Yttrande 2/2010 om beteendebaserad reklam på Internet

Transkript

1 ARTIKEL 29-ARBETSGRUPPEN FÖR SKYDD AV PERSONUPPGIFTER 00909/10/SV WP 171 Yttrande 2/2010 om beteendebaserad reklam på Internet Antaget den 22 juni 2010 Arbetsgruppen inrättades enligt artikel 29 i direktiv 95/46/EG. Den är ett oberoende rådgivande EU-organ i frågor rörande dataskydd och integritet. Dess uppgifter beskrivs i artikel 30 i direktiv 95/46/EG och artikel 15 i direktiv 2002/58/EG. Gruppens sekretariat finns hos direktorat D (Grundläggande rättigheter och medborgarskap) på Europeiska kommissionen, Generaldirektoratet för rättvisa, frihet och säkerhet, B-1049 Bryssel, Belgien, Kontor LX-46 01/190. Webbplats:

2 Innehållsförteckning Sammanfattning Inledning Beteendebaserad reklam på Internet Distribueringssystem för leverans av beteendebaserad reklam Spårningstekniker Framtagning av profiler och typer av identifierare Rättslig ram Inledning Tillämpningsområden för artikel 5.3 och direktiv 95/46/EG Faktiskt tillämpningsområde för artikel Faktiskt tillämpningsområde för direktiv 95/46/EG: Behandling av personuppgifter Samspelet mellan de båda direktiven Territoriellt tillämpningsområde för artikel 5.3 och direktiv 95/46/EG De olika aktörernas roller och ansvarsområden Skyldighet att begära informerat samtycke på förhand Skyldigheten att erhålla den registrerades samtycke på förhand för beteendebaserad reklam Samtycke genom webbläsarinställningar Samtycke och möjligheten att välja bort funktioner ( opt-out ) Mekanismer för aktivt förhandsval ( opt-in ) mer lämpade för informerat samtycke Informerat samtycke: barn Skyldigheten att tillhandahålla information i samband med beteendebaserad reklam Vilken information måste tillhandahållas och av vem? Andra skyldigheter och principer enligt direktiv 95/46/EG Skyldigheter i fråga om speciella uppgiftskategorier Uppfyllande av principerna för datakvalitet De registrerades rättigheter Andra skyldigheter Slutsatser och rekommendationer Tillämpliga lagar Tillämplig rätt beroende på det territorium där den registeransvarige är etablerad Roller och ansvarsområden Skyldigheter och rättigheter... 24

3 Sammanfattning Med beteendebaserad reklam menas att användare spåras när de surfar på Internet och att man med tiden bygger upp profiler, som sedan används för att förse användarna med reklam som passar deras intressen. Artikel 29-arbetsgruppen ifrågasätter inte de ekonomiska fördelar som beteendebaserad reklam kan föra med sig för intressenterna, men det är gruppens bestämda åsikt att sådan verksamhet inte får utföras på bekostnad av enskilda personers rätt till integritet och dataskydd. EU:s regelverk för dataskydd, som fastställer specifika skyddsåtgärder, måste följas. För att underlätta och främja efterlevnaden av regelverket klarläggs i detta yttrande de rättsliga ramar som gäller för alla som arbetar med beteendebaserad reklam. I yttrandet understryks att leverantörer av annonsnätverk måste följa artikel 5.3 i direktivet om integritet och elektronisk kommunikation, där det anges att lagring av cookies eller liknande funktioner på användarnas terminalutrustning eller insamling av information genom sådana funktioner endast är tillåtet med användarnas informerade samtycke. I yttrandet konstateras att webbläsarinställningarna på de webbläsare som används idag och mekanismer för bortval av funktioner ( opt-out ) endast under mycket begränsade omständigheter ger ett godtagbart samtycke. Leverantörerna av annonsnätverk uppmanas att skapa mekanismer som kräver att de registrerade aktivt och på förhand väljer ( opt-in ) att de vill ta emot cookies eller liknande funktioner och godkänner den efterföljande registreringen av deras surfvanor för leverans av skräddarsydd reklam. Enligt yttrandet bör en användares samtycke till att ta emot en cookie vid ett tillfälle även kunna tolkas som att användaren godkänner insamling av information från denna cookie och därigenom registrering av surfandet. För att uppfylla kraven i artikel 5.3 krävs därför inte att samtycke begärs för varje enskild avläsning av cookien. För att de registrerade ska vara medvetna om registreringen bör dock leverantörerna av annonsnätverk i) tidsbegränsa samtycket, ii) ge möjlighet att enkelt ta tillbaka samtycket och iii) skapa synliga verktyg som visas när registreringen äger rum. Detta tillvägagångssätt skulle förhindra att användarna belastas med en mängd meddelanden, samtidigt som användarna måste lämna sitt informerade samtycke innan cookies lagras och användarnas surfbeteende registreras för skräddarsydd marknadsföring. Beteendebaserad reklam bygger på användningen av identifierare som gör det möjligt att skapa mycket detaljerade användarprofiler vilka, i de flesta fall, kan anses utgöra personuppgifter. Därför är även direktiv 95/46/EG tillämpligt. I yttrandet kommenteras hur leverantörer av annonsnätverk bör uppfylla de förpliktelser som följer av detta direktiv, i synnerhet i fråga om rättigheterna till tillgång, korrigering, radering, lagring osv. Med hänsyn till att utgivarna kan anses bära en del av ansvaret för den informationsbehandling som äger rum i samband med distribution av beteendebaserad reklam, uppmanas utgivarna att dela ansvaret för att informera användarna med leverantörerna av annonsnätverk och uppmanar till kreativitet och nya arbetssätt inom detta område. Med tanke på hur beteendebaserad reklam fungerar är transparens och öppenhet grundförutsättningar för att enskilda personer ska kunna lämna sitt samtycke till insamling och behandling av personuppgifter och göra ett verkningsfullt val. I yttrandet fastställs informationsskyldigheterna för leverantörer av annonsnätverk/utgivare gentemot de registrerade, med hänvisning i synnerhet till direktivet om integritet och elektronisk kommunikation som kräver att användare förses med tydlig och fullständig information. I yttrandet analyseras och klargörs vilka skyldigheter som följer av det tillämpliga regelverket. Det föreskrivs dock inte hur dessa skyldigheter ska uppfyllas ur teknisk synvinkel. Istället inbjuds branschen att så snart som möjligt börja föra en dialog inom olika områden med artikel 29-arbetsgruppen, för att ta fram tekniska metoder och andra medel för att uppfylla regelverket enligt beskrivningen i yttrandet. I detta syfte kommer artikel 29-3

