 § i föreskrifterna anges, under rubriken ”Tillåten användning av IT-system”, att IT-system som är tillgängliga inom polisen får användas endast när det är nödvändigt för att genomföra en viss arbetsuppgift. Det krävs vidare enligt bestämmelsen att det ska vara sannolikt att användandet i det enskilda fallet är till nytta för arbetets genomförande.

Bedömningen i detta fall

8.

L.-E.N. gjorde vid tre tillfällen sökningar avseende uppgifter om honom själv i polisens IT-system. Genom att ställa s.k. multifrågor fick han besked huruvida han förekom i ett antal olika register. Han kontrollerade därefter genom ytterligare sökningar uppgifter i folkbokföringsregistret, fastighetsregistret och misstankeregistret. Redan genom multifrågorna och svaren på dessa har L.-E.N. berett sig tillgång till uppgifter som har varit avsedda för automatiserad behandling.

9.

Rikspolisstyrelsens föreskrifter har gällt för L.-E.N. i hans arbete som poliskommissarie. Det innebär att han har haft rätt att göra sökningar om det har varit nödvändigt för att genomföra en viss arbetsuppgift. Om så inte har varit fallet har sökningarna skett olovligen. Det som L.-E.N. har anfört om skälen till att han gjorde sökningarna innebär inte att denna förutsättning har varit uppfylld. Inte heller innebär det förhållandet att uppgifter i vissa av registren har varit tillgängliga för L.-E.N. på annat sätt att han har haft rätt att göra sökningar genom att ställa multifrågor. Hans handlande har således skett olovligen. Såsom hovrätten funnit har handlandet också skett uppsåtligen.

10.

Av det sagda följer att L.-E.N. ska fällas till ansvar för tre fall av dataintrång. Påföljden bör bestämmas på det sätt som hovrätten har gjort.

Domslut

Domslut

HD fastställer hovrättens domslut.

HD:s dom meddelad: den 1 april 2014.

Mål nr: B 517-13.

Lagrum: 4 kap. 9 c § BrB.