Publisert: 21. oktober 2016 Skrevet av: Advokatfullmektig Jarle Langeland og partner Jostein Ramse

Dynamisk IP-adresse – en personopplysning

Dynamiske IP-adresser er i utgangspunktet å anse som personopplysninger. Dette er klart etter EU-domstolens kjennelse fra 19. oktober i år. Personopplysningsloven vil derfor sette krav til når, og hvordan, slike adresser kan behandles.

Hva er en personopplysning – utgangspunkter 

Etter personopplysningsloven § 2 er en personopplysning «opplysninger og vurderinger som kan knyttes til en enkeltperson». Personopplysningsloven gjennomfører EUs personverndirektiv 95/46/EF i norsk rett, og direktivets regler er derfor relevante for forståelsen av den norske loven. Direktivet definerer «personal data» som «any information relating to an identified or identifiable natural person («data subject»)», og utdyper dette til at «an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, conomic, cultural or social identity”.

I noen tilfeller er det åpenbart at noe er å anse som en personopplysning. Lister over navn og adresser til ansatte er et eksempel på dette. I andre tilfeller byr dette på tvil, særlig hvor knytningen mellom opplysninger og en enkeltperson er indirekte. Dette vil ofte være tilfellet for teknisk informasjon og ulike former for metadata.

Dynamiske IP-adresser – kjennetegn

Et nettverk som benytter TCP/IP-protokollen, som internett, kjennetegnes ved at hver enhet på nettverket har tilordnet en eller flere IP-adresser. Hver enkelt PC eller smarttelefon har sin egen IP-adresse, hvor kommunikasjon til og fra enheten adresseres. Noen serier med IP-adresser er private, og benyttes på lukkede nettverk, mens hoveddelen av adressene er såkalte offentlige adresser på internett. De fleste IP-adresser som benyttes på internett er såkalte IPv4-adresser, hvor det er knapphet på adressene. Blant annet av denne grunn tildeles de offentlige IP-adressene dynamisk av internettleverandøren, det vil si at man får tildelt en ny IP-adresse hver gang man kobler seg opp og/eller ved jevne mellomrom – og den forrige IP-adressen blir gjenbrukt og tildelt til noen andre. I noen tilfeller deler internettleverandøren også en og samme offentlige IP-adresse ut til flere enheter, ved en teknologi kalt NAT/PAT (network / port-adress-translation).

IP-adressene tildeles altså til enheter – for eksempel en PC, en ruter eller en smarttelefon – og som hovedregel ikke til den enkelte bruker. Videre vil ikke den samme enheten nødvendigvis ha samme IP-adresse særlig lenge, og det er i utgangspunktet bare eier av enheten og den som tildeler den dynamiske IP-adressen som vet hvilken enhet som har fått tildelt en gitt IP-adresse. 

Det har derfor vært omdiskutert om en dynamisk IP-adresse skal regnes som en personopplysning, altså som denne direkte eller indirekte kan knyttes til en enkeltperson. 

EU-domstolens kjennelse

Saken i EU-domstolen kom fra tysk høyesterett, hvor en tysk statsborger hadde gått til sak mot tyske myndigheter. Saksøkeren hevdet at myndighetenes lagring av IP-adressene til besøkende på enkelte statlige nettsider var ulovlig, og påberopte seg den tyske personopplysningsloven. EU-domstolen kom til at lagringen var lovlig, men måtte i denne sammenheng ta stilling til om dynamiske IP-adresser i det hele tatt er å regne som personopplysninger etter personverndirektivet.

Utgangspunktet, skriver EU-domstolen, er at eier av nettstedet ikke har mulighet til å identifisere enkeltbrukere på bakgrunn av deres dynamiske IP-adresser. Domstolen drøfter ikke det faktum at IP-adresser knyttes til enheter og ikke brukere direkte , ei heller at en IP-adresse i enkelte tilfeller kan brukes av flere enheter.  Fokuset er i stedet på at eierne av nettstedene i utgangspunktet ikke har ikke tilgang til informasjonen, den såkalte DHCP-loggen, som knytter hver IP-adresse til den enkelte abonnent. Denne listen er typisk hos den enkelte abonnents internettleverandør, som har taushetsplikt. Så langt tyder drøftelsene på at dynamiske IP-adresser ikke nødvendigvis skal regnes som personopplysninger.

Imidlertid viser EU-domstolen til at eierne av nettstedet i enkelte tilfeller kan få tilgang til denne informasjonen, for eksempel i forbindelse med cyberangrep. Her gir tysk rett eierne av nettsteder, i noen tilfeller, rett til å få utlevert informasjonen fra internettleverandørene. Hvor en slik mulighet eksisterer, sier domstolen, vil IP-adressene kunne knyttes til enkeltpersoner, og de vil være å anse som personopplysninger. Et viktig poeng her er at det er tilstrekkelig at en slik rettslig mulighet eksisterer – det er ikke noe vilkår at betingelsene for slik identifisering er oppfylt i det enkelte tilfellet.

Konsekvensen etter norsk rett 

I Norge har det lenge vært antatt at en dynamisk IP-adresse bør anses som en personopplysning, men dette har ikke vært entydig bekreftet av domstolene eller Personvernnemnda. For å avgjøre om «norske» dynamiske IP-adresser er personopplysninger, er det etter dommen nødvendig å vurdere om også eiere av norske nettsteder har mulighet til å få tilgang til informasjon om hvilke abonnenter som har hatt tildelt en gitt IP-adresse på et gitt tidsrom.  

Som i Tyskland har norske internettleverandører i utgangspunktet taushetsplikt om hvilke abonnent som har fått tildelt en dynamisk IP-adresse, etter lov om elektronisk kommunikasjon (ekomloven). Akkurat denne formen for informasjon er imidlertid å regne som såkalt abonnentsdata, som etter ekomloven § 2-9 tredje ledd har noe svakere vern enn for eksempel trafikkdata. For det første skal slik informasjon – på noen vilkår –  overleveres politiet på forespørsel, uten noen rettslig prøving. Videre kan denne informasjonen også kreves utlevert i sivile saker, etter kjennelse fra domstol. Åndsverksloven har også en sær-regel om utlevering av slik informasjon til rettighetshavere i sivile saker om angivelig brudd på opphavsretten på internett.

Det er derfor heller ikke etter norsk rett utenkelig at eieren av et nettsted – særlig hvor denne er en offentlig etat – kan ha mulighet til å få utlevert informasjon som kobler en dynamisk IP-adresse med en abonnent. Det er derfor mye som taler for at en dynamisk IP-adresse må regnes som en personopplysning også etter norsk rett – uavhengig av om man er enig eller uenig i EU-domstolens konkrete resonnementer i saken.

Behandling av personopplysninger krever et behandlingsgrunnlag etter personopplysningsloven. Et slikt grunnlag vil ofte være til stede, for eksempel hvor lagring av IP-adressen er nødvendig for å levere tjenesten. Dette må likevel vurderes, og IP-adressene må som utgangspunkt slettes når de ikke lenger er nødvendige for det formålet som foranlediget behandlingen av dem.

google maps
Dette nettstedet bruker informasjonskapsler (cookies) slik at vi kan yte deg bedre service. Informasjonskapslene blir hovedsakelig benyttet for trafikkmåling og optimalisering av tjenesten. Du kan også lese mer om vår bruk av informasjonskapsler.