Analyse van GDPR-artikel 4(1) en overweging 30 stelt vast dat online-identificatoren expliciete vormen van persoonsgegevens zijn wanneer ze de identificatie van een natuurlijke persoon mogelijk maken. De verordeningstekst vermeldt: “een identificator kan zijn ‘een naam, een identificatienummer, locatiegegevens, een online-identificator’” (GDPR, art. 4(1)). Overweging 30 verduidelijkt verder dat dit gegevens omvat “verstrekt door apparaten, applicaties, hulpmiddelen en protocollen, zoals internetprotocoladressen, cookie-identificatoren of andere identificatoren zoals radiofrequentie-identificatietags” (GDPR, overweging 30).
Resultaten tonen aan dat online-identificatoren steeds belangrijker zijn geworden door de wildgroei van digitale technologieën. Belangrijke bevindingen uit empirische literatuur en regelgevende richtlijnen zijn onder meer:
- Internetprotocol (IP)-adres: IP-adressen die aan apparaten zijn toegewezen, worden algemeen erkend als persoonsgegevens onder de GDPR, omdat ze individuen direct of indirect kunnen identificeren.
- Internetcookies: Permanente cookies kunnen unieke waarden opslaan die gekoppeld zijn aan gebruikersactiviteit, wat profilering en tracking mogelijk maakt. De Artikel 29-werkgroep gegevensbescherming (WP29) bevestigt dat cookies online-identificatoren zijn (WP29 Advies 02/2013).
- Beacons en pixeltags: Deze mechanismen verzamelen gegevens over websitebezoeken en gebruikersinteracties, vaak in combinatie met cookies of apparaatinformatie.
- Mobiele advertentie-identificatoren: Unieke advertentie-ID's op smartphones maken het volgen van gebruikers over verschillende apps en sites mogelijk.
- Apparaatvingerafdrukken: Methoden voor het aggregeren van browser- en apparaatkenmerken om hardware-/softwareconfiguraties uniek te identificeren.
- RFID-tags: Kleine elektronische apparaten die gegevens opslaan en die, in combinatie met andere informatie, identificatie mogelijk kunnen maken.
De aggregatie van dergelijke identificatoren in de loop van de tijd, vooral in combinatie met andere datapunten (bv. accountgegevens, apparaatmetadata), vormt een aanzienlijk risico op heridentificatie—zelfs wanneer individuele identificatoren op zichzelf niet de identiteit van een persoon onthullen. Dit sluit aan bij het “singling out”-criterium dat wordt besproken in de Breyer-zaak van het HvJ-EU (C-582/14), waarin werd verduidelijkt dat dynamische IP-adressen onder bepaalde omstandigheden persoonsgegevens kunnen vormen.
Samenvattend:
- Online-identificatoren onder de GDPR omvatten een breed scala aan technische kenmerken, inclusief maar niet beperkt tot IP-adressen, cookies, apparaatvingerafdrukken en RFID-tags.
- Deze identificatoren worden geclassificeerd als persoonsgegevens wanneer ze direct of indirect kunnen leiden tot de herkenning of individualisering van een persoon.
- De combinatie van online-identificatoren met andere unieke kenmerken verhoogt de waarschijnlijkheid en het risico op identificatie, wat robuuste nalevings- en privacybeschermingsstrategieën vereist.