4 arbetsgruppen att kontakta intressenter för att höra deras åsikter. Fysiska och juridiska personer som inte uttryckligen tillfrågats är också välkomna att skicka in sina bidrag till sekretariatet för artikel 29-arbetsgruppen. ARBETSGRUPPEN FÖR SKYDD AV ENSKILDA MED AVSEENDE PÅ BEHANDLING AV PERSONUPPGIFTER HAR ANTAGIT DETTA ARBETSDOKUMENT med beaktande av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995, genom vilket arbetsgruppen inrättades 1, med beaktande av artiklarna 29, 30.1 a och 30.3 i Europaparlamentets och rådets direktiv 95/46/EG samt artikel 15.3 i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002, med beaktande av artikel 255 i EG-fördraget och av Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamentets, rådets och kommissionens handlingar, och med beaktande av arbetsgruppens arbetsordning. 1. Inledning Internetreklam är en viktig inkomstkälla för många webbaserade tjänster och en viktig faktor för Internetekonomins tillväxt och expansion. De speciella omständigheterna kring tillhandahållandet av beteendebaserad reklam innebär dock att vissa viktiga frågor som rör dataskydd och integritet måste tas upp. Grundläggande Internetteknik gör det möjligt för leverantörer av annonsnätverk att spåra de registrerade på olika webbplatser och att följa dem under en tid. Information som samlas in om de registrerades surfbeteende analyseras för att skapa utförliga profiler över de registrerades intressen. Sådana profiler kan användas för att förse de registrerade med skräddarsydd reklam. Med tanke på den ökade användningen av beteendebaserad reklam, baserad på användning av spårningscookies och liknande funktioner, och den höga graden av intrång i människors privatliv som detta innebär, har artikel 29-arbetsgruppen beslutat att inrikta detta yttrande på beteendebaserad reklam som spänner över flera olika webbplatser, utan att detta påverkar utformningen av framtida yttranden som kan analysera andra marknadsföringstekniker. Med detta yttrande vill artikel 29-arbetsgruppen klargöra den rättsliga ram som gäller för dem som arbetar med beteendebaserad reklam. Gruppen önskar även att branschen så snart som möjligt ska föreslå tekniska metoder och andra medel för att uppfylla regelverket som beskrivs häri och föra en dialog med artikel 29-arbetsgruppen kring sådana metoder och medel. Slutligen kommer artikel 29-arbetsgruppen att utvärdera situationen och vidta de åtgärder som är nödvändiga och lämpliga för att säkerställa att det fastställda regelverket uppfylls. 2. Beteendebaserad reklam på Internet Med interaktiv mediemarknadsföring menas en mängd olika metoder som syftar till att skapa mer relevant reklam. Metoderna kan klassificeras i flera olika kategorier, däribland kontextuell reklam, segmenterad reklam och beteendebaserad reklam. 1 EGT L 281, , s

5 Beteendebaserad reklam är reklam som bygger på observation av enskilda personers beteende över tid. Beteendebaserad reklam försöker studera de registrerades egenskaper genom att analysera deras agerande (upprepade besök på en webbplats, interaktioner, nyckelord, produktion av innehåll på webbplatser osv.) för att utveckla en specifik profil och på så sätt förse de registrerade med reklam som är anpassad för att passa deras intressen. Medan kontextuell reklam 2 och segmenterad reklam 3 använder ögonblicksbilder av vad de registrerade tittar på eller gör på en viss webbplats eller kända egenskaper hos användarna, är beteendebaserad reklam tänkt att ge annonsörerna en mycket detaljerad bild av de registrerades liv på Internet, med information om många av de webbplatser och specifika sidor de har tittat på, under hur lång tid de har tittat på olika artiklar eller liknande, i vilken ordning osv Distribueringssystem för leverans av beteendebaserad reklam Beteendebaserad reklam innefattar följande roller: a) leverantörer av annonsnätverk (kallas även annonsnätverksföretag ), som är de viktigaste distributörerna av beteendebaserad reklam eftersom de kopplar samman utgivarna med annonsörerna; b) annonsörer som vill göra reklam för en produkt eller tjänst för en specifik målgrupp; c) utgivare som äger webbplatser och vill göra en ekonomisk förtjänst genom att sälja annonsutrymme på sina webbplatser 4. Leveransen av reklam genom annonsnätverk fungerar i stort på följande sätt: utgivaren reserverar visuellt utrymme på webbplatsen för att visa en annons och överlåter resten av reklamprocessen till en eller flera leverantörer av annonsnätverk. Leverantörerna av annonsnätverk ansvarar för att distribuera reklam till utgivarna med största möjliga effekt. Leverantörerna av annonsnätverk har kontroll över målinriktningstekniken och tillhörande databaser. Ju större annonsnätverket är, desto mer resurser har det att kartlägga användarna och spåra deras beteende 5. Annonsören förhandlar vanligtvis med ett eller flera annonsnätverk och känner inte nödvändigtvis till vilka alla utgivare är (om ens någon alls) som kommer att distribuera reklamen. Samtidigt kan en utgivare ha flera kontrakt med olika annonsnätverk, exempelvis genom att reservera olika utrymmen på webbplatsen för olika annonsnätverk. Det blir allt vanligare att annonsnätverk samarbetar genom ett anbudssystem Kontextuell reklam är reklam som väljs utifrån det innehåll som den registrerade för tillfället tittar på. Om det rör sig om en sökmotor kan innehåll hämtas från sökorden, tidigare sökningar eller användarens IPadress om den anger var användaren troligen befinner sig. 3 Reklam som väljs utifrån kända egenskaper hos den registrerade (ålder, kön, plats osv.) som användaren har angivit vid registrering. 4 Förutom annonsnätverk kan beteendebaserad reklam även levereras genom reklam direkt på webbplatsen. Med denna metod anger annonsören den tänkta målgruppen för utgivaren utifrån kriterier som kan gå längre än demografisk information som den traditionella trion ålder, kön och land till mycket mer exakta kriterier (som nyckelord eller intressen). Utgivaren ansvarar sedan för att visa reklamen för rätt målgrupp med hjälp av målinriktningsteknik och kontroll av annonsernas placering och distribution. Denna metod används i vissa sociala nätverk där användarna kan delas upp utifrån deras intressen. 5 New York Times, To Aim Ads, Web is Keeping Closer Eye on You, 10 mars Artikeln visar statistik över den frekvens med vilken större annonsnätverk registrerar enskilda besök på webbplatser. För annonsnätverket Yahoo! registrerades en genomsnittlig användare (i USA) gånger per månad i slutet av more%20than%20you%20think%22&st=cse 6 De flesta större annonsnätverk har ett strukturellt samarbete med många andra, sekundära nätverk. Exempel: Lista över partner till Google Adsense: Lista över partner till Yahoo!: Det fungerar på följande sätt: det primära 5

