Dynamiske IP-adresser er personoplysninger

Dynamiske IP-adresser kan udgøre en personoplysning, hvis blot det er muligt at koble oplysningen til en identificerbar person ved brug af lovlige hjælpemidler. Det bekræfter en ny afgørelse fra EU-Domstolen.

EU-Domstolen har den 19. oktober 2016 afsagt dom i ”Breyer”-sagen (C-582/14). Sagen vedrørte to adskilte problemstillinger - den anden omtale af dommen kan findes her

Sagen vedrørte en tvist om registrering og opbevaring af foretagne søgninger på flere tyske forbundsinstitutioners hjemmeside. I praksis opbevarede hjemmesiden logfiler med informationer om bl.a. brugerens dynamiske IP-adresse. En dynamisk IP-adresse kan sammenlignes med f.eks. et netværks- eller computers "telefonnummer", men som principielt kan skifte løbende. Indsamling af oplysningerne var nødvendigt for at beskytte mod og forfølge cyberangreb, samt for at hjemmesiderne fortsat kunne fungere. Disse dynamiske IP-adresser kunne ikke knyttes til en bestemt person, uden først at have adgang til informationer fra brugerens internetudbyder (teleselskab).

Den tyske forbundsdomstol bad i forbindelse med sagen EU-Domstolen om at tage stilling til, om dynamiske IP-adresser udgør personoplysninger i persondatadirektivets forstand, når en tredjemand har den nødvendige viden til at identificere den registrerede.

Til dette udtalte EU-Domstolen, at persondatadirektivets art. 2, litra a) også omfatter en person, der indirekte kan identificeres. Det afgørende kriterie kan udledes af den 26. betragtning til persondatadirektivet, hvor en person er identificerbar, hvis vedkommende kan identificeres ved brug af alle hjælpemidler, der med rimelighed kan tænkes anvendt.

EU-Domstolen udtalte på den baggrund, at en dynamisk IP-adresse må betragtes som en personoplysning ift. udbyderen, hvis udbyderen af hjemmesiden lovligt, og uden overvældende praktisk besvær, kan identificere den registrerede, ved at få adgang til de nødvendige "hjælpemidler" hos en tredjemand. Dette var tilfældet i den foreliggende sag, da der i tysk ret var adgang for hjemmesideudbydere til at skaffe de nødvendige oplysninger fra internetudbyderen i visse tilfælde, f.eks. ved cyberangreb.

Afgørelsens betydning

EU-Domstolens afgørelsen bekræfter, at dynamiske IP-adresser udgør en identifikator af personen, som der behandles oplysninger om, selv når den dataansvarlige ikke selv er internetudbyder. Dommen bekræfter også den analyse, som man skal foretage for at vurdere, om en given oplysning kan henføres til en person, og det kan anbefales at læse den meget velskrevne dom for at lære analysen at kende.

Læs hele afgørelsen fra EU-Domstolen her

Seneste nyt om Persondata

Persondata