EU-domstolen: dynamiska IP-adresser är personuppgifter, och det berättigade intresset i privat sektor brett

Patrick Breyer, jurist och piratpartistisk politiker i tyska delstaten Schleswig-Holstein, har använt det befintliga europeiska regelverket för att förstärka det tekniska och juridiska dataskyddet i ett flertal fall. 19 oktober gjorde EU-domstolen ett slutgiltigt avgörande i hans fråga om dynamiska IP-adresser som lagras efter besök av privatpersoner hos offentliga myndigheter kan utgöra personuppgifter på samma sätt som andra personuppgifter.

Domslutet har flera implikationer. Den första är att dynamiska IP-adresser, precis som statiska IP-adresser, utgör personuppgifter. Detta följer av att det är förhållandevis lätt att begära ut information från en internetleverantör om vilken specifik kund som tildelats ett visst IP-nummer vid ett visst tillfälle.

Den andra implikationen är en vidare tolkning av begreppet "berättigat intresse", alltså när företag får bestämma att deras eget intresse är viktigare än deras konsumenters, eller deras affärspartners konsumenters, grundläggande rättigheter.

Den tyska lagen begränsade det berättigade intresset till ett antal specifika fall. Domstolen tycker däremot att intresseavvägningar ska göras hela tiden, och att det är EU-domstolen som bestämmer inom vilka gränser intresseavvägningarna ska ligga. Lagstiftarna i medlemsländerna får inte förekomma EU-domstolens bedömningar om när det är lämpligt att företag får fria händer att bestämma att de själva är viktigare än privatpersoner.

Dataskyddslagstiftningens bestämmelser om berättigat intresse är över huvud taget luriga, och Dataskydd.net hade föredragit att dessa regler helt tagits bort ur den europeiska lagstiftningen. Normalt ska rätten bestämma vad är berättigat, och rätten är - i kontinentaleuropeisk lagstiftning och även i svensk - bestämd av vad lagstiftningen säger. Att i lagen hänvisa till att det finns en annan rätt, utanför lagen, blir alltså kontraintuitivt.

Eftersom både de företag och myndigheter som har direkt kontakt med privatpersoner och sådana företag och myndigheter som har affärsrelationer med dem som har direkt kontakt med privatpersoner får göra intresseavvägningar, samtidigt som de inte behöver informera privatpersoner om vilken avvägning de har gjort, står privatpersoner i väldigt svag ställning. Teoretiskt finns den möjlighet att använda, men praktiskt är det svårt att se hur denna möjlighet ska kunna utnyttjas. I Sverige används till exempel det berättigade intresset för att CSN ska få sälja studentuppgifter till reklamföretag utan att berätta för studenterna. Det åberopas också av fackliga organisationer som vill kartlägga även sådana privatpersoners lönesättning som inte velat vara medlemmar i en facklig organisation.

Med lagstiftningen som den är, och domstolens prejudikat fastlagt, återstår dock bara att invänta vad EU-domstolen kommer finna vara lämpliga avvägningar i olika situationer. Synd bara att rättsfallen troligtvis behöver vänta på sig: det är så svårt för privatpersoner att ta reda på när de har ett intresse att försvara, att vi inte kan vänta oss några omedelbara klargöranden.

Läs mer:

CJEU Curia, C-582/14, Breyer mot Bundesrepublik Deutschland (19.10.2016):

http://curia.europa.eu/juris/documents.jsf?num=C-582/14

Delegedata, Important ruling by the European Court of Justice: More data usage possibilities for website and app operators in Germany (19.10.2016):

https://www.delegedata.de/2016/10/important-ruling-by-the-european-court...

Dataskydd.net, Europeiska domstolen för mänskliga rättigheter ska pröva registreringstvång för SIM-kort (13.02.2016):

https://dataskydd.net/nyheter/2016/02/13/europeiska-domstolen-manskliga-...