Personvernnemndas vedtak 22. juni 2021 (Mari Bø Haugstad, Bjørnar Borvik, Line Coll, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem, Morten Goodwin)
Saken gjelder klage fra A på Datatilsynets vedtak 23. mars 2021 om ikke å gi innsyn i personopplysninger knyttet til IP-adresser.
Sakens bakgrunn
A kontaktet Microsoft Corporation Support i desember 2020 og ba om en oversikt over «login acivity» på sin Microsoft hotmail-konto. Han fikk utlevert en liste med IP-adresser som viser innlogginger på hans e-postkonto i 2019-2020. A mener at det har skjedd uautoriserte innlogginger på hans e-postkonto i denne perioden og ba Microsoft om hjelp til å identifisere IP-adressene, både hvem som var «eier» av IP-adressene og stedet hvor maskinen som ble benyttet ved innlogging befant seg. Microsoft Corporation avslo A anmodning.
A kontaktet Datatilsynet 13., 15., 17., 19. og 22. desember 2020. Han ønsket tilsynets bistand til å få utlevert identiteten på personen(e) knyttet til IP-adressen(e) som har logget seg på hans Microsoft hotmail-konto fra utlandet i 2019-2020. Han ønsket også informasjon om all aktivitet på e-postkontoen i denne perioden for å avdekke om han var utsatt for identitetstyveri og om det var sendt e-poster i hans navn som han ikke var kjent med.
Datatilsynet fattet 1. februar 2021 følgende vedtak om avvisning av klagen:
«Klagen avvises fordi Datatilsynet ikke kan se at klagen omhandler forhold som reguleres av personvernforordningen. Datatilsynet har derfor ikke kompetanse til å behandle saken etter personvernforordningen art. 55.»
A framsatte rettidig klage over Datatilsynets vedtak 8. og 12. februar 2021.
Datatilsynet vurderte klagen, men fant ikke grunn til å endre sitt vedtak. Saken ble oversendt Personvernnemnda 26. mars 2021. A ble orientert om saken i brev fra nemnda 6. april 2021, og fikk anledning til å komme med kommentarer. A har i brev 23. april 2021 gitt sine kommentarer.
Saken ble behandlet i nemndas møte 22. juni 2021. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Line Coll, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem og Morten Goodwin. Sekretariatsleder Anette Klem Funderud var også til stede.
Datatilsynets vurdering i hovedtrekk
Datatilsynets oppgave er å føre kontroll etter personopplysningsregelverket slik at enkeltpersoner ikke blir krenket gjennom bruk av opplysninger som kan knyttes til dem. Det følger av personopplysningsloven og personvernforordningen at det må dreie seg om behandling av personopplysninger for at regelverket skal komme til anvendelse.
Datatilsynet fastslår at den registrerte har rett til å få innsyn i personopplysninger om seg selv etter personvernforordningen artikkel 15 nr. 1, med mindre ett av unntakene i personopplysningsloven § 16 første ledd bokstavene a til f kommer til anvendelse.
Datatilsynet forstår As klage slik at han ønsker innsyn i andres personopplysninger, det vil si personen(e) som eier IP-adressen(e) som er benyttet til det han mener er mistenkelige innlogginger på hans hotmail-konto. Rett til innsyn i andres personopplysninger er ikke regulert i personvernforordningen eller i personopplysningsloven, og Datatilsynet har derfor ikke kompetanse til å pålegge Microsoft å utlevere dette.
A har bedt tilsynet om bistand til å få innsyn i informasjon om aktivitet på hans e-postkonto. Retten til innsyn i artikkel 15 gjelder innsyn i egne personopplysninger, ikke andre typer opplysninger.
Datatilsynet peker på at IP-adresser kan anses som personopplysninger etter personvernforordningen artikkel 4 nr. 1 og at A har rett til å få utlevert disse fra Microsoft, så lenge det gjelder hans egne personopplysninger. Datatilsynet legger til grunn at han har fått utlevert dette fra Microsoft. Datatilsynet har ikke kompetanse til å pålegge Microsoft å gi A innsyn i andre opplysninger enn personopplysninger om ham selv.
Datatilsynet avviser As klage fordi klagen ikke omhandler forhold som reguleres av personvernforordningen. Datatilsynet har derfor ikke kompetanse til å behandle saken etter personvernforordningen artikkel 55.
