Personuppgift är ett brett begrepp inom GDPR och omfattar all information som kan identifiera en person. Gränsdragningen mellan personuppgifter och anonyma uppgifter är inte alltid helt tydlig. EU-domstolen har vid flera tillfällen behandlat och klargjort huruvida IP-adressen klassas som personuppgifter. I detta blogginlägg förklarar vi när och under vilka omständigheter IP-adresser betraktas som personuppgifter.
Gränsdragningen mellan personuppgifter och anonyma uppgifter
Med en personuppgift avses all information som direkt eller indirekt kan knytas till en identifierad eller identifierbar fysisk person. Olika uppgifter som inte enskilt, men som i kombination med varandra, kan medföra att en viss person kan identifieras, utgör också personuppgifter.1 För att avgöra om en person är identifierbar ska alla hjälp medel som rimligen kan komma att användas för att identifiera personen beaktas. Huruvida ett hjälpmedel med rimlig sannolikhet kan komma att användas för sådan identifikation ska bedömas utifrån samtliga objektiva faktorer. Sådana faktorer som ska ta hänsyn till är exempelvis kostnad och tidsåtgång samt teknik, både nu tillgänglig och den som kan komma att utvecklas. Om möjligheten att identifiera en person utifrån uppgiften, enskilt eller i kombination med andra uppgifter, inte existerar eller är försumbar när man beaktar de hjälpmedel som skäligen kan förväntas användas, utgör inte uppgiften en personuppgift. Anonyma uppgifter, dvs. uppgifter som inte går att knyta till en person, omfattas inte av GDPR.2 Pseudonymiserade uppgifter omfattas däremot av GDPR. Pseudonymisering är en säkerhetsåtgärd och syftar till att minska möjligheten att härleda uppgifter till fysiska personer och innebär att personuppgifterna behandlas, exempelvis krypteras, på så sätt att de bara kan kopplas till en identifierbar person med hjälp av kompletterande information.3 Ett enkelt exempel är att namn och i en lista ersätts med ett nummer (”en psedonym”) för att inte det ska gå att identifiera personerna. Därutöver krävs det att förteckningen över namn och tillhörande pseudonymer förvaras enskilt. Pseudonymisering är en säkerhetsåtgärd och förteckningen utgör nyckeln för att kunna identifiera personer utifrån namn på listan. Läs mer om anonymisering och pseudonymisering.
IP-adresser: enhetens unika identitet
En IP-adress (Internet Protocol Address) är ett unikt nummer som identifierar en enhet som är ansluten till internet. Förenklat kan sägas att IP-adressen, till vilken en webbplats kan skicka information, är en förutsättning för att internetanvändare ska få tillgång till webbplatsen. Det finns två versioner av IP-adresser. IPv4 (internet protocol version 4) och IPv6, som möjliggör fler uppkopplingar. Vanligast förekommande är dock fortfarande IPv4 som består av fyra grupper av tal som åtskiljs av punkter4, t.ex: 81.213.20.200 I regel anger de tre första delarna vilket IP-nät som enheten är uppkopplad mot och den fjärde delen den adress som enheten har tilldelats inom IP-nätet. Adressen som helhet utgör den uppkopplade enhetens identifieringsnummer. IP-adresser kan vara statiska eller dynamiska. En statisk adress är en fast adress och ändras inte. En dynamisk tilldelas (”lånas ut till”) enheten vid varje uppkopplingstillfälle och förändras därför ständigt. En enhet får därför olika IP-adresser vid varje anslutningstillfälle.4
Statiska IP-adresser utgör personuppgifter
Redan år 2011 berördes frågan om huruvida IP-adress utgör en personuppgift enligt, dåvarande, dataskyddsdirektivet, i målet Scarlet Extended (C-70/10). EU-domstolens avgörande föranleddes av en tvist mellan SAMAB, en upphovsrättsorganisation som företrädde upphovsrättsinnehavare av musikaliska verk och Scarlet, en internetleverantör. SAMABhade upptäckt att Scarlets internetanvändare olovligen laddade ner upphovsrättsligt skyddade verk med hjälp av ”peer-to-peer”-trafik och yrkade att internetleverantören skulle föreläggas att införa ett filtreringssystem för att urskilja och blockera överföring av filer vars utväxling innebar upphovsrättsintrång. Filtreringssystemet förutsatte att allt som passerade via internetleverantörens tjänst systematiskt undersöktes och att internetanvändarnas IP-adresser samlades in och identifierades.5 EU-domstolen kom i sin bedömning fram till att IP-adresserna i fråga utgjorde personuppgifter eftersom det genom dessa var möjligt att exakt identifiera internetanvändarna. På grund av att de statiska adresserna är oföränderliga till sin karaktär är det möjligt att varaktigt identifiera enheten som är ansluten till internet. Mot bakgrund av EU-domstolens praxis får det anses klargjort att statiska IP-adresser utgör personuppgifter och ska behandlas i enlighet med GDPR.