6 2.2. Spårningstekniker De flesta spårnings- och annonseringstekniker som används för att leverera beteendebaserad reklam använder någon form av informationsbehandling på klientdatorn. I informationsbehandlingen används information från användarens webbläsare och terminalutrustning. Den vanligaste spårningstekniken som används för att följa användare på Internet är baserad på spårningscookies. Cookies ger möjlighet att registrera användarens webbvanor över en längre tid och teoretiskt sett över olika domäner 7. Vanligtvis fungerar det på följande sätt: Leverantören av annonsnätverket lagrar en spårningscookie i den registrerades terminalutrustning 8 när han eller hon först besöker en webbplats med en annons som ingår i dess nätverk. Cookien är en kort alfanumerisk textsträng som lagras i (och senare hämtas från) den registrerades terminalutrustning av en leverantör av ett annonsnätverk 9. I fråga om beteendebaserad reklam gör cookien det möjligt för leverantören av annonsnätverket att känna igen en tidigare besökare som återkommer till webbplatsen eller besöker någon annan webbplats som är partner med annonsnätverket. Sådana upprepade besök gör det möjligt för leverantören av annonsnätverket att skapa en profil för besökaren som sedan används för att leverera personanpassad reklam. Eftersom dessa spårningscookies lagras av en tredje part som är skild från webbservern som visar webbsidans huvudinnehåll (dvs. utgivaren) kallas de ofta för tredjepartscookies. Cookies är kopplade till en domän. En cookie kan bara läsas eller modifieras av en webbplats som kommer från en liknande domän 10 (med andra ord kan en cookie som lagrats av annonsnätverket a.minplats.com läsas av b.minplats.com men inte av annonsnätverket c.annanplats.com). Cookies kan ha olika lång livslängd. Livslängden kan förlängas eller bibehållas vid nya besök på samma webbplats (detta bestäms av programmeraren). Beständiga cookies har antingen ett fastställt utgångsdatum i framtiden eller ligger kvar tills de raderas manuellt. De flesta webbläsare ger användaren möjlighet att blockera tredjepartscookies. Vissa webbläsare har en funktion för privat surfning som medför att alla cookies som skapas raderas automatiskt när webbläsaren stängs annonsnätverket lägger ut webbserverns annonsutrymme för budgivning mellan flera olika annonsnätverk och väljer det bästa budet. Andra spårningstekniker är exempelvis baserade på användningen av IP-adresser och webbläsarnas användaragenter. Electronic Frontier Foundation har undersökt identifierbarheten hos enskilda användaragenter, inklusive programvaran som används, version, språk och installerade plugin-program, se: I fråga om IP-adresser meddelade nyligen ett företag i USA att det har en databas med 65 miljoner IP-adresser kopplade till namn- och adressuppgifter, se: Om den registrerade använder olika webbläsare blir det olika cookies för olika webbläsare. Denna alfanumeriska textsträng kan användas för många olika syften, exempelvis för att memorera gjorda val, lagra information om besöket eller identifiera användaren genom en unik identifierare. Det finns dock enkla lösningar för samarbetande parter som vill komma runt denna restriktion och dela cookies med varandra. En domänägare kan konfigurera sin DNS för att låta en tredje part använda en av underdomänerna. Denna tredje part kan då dela vissa cookies med domänägaren. Andra tekniker innefattar javascript som utför ytterligare webbförfrågningar till andra servar, vilket gör det möjligt för ännu fler parter att länka eller synka sina spårningsdata ( De senaste versionerna av många populära webbläsare (exempelvis Internet Explorer 8, Google Chrome, Firefox, Safari osv.) ger användaren möjlighet att surfa i ett läge där alla cookies automatiskt raderas när webbläsaren stängs. 6

7 Vissa annonsnätverk ersätter eller kompletterar traditionella spårningscookies med nya förbättrade spårningstekniker som flashcookies (lokala delade objekt) 12. Flashcookies kan inte raderas genom de vanliga sekretessinställningarna på webbläsaren. Det har rapporterats att flashcookies har använts specifikt som ett verktyg för att återställa traditionella cookies som användaren inte har godkänt eller har raderat 13. Detta kallas för respawning. I detta yttrande används termen cookie för alla tekniker som baseras på principen att lagra och läsa information på användarens terminalutrustning, såvida inte annat anges. Som påpekas ovan kan ett enstaka annonsnätverk vanligtvis bara registrera en del av den registrerades surfbeteende eftersom spårningsförmågan är begränsad till de utgivare som länkar till nätverket. Ett annat tillvägagångssätt har dock nyligen testats där annonsnätverket ingått ett samarbete med en Internetleverantör för att registrera användarnas surfning och lägga in spårningscookies i all okrypterad webbtrafik 14. Artikel 29-arbetsgruppen känner inte till några nuvarande användningar av denna teknik inom EU, men anser att användningen av denna teknik medför allvarliga juridiska problem som ligger bortom behandlingen av personuppgifter, oavsett för vilket syfte informationen används. Att analysera denna marknadsföringsteknik faller utanför detta yttrandes ramar Framtagning av profiler och typer av identifierare Det finns två huvudsakliga sätt att ta fram användarprofiler: i) Prediktiva profiler tas fram genom att observera och dra slutsatser från individuellt och kollektivt användarbeteende över tid, speciellt genom att se vilka sidor som besöks och vilka annonser användaren läser eller klickar på. ii) Explicita profiler tas fram från personuppgifter som de registrerade själva har tillhandahållit till en webbtjänst, exempelvis vid registrering. De båda tillvägagångssätten kan kombineras. Dessutom kan prediktiva profiler vid ett senare tillfälle göras explicita, när den registrerade registrerar sig på en webbplats 15. Annonsnätverk tar fram prediktiva profiler genom att använda en kombination av spårningsteknik, cookiebaserad teknik och programvara för informationsutvinning. Det går att dra slutsatser om kön och åldersgrupp genom att analysera vilka webbsidor den registrerade besöker och vilka annonser han eller hon intresserar sig för. Profilen som baseras på analys av de cookies som lagras på den registrerades terminalutrustning kan kompletteras med samlade data från surfvanorna hos registrerade användare som visar ett liknande beteendemönster i andra sammanhang. Reklamsystem på Internet klassificerar ofta de registrerade i segment, antingen utifrån intresseområden eller utifrån marknadsföringskategorier (exempelvis trädgård, kroppsvård, elektronik osv.) W3C utvecklar även en DOM Storage -standard som kommer att göra det möjligt att skapa stor lokal lagring av data med hjälp av skript på användarens dator. Flashcookies kan lagra information om inställningarna och kringgå användarens önskemål. Se Soltani, Ashkan, Canty, Shannon, Mayo, Quentin, Thomas, Lauren och Hoofnagle, Chris Jay, Flash Cookies and Privacy (10 augusti 2009). Återfinns på SSRN: Till exempel har företaget Phorm genom sin teknik som kallas Webwise erbjudit en tjänst för beteendebaserad målgruppsinriktning som använder DPI-inspektion ( Deep Packet Inspection ) för att undersöka de sidor som Internetanvändare besöker. För att kunna tillhandahålla tjänsten har Phorm ingått partnerskapsavtal med Internetleverantörer. Vissa annonsnätverk låter registrerade användare titta på och redigera sina prediktiva profiler, åtminstone i viss utsträckning. 7

