Ýmislegt fréttnæmt

Dómur Evrópudómstólsins um breytilegar IP-tölur

Með dómi Evrópudómstólsins, dags. 19. október 2016, í máli nr. 582/14 (Breyer gegn þýska ríkinu) var staðfest að IP-tölur falli undir skilgreiningu á persónuupplýsingum í skilningi tilskipunar Evrópuþingsins og ráðsins 95/46/EB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga.

Upphaf málsins má rekja til þess að einstaklingur höfðaði mál gegn þýska ríkinu þar sem það hefði varðveitt IP-tölur og aðgerðaskrár þeirra sem hefðu heimsótt síðurnar. Málshefjandi hefði verið með breytilega IP-tölu (e. dynamic IP address), þ.e. IP tölu sem er úthlutað tímabundið á meðan viðkomandi er tengdur við netið og var því ekki mögulegt að persónugreina upplýsingarnar án þess að samkeyra upplýsingarnar við gögn frá fjarskiptafyrirtækinu sem veitti viðkomandi internetaðgang.

Alríkisdómstóll Þýskalands (Bundesgerichtshof) spurði Evrópudómstólinn tveggja spurninga. Annars vegar hvort breytilegar IP-tölur féllu undir skilgreiningu á hugtakinu persónuupplýsingar, jafnvel þótt nauðsynlegt væri að fá upplýsingar frá þriðja aðila til að persónugreina einstaklinginn. Hins vegar var dómurinn spurður hvort f-liður 7. gr. tilskipunar 95/46/EB feli í sér að ábyrgðaraðila sé heimilt að varðveita persónuupplýsingar, án samþykkis, umfram það sem nauðsynlegt er til að uppfylla þá þjónustu sem hinn skráði sækist eftir.

Hvað varðar fyrri spurninguna vísaði dómstóllinn til a-liðar 2. gr. tilskipunarinnar, þar sem segir að persónuupplýsingar séu allar persónugreindar eða persónugreinanlegar upplýsingar um einstakling („hinn skráða“). Upplýsingar teljist persónugreinanlegar ef unnt er að rekja þær til hins skráða, beint eða óbeint, svo sem með tilvísun í kennitölu eða einn eða fleiri þætti sem sérkenna hann í líkamlegu, lífeðlisfræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti. Með vísan til þess taldi dómstóllinn að upplýsingar sem hægt væri að rekja óbeint til einstaklings féllu undir skilgreiningu tilskipunarinnar á persónuupplýsingum. Jafnframt var talið að með hliðsjón af formálsorðum tilskipunarinnar að ekki væri gerð krafa um að upplýsingar, sem gerðu það kleift að persónugreina tiltekinn einstakling, væru varðveittar hjá einum ábyrgðaraðila.

Dómurinn taldi því að ef mögulegt væri, á raunhæfan og löglegan hátt, að nálgast þær upplýsingar sem nauðsynlegar séu til að tengja breytilega IP-tölu við aðrar persónuupplýsingar um einstakling þá teljist slíkar IP-tölur vera persónuupplýsingar. Við mat á því hvort raunhæft væri að nálgast upplýsingarnar þyrfti m.a. að horfa til kostnaðar, tímalengdar og hversu mannfrekt það yrði. Þá leit dómstóllinn til þess að umræddu fjarskiptafyrirtæki væri óheimilt að miðla upplýsingunum til ábyrgðaraðila heimasíðunnar. Í þýskum fjarskiptalögum væri hins vegar að finna heimild til miðlunar upplýsinganna frá báðum aðilum til eftirlitsaðila, t.d. ef heimasíðan yrði fyrir tölvuárás. Á grundvelli þessarar heimildar í þýskum lögum taldi Evrópudómstóllinn að til staðar væru leiðir fyrir ábyrgðaraðila, með aðstoð eftirlitsaðila, að persónugreina einstaklinga á grundvelli IP-talna. Af þeirri ástæðu taldi dómstóllinn að uppfyllt væri það skilyrði að hægt væri að nálgast umræddar upplýsingar á löglegan hátt og persónugreina þær. Á þeim grundvelli var talið að IP-tölur féllu undir skilgreiningu á því hvað væru persónuuplýsingar sem nytu verndar laganna.

Hvað varðar seinni spurninguna sem lögð var fyrir dóminn, þ.e. hvort ábyrgðaraðila sé heimilt að varðveita persónuupplýsingar, án samþykkis, umfram það sem nauðsynlegt er til að uppfylla þá þjónustu sem hinn skráði sækist eftir, þá segir í niðurstöðu dómsins að ákvæði f-liðar 7. gr. tilskipunar 95/46/EB takmarki  löggjöf aðildarríkis, sem heimilar netþjónustuveitanda að safna og nota persónuupplýsingar notenda án samþykkis, á þann hátt að hún geti ekki heimilað vinnslu pv.upplýsinga umfram það sem nauðsynlegt er til að geta veitt þjónustuna. Þetta eigi við jafnvel þótt tilgangurinn til að tryggja almenna virkni slíkrar þjónustu gæti réttlætt slíka notkun gagna eftir að notandinn yfirgefur síðuna.


Dómur Evrópudómstólsins.

Fréttatilkynning frá Evrópudómstólnum