ARTIKEL 29 - ARBETSGRUPPEN FÖR UPPGIFTSSKYDD

Transkript

1 ARTIKEL 29 - ARBETSGRUPPEN FÖR UPPGIFTSSKYDD 5035/01/SV/slutlig Arbetsdokument 56 Arbetsdokument om den internationella tillämpningen av EU:s dataskyddslagstiftning när webbplatser utanför EU behandlar personuppgifter på Internet Antaget den 30 maj 2002 Arbetsgruppen har inrättats genom artikel 29 i direktiv 95/46/EG. Arbetsgruppen är EU:s oberoende rådgivande instans för uppgiftsskydd och skydd för privatlivet. Dess arbetsuppgifter framgår av artikel 30 i direktiv 95/46/EG och artikel 14 i direktiv 97/66/EG. Gruppens sekretariat finns hos: Europeiska kommissionen, GD Inre marknaden, Inre marknadens funktion och genomslag, samt samordning och frågor som rör uppgiftsskydd. B-1049 Brussels - Belgien - Kontor: C100-6/136 Internetadress:

2 ARBETSGRUPPEN FÖR SKYDD AV ENSKILDA MED AVSEENDE PÅ BEHANDLINGEN AV PERSONUPPGIFTER inrättad genom Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober , har antagit detta arbetsdokument med beaktande av artiklarna 29, 30.1 och 30.3 i det direktivet, och med beaktande av sin arbetsordning, särskilt artiklarna 12 och 14 i denna. 1. Inledning Syftet här är att ta upp frågan om den internationella tillämpningen av EU:s dataskyddslagstiftning när webbplatser utanför EU behandlar, och i synnerhet samlar in, personuppgifter 2. Målsättningen är att registeransvariga skall kunna använda arbetsdokumentet när de behöver vägledning i fall då webbplatser utanför EU behandlar personuppgifter på Internet. Eftersom detta är ett mycket komplicerat område och Internetmiljön är mycket dynamisk är det inte möjligt att ge några definitiva svar på alla frågor som kan uppstå i samband med detta. I arbetsdokumentet Skydd av privatlivet på Internet 3 fastställer artikel 29-gruppen att det finns ett klart behov av att närmare ange den konkreta tillämpningen av bestämmelsen om tillämplig rätt i dataskyddsdirektivet (artikel 4.1 c) 4, i synnerhet när en registeransvarig som är etablerad utanför gemenskapen behandlar personuppgifter online. Företag och enskilda ber regelbundet de nationella tillsynsmyndigheterna om råd på detta område. Behovet av att avgöra om nationell lagstiftning är tillämplig på situationer med kopplingar till flera länder är inte specifikt vare sig det gäller dataskydd, Internet eller EU. Det är en generell fråga inom internationell rätt som uppstår i en rad olika situationer, både online och offline, där det finns en eller flera aspekter som berör fler än ett land. Innan man kan hitta en lösning i sakfrågan måste man avgöra vilken nationell lagstiftning som skall tillämpas EGT L 281, , s. 31. Finns på följande adress: Dataskyddsdirektivet 95/46/EG har också genomförts inom Europeiska ekonomiska samarbetsområdet (EES). Hänvisningarna till EU i detta dokument skall även betraktas som hänvisningar till EES. Skydd av privatlivet på Internet Ett integrerat förhållningssätt till dataskydd på Internet, arbetsdokument 37, Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, EGT L 281, , s. 31. Finns på följande adress: -2-

3 Vid dessa avgöranden måste en rad olika faktorer beaktas. För det första ifrågavarande stats intresse att skydda medborgarnas, invånarnas, företagens och andra rättssubjekts rättigheter och intressen. I många länder är det straffrätten (dvs. motsatsen till lagar som ger rättigheter och friheter) som i störst utsträckning äger tillämpning med internationella effekter. Kända fall som t.ex.yahoo! 5 eller CompuServe 6 visar hur domstolar tillämpar nationell straffrätt för att förbjuda tillgången till pornografiskt eller rasistiskt innehåll på utländska Internetservrar. Högsta domstolen i Tyskland dömde nyligen en utgivare av Auschwitz Lüge (förnekande av Auschwitz) på en australisk webbplats, trots att det inte var bevisat att innehållet på webbplatsen verkligen hade använts i Tyskland 7. Domstolen ansåg att det i samband med brottet ifråga var tillräckligt att Internetinnehållet kan påverka allmän ordning negativt i Tyskland; det var inte nödvändigt att detta verkligen hade skett. När skyddsbestämmelser får internationella effekter av detta slag är detta i allmänhet uttryck för att lagstiftaren eller domaren vill skydda medborgarna i situationer där detta krävs, trots de avsevärda svårigheter som föreligger både vad beträffar genomförandet när flera länder är inblandade och den praktiska tillämpningen för att se till att det eftersträvade målet uppnås. Vad beträffar EG-rätten finns en rad exempel på en sådan strävan efter enhetlighet. I fråga om konkurrensrätten kan Europeiska kommissionen fatta beslut som påverkar företag som är etablerade utanför EU när de bedriver verksamhet inom EU. Ett bra exempel på detta är kommissionens beslut 8 nyligen att stoppa det planerade samgåendet 9 mellan General Electric och Honeywell, två amerikanska företag. I artikel 1 i beslutet, som fattades i juli 2001, anges att en sammanslagning mellan de två företagen skulle skapa en koncentration som är oförenlig med den gemensamma marknaden. Kommissionen fastställde att de två företagen hade en sammanlagd omsättning i EU på över 250 miljoner euro och drog därför slutsatsen att den anmälda transaktionen har en gemenskapsdimension. EG-rättens extraterritoriella dimension kan även ses på konsumenträttens område. I artikel 12 i direktivet om distansavtal 10 anges att konsumenten inte berövas det skydd som ges i direktivet genom att ett tredje lands lag väljs som tillämplig rätt på avtalet om det valda tredje landets lagstiftning ger mindre skydd än EG-rätten. Detta gäller om avtalet har nära anknytning till en eller flera medlemsstaters territorium TGI Paris, ordonnance du référé av den 20 november 2000: Amtsgericht (ung. tingsrätt) München, dom av den 28 maj Ds 465 Js /95. Bundesgerichtshof (högsta domstolen), dom av den 12 december 2000, Az: 1 StR 184/00. Beslut av den 3 juli 2001 ärende nr COMP/M2220 enligt artikel 8.3 i förordning (EEG) nr 4064/89 om kontroll av företagskoncentrationer. Enligt det anmälda avtalet skulle Honeywell bli helägt dotterbolag till General Electric. Direktiv 97/7/EG. Artikel 6.2 i direktiv 93/13/EEG om oskäliga villkor i konsumentavtal och artikel 7.2 i direktiv 99/44 EG om vissa aspekter rörande försäljning av konsumentvaror och härmed förknippade garantier liknar mycket artikel I båda dessa anges att EG-rätten skall tillämpas och i båda används begreppet nära anknytning. -3-