As syn på saken i korte trekk
Han har mottatt en liste fra Microsoft Corporation over IP-adresser for innlogginger på hans e-postkonto i 2019-2020 som viser at ukjente individer har logget seg inn på e-postkontoen fra maskiner utenfor Norge. Det er særlig én IP-adresse knyttet til en datamaskin i Nederland som A finner mistenkelig. Han har i hele denne perioden bodd og oppholdt seg i Norge.
Noen har på ulovlig vis hacket e-postkontoen hans og sannsynligvis sendt e-poster i hans navn uten hans kjennskap. Dette er ulovlig. Identitetstyveri er straffbart. Han ønsker å anmelde saken til politiet og eventuelt reise erstatningssak og da har han behov for å kjenne til identiteten til de personene som hacket e-posten hans. Han ønsker at Datatilsynet skal finne og utlevere identiteten til personene som eier de angitte IP- adressene og finne ut hva de har gjort med hans e-postkonto.
Når Datatilsynet nekter å utlevere disse opplysningene beskytter tilsynet disse personene mot straffeforfølgelse.
Personvernnemndas vurdering
Personvernforordningen gjelder ved helt eller delvis automatisert behandling av personopplysninger, jf. personopplysningsloven § 2. IP-adresser vil etter omstendighetene være å anse som personopplysninger etter personvernforordningen artikkel 4 nr. 1 og Microsofts behandling av IP-adressene som er benyttet for å logge inn på As e-postkonto representerer en behandling av personopplysninger som er omfattet av loven og personvernforordningen.
Nemnda legger til grunn at As klage til Datatilsynet gjelder to ulike forhold;
1. A ønsker opplysninger om identiteten til de personene som er tilknyttet de ulike IP-adressene som finnes på listen over innlogginger på hans e-postkonto der hvor maskinen som er benyttet har befunnet seg utenfor Norge, og
2. A ønsker informasjon over all aktivitet på sin e-postkonto i de periodene hvor maskinen som er benyttet til innlogging på hans e-postkonto befinner seg i utenfor Norge
Nemnda bemerker innledningsvis at det ikke er e-postleverandøren Microsoft Corporation som sitter med informasjon om hvilke personer som er knyttet til de ulike IP-adressene som er registrert. Det vil være de ulike internettleverandørene som, i en begrenset periode, har oversikt over personopplysninger tilhørende konkrete IP-adresser. Videre bemerker nemnda at det ofte vil være vanskelig å fastslå med sikkerhet lokasjonen til en IP-adresse, spesielt dersom det benyttes mobiltelefon og VPN (Virtual Private Network).
Spørsmålet for nemnda er om personvernforordningen gir A rett til innsyn i identiteten til personene bak IP-adressene som har logget seg inn på hans e-postkonto.
Etter personvernforordningen artikkel 15 nr. 1 har den som det behandles opplysninger om, i loven kalt «den registrerte», rett til innsyn. Retten til innsyn omfatter bekreftelse på om personopplysninger om vedkommende behandles, og, dersom dette er tilfellet, innsyn i personopplysningene og dessuten slik informasjon som følger av bokstav a-h i bestemmelsen.
Personvernforordningen artikkel 15 gir ikke rett til innsyn i personopplysninger om andre personer. Verken personopplysningsloven eller personvernforordningen gir A rett til å få informasjon fra den behandlingsansvarlige om hvilke personer som kan knyttes til ulike IP-adresser. Det er politiet som, dersom vilkårene for øvrig er oppfylt, vil kunne be om utlevering av slike opplysninger etter bestemmelsene om ransaking i straffeprosessloven kapittel 15. En slik henvendelse må imidlertid, som påpekt ovenfor, rettes til den aktuelle internettleverandøren og ikke til Microsoft.
A vil ha rett på innsyn i registrerte aktiviteter på sin e-postkonto og nemnda legger til grunn at han vil få utlevert en oversikt over aktiviteter dersom han retter en henvendelse til Microsoft Corporation. Det vil imidlertid ikke innebære opplysninger om hvilke personer som er knyttet til de ulike aktivitetene.
Nemnda er enig med Datatilsynet i at personvernforordningen ikke gir A rett til å kreve innsyn og utlevering av andres personopplysninger, men anser dette som en materiell vurdering av om vilkårene for innsyn etter artikkel 15 er oppfylt – og ikke grunnlag for avvisning.
Konklusjon
A har ikke rett på ytterligere innsyn etter personvernforordningen artikkel 15.
Vedtaket er enstemmig.
Oslo, 22. juni 2021
Mari Bø Haugstad
Leder