Ads 468x60px

tiistai 1. marraskuuta 2016

Oikeustilaa selventävä EU-ennakkoratkaisu koskien dynaamisten IP-osoitteiden henkilötietoluonnetta


IP-osoitteiden kuulumista henkilötietoihin on pohdittu jo pitkään. Asiaan liittyvät kysymykset ovatkin digitalisaation aikakaudella ja esineiden internetin (Internet of things, IoT) arkipäiväistyessä varsin ajankohtaisia, sillä tekniikan kehityksen seurauksena yhä useampi laite on kytkettynä verkkoon, mutta samalla yhä harvemmalla on oma kiinteä IP-osoite. Lisäksi edistyneemmät algoritmit mahdollistavat käyttäjien tunnistamisen koko ajan entistä hajanaisempien tietojen perusteella, mukaan lukien sellaistenkin jotka on jo aikaisemmin kertaalleen pseudonymisoitu tai jopa anonymisoitu.
 
Vuosikymmenen alussa Euroopan unionin tuomioistuin (”EUTI”) katsoi tuomiossaan Scarlet Extended (C-70/10), että internetin käyttäjien IP-osoitteet, joiden avulla nämä käyttäjät on mahdollista tunnistaa täsmällisesti, ovat henkilötietoja. Linjaus koski kuitenkin ainoastaan tilannetta, jossa käyttäjä on mahdollista tunnistaa IP-osoitteen perusteella täsmällisesti (eli lähinnä ns. staattiset IP-osoitteet), ja jossa internetin käyttäjien IP-osoitteiden keräämisen ja tunnistamisen suorittivat internet-yhteyden tarjoajat. Koska muun muassa EU:n henkilötietodirektiivissä (95/46/EY) ja tulevassa EU:n yleisessä tietosuoja-asetuksessa henkilötietojen määritelmään suoran tunnistamisen lisäksi sisältyy epäsuora henkilön tunnistaminen, edellä mainitun EUTI:n tuomion perusteella arvioituna kysymys IP-osoitteiden henkilötietoluonteesta jäi käytännössä hyvinkin avoimeksi. 

IP-osoitteita koskeviin kysymyksiin saatiin hiljattain lisäselvennystä, kun EUTI antoi dynaamisten IP-osoitteiden henkilötietoluonnetta käsittelevän ennakkoratkaisun Patrick Breyer v Bundesrepublik Deutschland (C582/14). Ratkaisussa EUTI toteaa, että dynaaminen IP-osoite on henkilötietodirektiivin mukainen henkilötieto, jos sen tallentaneen ja verkkosivun yleisölle tarjonneen palveluntarjoajan käytettävissä on kohtuuliset oikeudelliset keinot henkilön tunnistamiseksi sellaisten lisätietojen avulla, jotka ovat tämän henkilön internet-yhteyden tarjoajan käytettävissä.

Ratkaisu on merkittävä ensinnäkin siksi, että se koskee dynaamisia IP-osoitteita eli tilapäisiä osoitteita, jotka annetaan kunkin internet-yhteyden yhteydessä ja jotka vaihtuvat myöhempien internet-yhteyksien yhteydessä. Ymmärrettävästi EUTI on ratkaisussaan todennut olevan kiistatonta, ettei dynaaminen IP-osoite itsessään ole tunnistettua luonnollista henkilöä koskeva tieto, koska siitä ei käy suoraan ilmi, kenelle luonnolliselle henkilölle tietokone, jolta internet-sivustolla on käyty, kuuluu. Tällainen osoite ei myöskään paljasta suoraan muiden mahdollisten käyttäjien henkilöllisyyttä. Unionin lainsäädäntö ei kuitenkaan edellytä henkilötiedon määritelmältä sitä, että tietyn tiedon perusteella yksin olisi mahdollista tunnistaa yksittäinen rekisteröity henkilö. Dynaamisesta IP-osoitteesta tuleekin henkilötieto, kun se yhdistettynä muihin tietoihin mahdollistaa luonnollisen henkilön tunnistamisen epäsuorasti.

Toisekseen ennakkoratkaisu on merkittävä siksi, että sen mukaan epäsuoralta tunnistamiselta ei edellytetä, että IP-osoitteen tallentajalla itsellään tulisi olla käytettävissään lisätietoja käyttäjien epäsuoraksi tunnistamiseksi. Henkilötietodirektiivin perusteluissa ei nimittäin ole edellytetty, että kaikkien tietojen, joiden perusteella rekisteröity voidaan tunnistaa, tulisi olla yhden ainoan tahon hallussa. Kyseisen ennakkoratkaisun tapauksessa tällaiset tiedot olivat kyseisen sivuston käyttäjän internet-yhteyden tarjoajan hallussa. Tämän mukaisesti epäsuoran tunnistamisen tilanteissa merkitykselliseksi nouseekin se seikka, onko rekisterinpitäjän tai muun tahon käytettävissä kohtuullisesti toteutettavissa olevia keinoja verkkosivun käyttäjän, eli luonnollisen henkilön, tunnistamiseksi.

Useimmiten palveluntarjoajalla lienee käytännössä jonkinlainen mahdollisuus yhdistää dynaaminen IP-osoite ja muut hallussaan olevat tiedot, kuten vierailun kellonaika ja pituus, muiden tahojen hallussa oleviin lisätietoihin rekisteröidyn tunnistamiseksi. Ennakkoratkaisun perusteluissa mainitaan tällaisina kohtuullisina toteuttamiskelpoisina keinoina muun muassa keinot, joiden avulla verkkomediapalvelujen tarjoaja voi esimerkiksi kyberhyökkäystilanteessa vaatia toimivaltaista viranomaista ryhtymään tarvittaviin toimiin lisätietojen hankkimiseksi internet-yhteyden tarjoajalta rikosoikeudellisen menettelyn käynnistämistä varten. Tällöin verkkomediapalvelujen tarjoajalla voidaan katsoa olevan käytettävissään kohtuullisesti toteutettavissa olevia keinoja, muiden tahojen avulla, tunnistaa tallennetun IP-osoitteen perusteella käyttäjän henkilöllisyys.

Edellä kuvatulla tavalla dynaaminen IP-osoite on tietyin edellytyksin EU:n henkilötietolainsäädännön mukainen henkilötieto. Nämä edellytykset voivat annetun ennakkoratkaisun mukaan täyttyä, vaikka IP-osoitteen tallentavalla taholla itsellään ei olisikaan ilman lisätoimia käytettävissä niitä lisätietoja, joilla tunnistus voidaan tehdä, ja vaikka kyseisen tahon tavoitteena ei edes olisi tunnistaa henkilöä. IP-osoitetta ei kuitenkaan katsottaisi henkilötiedoksi, jos rekisteröidyn tunnistaminen olisi laissa kielletty, tai jos se ei olisi käytännössä toteutettavissa esimerkiksi siitä syystä, että se veisi suhteettomasti aikaa ja aiheuttaisi suhteettomasti kustannuksia ja työtä.

Kyseinen EUTI:n ennakkoratkaisu on luettavissa täällä.

Emma Swahne

Ei kommentteja:

Lähetä kommentti