4 Ordalydelsen nära anknytning är hämtad från artikel 7 i 1980 års Romkonvention. Där anges att när lagen i ett visst land tillämpas enligt denna konvention kan tvingande bestämmelser i lagen i ett annat land till vilket situationen har nära anknytning tillerkännas verkan. Det finns rättspraxis där det förs ett liknande resonemang kring direktivet om handelsagenter 12. EG-domstolen fastställer i en dom 13 att en huvudman som är etablerad i ett tredje land, vars handelsagent utövar sin verksamhet i gemenskapen, inte kan kringgå direktivbestämmelserna med en enkel avtalsklausul som föreskriver att ett tredje lands lagstiftning skall tillämpas på förbindelsen. Domstolen anger vidare att EG-rätten skall tillämpas när situationen har ett nära samband med gemenskapen. Ett ytterligare och mer praktiskt exempel står att finna inom luftfartsindustrin. Rådet har antagit en förordning om en uppförandekod för datoriserade bokningssystem 14. Denna förordning (som styr hur datoriserade bokningssystem används) gäller för datoriserade bokningssystem ( ) när dessa system erbjuds eller används inom gemenskapens territorium, oavsett systemleverantörens status eller nationalitet ( ) eller var den centrala databehandlingsanläggningen i fråga är belägen. När ett system kan nås från EU, även om systemets centrala utrustning inte är belägen inom EU (och uppgifter matas in i systemet via terminaler i EU eller någon annanstans), gäller således EG-rätten automatiskt. Utifrån granskningen av huruvida EG-rätten är tillämplig i dessa fall som har en extraterritoriell dimension, kan följaktligen slutsatsen dras att liknande kriterier gä ller generellt. Oavsett om det krävs att förbindelsen har en gemenskapsdimension eller nära anknytning till gemenskapen anser EG-domstolen, Europaparlamentet, rådet och Europeiska kommissionen att EU-reglerna bör gälla för enheter som inte är baserade inom EU. I andra länder, t.ex. USA, tillämpas i domstolar och lagstiftning samma resonemang för att utländska webbplatser skall omfattas av lokala regler: Den amerikanska Children s Online Privacy Protection Act 1998 (COPPA) gäller även för utländska webbplatser som samlar in personuppgifter från barn på amerikanskt territorium 15. Enligt denna federala lagstiftning är operatören för en webbplats som riktar sig direkt till barn under tretton år (eller som riktar sig till allmänheten, men där operatören vet att webbplatsen samlar in uppgifter från barn) skyldig att följa COPPA-bestämmelserna. Lagen styr vilken information en operatör måste ge om sin integritetsskyddspolicy, när och hur en operatör är skyldig att inhämta uttryckligt samtycke från en förälder och vilket ansvar en operatör har för barns integritetsskydd och säkerhet på Internet. Vad som är intressant i detta sammanhang är att lagen inte bara gäller för amerikanska företag, utan även för företag på Internet, och vad beträffar lagens tillämpningsområde spelar det därmed ingen roll Direktiv 86/653/EEG. Dom av den 9 november 2000 i mål C-381/98, Ingmar GB Ltd. mot Eaton Leonard Technologies. Uppförandekoden för datoriserade bokningssystem (kombinerad version av rådets förordning nr 2299/89, ändrad genom förordning nr 3089/93, ändrad genom förordning nr 323/99). 15 U.S.C (1)(A)(I), som det hänvisas till i Joel R. Reidenberg, se fotnot

