Här kan man för övrigt läsa om IP-nummer är personuppgifter:
Citat:
Statiska IP-adresser utgör personuppgifter
Redan år 2011 berördes frågan om huruvida IP-adress utgör en personuppgift enligt, dåvarande, dataskyddsdirektivet, i målet Scarlet Extended (C-70/10). EU-domstolens avgörande föranleddes av en tvist mellan SAMAB, en upphovsrättsorganisation som företrädde upphovsrättsinnehavare av musikaliska verk och Scarlet, en internetleverantör. SAMABhade upptäckt att Scarlets internetanvändare olovligen laddade ner upphovsrättsligt skyddade verk med hjälp av ”peer-to-peer”-trafik och yrkade att internetleverantören skulle föreläggas att införa ett filtreringssystem för att urskilja och blockera överföring av filer vars utväxling innebar upphovsrättsintrång. Filtreringssystemet förutsatte att allt som passerade via internetleverantörens tjänst systematiskt undersöktes och att internetanvändarnas IP-adresser samlades in och identifierades.5 EU-domstolen kom i sin bedömning fram till att IP-adresserna i fråga utgjorde personuppgifter eftersom det genom dessa var möjligt att exakt identifiera internetanvändarna. På grund av att de statiska adresserna är oföränderliga till sin karaktär är det möjligt att varaktigt identifiera enheten som är ansluten till internet. Mot bakgrund av EU-domstolens praxis får det anses klargjort att statiska IP-adresser utgör personuppgifter och ska behandlas i enlighet med GDPR.
Dynamiska IP-adresser kan utgöra personuppgifter
I Scarlet Extended var statiska IP-adress grund för bedömningen. EU-domstolen behandlade inte dynamiska IP-adresser specifikt. Som tidigare redogjorts för, förändras de dynamiska adresserna – till skillnad från de statiska – vid varje uppkopplingstillfälle och delas mellan de uppkopplade enheterna. Frågan om dynamiska IP-adresser utgör personuppgifter togs upp i EU-domstoleni ett senare mål, Breyer (C-582/14). Till skillnad från situationen i Scarlet Extended, då det varit internetleverantören som samlat in och identifierat IP-adresserna, förfogade Tyskland – som leverantör av elektronisk informations- och kommunikationstjänst, i detta fall endast över IP-adresserna och inte över ytterligare upplysningar som krävdes för att identifiera användarna. Breyer hade besökt tyska myndigheters hemsidor där information till allmänheten tillhandahölls. För att skydda sig mot hackers lagrades alla hemsidebesök i loggfiler efter sessionens slut. I loggfilerna lagrades bland annat datum och tid för besöket samt IP-adressen för den enhet som sökt åtkomst till webbplatsen. Breyer väckta talan och yrkade att Tyskland skulle förbjudas att lagra eller ge tredje man i uppdrag att lagra de aktuella uppgifterna i loggfiler. EU-domstolen konstaterade inledningsvis att en dynamisk IP-adress inte direkt röjer identiteten av användaren eller ägaren av dator,6 men uttalade därefter att det inte krävs att upplysningen i sig själv gör det möjligt att identifiera en fysisk person för att uppgiften ska anses utgöra en personuppgift. Som ovan nämnt, ska alla möjliga hjälpmedel som kan komma att användas av den personuppgiftsansvarige eller någon annan person beaktas för att avgöra om en person är identifierbar.7 Ytterligare upplysningar som skulle göra det möjligt att identifiera nämnda användare kan internetleverantören förfoga över. D.v.s. att IP-adressen då den kompletteras med sådan information gör det möjligt att identifiera en person. Att det även innefattar ”någon annan person” innebär att det inte krävs att en aktör har tillgång till samtliga uppgifter nödvändiga för att identifiera en person, för att en IP-adress ska utgöra en personuppgift, utan man behöver alltså tolka om det är rimligt/möjligt att kombinera informationen som internetleverantören besitter med de IP-adresser som Tyskland samlade in. Vad gäller bedömningen av huruvida informationen utgjorde ett hjälpmedel som rimligen kan komma att användas av den personuppgiftsansvarige eller någon annan person, uttalade EU-domstolen att hjälpmedel som är förbjudna i lag eller som i praktiken är omöjliga att genomföra på grund av att det kräver orimliga resurser i form av resurser, tid, och arbetskraft inte är sådana att de rimligen kan komma att användas. Mot bakgrund av det angivna konstaterade EU-domstolen att en dynamisk IP-adress utgör en personuppgift förutsatt att det är möjligt för en leverantör att med lagliga medel få tillgång till andra uppgifter, som tillsammans med IP-adressen, gör det möjligt att identifiera en viss person. Det krävs inte att möjligheten har utnyttjats – utan tillräckligt är att det finns en faktisk laglig möjlighet. Notera dock att det utöver rättslig grund måste vara rimligt sett till tidsåtgång, kostnad m.m. Domstolen tillämpade såldes relativa kriterier för att avgöra om IP-adress utgjorde en personuppgift, vilket resulterar i att att uppgiften i händerna på en viss innehavare under vissa förutsättningar utgör en personuppgift. Det innebär att uppgiften kan vara en personuppgift i händerna på en viss part – som på laglig väg kan få ytterligare uppgifter och på så sätt identifiera personen – men inte i händerna på den part som inte förfogar över lagliga medel som kan ge tillgång till sådana uppgifter. I det aktuella fallet fanns enligt tysk rätt en möjlighet för leverantörer av elektroniska informations- eller kommunikationstjänster att, exempelvis vid it-attacker, att vända sig till den berörda myndigheten och begära upplysningar från internetleverantören för att inleda straffrättsliga förfaranden. Att leverantören – som hade tillgång till IP-adressen – förfogade över lagliga medel som gjorde det möjligt att inhämta ytterligare upplysningar från internetleverantören och då identifiera den registrerade, innebar att IP-adressen utgjorde en personuppgift i förhållande till leverantören.
https://gdprhero.se/gdpr-hero-blogge...personuppgift/