8 Var den registrerade befinner sig är också en viktig faktor för målgruppsprofileringen. Det går att dra slutsatser om var användaren befinner sig exempelvis från datorns IP-adress och WiFi-anslutningspunkter Rättslig ram 3.1. Inledning Artikel 5.1 i direktiv 2002/58/EG 17 skyddar sekretessen vid kommunikationer i allmänhet. Sekretesskyddet vid kommunikationer i det konkreta fallet med användning av cookies och liknande funktioner fastställs huvudsakligen i artikel 5.3. I detta yttrande avses vid hänvisningar till direktiv 2002/58/EG det ändrade direktivet (nedan kallat direktivet om integritet och elektronisk kommunikation eller det ändrade direktivet om integritet och elektronisk kommunikation). Det ändrade direktivet om integritet och elektronisk kommunikation behöver inte införas i medlemsstaternas nationella lagstiftning förrän i maj Artikel 29-arbetsgruppen hänvisar dock redan nu till det ändrade direktivet eftersom gruppen vill att yttrandet ska fortsätta att vara giltigt efter direktivets genomförande och i synnerhet eftersom gruppen vill uppmärksamma intressenterna om behovet av att helt och fullt följa den ändrade artikeln 5.3. I detta sammanhang är även skäl 66, som antogs när direktivet ändrades 2009, och skälen 24 och 25 relevanta. Med tanke på vikten av artikel 5.3 är det lämpligt att återge den ändrade texten här, med ändringarna i förhållande till den tidigare texten markerade: Medlemsstaterna skall säkerställa att användningen av elektroniska kommunikationsnät för att lagra information eller för att få tillgång till information ska se till att lagring av information eller tillgång till information som redan är lagrad i en abonnents eller användares terminalutrustning endast är tillåten på villkor att abonnenten eller användaren i fråga har gett sitt samtycke efter att ha fått tillgång till tydlig klar och fullständig information, i enlighet med direktiv 95/46/EG, bland annat om ändamålen med behandlingen av uppgifterna, i enlighet med direktiv 95/46/EG, och erbjuds rätten att vägra sådan behandling av den dataregisteransvarige. Detta får inte förhindra någon teknisk lagring eller åtkomst som endast sker för att utföra eller underlätta överföringen av en kommunikation via ett elektroniskt kommunikationsnät eller det som är absolut nödvändigt för att leverera leverantören ska kunna tillhandahålla en av informationssamhällets tjänster som användaren eller abonnenten uttryckligen har begärt. I tillägg till direktivet om integritet och elektronisk kommunikation gäller direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (nedan kallat direktiv 95/46/EG ) för frågor som inte specifikt täcks av direktivet om integritet och elektronisk kommunikation när personuppgifter behandlas Ytterligare information om platsen kan samlas in från andra källor och användas för profileringen. Europaparlamentets och rådets direktiv 2009/136/EG (av den 25 november 2009) om ändring av direktiv 2002/22/EG om samhällsomfattande tjänster och användares rättigheter avseende elektroniska kommunikationsnät och kommunikationstjänster, direktiv 2002/58/EG om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation och förordning (EG) nr 2006/2004 om samarbete mellan de nationella tillsynsmyndigheter som ansvarar för konsumentskyddslagstiftningen. Se artikel 1.2 i direktivet om integritet och elektronisk kommunikation där följande anges: Bestämmelserna i detta direktiv skall precisera och komplettera direktiv 95/46/EG för de ändamål som avses i punkt 1. 8

9 3.2. Tillämpningsområden för artikel 5.3 och direktiv 95/46/EG För dem som arbetar med beteendebaserad reklam är det bra att veta vad som utlöser skyldigheten att uppfylla artikel 5.3 i direktivet om integritet och elektronisk kommunikation respektive direktiv 95/46/EG. Detta innebär att tillämpningsområdena för de båda direktiven måste tas upp. Först och främst tar vi upp de faktiska tillämpningsområdena för de båda direktiven (3.2.1 och 3.2.2) och deras samverkan (3.2.3). Därefter tar vi upp de territoriella tillämpningsområdena för direktiven (3.2.4) Faktiskt tillämpningsområde för artikel 5.3 Enligt artikel 5.3 måste informerat samtycke erhållas för att man på ett lagligt sätt ska kunna lagra information eller skaffa sig tillgång till information som är lagrad i en användares eller abonnents terminalutrustning 19. Med tanke på att i) spårningscookies är information som lagras i den registrerades terminalutrustning och ii) de avläses av leverantörer av annonsnätverk när den registrerade besöker en webbplats som tillhör en partner gäller artikel 5.3 fullt ut. Därför måste all lagring av cookies eller liknande funktioner (oavsett typ) 20 och all eventuell senare användning av tidigare lagrade cookies för att få tillgång till information om den registrerade följa artikel 5.3. Artikel 5.3 gäller för information (som lagras och/eller hämtas). Det står ingenting om vilken typ av information som avses. Informationen behöver inte bestå av personuppgifter enligt betydelsen i direktiv 95/46/EG för att bestämmelsen ska gälla. I skäl 24 anges den logiska grunden för detta synsätt, då det fastställs att terminalutrustning för användare [ ] och all information som finns lagrad i sådan utrustning är en del av privatlivet för användarna och kräver skydd enligt Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. Skyddet av ett område som bedöms tillhöra den registrerades privatliv är utgångspunkten för skyldigheterna i artikel 5.3, inte huruvida informationen består av personuppgifter eller inte. Arbetsgruppen har redan påpekat i gruppens yttrande 1/ att artikel 5.3 är en generell bestämmelse som inte bara gäller elektroniska kommunikationstjänster utan även alla andra tjänster där de olika teknikerna används. Dessutom gäller artikel 5.3 oavsett om den som lagrar cookien är registeransvarig eller databehandlare Faktiskt tillämpningsområde för direktiv 95/46/EG: Behandling av personuppgifter Om, som ett resultat av lagring och hämtning av information genom en cookie eller liknande funktion, information som samlats in kan räknas som personuppgifter gäller, förutom artikel 5.3, även direktiv 95/46/EG. Artikel 29-arbetsgruppen konstaterar att arbetsmetoderna för beteendebaserad reklam som beskrivs i detta yttrande ofta leder till behandling av personuppgifter enligt definitionen i artikel 2 i direktiv 95/46/EG och artikel 29-arbetsgruppens tolkning 22. Det finns flera skäl till 19 I direktivet om integritet och elektronisk kommunikation används termerna abonnenter och användare. Med abonnenter menas såväl enskilda personer eller registrerade (som de kallas i direktiv 95/46/EG) som juridiska personer. Begreppet användare används för registrerade som använder en elektronisk kommunikationstjänst utan att nödvändigtvis ha abonnerat på den. För konsekvensens skull används i det här yttrandet, när så är möjligt, termen den registrerade. 20 Artikel 5.3 är neutral ur teknisk synpunkt och gäller därför inte bara för cookies utan även för annan teknik som används för att lagra eller få tillgång till information som lagras i enskilda personers tekniska utrustning (spyware, malware osv.). 21 Yttrande 1/2008 om dataskyddsfrågor med anknytning till sökmotorer, antaget den 4 april Se tolkningen av begreppet personuppgifter i artikel 29-arbetsgruppens yttrande 4/2007 om begreppet personuppgifter, som antogs den 20 juni