Dynamiska IP-adresser kan utgöra personuppgifter
I Scarlet Extended var statiska IP-adress grund för bedömningen. EU-domstolen behandlade inte dynamiska IP-adresser specifikt. Som tidigare redogjorts för, förändras de dynamiska adresserna – till skillnad från de statiska – vid varje uppkopplingstillfälle och delas mellan de uppkopplade enheterna. Frågan om dynamiska IP-adresser utgör personuppgifter togs upp i EU-domstoleni ett senare mål, Breyer (C-582/14). Till skillnad från situationen i Scarlet Extended, då det varit internetleverantören som samlat in och identifierat IP-adresserna, förfogade Tyskland – som leverantör av elektronisk informations- och kommunikationstjänst, i detta fall endast över IP-adresserna och inte över ytterligare upplysningar som krävdes för att identifiera användarna. Breyer hade besökt tyska myndigheters hemsidor där information till allmänheten tillhandahölls. För att skydda sig mot hackers lagrades alla hemsidebesök i loggfiler efter sessionens slut. I loggfilerna lagrades bland annat datum och tid för besöket samt IP-adressen för den enhet som sökt åtkomst till webbplatsen. Breyer väckta talan och yrkade att Tyskland skulle förbjudas att lagra eller ge tredje man i uppdrag att lagra de aktuella uppgifterna i loggfiler. EU-domstolen konstaterade inledningsvis att en dynamisk IP-adress inte direkt röjer identiteten av användaren eller ägaren av dator,6 men uttalade därefter att det inte krävs att upplysningen i sig själv gör det möjligt att identifiera en fysisk person för att uppgiften ska anses utgöra en personuppgift. Som ovan nämnt, ska alla möjliga hjälpmedel som kan komma att användas av den personuppgiftsansvarige eller någon annan person beaktas för att avgöra om en person är identifierbar.7 Ytterligare upplysningar som skulle göra det möjligt att identifiera nämnda användare kan internetleverantören förfoga över. D.v.s. att IP-adressen då den kompletteras med sådan information gör det möjligt att identifiera en person. Att det även innefattar ”någon annan person” innebär att det inte krävs att en aktör har tillgång till samtliga uppgifter nödvändiga för att identifiera en person, för att en IP-adress ska utgöra en personuppgift, utan man behöver alltså tolka om det är rimligt/möjligt att kombinera informationen som internetleverantören besitter med de IP-adresser som Tyskland samlade in. Vad gäller bedömningen av huruvida informationen utgjorde ett hjälpmedel som rimligen kan komma att användas av den personuppgiftsansvarige eller någon annan person, uttalade EU-domstolen att hjälpmedel som är förbjudna i lag eller som i praktiken är omöjliga att genomföra på grund av att det kräver orimliga resurser i form av resurser, tid, och arbetskraft inte är sådana att de rimligen kan komma att användas. Mot bakgrund av det angivna konstaterade EU-domstolen att en dynamisk IP-adress utgör en personuppgift förutsatt att det är möjligt för en leverantör att med lagliga medel få tillgång till andra uppgifter, som tillsammans med IP-adressen, gör det möjligt att identifiera en viss person. Det krävs inte att möjligheten har utnyttjats – utan tillräckligt är att det finns en faktisk laglig möjlighet. Notera dock att det utöver rättslig grund måste vara rimligt sett till tidsåtgång, kostnad m.m. Domstolen tillämpade såldes relativa kriterier för att avgöra om IP-adress utgjorde en personuppgift, vilket resulterar i att att uppgiften i händerna på en viss innehavare under vissa förutsättningar utgör en personuppgift. Det innebär att uppgiften kan vara en personuppgift i händerna på en viss part – som på laglig väg kan få ytterligare uppgifter och på så sätt identifiera personen – men inte i händerna på den part som inte förfogar över lagliga medel som kan ge tillgång till sådana uppgifter. I det aktuella fallet fanns enligt tysk rätt en möjlighet för leverantörer av elektroniska informations- eller kommunikationstjänster att, exempelvis vid it-attacker, att vända sig till den berörda myndigheten och begära upplysningar från internetleverantören för att inleda straffrättsliga förfaranden. Att leverantören – som hade tillgång till IP-adressen – förfogade över lagliga medel som gjorde det möjligt att inhämta ytterligare upplysningar från internetleverantören och då identifiera den registrerade, innebar att IP-adressen utgjorde en personuppgift i förhållande till leverantören.