5 var webbplatsen fysiskt är belägen, avgörande är att den är affärsverksam i USA. Om detta inte är fallet lyder webbplatsen under amerikansk rätt på detta område. Tittar man närmare på internationell rätt ser man att stater har en tendens att använda ett antal olika alternativa kriterier för att tolka tillämpningsområdet för den nationella lagstiftningen extensivt, detta för att så många situationer som möjligt skall täckas in och de nationella konsumenterna och näringslivet skall få ett så heltäckande skydd som möjligt. Detta resulterar ofrånkomligen i att flera olika nationella lagar är tillämpliga på en situation där flera länder är inblandade. Internationella rättsregler försöker därför lägga fast vilka kriterier som är relevanta på ett neutralt och icke-diskriminerande sätt. Det mest aktuella försöket att komma fram till ett förslag till konvention om tillämplig lagstiftning på avtal inom ramen för Haagkonferensen gick dock om intet, eftersom länderna inte kunde enas om det avgörande kriteriet. Detta visar vad som är kärnproblemet när tillämplig rätt diskuteras: En bra balans måste hittas mellan de berörda ländernas olika intressen. Mot bakgrund av detta måste det framhållas att EU:s dataskyddsdirektiv innehåller både en uttrycklig bestämmelse om vad som är tillämplig rätt och ett kriterium. Oavsett om denna bestämmelse är enkel att förstå och tillämpa är det ändå bra för enskilda och företag att denna väsentliga fråga tas upp i dataskyddsdirektivet. 2. Artikel 4 i direktiv 95/46/EG om tillämplig rätt I artikel 4 i direktivet anges följande: Tillämplig nationell rätt 1. Varje medlemsstat skall tillämpa de nationella bestämmelser som den för genomförandet av detta direktiv antar för behandlingen av personuppgifter när a) behandlingen utförs som ett led i verksamhet inom den medlemsstats territorium, där den registeransvarige är etablerad. Om en registeransvarig är etablerad inom flera medlemsstaters territorier skall han vidta nödvändiga åtgärder för att säkerställa att alla verksamheter uppfyller kraven enligt den tillämpliga nationella lagstiftningen, b) den registeransvarige inte är etablerad inom en medlemsstats territorium utan på en plats där medlemsstatens lagstiftning gäller på grund av folkrätten, c) den registeransvarige inte är etablerad på gemenskapens territorium och för behandling av personuppgifter använder databehandlad eller icke databehandlad utrustning som befinner sig på den nämnda medlemsstatens territorium, om inte sådan utrustning endast används för att låta uppgifter passera genom gemenskapen. 2. Under de omständigheter som avses i punkt 1 c) måste den registeransvarige utse en företrädare som är etablerad inom den berörda medlemsstatens territorium, utan att detta i övrigt påverkar de eventuella rättsliga åtgärder som kan komma att inledas mot den ansvarige själv. Denna artikel behandlar de fall som leder till frågan om vilken lagstiftning som skall tillämpas på behandling av personuppgifter om minst en aspekt av behandlingen rör fler än en medlemsstat. Följande ges som exempel: Ett företag som sysslar med -5-

6 direktmarknadsföring sammanställer listor med e-postadresser till konsumenter i flera olika medlemsstater och använder sedan listorna i en medlemsstat för att kunna skicka ut reklam till dessa konsumenter. Ett annat exempel är när en amerikansk webbplats placerar en kaka på enskilda personers datorer i EU för att kunna identifiera datorn på webbplatsen och föra samman denna information med annan information. I direktivet skiljs generellt sett mellan å ena sidan situationer med aspekter som berör flera länder inom EU eller territorier utanför EU:s geografiska gränser, men där ett EU-lands lagstiftning gäller enligt internationell rätt 16, och situationer där behandlingen omfattar aspekter över EU:s gränser å den andra 17. Vad beträffar situationer inom EU har direktivet två syften, nämligen dels att förhindra luckor (dvs. att det inte finns någon dataskyddslagstiftning som är tillämplig), dels att förhindra att olika nationella rättsregler är tillämpliga i samma fall. Eftersom frågan om tillämplig lagstiftning tas upp i direktivet och ett kriterium fastställs för hur man skall avgöra vilken lagstiftning som bör ge en lösning i det konkreta fallet, fyller direktivet själv uppgiften som s.k. lagvalsregel och därmed behöver man inte tillgripa andra kriterier som finns i internationell privaträtt. För att hitta ett svar används i direktivet kriteriet eller anknytningsfaktorn plats där den registeransvarige är etablerad eller med andra ord principen om ursprungsland som oftast tillämpas på den inre marknaden. Detta innebär konkret följande: När behandlingen utförs som ett led i verksamhet inom den medlemsstats territorium där den registeransvarige är etablerad skall dataskyddslagstiftningen i den medlemsstaten tillämpas på behandlingen. Om den registeransvarige är etablerad inom flera medlemsstaters territorier måste alla verksamheter uppfylla kraven enligt respektive lagstiftning i var och en av dessa medlemsstater för den behandling som de utför som ett led i sin verksamhet. Detta är inte något undantag från principen om ursprungsland. Det är snarare en strikt tillämpning av principen: När den registeransvarige väljer att inte bara ha en utan flera verksamheter, har vederbörande inte fördelen att det räcker att endast följa en lagstiftning för sin verksamhet på hela den inre marknaden. Den registeransvarige befinner sig då i en situation där respektive nationell lagstiftning skall tillämpas parallellt på respektive verksamhet. Arbetsgruppen kommer eventuellt att ta upp denna fråga framöver. Det är motiverat att tillämpa principen om ursprungsland på en inre marknad där nationell dataskyddslagstiftning erbjuder likvärdigt skydd, eftersom den enskildes rätt till uppgiftsskydd och näringslivets och andra registeransvarigas skyldigheter när det gäller behandlingen av personuppgifter har harmoniserats. Ur det perspektivet har principen om ursprungsland som i viss mån är en begränsning av tillämpningsområdet för medlemsstaternas dataskyddslagstiftning inga negativa effekter på invånarnas eller näringslivets rättigheter eller intressen. Även om den nationella lagstiftningen Detta fall behandlas inte i föreliggande dokument. Observeras bör även att direktivet och därmed artikel 4 gäller både den privata och den offentliga sektorn vid sådan behandling av personuppgifter som omfattas av EG-rätten. I arbetsdokumentet behandlas dock inte tillämpningen av artikel 4 på fall inom den offentliga sektorn. Denna distinktion gäller i första hand den registeransvarige. Det bör i vart fall stå klart att direktivets tillämplighet inte påverkas om en registeransvarig i EU har en registerförare som är verksam utanför EU. Direktivet gäller då hela behandlingen. -6-

