Julkisasiamies: Myös dynaamiset IP-osoitteet ovat henkilötietoja

Julkisasiamies: Myös dynaamiset IP-osoitteet ovat henkilötietoja

Julkisasiamies: Myös dynaamiset IP-osoiteet ovat henkilötietoja

Euroopan Unionin tuomioistuimen julkisasiamies antoi viime viikolla mielenkiintoisen ratkaisuehdotuksen IP-osoitteisiin liittyvässä asiassa. Ratkaisuehdotuksen mukaan myös dynaamisia IP-osoitteita olisi käsiteltävä henkilötietoina. Vai olisiko sittenkään?

Tavalliselle kaduntallaajalle dynaaminen IP-osoite kuulostaa pieneltä tekniseltä detaljilta, mutta verkkoliikenteeseen liittyvien tietojen käsittelyssä asialla on suuri merkitys. Asiassa oli kyse verkon käyttäjän IP-osoitteesta tilanteessa, jossa IP-osoite ei viittaa suoraan yksittäiseen päätelaitteeseen vaan teleoperaattoriin joka tarjoaa käyttäjän internet-yhteydet. Kun tällainen käyttäjä vierailee verkkosivustolla, sivuston ylläpitäjän lokiin tallentuu käyttäjän IP-osoite.

Usein on katsottu, että dynaaminen IP-osoite ei muodosta henkilötietoa, sillä verkkosivuston ylläpitäjällä ei ole käytettävissään tietoja dynaamisen IP-osoitteen liittämiseksi yksittäiseen päätelaitteeseen tai käyttäjään. Tällaisten tietojen saaminen edellyttäisi yleensä viranomaisen käytössä olevia pakkokeinoja.

Nyt julkisasiamies siis esittää, että dynaamista IP-osoitetta on pidettävä henkilötietona, mikäli verkkoyhteyden tarjoajalla on hallussaan lisätietoja, jotka dynaamiseen IP-osoitteeseen yhdistettyinä auttavat tunnistamaan käyttäjän. Koska verkkoyhteyden tarjoajalla käytännössä lähes aina on hallussaan tällaiset tiedot, tämä tarkoittaa, että dynaamista IP-osoitetta olisi yleensä käsiteltävä henkilötietona.

Tietosuojadirektiivin mukaan tietoa on käsiteltävä henkilötietona, mikäli rekisterinpitäjällä on käytettävissään kohtuullisesti toteutettavissa olevia keinoja henkilön tunnistamiseen. Julkisasiamiehen linjaus on kohtuullisuuden arvioinnissa varsin pitkälle menevä: hän vaikuttaa katsovan, että kaikki lailliset keinot on katsottava tässä arvioinnissa kohtuullisiksi. Julkisasiamiehen linjaus näyttäisi olevan, että ”lainsäädännön puitteissa” on toteutettavissa järjestely, jolla verkkoyhteyden tarjoaja antaa tunnistamisen edellyttämät lisätiedot verkkosivuston ylläpitäjälle, ja tästä johtuen kyseessä on kohtuullinen järjestely. Hieman epäselväksi jää, mitä julkisasiamies tarkkaan ottaen tarkoittaa ilmaisulla ”lainsäädännön puitteissa”: esimerkiksi Suomessa verkkoyhteyden tarjoaja ei lähtökohtaisesti saa luovuttaa tietoyhteiskuntakaaressa tarkoitettua välitystietoa, ja sama EU-direktiiviin perustuva sääntö tulisi olla voimassa muissakin EU-maissa.

Julkisasiamiehen lausunto kategorisuudessaan vaikuttaa osittain sisäisesti ristiriitaiselta. Lausunnossaan julkisasiamies korostaa, että lausunnossa ei oteta kantaa siihen, ovatko dynaamiset IP-osoitteet henkilötietoja, kun on olemassa mikä tahansa sivullinen, joka pystyy käyttämään dynaamisia IP-osoitteita verkonkäyttäjien tunnistamiseen. Julkisasiamies näyttäisi kuitenkin päätyvän siihen, että dynaamiset IP-osoitteet olisivat aina henkilötietoja silloin, kun tällainen sivullinen on käyttäjän internet-palvelun tarjoaja.

Jäämme siis mielenkiinnolla odottamaan EU:n tuomioistuimen päätöstä asiassa.