Svensk lagstiftning: lagliga medel för tillgång till upplysningar
För att en dynamisk IP-adress ska utgöra en personuppgift krävs således att ytterligare upplysningar, som kan fås tillgång till på laglig väg, medför att en person kan identifieras. Vad EU-domstolens uttalanden i Breyer har för betydelse för IP-adressens status i en svensk rättslig kontext beror således på vilka möjligheter aktörer enligt svensk lagstiftning har att få tillgång till ytterligare uppgifter. Här följer en en kort redogörelse för de möjligheter som föreskrivs i svensk lag.
- Informationsföreläggande
Bestämmelser om informationsföreläggande finns i den immaterialrättsliga lagstiftningen. Ett informationsföreläggande kan utfärdas av domstol om sökande visar sannolika skäl för att någon har gjort ett upphovsrättsligt intrång. Det innebär att den som påstås ha gjort eller medverkat till ett upphovsrättsligt intrång vid vite förläggs att ge sökande (rättighetsinnehavaren) viss information.8 Exempelvis kan en internetleverantör föreläggas att lämna information om vilken abonnent som har haft en IP-adress när den har använts för att tillgängliggöra eller kopiera upphovsrättsligt skyddat material via internet i strid mot bestämmelserna i upphovsrättslagen.9 Det förutsätter alltså att sökande är en rättighetsinnehavaren och att denne kan visa på sannolika skäl för att ett upphovsrättsintrång har skett. Därutöver krävs dels att informationen kan antas underlätta utredningen av ett intrång, dels att skälen för åtgärden uppväger den olägenhet som åtgärden innebär (i enlighet med proportionalitetsprincipen).
- Editionsföreläggande
Bestämmelser om editionsföreläggande finns i rättegångsbalken och innebär att någon kan vara skyldig att lämna ut handling till rätten 10 För att sökandens yrkan om editionsföreläggande ska bifallas krävs i princip att editionssvarande innehar en specifik skriftlig (eller elektroniskt lagrad) handling som kan antas ha betydelse som bevis samt att det är proportionerligt11 Edition är en processrättslig bestämmelse och prövas inom ramarna för en rättegång, dvs. förutsätter att en talan har väckts. I april 2021 beslutade Högsta domstolen att begära förhandsavgörande från EU-domstolen i mål Ö1750-20 avseende förhållandet mellan de nationella bestämmelserna om editionsplikt och artikel 6.3 och 6.4 i GDPR, som rör ändamål för personuppgiftsbehandling. Rättsläget är för närvarande oklart gällande editionsplikten och utelämnade av personuppgifter.12
- Offentlighetsprincipen
Offentlighetsprincipen innebär att man som huvudregel har rätt att ta del av allmänna handlingar. Rätten att begära ut allmänna handlingar gäller endast mot offentliga aktörer som omfattas av handlingsoffentligheten. Utgångspunkten är att GDPR inte hindrar att personuppgifter i allmänna handlingar lämnas ut för att myndigheter ska kunna fullgöra sina skyldigheter som följer av offentlighetsprincipen men rätten att ta del av handlingar kan begränsas av sekretess.