7 följaktligen inte är tillämplig på all behandling som rör en registrerad i ifrågavarande medlemsstat eller som utförs på ifrågavarande stats territorium, har det faktum att det endast är en annan medlemsstats lagstiftning som är tillämplig mycket liten inverkan, förutsatt att båda ländernas lagstiftning är harmoniserad genom direktivet och därmed likvärdig. Dessutom skapar samarbetet mellan de nationella tillsynsmyndigheterna förtroende och säkrar ett effektivt genomförande, oavsett vilken lagstiftning som är tillämplig. 18 När det gäller behandling med inblandning av en registeransvarig i ett tredje land är situationen en annan. Den nationella lagstiftningen i dessa tredje länder är inte harmoniserad, direktivet gäller inte i dessa länder och skyddet för enskilda med avseende på behandlingen av deras personuppgifter kan därför saknas eller vara svagt. Principen om ursprungsland, som är kopplad till den registeransvariges verksamhet, fungerar inte längre för att avgöra vilken lagstiftning som är tillämplig. En annan anknytningsfaktor måste användas. Europaparlamentet och rådet beslutade att återvända till en av de klassiska anknytningsfaktorerna i internationell rätt, nämligen den fysiska kopplingen mellan handlingen och ett rättssystem. EU-lagstiftaren valde det land på vars territorium den använda utrustningen befinner sig 19. Direktivet gäller därmed när den registeransvarige inte är etablerad på gemenskapens territorium, men beslutar att behandla personuppgifter för särskilda ändamål och använder automatiserad eller icke automatiserad utrustning som befinner sig på en medlemsstats territorium. Syftet med denna bestämmelse i artikel 4.1 c i direktiv 95/46/EG är att en enskild inte skall vara utan skydd vid behandling som sker i ett annat land av bara det skälet att den registeransvarige inte är etablerad på gemenskapens territorium. Det kan ju t.ex. bero på att den registeransvarige i princip inte har något att göra med gemenskapen. Men det är också tänkbart att registeransvariga förlägger sin verksamhet utanför EU för att kringå tillämpning av EG-rätten. Observeras bör att den enskilde inte behöver vara EU-medborgare eller fysiskt befinna sig eller bo i EU. Direktivet gör ingen distinktion på grundval av nationalitet eller var man befinner sig. Det harmoniserar medlemsstaternas lagstiftning om grundläggande rättigheter för alla människor oavsett nationalitet. I de fall som tas upp nedan kan den enskilde alltså vara amerikansk eller kinesisk medborgare. Vad beträffar tillämpningen av EU:s dataskyddslagstiftning kommer vederbörande att vara skyddad precis om varje EU-medborgare. Avgörande är var utrustningen som används för behandlingen är belägen. Gemenskapslagstiftarens beslut att låta behandling som görs med utrustning som finns i EU omfattas av gemenskapens dataskyddslagstiftning återspeglar en strävan efter att skydda enskilda på dess eget territorium. På internationell nivå erkänns att stater får garantera ett sådant skydd. Enligt artikel XIV i GATS får undantag från frihandelsreglerna medges för att skydda enskilda s rätt till privatliv och uppgiftsskydd och för att genomföra sådan lagstiftning Se artikel 28.6 första meningen i direktiv 95/46/EG: En tillsynsmyndighet har, oavsett vilken nationell lagstiftning som gäller för den aktuella behandlingen, behörighet att inom sin egen medlemsstats territorium utöva de befogenheter som i enlighet med punkt 3 åligger den. Se även sista meningen i samma punkt om deras skyldighet att samarbeta. Detta gäller inte om sådan utrustning endast används för att låta uppgifter passera genom gemenskapen. -7-

8 Nedan följer en redogörelse för de villkor som är relevanta när man skall avgöra vilken lagstiftning som är tillämplig. -8-

9 2.1 Etablering Begreppet etablering är av betydelse i artikel 4.1 c i direktivet i den meningen att den registeransvarige inte är etablerad på gemenskapens territorium. Den registeransvariges etableringsort förutsätter att verksamheten verkligen utövas på ett varaktigt sätt och måste fastställas i enlighet med EG-domstolens rättspraxis. Enligt domstolen innebär begreppet etablering faktiskt utövande av en verksamhet genom en fast inrättning under obestämd tid 20. Detta krav uppfylls även när ett företag är bildat för en viss tid. För ett företag som tillhandahåller tjänster via en webbplats på Internet är etableringsorten inte den ort där utrustningen för webbplatsen finns eller den ort från vilken det går att nå webbplatsen, utan den ort där det utövar sin näringsverksamhet 21. Exempel på detta är ett företag som sysslar med direktmarknadsföring, är registrerat i London och utvecklar sina kampanjer för hela Europa där. Att företaget använder sig av webbservrar i Berlin och Paris förändrar inte det förhållandet att det är etablerat i London Registeransvarig Den registeransvarige är ett allmänt begrepp från direktiv 95/46/EG och är enligt artikel 2 d i direktivet den fysiska eller juridiska person som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Definitionen är neutral när det gäller den registeransvariges etableringsort. Den är omfattande, eftersom all behandling måste kunna tillskrivas en eller flera registeransvariga. I samband med artikel 4.1 c i direktivet innebär detta att det måste finnas en registeransvarig någonstans i direktivets mening. Det torde också vara nödvändigt att behandlingen äger rum som ett led i en verksamhet som omfattas av tillämpningsområdet för EG-rätten och därmed av direktivet. Behandling som görs av en fysisk person som ett led i en verksamhet som uteslutande är personlig eller privat omfattas inte av direktivets tillämpningsområde. För att artikel 4.1 c i direktivet skall kunna åberopas krävs att den registeransvarige för behandling av uppgifter (och inte bara för att låta uppgifter passera) använder utrustning som befinner sig på den nämnda medlemsstatens territorium 22. Detta torde förutsätta att den registeransvarige är aktiv och har ett särskilt syfte. Vederbörandes beslut om ändamål och medel för behandlingen omfattar därmed denna aspekt Dom av den 25 juli 1991 i mål C-221/89, The Queen mot Secretary of State for Transport, ex parte Factortame Ltd m.fl., Rec. 1991, s. I-3905, punkt 20. Direktiv 2000/31/EG, skäl Observera att det är en skillnad mellan det ord som används i den engelska språkversionen av artikel 4. c, dvs. equipment, och det ord som används i de andra språkversionerna av artikel 4.1 c som snarare motsvarar det engelska ordet means (medel). Terminologin i de andra språkversionerna av artikel 4.1 c stämmer överens med ordalydelsen i artikel 2.d där den registeransvarige definieras: den person som bestämmer ändamålen och medlen för behandlingen. Men även den engelska direktivtexten i de tidigare versionerna (t.ex. i det ändrade förslaget från 1992) använde termen means, och detta ändrades i ett ganska sent skede under förhandlingarna till termen equipment, vilket framgår av texten till den gemensamma ståndpunkten från mars