10 detta: i) Beteendebaserad reklam innefattar normalt insamling av IP-adresser och behandling av unika identifierare (genom cookien). Användningen av sådana funktioner med en unik identifierare gör det möjligt att spåra användare av en viss dator även om dynamiska IPadresser används. Med andra ord gör sådana funktioner det möjligt att peka ut enskilda registrerade, även om deras namn inte är kända. ii) Dessutom relaterar informationen som samlas in vid beteendebaserad reklam till (dvs. handlar om) en persons egenskaper eller beteende och används för att påverka denna specifika person 23. Detta synsätt förstärks ytterligare om man räknar med möjligheten att profiler när som helst kan länkas till direkt identifierbar information som tillhandahålls av den registrerade, exempelvis information som anges vid registrering på en webbplats. Andra scenarier som kan leda till identifierbarhet är sammanslagningar, dataförluster och den växande tillgängligheten på Internet till personuppgifter kopplade till IP-adresser Samspelet mellan de båda direktiven Om båda direktiven gäller är det relevant att fastställa vilka bestämmelser som är tillämpliga från vartdera direktivet. I denna fråga fastställs i skäl 10 i direktivet om integritet och elektronisk kommunikation att direktiv 95/46/EG är tillämpligt vad gäller alla de frågor avseende skydd av grundläggande fri- och rättigheter som inte särskilt omfattas av bestämmelserna i det här direktivet, inbegripet den registeransvariges skyldigheter och enskilda personers rättigheter. Detta är en tillämpning av doktrinen som anger att en lag som styr en specifik fråga (lex specialis) har företräde framför en lag som bara styr en generell fråga (lex generalis). I linje med ovanstående är artikel 5.3 i direktivet om integritet och elektronisk kommunikation, som behandlar informerat samtycke, direkt tillämplig. Direktiv 95/46/EG är fullt tillämpligt förutom för bestämmelserna som specifikt hanteras av direktivet om integritet och elektronisk kommunikation, vilket huvudsakligen motsvarar artikel 7 i direktiv 95/46/EG om de rättsliga grunderna för databehandling 24. De kvarvarande bestämmelserna i direktiv 95/46/EG, vilket innefattar principerna för uppgifternas kvalitet, den registrerades rättigheter (som tillgång, radering och rätten att göra invändningar), databehandlingens sekretess och säkerhet och internationell dataöverföring, gäller fullt ut Territoriellt tillämpningsområde för artikel 5.3 och direktiv 95/46/EG Det territoriella tillämpningsområdet för ovanstående regelverk bestäms av en kombination av såväl artikel 3.1 i direktivet om integritet och elektronisk kommunikation 25 som artikel 4.1 a och c i direktiv 95/46/EG Artikel 29-arbetsgruppen bekräftar i sitt yttrande 1/2008 om dataskyddsfrågor med anknytning till sökmotorer, som antogs den 4 april 2008, att cookies och IP-adresser i de flesta fall ska betraktas som personuppgifter. I yttrandet fastslås följande: När en kaka [cookie] innehåller ett unikt användar-id står det klart att detta ID utgör personuppgifter. Användningen av beständiga kakor eller liknande funktioner med ett unikt användar-id gör det möjligt att spåra användarna av en viss dator även när dynamiska IP-adresser används. De uppgifter om sökbeteendet som genereras genom användning av sådana funktioner gör det möjligt att få reda på ännu mer om den berörda individens personliga karakteristik. Principen om korrekt och laglig behandling i artikel 6.1 a kan även anses vara inkluderad i artikel 5.3, sett ur synvinkeln att korrekthet åsyftar och kräver öppenhet och transparens. Tillämpningsområdet för direktivet om integritet och elektronisk kommunikation fastställs i artikel 3.1 enligt vilken artikel 5.3 ska gälla för lagring av eller tillgång till information i terminalutrustningen för registrerade som använder allmänna kommunikationsnät inom EU. De två kriterierna som styr tillämpningen av direktivet (eller rättare sagt den nationella lagstiftning som genomför direktivet) är i) om informationsbehandlingen utförs som ett led i verksamhet inom den medlemsstats territorium där den registeransvarige är etablerad (artikel 4.1 a) och ii) om den registeransvarige inte är etablerad på gemenskapens territorium men för behandling av personuppgifter 10

11 I tidigare yttranden har artikel 29-arbetsgruppen gett vägledning om begreppet etablering och användning av utrustning som hänvisas till i artikel 4.1 a respektive c för bestämning av tillämpligheten för direktiv 95/46/EG 27. Sådan vägledning gäller fullt ut för leverantörer av annonsnätverkstjänster De olika aktörernas roller och ansvarsområden Som beskrivs ovan innefattar beteendebaserad reklam olika aktörer, däribland leverantörer av annonsnätverk, utgivare och annonsörer. Det är viktigt att bestämma vilken roll de spelar för att fastställa deras skyldigheter under nuvarande dataskyddslagstiftning. Därför anger artikel 29-arbetsgruppen följande: Angående leverantörer av annonsnätverk: För det första gäller skyldigheterna som anges i artikel 5.3 i direktivet om integritet och elektronisk kommunikation för dem som lagrar cookies och/eller hämtar information från cookies som redan är lagrade i den registrerades terminalutrustning. Med hänvisning till artikel 5.3 är det ovidkommande om den som lagrar eller läser av cookien är registeransvarig eller databehandlare. I fråga om beteendebaserad reklam lägger denna tolkning skyldigheten att begära in informerat samtycke på leverantörerna av annonsnätverk. För det andra gäller samtidigt, att när beteendebaserad reklam leder till behandling av personuppgifter, spelar leverantören av annonsnätverk även rollen som registeransvarig. Detta är mycket viktigt då ytterligare skyldigheter som härrör från tillämpningen av direktiv 95/46/EG blir aktuella. Leverantörer av annonsnätverk har fullständig kontroll över informationsbehandlingens syften och medel. De hyr utrymme från utgivarnas webbplatser för att lägga in annonser, de lagrar och läser cookierelaterad information och, i de flesta fall, samlar in IP-adress och eventuellt andra uppgifter som webbläsaren uppger. Dessutom använder leverantörer av annonsnätverk den information som samlats in om Internetanvändarnas surfbeteende för att skapa profiler och välja ut och leverera annonser som ska visas på grundval av dessa profiler. I detta scenario fungerar de utan tvekan som registeransvariga. Angående utgivare: Utgivare, bland andra, hyr ut utrymme på sina webbplatser där annonsnätverk kan lägga in annonser. De kodar sina webbplatser så att besökarnas webbläsare automatiskt skickas vidare till webbsidan för leverantören av annonsnätverket (som sedan skickar en cookie och tillhandahåller skräddarsydd reklam). Detta lyfter upp frågan om deras ansvar vad gäller informationsbehandlingen. Som nyligen påpekats av artikel 29-arbetsgruppen 28 är frågan huruvida en utgivare kan bedömas ha ett gemensamt registeransvar med leverantören av annonsnätverket avhängig samarbetsvillkoren mellan utgivaren och leverantören av annonsnätverket. I detta sammanhang konstaterar artikel 29-arbetsgruppen att i ett typiskt scenario där leverantörer av annonsnätverk tillhandahåller skräddarsydd annonsering bidrar utgivarna genom att koda sina webbplatser på ett sådant sätt, att när en användare besöker en utgivares webbplats, kopplas hans eller hennes webbläsare automatiskt vidare till webbplatsen för leverantören av använder databehandlad eller icke databehandlad utrustning som befinner sig på en medlemsstats territorium (artikel 4.1 c). 27 Se arbetsdokument 56 från den 30 maj 2002 om den internationella tillämpningen av EU:s dataskyddslagstiftning när webbplatser utanför EU behandlar personuppgifter på Internet och, på senare tid, yttrande 1/2008 om dataskyddsfrågor med anknytning till sökmotorer, som antogs den 4 april Yttrande 1/2010 om begreppen registeransvarig och registerförare, som antogs den 16 februari