- Begäran om abonnentuppgifter
Enligt lagen (2003:389) om elektronisk kommunikation, LEK, har operatörer en skyldighet att lagra vissa uppgifter om abonnemang och trafikdata för brottsbekämpande ändamål.13 Lagringsskyldigheten omfattar uppgifter som genereras eller behandlas vid b.la. internetåtkomst, och som är nödvändiga för att spåra och identifiera b.la. kommunikationskälla och slutmålet för kommunikationen.14 Uppgifter om abonnemanget inkluderar b.la. abonnentens namn och nummer. Trafikdata avser uppgifter som behandlas för att kunna överföra ett elektroniskt meddelande, exempelvis IP-adresser. Huvudregel är att uppgifterna omfattas av tystnadsplikt och inte får lämnas ut av operatörerna.15 Det finns dock undantag från tystnadsplikten.16 Operatörerna är b.la. skyldig att på begäran av polis, åklagarmyndighet eller vissa andra myndigheter, utelämna uppgift om abonnemang vid misstanke om brott.17 Vid utredning allvarlig brottslighet kan även trafikuppgifter begäras ut (s.k. övervakning av elektronisk kommunikation).18 Rätten att begära tillgång till uppgifterna finns alltså för vissa myndigheter.
Sammanfattning
För att en uppgift ska utgöra en personuppgift krävs inte att den i sig självt kan identifiera en person. Det är tillräckligt att uppgiften i kombination med ytterligare uppgifter kan medföra identifikation för att den aktuella uppgiften ska falla under begreppet personuppgifter. Vad gäller IP-adresser har EU-domstolen fastslagit att statiska IP-adresser utgör skyddade personuppgifter då de gör det möjligt att exakt identifiera internetanvändaren. I senare avgörande har EU-domstolen förtydligat vad som mer specifikt gäller dynamiska IP-adresser. De dynamiska IP-adresserna kan inte i sig självt identifiera en användare. Däremot kan IP-adressen ifall den kombineras med ytterligare upplysningar innebära att en användare kan identifieras. Mot bakgrund av det har EU-domstolen fastslagit att en dynamisk IP-adress utgör en personuppgift förutsatt att det är möjligt för en aktör att med lagliga medel få tillgång till andra uppgifter – kompletterande information – som tillsammans med IP-adressen, gör det möjligt att identifiera en viss person. Det krävs inte att möjligheten har utnyttjats, dvs. att aktören i nuläget har tillgång till uppgiften – utan tillräckligt är att det finns en faktisk laglig möjlighet för aktören att få tillgång till uppgiften. Huruvida någon förfogar över sådana lagliga medel beror av nationell lagstiftning. I svensk lagstiftning finns det ett antal lagstadgade möjligheter för vissa aktörer att få tillgång till personuppgifter. Exempel på sådana är editions- och informationsföreläggande samt rätten att begära ut allmän handling. En IP-adress kan alltså utgöra en personuppgift i en verksamhet – som lagligt kan få tillgång till ytterligare uppgifter och på så sätt identifiera personen, men utgör inte en personuppgift i en annan verksamhet då de inte förfogar över sådana lagliga medel. I praktiken torde det lättaste vara att förhålla sig till att samtliga IP-adresser som utgör personuppgifter.
Har du frågor eller vill du veta mer om GDPR Hero?
Boka ett kostnadsfritt möte med oss eller en demo av vårt webbaserade GDPR-stöd här.
Fotnoter
- Se art 4.1. GDPR
- Se art 4.5 i GDPR
- https://internetkunskap.se/ordlista/ipv6/
- https://internetstiftelsen.se/guide/introduktion-till-ip-internet-protocol/ip-nivan/
- Läs domen iScarlet Extended(C-70/10, 2011) sinhelhet härhttps://eur-lex.europa.eu/legal-content/SV/TXT/?uri=CELEX%3A62010CJ00707
- p. 38
- Läs domen i Breyer ( C – 582/14, 2016) i sin helhet här https://eur – lex.europa.eu/legalcontent/ SV/TXT/?uri=CELEX%3A62014CJ0582
- Se 53c – d §§ URL (Lag (1960:729) om upphovsrätt till litterära och konstnärliga verk)
- Se prop. 2008/09:67 s. 263.
- Se 38:2 och 38:4 RB
- Se l HD:s avgörande i mål Ö 2232-19
- https://www.domstol.se/globalassets/filer/domstol/hogstadomstolen/avgoranden/2021/o-1750-20-protokoll.pdf
- Se 2:1 och 6:16a LEK
- Se 6:16a LEK
- Se 6:20 – 6:23 LEK
- Se 6:16c LEK och Lag (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet
- 6:22 1 st 2p. LEK
- Se 27:19 RB.