10 2.3. Utrustning (equipment) I direktivet finns ingen definition av denna term. Enligt Collins English dictionary är equipment en uppsättning verktyg eller anordningar som är monterade för ett särskilt ändamål. Exempel på utrustning är persondatorer, terminaler och servrar, som kan användas för nästan all slags behandling. Direktivet gör klart att utrustning som sådan kan vara automatiserad eller icke automatiserad, om inte sådan utrustning endast används för att låta uppgifter passera genom gemenskapen. Ett typiskt fall där utrustningen endast används för att låta uppgifter passera är telenät (stamnät, kablar osv.) som ingår i Internet och som Internetkommunikation sänds via, från utgångspunkt till bestämmelseort Användning av utrustning Bestämningen av när den registeransvarige för behandling av personuppgifter använder ( ) utrustning enligt artikel 4.1 c i direktivet är av avgörande betydelse för tillämpningen av dataskyddslagstiftningen i EU. Arbetsgruppen förespråkar ett försiktigt agerande när denna bestämmelse i dataskyddsdirektivet tillämpas på konkreta fall. Syftet är att se till att enskilda skyddas av nationell dataskyddslagstiftning och att uppgiftsbehandling övervakas av nationella tillsynsmyndigheter när så krävs, när det är meningsfullt och när en rimlig grad av genomförbarhet föreligger med avseende på situationens gränsöverskridande aspekter. Med tanke på detta anser arbetsgruppen att inte varje interaktion mellan en Internetanvändare i EU och en webbplats utanför EU nödvändigtvis leder till att EU:s dataskyddslagstiftning tillämpas. Arbetsgruppen har framfört åsikten att utrustningen bör stå till den registeransvariges förfogande för behandling av personuppgifter. Däremot är det inte nödvändigt att den registeransvarige har full kontroll över utrustningen. Den utsträckning som den står till den registeransvariges förfogande kan variera. Utrustningen står till den registeransvariges förfogande i nödvändig utsträckning om denne genom att fastställa hur utrustningen fungerar fattar de relevanta besluten om uppgifternas innehåll och förfarandet för behandlingen av dessa. Den registeransvarige avgör med andra ord vilka uppgifter som skall samlas in, lagras, överföras, förändras osv., på vilket sätt och för vilket ändamål. Arbetsgruppen anser att begreppet använder förutsätter två saker, nämligen dels någon form av agerande från den registeransvariges sida, dels den registeransvariges avsikt att behandla personuppgifter. Detta innebär att inte varje användning av utrustning inom EU leder till tillämpning av direktivet. Att utrustningen står till den registeransvariges förfogande bör emellertid inte sammanblandas med frågan om egendom eller ägande av utrustningen, varken den registeransvariges eller den enskildes. I direktivet läggs heller ingen vikt vid ägandet av utrustningen. Arbetsgruppens tolkning ligger helt i linje med EU-lagstiftarens motivering till bestämmelsen i artikel 4.1 c i direktivet. I skäl 20 anges följande: Den omständigheten -10-

11 att den registeransvarige är etablerad i ett tredje land får inte utgöra ett hinder för det skydd som enskilda personer ges i detta direktiv. I sådana fall skall på behandlingen av uppgifter tillämpas den medlemsstats lagstiftning som innehåller de hjälpmedel som används för behandlingen. Det bör finnas garantier för att de rättigheter som följer av detta direktiv respekteras i praktiken. Detta är den förutsättning som är nödvändig för att uppnå direktivets mer övergripande mål "att undvika att en enskild person förvägras det skydd som tillkommer honom enligt detta direktiv. 3. Praktiska exempel Detta kapitel är avsett att omsätta de riktlinjer som ges i artikel 4 till konkreta lösningar i typiska fall. Gemensamt för de fall som diskuteras nedan är att Internetanvändaren inte alltid nödvändigtvis vet om webbplatsen som vederbörande tänker besöka och ge uppgifter till (medvetet eller omedvetet) är belägen i EU eller någon annanstans. Domännamn utan geografiska kännetecken kan inte lokaliseras fysiskt utan ytterligare information, och även om geografiska kännetecken finns föreligger inte någon garanti för att webbplatsen faktiskt finns på en server i det land som anges. Fall A: Kakor Den registeransvarige beslutar att samla in personuppgifter med hjälp av en textfil (kaka) som är placerad på hårddisken på användarens dator, medan webbplatsen eller en tredje part behåller en kopia 23. Vid senare kommunikation får webbplatsen tillgång till informationen som lagras i kakan (och därmed i användarens dator) så att webbplatsen kan identifiera denna dator för den registeransvarige. Denne kan därmed föra samman all information som han har samlat in under tidigare besök med den information som han samlar in under senare besök. På så sätt är det möjligt att skapa ganska detaljerade användarprofiler. Kakorna utgör en standarddel av HTTP-trafiken, och de kan som sådana transporteras obehindrat med IP-trafiken. De innehåller information om de enskilde som kan läsas av den webbplats som placerade ut den. En kaka kan innehålla all information som webbplatsen vill att den skall innehålla: vilka sidor som besökts, vilken reklam man har klickat på, användaridentitet osv S.k. kakor är en liten datamängd med information som är skapad av en webbserver och som kan lagras i textfiler, som i sin tur kan läggas på Internetanvändarens hårddisk, medan webbplatsen behåller en kopia. De är en standarddel av HTTP-trafiken, och de kan som sådana obehindrat transporteras med IP-trafiken. En kaka kan innehålla ett unikt tal (GUID, Global Unique Identifier) som ger bättre personanpassning än dynamiska IP-adresser. Detta är ett sätt för webbplatsen att kartlägga en användares mönster och preferenser. Kakorna innehåller en rad webbadresser som de gäller för. När webbläsaren stöter på dessa webbadresser igen skickar den dessa kakor till webbservern. Kakorna kan vara av olika slag. De kan vara varaktiga, men de kan också vara tillfälliga. 24 Se boken av HAGEL III J. och SINGER M., Net Worth: the emerging role of the informediary in the race for customer information, Harvard Business School Press, 1999, s

