EU-Domstolens general­advokat: Dynamiske IP-adresser kan anses for persondata, hvis der er supplerende oplysninger, som kan identificere brugeren

Overførsel af persondata til tredjelande, bl.a. USA, har været genstand for meget opmærksomhed siden EU-Domstolens Safe Harbor-dom i oktober 2015. EU har arbejdet på en ny afløser til Safe Harbor-ordningen – Privacy Shield – men EU-Parlamentet er kritisk overfor forslaget til ordningen. Samtidig ser det også ud til, at EU-Kommissionens standardkontrakter nu kan lide samme skæbne som Safe Harbor-ordningen. Dermed er grundlaget for at overføre personoplysninger til tredjelande i den grad udfordret. Det kan især ramme cloud-leverandører og virksomheder, der opbevarer persondata på servere placeret i USA.

EU-DOMSTOLEN HAR TIDLIGERE TAGET STILLING TIL IP-ADRESSER – MEN IKKE I FORHOLD TIL WEBSITEUDBYDERE
Dynamiske IP-adresser tildeles automatisk til en enhed og bruges kun midlertidigt, dvs. disse bliver ændret næste gang, brugeren benytter sig af forbindelsen til internettet. I modsætning hertil tildeles statiske IP-adresser manuelt, og disse IP-adresser ændrer sig ikke.

Lignende spørgsmål er tidligere behandlet hos EU-Domstolen, der fandt, at IP-adresserne blev anset for personoplysninger, som alene kan behandles, herunder opbevares, hvis en række krav er opfyldt. Tidligere afgørelser alene har dog forholdt sig til IP-adresser som personhenførbare oplysninger i forhold til internetudbydere og ikke i forhold til websiteudbydere, som ikke selv har adgang til den nødvendige information til at identificere den konkrete bruger.

DYNAMISKE IP-ADRESSER KAN VÆRE PERSONDATA
Ifølge Generaladvokaten skal dynamiske IP-adresser anses for at være persondata for en websiteudbyder, blot hvis internetudbyderen er i besiddelse af yderligere oplysninger om brugeren, som sammen med oplysningerne om IP-adressen kan identificere brugeren.

Generaladvokaten lagde vægt på, at det fremgår af databeskyttelsesdirektivet (direktiv 95/46 EF), at der for at afgøre, om en person er identificerbar, skal tages "alle de hjælpemidler i betragtning, der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende" enten af websiteudbyderen eller af "enhver anden person" – i det konkrete tilfælde, internetudbyderen. Da den danske persondatalov bygger på direktivet, har afgørelsen betydning for den danske opfattelse af personoplysninger.

EU-Domstolen følger sædvanligvis Generaladvokatens forslag, og det er derfor forventningen, at EU-Domstolen vil nå til samme resultat. EU-Domstolen forventes at være klar med en afgørelse inden for få måneder. Vi følger op på afgørelsen.

Afgørelsen betyder, at internetbutikker og andre virksomheder, der indsamler oplysninger om brugernes IP-adresser gennem deres websites, skal betragte IP-adresserne som persondata og sikre sig, at behandlingen heraf følger persondatalovens regler. Fremadrettet skal virksomhederne også sikre sig, at reglerne i den nye persondataforordning overholdes, når der indsamles IP-adresser.

---