Nätidentifierare och andra unika identifierare finns överallt, på webbplatser, i mobilappar och molntjänster, och även i uppkopplade bilar och andra IoT-enheter. De används bland annat för att särskilja digitala enheter på internet och i datornätverk. Välkända exempel är cookies, IP-adresser och MAC-adresser. Det finns dock även andra typer av nätidentifierare som är mindre kända, som exempelvis omisstänksamma bokstavs- och teckenföljder av olika slag och längder.
Identifierarnas utspridda användning gör det nästintill omöjligt för företag, myndigheter och andra organisationer att undvika dem. En central fråga blir då om de klassas som personuppgifter enligt dataskyddsförordningen (GDPR). Om så är fallet är verksamheter tvungna att följa reglerna i GDPR vid användning av sådana identifierare, som bland annat kräver en laglig grund för behandlingen och att informera de registrerade.
EU-domstolen mål C‑604/22 (IAB Europe)
Frågan om en viss typ av nätidentifierare, som är mindre känd, utgör en personuppgift i GDPR:s mening tas upp av EU-domstolen i mål C-604/22 (IAB Europe). Målet handlar om en branschorganisation (IAB Europe) som har utvecklat en teknisk plattform för försäljning av webbanvändares profiler i realtid.
En central aspekt av plattformen är att webbanvändares preferenser först registreras och därefter kodas och lagras i form av en följd av bokstäver och andra tecken. Den specifika följden som är aktuell i målet kallas för TC-sträng (Transparency and Consent String) och innehåller användarens samtyckespreferenser. Frågan som prövas av EU-domstolen är huruvida TC-strängen utgör en personuppgift i GDPR:s mening.
När är en person identifierbar?
EU-domstolen påminner inledningsvis om definitionen av begreppet personuppgift i artikel 4.1 GDPR. Enligt definitionen är personuppgifter ”varje upplysning som avser en identifierad eller identifierbar fysisk person”. Vad gäller en persons ”identifierbara” karaktär påpekar EU-domstolen att det framgår av artikel 4 led 1 i dataskyddsförordningen att en identifierbar person är en person som inte endast kan identifieras direkt utan även indirekt.
Gällande begreppet indirekt identifiering konstaterar EU-domstolen att det inte är nödvändigt att upplysningen i sig gör det möjligt att identifiera den aktuella personen för att upplysningen ska anses utgöra en personuppgift. Personuppgifter som genom att använda kompletterande uppgifter skulle kunna tillskrivas en fysisk person ska anses som uppgifter om en identifierbar fysisk person. För att en person ska vara ”identifierbar” krävs det inte att en enda person innehar alla upplysningar som är nödvändiga för att identifiera den.
Är TC-strängen en personuppgift?
Gällande TC-strängen som är aktuell i målet konstaterar EU-domstolen följande. Även om det antas att en TC-sträng inte i sig innehåller några uppgifter som gör det möjligt att direkt identifiera den registrerade, kvarstår det faktum att TC-strängen innehåller en specifik användares individuella preferenser vad gäller hans eller hennes samtycke till behandling av vederbörandes personuppgifter. Denna information avser således en fysisk person i den mening som avses i artikel 4.1 GDPR.
Vidare kan en TC-sträng, när den kopplas till en identifierare, såsom bland annat IP-adressen för en sådan användares utrustning, göra det möjligt att skapa en profil av nämnda användare och att faktiskt identifiera den person som specifikt berörs av informationen. TC-strängen innehåller således information om en identifierbar användare och gör det möjligt att identifiera denne. TC-strängen utgör således en personuppgift i den mening som avses i artikel 4.1 GDPR.
EU-domstolen konstaterar även att denna tolkning inte påverkas av omständigheten att IAB Europe inte själv kan kombinera TC-strängen med IP-adressen för en användares utrustning.
EU-domstolens slutliga svar
EU-domstolens slutliga svar på tolkningsfrågan är allmänt formulerat och går utöver TC-strängen i det aktuella målet. I sitt svar konstaterar EU-domstolen följande:
En bokstavs- och teckenföljd, såsom TC-strängen, som innehåller en internet- eller applikationsanvändares preferenser vad gäller användarens samtycke till att hans eller hennes personuppgifter behandlas av leverantörer av webbplatser eller applikationer samt av personuppgiftsmäklare och reklamplattformar, utgör en personuppgift i GDPR:s mening. Bakgrunden är att denna teckenföljd, när den med hjälp av rimliga hjälpmedel kopplas till en identifierare, såsom bland annat IP-adressen för användarens utrustning, gör det möjligt att identifiera den registrerade.
Under dessa omständigheter utgör det förhållandet att en branschorganisation som innehar denna teckenföljd utan någon extern medverkan varken kan få tillgång till de uppgifter som behandlas av dess medlemmar enligt de regler som den har fastställt eller kombinera nämnda teckenföljd med andra uppgifter, inte hinder för att denna teckenföljd utgör en personuppgift i GDPR:s mening.
Slutsatser
Mot bakgrund av EU-domstolens resonemang är det rimligt att anta att de flesta verksamheter behandlar nätidentifierare och andra unika identifierare som klassas som personuppgifter i GDPR:s mening. Det kan exempelvis vara fråga om identifierare i loggen av en molntjänst. Varje gång en medarbetare loggar in i tjänsten och genomför en åtgärd i gränssnittet skapas en ny rad i loggen som innehåller en identifierare. Loggen innehåller således en betydande mängd personuppgifter.
I detta exempel omfattas såväl verksamheten som har köpt eller upphandlat molntjänsten som leverantören av reglerna i GDPR och måste säkerställa regelefterlevnad. I vissa fall kan detta visa sig vara en utmaning, särskilt när leverantören vill använda loggarna för egna ändamål, såsom produktutveckling eller träning av en AI-modell. I sådana fall kan det även bli aktuellt med ett gemensamt personuppgiftsansvar för inköparen och leverantören, vilket är en av de frågor som tas upp i målet.