• Faglig nyhed
  • 20. oktober 2016

En dynamisk ip-adresse kan også være en personoplysning

EU-Domstolen har netop fastslået, at definitionen på personoplysninger også kan omfatte dynamiske ip-adresser. Dette gælder også, selv om den dataansvarlige, som lagrer oplysningen om ip-adressen, ikke har registreret yderligere identifikationsoplysninger på den person, som har anvendt ip-adressen i forbindelse med søgning på en hjemmeside.

 

Baggrunden for EU-Domstolens dom
EU-domstolens (C-582/14) seneste fortolkning af de persondataretlige regler er en udløber af en tysk sag, hvor en borger anlagde sag mod den tyske stat, fordi han mente, at det ikke var i overensstemmelse med den tyske persondatalovgivning, at den tyske stat bl.a. loggede oplysninger om hans dynamiske ip-adresse samt tidspunktet for anvendelse, når han søgte på tyske myndigheders hjemmesider. Formålet med logningen var at afværge cyberangreb og forfølge personer, som havde udført cyberangreb mod de pågældende hjemmesider.

 

Hvad er personoplysninger og ip-adresser?
Persondataloven indeholder en definition af udtrykket ”personoplysninger”. Personoplysninger er ”enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede)”. En person er identificerbar, hvis den pågældende kan identificeres direkte eller indirekte. Når det skal afgøres, om en person er identificerbar, skal den dataansvarlige tage alle de hjælpemidler, der med rimelighed kan tænkes anvendt til identifikation, i betragtning.
Alle computere tilsluttet internettet skal have en ip-adresse, fx 192.168.1.1, for at kunne kommunikere med hinanden, så det er muligt at sende information til den rette computer. En ip-adresse kan både være statisk (én computer har altid den samme ip-adresse) eller dynamisk (tildeles computeren ved enhver ny opkobling til internettet).

EU-Domstolens vurdering
EU-domstolen indleder sin vurdering med at fastslå, at en dynamisk ip-adresse udgør en oplysning vedrørende en identificerbar (og ikke en identificeret) fysisk person, fordi myndigheden bag hjemmesiden, som brugeren anvender, ikke er i stand til direkte at identificere brugeren. Udbyderen af brugerens internetforbindelse er derimod i besiddelse af den yderligere viden, der kræves for at kunne identificere brugeren. 

En oplysning kan med andre ord godt falde ind under definitionen på en personoplysning, selvom den dataansvarlige ikke er i besiddelse af alle de oplysninger, som gør det muligt at identificere personen.

EU-Domstolen vurderer herefter, om muligheden for at kombinere en oplysning om en dynamisk ip-adresse med  internetudbyderens yderligere identifikationsoplysninger udgør et hjælpemiddel, som med rimelighed kan tænkes bragt i anvendelse for at identificere brugeren. EU-Domstolen lægger i den forbindelse vægt på, at den identifikation, som myndigheden skal foretage, ikke er ulovlig eller umulig at gennemføre i praksis (stor indsats i tid, omkostninger og arbejde).

I den konkrete sag finder EU-Domstolen, at myndigheden, der ejer hjemmesiden, fx i tilfælde af cyberangreb, lovligt kan henvende sig til en kompetent myndighed, som kan indhente de oplysninger, som kræves for entydigt at identificere den fysiske person bag den dynamiske ip-adresse. I denne situation anser EU-Domstolen hjemmesideejeren for at råde over hjælpemidler, som med rimelighed kan tænkes bragt i anvendelse for at få identificeret personen bag den ip-adresse, som er blevet anvendt til søgning på hjemmesiden.

Sagens betydning
EU-Domstolens seneste dom vedrørende fortolkning af de persondataretlige regler betyder, at virksomheder og myndigheder skal være opmærksomme på, at de kan være dataansvarlig i persondatalovens forstand (og dermed skal overholde kravene i persondataloven) i situationer, hvor de behandler oplysninger, som de ikke selv kan knytte direkte til en fysisk person, men hvor selve identifikationen kun kan ske via indhentelse af yderligere oplysninger hos en tredjemand. Når der er mulighed for at foretage identifikation via en tredjemand, skal den dataansvarlige yderligere vurdere, om det er lovligt og praktisk muligt at foretage identifikationen, så behandlingen af oplysninger er omfattet af persondataloven, eller om identifikationsmuligheden er ulovlig eller umulig at gennemføre i praksis, så behandlingen ikke er omfattet af persondataloven.

Emneord
  • København

    Langelinie Allé 35
    2100 København Ø

  • Aarhus

    Værkmestergade 2
    8000 Aarhus C

  • Shanghai, repræsentationskontor

    No.1440 Yan'an Middle Road, Suite 2H08
    Jing'an District, 200040 Shanghai

  • Bech-Bruun Advokatpartnerselskab

    T +45 72270000
    F +45 72270027
    E info@bechbruun.com
    CVR-nummer 38 53 80 71
    Cookie-politik
    Legal Notice and Disclaimer
    Privatlivspolitik