12 Funktionen Set-cookie placeras i HTTP-svarshuvudet 25, närmare bestämt i osynliga hyperlänkar. Om kakan skall ha en viss livslängd 26, lagras kakan på Internetanvändarens hårddisk och skickas tillbaka till den webbplats där den kom ifrån (eller till andra webbplatser från samma underdomän) för den livslängden. Denna återsändning har formen av ett cookiefält som ingår i dialogen mellan webbläsare som nämns ovan och som sker utan att användaren griper in. Som beskrivs ovan kan användarens dator betraktas som utrustning i den mening som avses i artikel 4.1 c i direktiv 95/46/EG. Den befinner sig på en medlemsstats territorium. Den registeransvarige beslutade att använda denna utrustning för ändamålet att behandla personuppgifter och, vilket har förklarats i föregående stycken, flera tekniska förfaranden äger rum som står utom den registrerades kontroll. Den registeransvarige förfogar över användarens utrustning och denna utrustning används inte enbart för att låta uppgifter passera genom gemenskapen. Arbetsgruppen anser därför att det är den nationella lagstiftningen i den medlemsstaten där användarens dator befinner sig som gäller för frågan på vilka villkor vederbörandes personuppgifter får samlas in genom placering av kakor på dennes hårddisk. Som anges i en tidigare rekommendation från arbetsgruppen 27 skall användaren informeras om när en kaka kommer att tas emot, lagras eller skickas ut av Internetprogrammet. Av meddelandet till användaren skall det klart och tydligt framgå vilket slags information som kommer att sparas i kakan, för vilka ändamål och hur länge kakan är aktiv. Användaren skall sedan ges möjlighet att acceptera eller tillbakavisa överföring eller lagring av kakan i sin helhet. Användaren skall också ges möjlighet att avgöra vilken information som skall sparas i en kaka och vad som skall avlägsnas, exempelvis beroende på hur länge kakan är aktiv eller på vilken den sändande eller mottagande webbplatsen är 28. Fall B: JavaScript, webbannonser och annan liknande programvara JavaScript är programvara som en webbplats skickar till en användares dator och som gör att främmande servrar kan köra program på en användares dator. Beroende på vad programvaran innehåller kan JavaScripts användas för att visa information på en webbsida, men även för att sprida virus till datorn och/eller för att samla in och behandla Tekniskt sett är det även möjligt att placera kakor i JavaScript eller i fälten <META-HTTP EQUIV> i HTML-koden. Kakor utan fastställd livslängd ( session cookies ) försvinner när webbläsaren stängs eller när gränssnittet mellan hårdvaran och programvaran stängs. Rekommendation 1/99, arbetsdokument 17, om osynlig och automatisk behandling av personuppgifter på Internet. Mer information om kakor och hur man på bästa sätt hanterar dessa finns i arbetsdokument /00 Skydd av privatlivet på Internet Ett integrerat förhållningssätt till dataskydd på Internet. På s. 16 finns en allmän beskrivning som inleds med följande: Kakor är datadelar som kan lagras i textfiler som kan läggas på Internet-användarens hårddisk medan webbplatsen behåller en kopia. I avsnittet Kakdödare som börjar på s. 80 behandlas både lösningar från branschens sida för att komma till rätta med de problem för integritetsskyddet som kakor ger upphov till och från olika aktivisters sida (oberoende program som cookie washer, cookie cutter och cookie master). -12-

