Høyesterettsdom for datainnbrudd


En 30 år gammel mann ble dømt til fengsel i 1 år hvorav 9 måneder betinget for datainnbrudd.

Årsaken til dommen var at vedkommende hadde lastet ned kundeopplysninger fra flere servere og gjort innbrudd i private e-postkontoer.

Retten diskuterte om frivillig avgivelse av passord allikevel kunne være en overtredelse av hackingbestemmelsen i strl §145 2.ledd  så lenge det også kunne være en «uberettiget» tilegnelse av data fra en PC. Lagmannsretten og Høyesterett kom til at loven ikke ga grunnlag for en slik forståelse, og vedkommende ble frifunnet for dette forholdet.

Han ble dømt etter § 145 3.ledd hvor det heter: Voldes skade ved erverv eller bruk av slik uberettiget kunnskap, eller er forbrytelsen forøvet i hensikt å skaffe noen en uberettiget vinning, kan fengsel inntil 2 år anvendes. Høyesterett fant at det å skaffe seg tilgang til kunderegistre var å ha vinnings hensikt, da tilgang til kunderegistre har økonomisk verdi.

Videre ble det i dommen vurdert om det var brudd på personvernlovgivningens straffebestemmelse i § 48 ved å unnlate å sende melding til de berørte personer og til Datatilsynet.

Av Personopplysningslovens § 3 fremgår det at loven ikke gjelder for behandling av personopplysninger som den enkelte foretar for rent personlige eller private formål. Lagmannsrettens fant at man ikke bare måtte se hen til motivet for behandlingen av personopplysningen, men at også selve behandlingen av disse etter sin art må være rent privat eller personlig.

Det ble vist til en EU avgjørelse (Lindquistsaken) hvor de aktuelle opplysninger hadde blitt gjort tilgjengelig for en ubegrenset krets av personer på internett. Vedkommende ble derfor domfelt i lagmannsretten etter personopplysningsloven. Høyesterett var ikke enig og etter frifinnelsespåstand fra både aktor og forsvarer om at tiltalte ikke var «behandlingsansvarlig» i lovens forstand, ble han frifunnet for straffbart brudd på personopplysningsloven.

Høyesterettsdommen har videre uttalelser om erstatning til de fornærmede, både mht direkte tap, oppreisning og dekning av økonomiske utgifter. Med hensyn til oppreisningserstatning (Skadeserstatningslovens § 3-6) ble det ikke idømt da tiltaltes handlinger ikke skjedde offentlig. Det ble bemerket at reelle hensyn kan tale for at ved slike krenkelser av privatlivets fred(skaffe seg tilgang til annen lagret privat informasjon) burde lovgiver vurdere nærmere om man skulle kunne få oppreisningserstatning.

 

NorSIS anbefaler

  • Ikke gi passordet fra deg til andre, Passordet ditt er personlig og skal ikke deles.
  • Begrens informasjonstilgangen mest mulig
  • Anmeld forhold som gjelder datakriminalitet, og krev dekning for alle utgifter 

 

 

Informasjon fra NorSIS er hentet fra flere kilder. NorSIS vurderer informasjon før publisering, men NorSIS kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.

Informasjon fra NorSIS er hentet fra flere kilder. NorSIS vurderer informasjon før publisering, men NorSIS kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.