12 annonsnätverket. När så sker skickar användarens webbläsare hans eller hennes IP-adress till leverantören av annonsnätverket som i sin tur skickar en cookie och skräddarsydd reklam. I detta scenario är det viktigt att observera att utgivarna inte överför besökarens IP-adress till leverantören av annonsnätverket. Istället är det besökarens webbläsare som automatiskt överför sådan information till leverantören av annonsnätverket. Detta händer dock bara på grund av att utgivaren har kodat webbplatsen på ett sådant sätt att besökare till den egna webbplatsen automatiskt skickas vidare till webbplatsen för leverantören av annonsnätverket. Med andra ord är det utgivaren som sätter igång överföringen av IP-adressen, som är det första nödvändiga steget som möjliggör den efterföljande informationsbehandlingen som utförs av leverantören av annonsnätverket för att tillhandahålla skräddarsydd reklam. Även om dataöverföringen av IP-adressen tekniskt sett utförs av den enskilda personens webbläsare när han eller hon besöker utgivarens webbplats är det därför inte den enskilda personen som sätter igång överföringen. Den enskilda personen hade bara för avsikt att besöka utgivarens webbplats. Han eller hon avsåg inte att besöka webbplatsen för leverantören av annonsnätverket. Detta är för närvarande ett vanligt scenario. Med tanke på detta anser artikel 29-arbetsgruppen att utgivarna har ett visst ansvar för informationsbehandlingen som härrör från det nationella genomförandet av direktiv 95/46/EG och/eller annan nationell lagstiftning 29. Detta ansvar täcker inte all informationsbehandling som krävs för beteendebaserad reklam, exempelvis informationsbehandlingen som utförs av leverantören av annonsnätverket för att skapa profiler som sedan används för att tillhandahålla skräddarsydd reklam. Utgivarnas ansvar täcker dock det första steget, dvs. den inledande delen av informationsbehandlingen, närmare bestämt överföringen av IP-adressen som äger rum när personer besöker webbplatserna. Detta eftersom utgivarna möjliggör en sådan överföring och är med och bestämmer de syften för vilka den äger rum, dvs. för att tillhandahålla skräddarsydd reklam till kunderna. Sammanfattningsvis har utgivarna därför ett visst ansvar som registeransvariga för dessa åtgärder. Detta ansvar kan dock inte innebära att alla skyldigheter som tas upp i direktiven måste uppfyllas. Här är det nödvändigt att tolka den rättsliga ramen på ett flexibelt sätt genom att bara använda de bestämmelser som är relevanta. Utgivare innehar inga personuppgifter och därför skulle det självfallet inte vara rimligt att tillämpa vissa av skyldigheterna i direktivet, exempelvis rätten till tillgång. Som beskrivs närmare nedan gäller dock skyldigheten att informera de enskilda personerna om informationsbehandlingen fullt ut för utgivare. I tillägg till ovanstående, vilket nämns i det artikel 29-yttrande som hänvisas till ovan, anses utgivarna bära en del av ansvaret som registeransvariga om de samlar in och överför personuppgifter rörande besökarna, som namn, adress, ålder, plats osv. till leverantören av annonsnätverket. I den utsträckning utgivare agerar som registeransvariga är de bundna av skyldigheterna i direktiv 95/46/EG rörande den del av informationsbehandlingen som ligger under deras kontroll. I detta hänseende ska utgivaren, tillsammans med leverantören av annonsnätverket, se till att komplexiteten och de tekniska detaljerna hos det beteendebaserade reklamsystemet inte hindrar dem från att hitta lämpliga metoder för att uppfylla den registeransvariges skyldigheter och garantera rättigheterna för de registrerade Artikel 29-arbetsgruppen konstaterar att skyldigheten att informera och andra eventuella skyldigheter även kan härröra från generella rättsprinciper (kontrakts- och skadeståndslagar) liksom konsumentskyddslagar rörande företags agerande gentemot kunder, exempelvis Europaparlamentets och rådets direktiv 2005/29/EG av den 11 maj 2005 om otillbörliga affärsmetoder som tillämpas av näringsidkare gentemot konsumenter på den inre marknaden och om ändring av rådets direktiv 84/450/EEG och Europaparlamentets och rådets direktiv 97/7/EG, 98/27/EG och 2002/65/EG samt Europaparlamentets och rådets förordning (EG) nr 2006/2004 ( direktivet om otillbörliga affärsmetoder ). Yttrande 1/2010 om begreppen registeransvarig och registerförare 12

13 Sammanfattningsvis bör utgivarna vara medvetna om att de genom att ingå kontrakt med annonsnätverk, som innebär att deras besökares personuppgifter görs tillgängliga för leverantörerna av annonsnätverken, tar på sig ett visst ansvar gentemot sina besökare. Omfattningen av detta ansvar och i vilken utsträckning de kan räknas som registeransvariga bör analyseras från fall till fall, beroende på de specifika samarbetsvillkoren med leverantörerna av annonsnätverken, utifrån vad som anges i serviceavtalen. Därför bör serviceavtalen mellan utgivare och leverantörer av annonsnätverk fastställa rollerna och ansvarsområdena för båda parterna enligt deras fastlagda samarbete, i enlighet med beskrivningen i samarbetsavtalet. Angående annonsörer: När den registrerade klickar på en annons och besöker annonsörens webbplats kan annonsören spåra vilken kampanj som ledde till klicket. Om annonsören samlar in målgruppsinformation (exempelvis vissa demografiska uppgifter som unga mammor eller en intressegrupp som intresserad av extremsport ) och kombinerar den med den registrerades surfbeteende eller registreringsuppgifter är annonsören en oberoende registeransvarig för denna del av informationsbehandlingen. Detta yttrande fokuserar på den informationsbehandling som utförs av leverantören av annonsnätverket och utgivaren för att skapa skräddarsydd reklam. Det tar inte upp eventuell ytterligare informationsbehandling som kan utföras av annonsörer enligt ovan. 4. Skyldighet att begära informerat samtycke på förhand Den allmänna regeln i första paragrafen i artikel 5.3 kräver att medlemsstaterna ska se till att lagring av information eller tillgång till information som redan är lagrad i en abonnents eller användares terminalutrustning endast är tillåten på villkor att abonnenten eller användaren i fråga har gett sitt samtycke efter att ha fått tillgång till tydlig och fullständig information, i enlighet med direktiv 95/46/EG, bland annat om ändamålen med behandlingen av uppgifterna. Denna artikel skrevs om när direktivet om integritet och elektronisk kommunikation ändrades Den nya formuleringen i den ändrade versionen förtydligar och förstärker behovet av att erhålla ett informerat samtycke på förhand 31. Artikel 29- arbetsgruppen anser att den rättsliga analysen nedan är relevant och giltig både för den nuvarande versionen av artikel 5.3 och den ändrade versionen. I följande avsnitt analyseras olika sätt att uppfylla kraven i artikel 5.3. Efter diskussionen om samtycke följer ytterligare information om skyldigheten att tillhandahålla information Skyldigheten att erhålla den registrerades samtycke på förhand för beteendebaserad reklam Enligt artikel 5.3 är en leverantör av ett annonsnätverk som vill lagra eller få tillgång till information i en användares terminalutrustning tillåten att göra så om i) användaren har försetts med tydlig och omfattande information i enlighet med direktiv 95/46/EG, bland annat om syftet med informationsbehandlingen, och ii) användarens samtycke för lagring av eller tillgång till information på användarens terminalutrustning har erhållits efter att användaren har fått den information som krävs enligt i). 31 Detta har gjorts på två sätt: För det första genom att ändra frasen rätten att vägra till behovet att inhämta samtycke, enligt direktiv 95/46/EG, och för det andra genom att använda verbfrasen ha fått tillgång till i förfluten tid. 13

