Niedawne orzeczenie Trybunału Sprawiedliwości Unii Europejskiej zapadłe w sprawie Breyer przeciwko Bundesrepublik, sygnatura C‑582/14, odniosło się do kwestii uznania adresu IP za dane osobowe. W dotychczasowej praktyce stosowania prawa nie ulegało wątpliwości, że tzw. statyczny adres IP, czyli przypisany na stałe do określonego użytkownika, podlega ochronie z uwagi na fakt, że stanowi informację umożliwiającą zidentyfikowanie konkretnej osoby. Wątpliwości dotyczyły tzw. dynamicznego IP, czyli adresu który (w uproszczeniu) jest nadawany użytkownikowi wyłącznie na czas danego połączenia z Internetem, co za tym idzie jeden numer IP, po zakończeniu połączenia, jest przydzielany kolejnemu użytkownikowi. Według niektórych przedstawicieli prawa owa dynamiczność wyklucza taki adres z pojęcia danych osobowych, a w konsekwencji, znosi prawną ochroną w tym zakresie. Takie stanowisko pomijało jednak fakt, że tzw. providerzy, czyli dostawcy łączy internetowych, gromadzą informacje o przydzielanych danemu użytkownikowi adresach IP, wraz z dokładnym oznaczeniem ram czasowych kiedy dany numer był wykorzystywany przez konkretnego abonenta ich usług. Jest to obowiązek narzucony przez przepisy ustawy prawo telekomunikacyjne, mający swoje odpowiedniki w analogicznych przepisach innych państw członkowskich.
Trybunał uznał, że w sytuacji gdy podmiot gromadzący dynamiczny adres IP dysponuje prawną lub faktyczną możliwością ustalenia tożsamości użytkownika, adres ten zalicza się do katalogu danych osobowych i podlega przewidzianym dla nich ochronie. W przełożeniu na praktykę oznacza to, że każdy podmiot gromadzący IP np. osób odwiedzających stronę internetową, logujących się do portalu internetowego, zamieszczających komentarz na portalu itp. musi względem tych danych stosować przepisy ustawy o ochronie danych osobowych. Oznacza to konieczność uwzględnienia gromadzonych numerów IP w dokumentacji ochrony danych osobowych i zapewnienia im odpowiedniej ochrony przy użyciu środków technicznych.