IP-nummer i forum

[Klura]

Många forum skriver ut IP-nummer i varje inlägg.

Även två forum som jag är med och sköter om.

 

Har nu fått en förfrågan från en medlem om det är lagligt?

Hans förhoppning är att någon med juridisk skolning ska kunna kommentera detta.

 

Tacksam för svar

 

 

 

[fhe]

Jag tycker nog att det är att betrakta som lagligt men Datainspektionen utreder just huruvida man kan se IP-adresser som personuppgifter (själva eller tillsammans med annan information) eftersom det ligger till grund för besluttet om huruvida Antipiratbyrån kan verka som de gör. De lär ge besked den 15/3. Vem vet vad de kan hitta på.

 

Däremot tycker jag det är helt onödigt att visa IP-adressen, det tillför inget legitimt för någon utom de som sköter forumet utan utgör bara en onödig risk att man vid ett obekvämt inlägg blir utsatt för saker man inte vill bli utsatt för.

 

[Klura]

Det är just av den anledningen (Antipiratbyrån) frågan har kommit upp.

 

Frågan är hur de tänker lösa det här med Ip-nummer?

Det ska bli spännande att följa denna utredning.

För om man nu anser att IP-nummer ska hållas hemligt så bör det ju inte heller följa med i tex e-post.

 

Det var lite stökigt ett tag i det ena forumet då folk uppgav sig att vara flera olika personer. Det blev vi av med när IP numret även skrevs ut.

Så nu kan vi iofs ta bort det.

 

Men frågan kvarstår.

Är det lagligt eller ej?

Jag har nu även mailat Datainspektionen så får jag se vad dom svarar.

 

Tack för svar

 

 

[fhe]

Det är just av den anledningen (Antipiratbyrån) frågan har kommit upp.

Isåfall tycker jag att du kan svara att det är lagligt eftersom ingen har bestämt att det ska vara olagligt och det inte finns en chans att knyta IP-adressen till en person med mindre än att man är polis (eller nätägare).

 

Det var lite stökigt ett tag i det ena forumet då folk uppgav sig att vara flera olika personer. Det blev vi av med när IP numret även skrevs ut.

Så nu kan vi iofs ta bort det.

Förstår inte riktigt hur de löser problemet, det räcker väl att skriva "IP-adress loggad" isf, eller för all del avmaskera den så att den inte är komplett utåt.

 

Men frågan kvarstår.

Är det lagligt eller ej?

Och den frågan är det som sagt ingen som har fattat beslut i förrän tidigast den 15/3 och därför kan du inte få ett svar.

 

För att det ska vara en personuppgift gäller följande enligt Datainspektionen:

Personuppgifter

All slags information som direkt eller indirekt kan knytas till en (fysisk) person som är i livet. (3 § PuL) Även bild- och ljuduppgifter om en (fysisk) person räknas som personuppgifter, även om inga namn nämns. Krypterade eller kodade uppgifter är också personuppgifter om någon har en nyckel som kan koppla dem till en person.

 

Huruvida en IP-adress går att knyta indirekt till en fysisk person som är i livet beror nog rätt mycket på definitionen av indirekt. Bakom väldigt många IP-adresser sitter det tusentals fysiska personer. Rent teoretiskt kan man säkert hamna i den situationen att man kan påvisa att endast en av dessa inte var med på en brandövning utan istället satt och skrev på ditt forum och då har man väl på något sätt indirekt knytit informationen till en person men jag är skeptisk.

 

Om du (eller datainspektionen) gör den tolkningen så innebär det dessutom att ingen som inte har t.ex ett leverantörsförhållande till privatpersonen får lagra (alltså inte bara visa) dessa personuppgifter utan tillstånd och att man måste ha rutiner för att ta bort uppgifterna om den som har sina uppgifter lagrade begär det.

Det i sin tur skulle tvinga dig att ta bort alla rader i dina webbserverloggar där min (någon av mina) IP-adresser finns registrerade om jag bad om det. Ett sånt brev skulle se ut så här:

Hej, jag vill att ni tar bort alla personuppgifter om mig från ert system, jag heter N N och har personnummer XXXXXX-XXXX"

 

Om det vore möjligt för dig att baserat på ovanstående info ta bort alla rader med IP-adresser som är knytna till mig så är det nog säkert att anse att de är personuppgifter. Jag tror det är omöjligt, jag vet inte själv mer än en bråkdel av alla de IP-adersser jag använt de senaste åren.

 

Personligen tycker jag det är lite konstigt att man använt sig av termer som "någon", det borde rimligtvis innebära att poliser och myndigheter och är inkluderade. Gissningsvis är det där osäkerheten ligger.

 

[Klura]

Tack för utförligt svar

 

 

[Mr Andersson]

För om man nu anser att IP-nummer ska hållas hemligt så bör det ju inte heller följa med i tex e-post.

 

En intressant fråga är då hur mailen ska kunna komma fram...?

 

 

 

[Klura]

ja du, vi får återgå till papper och penna

 

[ClaesT]

Enligt "Din information om... Personuppgifter och internet" (Datainspektionen juli 2002) gäller följande: "Harmlös information får publiceras på Internet utan den registrerades samtycke. Vad som är harmlös information måste bedömas från fall till fall. Utgångspunkten bör vara om den registrerade kan uppleva publiceringen som kränkande."

 

Utan att vara jurist vill jag våga påstå att ett IP-nummer i och endast i kombination med en tidsuppgift är en personuppgift (det avgörande är om *någon* kan koppla uppgiften till en person, inte om vemsomhelst kan det. Utan tidsuppgift är det omöjligt - även statiska IP-nummer byter innehavare emellanåt, dynamiska IP-adresser ofta...)

 

Vad gäller IP-nummer i epost kan man fundera på om de är "harmlösa". Kan den person som just vid den tidpunkt IP-adressen loggades/noterades i epost-"headern" disponerade IP-adressen rimligen känna sig kränkt av att utpekas genom IP-adressen? Min åsikt är att så inte är fallet.

 

Kan ett IP-nummer i en web-logg upplevas kränkande av någon? Mycket tveksamt.

 

Kan ett IP-nummer återgivet i ett webforum upplevas kränkande? Mycket tveksamt - men om samma nytta kan uppnås utan att publicera IP-numret (i sin helhet) - varför då inte maska del av IP-numret eller bara ange att loggning sker?

 

Kan ett IP-nummer i kombination med exakt tidpunkt i kombination med ett direkt eller indirekt påstående att innehavaren begått något brottsligt upplevas som kränkande, t ex då uppgiften sänds till en part som har "nyckeln" dvs internetoperatören? Mycket tänkbart.

 

Det beslut som förväntas från DI senast den 15 mars bör nog inte *automatiskt* antas gälla i sammanhang *utan* koppling till brottspåståenden dvs i mer "triviala" fall, men det ska bli intressant att ta del av beslutet.

 

[inlägget ändrat 2005-03-10 19:44:28 av Claes T]

[fhe]

Det beslut som förväntas från DI senast den 15 mars bör nog inte *automatiskt* antas gälla i sammanhang

Korrekt, fast det lär ju bli normgivande i någon grad eftersom det trots allt är första gången de resonerat om det och de råkar vara tillsynsmyndighet.