13 personuppgifter som lagras i datorn. När den registeransvarige beslutar att använda dessa verktyg för att samla in och behandla personuppgifter använder vederbörande utrustning i den mening som avses i direktivet och måste då följa bestämmelserna i EG-rätten. Ett reklamföretag som har ett avtal med en ägare till en webbplats (t.ex. en söktjänst) anvisar den registrerades webbläsare (eller datorn) att inte bara koppla upp sig mot den sökmotor som han/hon vill besöka, utan även mot reklamföretagets server. På så sätt får reklamföretaget möjlighet att inte bara skicka webbannonser 29 till den registrerades skärm utan även att, med hjälp av användarens webbläsare, samla in uppgifter om adress och innehåll som personen ifråga skickar till sökmotorn. Webbannonserna placeras på den sökta webbplatsen via en osynlig hyperlänk till reklamföretaget 30. Den registeransvarige har därför från den plats där han är kontroll över hur webbläsaren fungerar för att den skall koppla upp sig och överföra information till en tredje part. För att kunden skall få den webbannons som passar bäst skapar reklamföretagen på nätet dessutom profiler med hjälp av kakor som sätts ut via den osynliga hyperlänken. Beroende på inställningarna i webbläsaren kan användaren få veta när en kaka placeras och kan då ge sitt samtycke eller ej. Kundprofilen är sammankopplad med identifikationsnumret till reklamföretagets kaka så att profilen kan utvidgas varje gång kunden besöker en webbplats som har avtal med reklamföretaget. Varje gång Internetanvändaren besöker webbplatsen med webbannonsen kommer på så sätt fler personuppgifter att samlas in från användaren via vederbörandes dator och utan hans ingripande. Direktivet torde även gälla information som samlas in via spionprogram, som är hemligt installerad programvara på den enskildes dator och som t.ex. kan installeras när större programvara laddas ner (t.ex. program för att spela musik) i syfte att skicka tillbaka personuppgifter om den registrerade (t.ex. vilka musiktitlar personen ofta lyssnar på). Denna typ av programvara kallas ibland E.T.-tillämpningar eftersom de när de väl har tagit plats i användarens dator och lärt sig vad de vill veta, gör vad Steven Spielbergs utomjording gjorde: ringer hem 31. Denna nya kontrollprogramvara använder ofta JavaScript och andra liknande tekniker och den använder tveklöst den registrerades utrustning (dator, webbläsare, hårddisk osv.) för att samla in uppgifter och skicka tillbaka dessa till en annan plats. Eftersom dessa tekniker per definition används utan att användaren är informerad (något som klart framgår av namnet) utgör de en form av osynlig och otillbörlig behandling. ***** Artikel 29-gruppen är medveten om att det utöver de två exempel som nämns ovan förekommer andra Internetrelaterade fall som kan ge upphov till tolkningsproblem, delvis på grund av att vissa av de system som används är mycket komplexa tekniskt Webbannonser är små annonsrutor som antingen dyker upp ovanför webbplatsinnehållet eller som är integrerade i innehållet. För mer information se kapitel 8 Webbreklam i arbetsdokument 37 Skydd av privatlivet på Internet. Se huvudartikeln i Time av Adam Cohen den 31 juli 2000: How to protect your privacy: who's watching you? They're called E.T. programs. They spy on you and report back by "phoning home". Millions of people are unwittingly downloading them. -13-

14 Arbetsgruppen kommer att fortsätta att diskutera denna fråga och kommer eventuellt att ta upp andra förekommande fall mot bakgrund av erfarenheter som gjorts i de olika länderna och den tekniska utvecklingen, som kan bli betydande framöver. Arbetsgruppen skulle vilja understryka att den, även i de fall då det inte är helt klart hur direktivet skall tillämpas, är fast besluten att fortsätta dialogen med företag och organisationer från tredje land som samlar in personuppgifter i EU för att bidra till ett adekvat uppgiftsskydd för de registrerade. 4. Vad innebär detta i praktiken? a) Tillämpningen av de principer som styr insamlingen av personuppgifter I alla dessa fall innebär tillämpningen av EU:s uppgiftsskyddslagstiftning bl.a. följande: Den registeransvarige skall, för att göra insamlingen av personuppgifter laglig och korrekt, klart bestämma ändamålet med behandlingen. Den registeransvarige skall även se till att uppgifterna är adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de insamlas. Insamlingen måste vara laglig (otvetydigt samtycke, fullgörande av ett avtal, fullgörande av en rättslig förpliktelse, ändamål som rör berättigade intressen hos den registeransvarige osv.) och den enskilde har rätt att få tillgång till sina personuppgifter, att få rättelse eller att få dem utplånade. - Den enskilde skall åtminstone få information om den registeransvariges och dennes eventuella företrädares identitet, ändamålet med behandlingen, mottagarna och om sina rättigheter 32. En annan viktig aspekt är säkerheten vid behandlingen, något som kan kräva att den registeransvarige, direkt när behandlingen inleds, vidtar särskilda tekniska och organisatoriska åtgärder för att skydda personuppgifter från förstöring genom olyckshändelse eller otillåtna handlingar eller förlust genom olyckshändelse samt mot ändringar, otillåten spridning av eller otillåten tillgång till uppgifterna, särskilt om behandlingen innefattar överföring av uppgifter i ett nätverk. Sådana åtgärder skall åstadkomma en lämplig säkerhetsnivå i förhållande till de risker som föreligger och arten av de uppgifter som skall skyddas. När det gäller känsliga uppgifter finns det särskilda bestämmelser, i synnerhet vad gäller säkerhetskraven, som styr insamlingen I artikel 10 i direktivet anges att ytterligare information skall ges i den utsträckning som den är nödvändig för att tillförsäkra den registrerade en korrekt behandling. När det gäller kakor bör den registrerade ha möjlighet att acceptera eller motsätta sig att en kaka placeras och han bör även ha möjlighet att avgöra vilka uppgifter han vill att kakan skall behandla och vilka som inte skall behandlas. Vissa medlemsstater kan kräva förhandskontroll, innan känsliga uppgifter får börja behandlas. -14-

