IP-adresser er personopplysninger i følge EU-domstolen

Bilde: Teknologirett

EU-domstolen har i dag fattet en avgjørelse i den såkalte «Breyer-saken», som er avgjørende for hvordan personopplysninger skal defineres. I dommen fant domstolen at dynamiske IP-adresser er å anse som personopplysninger, selv om det er nødvendig å gå til en tredjepart (som en internett-tilbyder) for å få informasjon for å koble IP-adressen til en fysisk person.

Personopplysninger er definert i personopplysninger som «opplysninger og vurderinger som kan knyttes til en enkeltperson». Med denne dommen vil forståelsen av «kan knyttes til» bli mer omfattende, og det skal mindre til for at informasjon skal kunne knyttes til enkeltpersoner og anses å være personopplysninger etter denne avgjørelsen.

Siden definisjonen av personopplysninger er i det vesentlige likelydende i personvernforordningen som under personverndirektivet, og personopplysningsloven, vil dommen også få betydning for forståelsen av hva personopplysninger er under personvernforordningen. I Norge har Datatilsynet lagt til grunn at IP-adresser er å anse som personopplysninger, men avgjørelsen gir et klarere grunnlag for at man nå må innrette seg etter personopplysningsloven ved behandling av IP-adresser. Dette gjelder i stor grad logger på web-servere og bruk av Google Analytics, hvor det kan være hensiktsmessig å aktivere anonymisering av IP-adresser i Google Analytics om man ikke har gjort det. 

Dommen har også uttalelser om muligheter til å bruke personopplysninger til å kreve vederlag for tjenester etter at tjenestene er opphørt, som ble besvart benektende. 

EU-domstolens avgjørelse er tilgjengelig her.

Oppdatering: Se også omfattende artikkel fra advokatfirmaet Bird&Bird om dommen her, samt omtale av dommen fra advokatfirma Føyen Torkildsen her.

Bli den første til å kommentere på "IP-adresser er personopplysninger i følge EU-domstolen"

Legg inn en kommentar

Ikke gå glipp av noe!

Motta nyhetsbrev fra Teknologirett: