Euroopan Unionin tuomioistuin katsoi 19.10.2016 antamassaan ratkaisussa C-582/14, että verkkosivuston käyttäjän dynaaminen IP-osoite on verkkosivuston ylläpitäjään nähden henkilötieto, jos kyseisellä verkkosivuston ylläpitäjällä on käytettävissään oikeudelliset keinot, joiden perusteella se voi tunnistaa kyseisen henkilön sellaisten lisätietojen avulla, jotka ovat käyttäjän internetyhteyden tarjoajan käytettävissä.

Useimmat verkkosivustot tallentavat kaikki sivuston käynnit lokitietoihin. Tietoihin tallennetaan käynnin päätyttyä haetun sivuston tai tiedoston nimi, hakukentissä käytetyt hakusanat, käynnin päivämäärä ja kellonaika, siirrettyjen tietojen määrä, ilmoitus sivustolle pääsyn onnistumisesta ja sen tietokoneen IP-osoite, jolta sivustolle on pyritty. Perinteisesti on katsottu, että dynaaminen IP-osoite eli IP-osoite, joka vaihtuu jokaisen uuden internetyhteyden ottamisen myötä, ei muodosta henkilötietoa, sillä verkkosivuston ylläpitäjällä ei ole käytettävissään tietoja dynaamisen IP-osoitteen liittämiseksi yksittäiseen päätelaitteeseen tai käyttäjään. Vain sivullisella, eli verkkoyhteyden tarjoajalla, on käytettävissään tunnistamiseen tarvittavia lisätietoja.

Henkilötiedoilla tarkoitetaan tietosuoja-asetuksen mukaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. Jotta voidaan määrittää, onko luonnollinen henkilö tunnistettavissa, olisi otettava huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuullisen todennäköisesti käyttää mainitun luonnollisen henkilön tunnistamiseen suoraan tai välillisesti, kuten kyseisen henkilön erottaminen muista.

Tuomiossa todettiin, että dynaaminen IP-osoite ei ole ”tunnistettua luonnollista henkilöä” koskeva tieto, koska tällaisesta osoitteesta ei käy suoraan ilmi, kenelle luonnolliselle henkilölle tietokone, jolta internetsivustolla on käyty, kuuluu, eikä tällainen osoite paljasta suoraan muun mahdollisesti tätä tietokonetta käyttävän henkilön henkilöllisyyttä. Dynaamista IP-osoitetta voidaan kuitenkin pitää ”tunnistettavissa olevaa luonnollista henkilöä” koskevana tietona, koska on olemassa laillisia keinoja, joiden avulla verkkosivuston ylläpitäjä voi kääntyä erityisesti kyberhyökkäystilanteessa toimivaltaisen viranomaisen puoleen, jotta tämä ryhtyy tarvittaviin toimiin näiden tietojen hankkimiseksi internetyhteyden tarjoajalta ja käynnistää rikosoikeudellisen menettelyn. Toisin sanoen, verkkosivuston ylläpitäjällä on käytettävissään kohtuullisesti toteutettavissa olevat keinot rekisteröidyn tunnistamiseksi tallennettujen IP-osoitteiden perusteella muiden tahojen eli toimivaltaisen viranomaisen ja internetyhteyden tarjoajan avulla. Jos taas rekisteröidyn tunnistaminen ei ole käytännössä toteutettavissa, koska se veisi suhteettomasti aikaa ja aiheuttaisi suhteettomasti kustannuksia ja työtä, kyse ei olisi henkilötietojen käsittelystä. Arviointi on näin ollen tehtävä tapauskohtaisesti.

Vaikka tuomioon sovellettiin henkilötietodirektiiviä, on tietosuoja-asetuksen määritelmä verrattain samanlainen kuin sitä edeltävän henkilötietodirektiivin. Tietosuoja-asetuksen henkilötiedon määritelmässä uutta on eksplisiittinen viittaus verkkotunnisteisiin sekä sen korostaminen, että epäsuoraan tunnistamiseen riittää henkilön erottelu muista. Tämä laaja henkilötiedon määritelmä – joka saanee yllä kuvatusta tuomiosta yhä vahvistusta – tulee ottaa huomioon valmistautuessa tietosuoja-asetuksen voimaantuloon. Käytännössä se tarkoittaa, että suuri osa yritysten liiketoiminnasta on tietosuoja-asetuksen piirissä, ja aikaisempi argumentti siitä, että yritys käsittelee vain laitteisiin liitettäviä anonyymeja tietoja, ei ole enää yhtä laajalti käytettävissä.

Rekisterinpitäjien kannalta hyvä asia on, että tuomiossa vahvistettiin myös se, että rekisterinpitäjällä voi olla oikeutettu etu tietojen käsittelyyn mm. sivustojen turvallisuuden ja toiminnan jatkuvuuden takaamiseksi, ja arvioitu Saksan lainsäädäntö, joka korosti suostumusta tietojen käsittelyyn, oli tältä osin liian rajoittava.

Lisätietoja asiasta antaa Anna Paimela.

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.