15 Ytterligare information om hur dataskyddsdirektiven skall tillämpas när webbplatser behandlar personuppgifter ges i arbetsgruppens rekommendation 2/2001 om vissa minimikrav för insamling av personuppgifter på Internet inom Europeiska unionen 34. b) Förfarandemässiga aspekter Enligt artikel 4.2 i direktiv 95/46/EG skall den registeransvarige utse en företrädare som är etablerad inom den medlemsstats territorium där utrustningen finns. Information om den registeransvariges och dennes företrädares identitet kan enkelt ges i webbplatsens integritetsskyddspolicy eller i de allmänna uppgifterna om vem som är ansvarig för webbplatsen, så att den som är registeransvarig för webbplatsen på ett enkelt sätt kan identifieras och kontaktas. Det kan rekommenderas att man i stor utsträckning använder sig av möjligheten att en företrädare agerar på flera registeransvarigas vägnar eller andra pragmatiska lösningar. När det gäller anmälan av den planerade behandlingen (framför allt insamlingen) till de nationella tillsynsmyndigheterna finns det enligt direktivet flera alternativ. Enligt artikel 18.1 första meningen skall den registeransvarige eller hans företrädare före genomförandet av en behandling eller en serie behandlingar underrätta tillsynsmyndigheten. I artikel 19.1 a föreskrivs att anmälan bl.a. skall innehålla den registeransvariges och dennes eventuella företrädares namn och adress. Enligt artikel 18.2 andra strecksatsen får medlemsstaterna i följande två fall föreskriva om undantag från anmälningsplikten eller förenklad anmälningsplikt: för de typer av behandling där det inte är sannolikt att de registrerades fri- och rättigheter kränks eller om den registeransvarige utser ett uppgiftsskyddsombud som på ett oberoende sätt skall säkerställa den interna tillämpningen av uppgiftsskyddslagstiftningen 35. Arbetsgruppen är medveten om att tillämpningen av dessa bestämmelser kan vara förenad med praktiska problem och kommer eventuellt att ta upp denna fråga igen framöver. c) Genomförande Det är självklart att det inte är lika enkelt att genomföra regler i ett internationellt sammanhang som i ett enskilt land. Medborgarna måste vara (och göras) medvetna om detta. Ett antal möjligheter finns emellertid, och dessa kan vidareutvecklas så att en rimlig grad av genomförande uppnås Se arbetsdokument 43, rekommendation 2/2001 om vissa minimikrav för insamling av personuppgifter på Internet inom Europeiska unionen. Huruvida alla delar som nämns i det arbetsdokumentet även skall gälla när registeransvariga som är etablerade utanför EU samlar in uppgifter på Internet inom EU bör tas upp till diskussion. De bestämmelser i den nationella lagstiftningen varigenom denna artikel i direktivet införlivas finns under följande adress:

16 För att reglerna skall efterlevas i så hög utsträckning som möjligt krävs i första hand att både europeiska och internationella organisationer får kännedom om vilka krav för uppgiftsinsamling som gäller inom EU enligt direktivet. Att denna rekommendation sprids så mycket som möjligt kan bara vara det första steget. Det skulle också behövas tekniska lösningar med en på förhand fastställd struktur för insamlingen av personuppgifter där de beskrivna kraven är integrerade i den programvara som används för insamlingen av personuppgifter. Arbetsgruppen har redan hänvisat till att det skulle kunna upprättas tillståndsförfaranden för produkter och att man inom ramen för dessa förfaranden också skulle kunna kontrollera att lagstiftningen till skydd för personuppgifter respekteras. Sådana åtgärder skulle inte minst kunna inkludera ett europeiskt system med någon form av kvalitetsmärkning som även skulle vara öppet för webbplatser utanför EU. Konkret skulle en person inom EU som stött på problem med en webbplats utanför EU kunna vända sig till den behöriga nationella tillsynsmyndigheten. Denna myndighet skulle undersöka om direktivet eller den nationella dataskyddslagstiftningen är tillämplig. I så fall skulle myndigheten kunna kontakta den utländska webbplatsen för att lösa problemet. Om ärendet hänskjuts till en domstol i den medlemsstat där personen ifråga bor, avgö r den domstolen om den har domsrätt i ärendet (vilket enligt internationell processrätt skulle kunna vara fallet, eftersom den part som är mest berörd är den enskilde, som har sin hemvist inom samma territorium som domstolen). Om domstolen har domsrätt tillämpar den artikel 4 i direktiv 95/46/EG eller den nationella lagstiftning varigenom artikel 4 införlivas och kommer eventuellt fram till att den utländska webbplatsen behandlade den enskildes personuppgifter inkorrekt och i strid med gällande regler. I många tredje länder finns redan möjlighet att se till att domen efterlevs, men även om detta inte är fallet finns exempel som visar att den utländska webbplatsen eventuellt kommer att följa domen i alla fall och anpassa uppgiftsbehandlingen till god företagspraxis för att inte förlora sitt goda rykte. I tredje länder där det finns regler för uppgiftsskydd och myndigheter är genomförandet naturligtvis mindre problematiskt. 5. Slutsatser Artikel 29-gruppen anser att en tolkning av nationell lagstiftning så som den kommer till uttryck i detta arbetsdokument skulle vara mest fördelaktig för att åstadkomma rättssäkerhet för webbplatser utanför EU. Arbetsgruppen är övertygad om att en hög nivå av skydd för enskilda bara kan säkerställas om webbplatser som är etablerade utanför EU, men som använder utrustning som finns inom EU så som beskrivs i detta arbetsdokument, respekterar garantierna för behandling av personuppgifter, i synnerhet insamlingen, och de rättigheter för enskilda som finns på EU-nivå och i alla händelser gäller för alla webbplatser som är etablerade inom EU. Artikel 29-gruppen anser att utarbetandet av ett praktiskt inriktat program för att främja EU:s dataskyddsregler även skulle hjälpa registeransvariga i tredje länder att på ett bättre sätt förstå, genomföra och visa att reglerna efterlevs. Ett EU-system med kvalitetsmärkning för webbplatser som även skulle vara öppet för webbplatser utanför EU skulle kunna vara hörnstenen i sådan åtgärd. Artikel 29-gruppen uppmanar kommissionen att beakta detta arbetsdokument i sitt vidare arbete. -16-

17 Utfärdat i Bryssel den 30 maj 2002 På arbetsgruppens vägnar Stefano RODOTA Ordförande -17-