Het Hof van Justitie beslist dat dynamische IP-adressen, die geregistreerd worden door aanbieders van onlinemediadiensten in het kader van hun dienstverlening, beschermde persoonsgegevens zijn.
Op 19 oktober 2016 deed het Hof van Justitie uitspraak in zaak C-582/14, Breyer v. Bondsrepubliek Duitsland. Breyer had zich verzet tegen de registratie en bewaring van zijn dynamische IP-adres bij zijn bezoek aan de website van verschillende federale overheidsinstellingen.
In haar arrest besliste het Hof van Justitie dat dynamische IP-adressen in de verhouding met de aanbieder van de onlinemediadiensten in kwestie beschermde persoonsgegevens zijn in de zin van artikel 2, a) richtlijn 95/46/EG. Het Hof bouwt daarmee voort op haar rechtspraak in zaak C-70/10, Scarlet Extended v. SABAM, waar beslist werd dat ten aanzien van internetproviders IP-adressen persoonsgegevens vormen, daar zij de directe identificatie van een persoon mogelijk maken.
De aanbieder van onlinemediadiensten is echter, in tegenstelling tot een internetprovider, niet in staat om door middel van het dynamische IP-adres de achterliggende gebruiker te identificeren. Daarvoor heeft de aanbieder bijkomende informatie nodig van de internetprovider.
Indien de aanbieder van de onlinemediadiensten over de middelen kan beschikken om deze gegevens op te vragen, zoals bijvoorbeeld door interventie van officiële autoriteiten in het geval van cyberaanvallen, dan is er volgens het Hof sprake van indirecte identificatie van een persoon, hetgeen inbegrepen is in de definitie van persoonsgegeven in artikel 2, a) van richtlijn 95/46/EC.
Aldus zijn dynamische IP-adressen ten opzichte van de aanbieder van onlinemediadiensten die deze adressen registreert persoonsgegevens wanneer de aanbieder beschikt over middelen waarvan redelijkerwijs mag worden aangenomen dat zij kunnen worden ingezet voor de identificatie van de betrokken persoon, tenzij de identificatie van de betrokkene bij wet verboden is of in de praktijk ondoenlijk is, bijvoorbeeld omwille van de vereiste tijd, kosten en mankracht.
In de praktijk zal dus van geval tot geval moeten worden nagegaan of het voldoende waarschijnlijk is dat het dynamisch IP-adres kan worden gecombineerd met bijkomende informatie (afkomstig van de internetprovider en met tussenkomst van de officiële autoriteit) om de identificatie van de individuele internetgebruiker mogelijk maken.
In alle gevallen waar identificatie mogelijk is, moeten de IP-adressen dus als persoonsgegevens beschouwd worden en verwerkt worden overeenkomstig richtlijn 95/46/EG. In België moet daarom voor het verwerken van deze gegevens voldaan worden aan de voorwaarden van de Wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, die richtlijn 95/46/EG omzet in Belgisch recht.
Meer weten? Neem dan contact op met een it-recht advocaat van time.lex.