14 Det framgår av ordalydelsen i artikel 5.3 att i) samtycket måste erhållas innan cookien lagras och/eller information i användarens terminalutrustning hämtas, vilket normalt kallas samtycke på förhand, och ii) informerat samtycke kan bara erhållas om användaren på förhand fått information om cookiens lagring och syftet därmed. I detta sammanhang är det viktigt att tänka på att för att samtycket ska vara giltigt, oavsett under vilka förhållanden det getts, måste det ha getts frivilligt, specifikt och utgöra ett informerat tillkännagivande av den registrerades önskemål. Samtycke måste erhållas innan personuppgifter samlas in, som en nödvändig åtgärd för att säkerställa att de registrerade helt och fullt är medvetna om att de samtycker och vad de samtycker till. Dessutom måste samtycket gå att ta tillbaka. I följande delavsnitt analyseras huruvida samtycke genom webbläsarinställningar och möjligheter att välja bort funktioner ( opt-out ) som tillhandahålls av leverantörer av annonsnätverk uppfyller kraven i artikel Samtycke genom webbläsarinställningar Utgivare och leverantörer av annonsnätverk som arbetar med beteendebaserad reklam lagrar spårningscookies i den registrerades terminalutrustning när den registrerade besöker en webbplats som ingår i annonsnätverket. Detta sker om inte den registrerades webbläsare är inställd att inte godkänna cookies. I praktiken innebär det att först när cookien är lagrad och den registrerade surfar på webbsidan där annonsen ligger får han eller hon information om cookies och hur man ställer in webbläsaren för att kontrollera mottagningen av cookies. Denna information lämnas av utgivaren och leverantören av annonsnätverket. Dessa registeransvariga tillhandahåller vanligtvis informationen på sidan för allmänna villkor och förutsättningar och/eller i integritetspolicyn för tredjepartscookies som används för beteendebaserad reklam. Informationen kan innefatta grundläggande användningar/syften med sådana cookies och hur de kan undvikas genom webbläsarinställningar. Detta tillvägagångssätt uppfyller dock inte kraven i artikel 5.3, i synnerhet inte den ändrade versionen, som betonar att information ska tillhandahållas på förhand och att samtycke ska inhämtas på förhand (innan informationsbehandlingen påbörjas). I skäl 66 i det ändrade direktivet om integritet och elektronisk kommunikation anges att användarens samtycke kan uttryckas genom lämpliga webbläsarinställningar eller annan anordning om det är tekniskt möjligt och effektivt i enlighet med direktiv 95/46/EG. Detta är inte ett undantag från artikel 5.3 utan snarare en påminnelse om att samtycke, i denna tekniska miljö, kan ges på olika sätt när så är tekniskt möjligt, effektivt och i enlighet med de övriga relevanta kraven för giltigt samtycke. I detta sammanhang är det relevant att fastställa under vilka förutsättningar webbläsarinställningarna uppfyller kraven i direktiv 95/46/EG och därigenom utgör ett giltigt samtycke i enlighet med direktiv 95/46/EG. Artikel 29-arbetsgruppen anser att detta endast sker under mycket begränsade förhållanden av följande skäl: För det första, baserat på definitionen och kraven för giltigt samtycke i artikel 2 h i direktiv 95/46/EG, kan de registrerade generellt sett inte bedömas ha samtyckt bara för att de har skaffat/använt en webbläsare eller liknande som med standardinställningar möjliggör insamling och behandling av deras information. De flesta av de registrerade är inte medvetna om att deras beteende på Internet spåras, vilka syften som finns med spårningen osv. De känner inte alltid till hur man använder webbläsarinställningar för att avvisa cookies, även om detta tas upp i integritetspolicyn. Det är fel att generellt tro att registrerades overksamhet (han eller hon har inte ställt in webbläsaren att avvisa cookies) utgör en tydlig och otvetydig indikation av hans eller hennes önskemål. Som påpekades i artikel 29-arbetsgruppens yttrande 1/2008 som togs upp tidigare: Ansvaret för behandlingen av dessa uppgifter [cookies] kan inte begränsas till att användaren är ansvarig för att vidta, eller inte vidta, vissa 14

15 försiktighetsåtgärder när det gäller webbläsarinställningarna. För närvarande är det bara en av de fyra stora webbläsarna som blockerar tredjepartscookies som standard när webbläsaren installeras. De andra tre stora webbläsarna har som standardinställning att alla cookies ska tillåtas. I dessa fall lagras cookies och information samlas in innan samtycke har inhämtats, vilket strider mot kravet på samtycke på förhand 32. För det andra, för att webbläsarinställningar ska kunna räknas som ett informerat samtycke bör det inte vara möjligt att gå förbi valet som användaren gjort genom inställningen av webbläsaren. I praktiken kan dock raderade cookies lätt läggas tillbaka ( respawn ) av så kallade flashcookies, vilket gör det möjligt för leverantören av annonsnätverket att fortsätta övervaka användaren. Tillgängligheten till sådan teknik och den ökade användningen utmanar möjligheten att använda webbläsarinställningar för att ge ett informerat, giltigt och verkningsfullt samtycke. Slutligen innebär ett generellt samtycke att ta emot cookies genom webbläsarinställningar att användaren godkänner vidare behandling, möjligen utan att veta syftet med eller användningen av cookien. Ett generellt samtycke för all eventuell framtida behandling utan att veta omständigheterna kring behandlingen kan inte anses vara ett giltigt godkännande 33. Därför måste webbläsare eller andra funktioner lösa ovanstående problem för att kunna leverera ett giltigt samtycke. I praktiken innebär detta följande: a) Webbläsare eller andra funktioner som genom standardinställningarna avvisar tredjepartscookies, och som kräver att den registrerade vidtar en bekräftande åtgärd för att acceptera såväl lagringen av cookies som vidarebefordran av information från cookies vid besök på specifika webbplatser kan leverera ett giltigt och verkningsfullt samtycke. Däremot, om webbläsarinställningarna som standard är inställda att godkänna alla cookies, skulle ett sådant samtycke inte uppfylla artikel 5.3 eftersom ett sådant samtycke, generellt sett, inte kan utgöra en sann indikering av den registrerades önskemål. Ett sådant samtycke skulle varken vara specifikt eller göras på förhand (innan informationsbehandlingen påbörjas). Även om vissa registrerade verkligen skulle ha kunnat välja att behålla inställningarna att acceptera alla tredjepartscookies, är det inte realistiskt för leverantörer av annonsnätverk att anta att den stora majoriteten av registrerade som har sina webbläsare inställda att godkänna cookies har gjort detta val aktivt. b) Webbläsare, tillsammans med eller i kombination med andra informationsverktyg, vilket inbegriper samarbete med leverantörer av annonsnätverk och utgivare, behöver tillhandahålla tydlig, omfattande och fullt synlig information för att säkerställa att samtycket är helt informerat. För att uppfylla kraven i direktiv 95/46/EG bör webbläsarna, på leverantören av annonsnätverkets vägnar, förmedla relevant information om syftena En ytterligare komplikation är att de tre webbläsarna som avses ovan fortsätter att skicka information från befintliga cookies även om webbläsarinställningarna sätts att avvisa (nya) tredjepartscookies. Med andra ord fortsätter information om cookies som lagrades innan webbläsaren ställdes in att avvisa cookies att skickas till leverantören av annonsnätverket. Det är bara en av de stora webbläsarna som idag låter användarna blockera både lagringen av och överföringen av information från tredjepartscookies (dvs. även cookies som lagrades innan webbläsaren ställdes in att avvisa cookies). Detta har som konsekvens att även cookies som har lagrats som förstapartscookies (vid besök på en webbplats för exempelvis en sökmotor eller ett socialt nätverk) kan läsas av webbplatsen när användaren besöker en webbplats som är partner med den första webbplatsen. Som anges i artikel 29-arbetsdokumentet om en gemensam tolkning av artikel 26.1 i direktiv 95/46/EG av den 24 oktober 1995, som antogs den 25 november 2005, i fråga om framtida dataöverföringar: Att samtycke skall vara uttryck för positivt agerande utesluter i praktiken alla system som ger den registrerade rätt att protestera mot överföringen först efter det att den har ägt rum särskilt samtycke till en överföring är förutsättningen för att överföringen skall kunna äga rum. 15

16 med cookies och informationsbehandlingen. Generella varningar utan uttryckliga hänvisningar till annonsnätverket som lagrar cookien är inte tillräckliga. Artikel 29-arbetsgruppen är av åsikten att såvida inte ovanstående krav uppfylls kan inte tillhandahållande av information och, i viss utsträckning, underlättande av användarens möjligheter att avvisa cookies (genom att förklara hur detta kan göras) generellt bedömas som ett informerat samtycke enligt artikel 5.3 i direktivet om integritet och elektronisk kommunikation eller enligt artikel 2 h i direktiv 95/46/EG. Med tanke på hur stor roll webbläsarinställningarna spelar för att säkerställa att de registrerade på ett tydligt sätt ger sitt samtycke till lagring av cookies och behandling av information, verkar det vara av allra största vikt att webbläsarna är försedda med integritetsskyddande inställningar som standard. Med andra ord att de levereras med inställningen att inte acceptera och inte skicka information från tredjepartscookies. För att komplettera detta skydd och göra skyddet mer effektivt bör webbläsarna kräva att användarna går igenom en integritetsguide när de installerar eller uppdaterar webbläsaren och säkerställa att det går att välja inställningar på ett enkelt sätt under användning. Artikel 29-arbetsgruppen uppmanar utvecklarna av webbläsare att vidta omedelbara åtgärder och koordinera arbetet med leverantörerna av annonsnätverk Samtycke och möjligheten att välja bort funktioner ( opt-out ) Leverantörer av annonsnätverk erbjuder i allt högre grad mekanismer för bortval ( opt-out ) av riktad reklam 34. För att använda denna mekanism måste den registrerade gå till webbplatsen för leverantören av annonsnätverket och ange att han eller hon vill välja bort att spåras för att få riktad reklam. Dessa mekanismer syftar till att komplettera och, i viss utsträckning, åtgärda problemen som beskrivs ovan ifråga om webbläsarinställningar. Sådana cookiebaserade mekanismer är välkomna och ska uppmuntras i den mån de förenklar de registrerades tekniska möjligheter att välja bort riktad reklam. I princip är dock sådana bortvalsmekanismer inga verktyg för att inhämta de registrerades samtycke. Bara i mycket specifika, enskilda fall skulle man kunna hävda ett underförstått samtycke. Detta skulle kunna vara fallet när en erfaren användare, som är medveten om konceptet med beteendebaserad reklam, känner till att han eller hon kan välja bort denna reklam men väljer frivilligt att inte välja bort den (i synnerhet om detta görs innan någon cookie har skickats till användaren). Denna mekanism är dock inte en adekvat mekanism för att erhålla den genomsnittlige användarens informerade samtycke. Anledningarna liknar dem som angavs ovan i samband med webbläsarinställningar, och kan beskrivas enligt följande: För det första saknar användarna i allmänhet den grundläggande kunskapen om insamling av information, informationens användningsområden, hur tekniken fungerar och viktigast av allt hur och var man väljer bort. Som ett resultat av detta blir det i praktiken mycket få personer som utövar möjligheten att välja bort beteendebaserad reklam. Resten låter inte bli för att de har gjort ett informerat val att acceptera beteendebaserad reklam, utan snarare för att de inte inser att de genom att inte välja bort i själva verket accepterar. För det andra innebär samtycke ett aktivt deltagande av den registrerade innan insamlingen och behandlingen av information påbörjas. Bortvalsmekanismen hänvisar ofta till en ickereaktion hos den registrerade efter att en sådan informationsbehandling redan har startat. Dessutom finns det i bortvalsmekanismen inget aktivt deltagande, den registrerades vilja underförstås eller antas. Detta uppfyller inte kraven på ett juridiskt giltigt samtycke. 34 Se exempelvis opt out -funktionen från Network Advertising Initiative som gör det möjligt att välja bort olika nätverk: 16

17 Med tanke på ovanstående anser artikel 29-arbetsgruppen att cookiebaserade bortvalsmekanismer ( opt-out ) inte ger genomsnittsanvändaren ett verkningsfullt sätt att samtycka till mottagandet av beteendebaserad reklam. I detta hänseende klarar de inte att uppfylla kraven i artikel Mekanismer för aktivt förhandsval ( opt-in ) mer lämpade för informerat samtycke Artikel 29-arbetsgruppen är av åsikten att mekanismer för ett aktivt förhandsval ( opt-in ), som kräver en bekräftande åtgärd från den registrerades sida för att ange samtycke innan cookien skickas till den registrerade, ligger mer i linje med artikel 5.3. I fråga om samtycke som juridisk grund för informationsbehandling, bekräftade artikel 29-arbetsgruppen nyligen dessa åsikter genom ett uttalande om att den tekniska utvecklingen också kräver att stor vikt läggs vid samtycket. I praktiken tillämpas inte alltid artikel 7 i direktiv 95/46/EG på ett korrekt sätt, i synnerhet inte vad gäller Internet där ett underförstått samtycke inte alltid är ett otvetydigt samtycke (vilket krävs enligt artikel 7 a i direktivet). För att ge de registrerade större möjligheter att uttrycka sina önskemål innan deras personuppgifter behandlas av andra bör dock krav ställas på ett uttryckligt samtycke (som aktivt väljs [ opt-in ]) för all informationsbehandling som baseras på samtycke. 35 I ett tidigare yttrande, där denna fråga diskuteras, rekommenderar artikel 29-arbetsgruppen 36 att specifika meddelanden bör användas för att informera användaren när en cookie ska tas emot, lagras eller skickas, och att dessa meddelanden på ett lättförståeligt sätt bör ange vilken sorts information som kommer att lagras i cookien samt för vilka ändamål och hur länge cookien kommer att finnas kvar. Efter att ha mottagit sådan information bör den registrerade erbjudas möjligheten att ange om han eller hon vill profileras för beteendebaserad reklam. Artikel 29-arbetsgruppen är medveten om de nuvarande praktiska problemen i samband med att erhålla samtycke, i synnerhet om samtycke krävs varje gång en cookie avläses i syfte att leverera riktad reklam. Ett sätt att undvika detta problem är möjligheten att, i enlighet med skäl 25 i direktivet om integritet och elektronisk kommunikation (där det anges att rätten att vägra cookies kan erbjudas en enda gång och därefter även omfatta framtida användningar av dessa cookies), låta en användares godkännande av en cookie tolkas som att det inte bara gäller för sändandet av cookien utan även för fortsatt insamling av data med koppling till denna cookie. Med andra ord kan det samtycke som erhållits för att lagra cookien och använda informationen för att skicka riktad reklam även gälla efterföljande avläsningar av cookien som sker varje gång användaren besöker en webbplatspartner till leverantören av annonsnätverket som ursprungligen lagrade cookien. Med tanke på att i) detta tillvägagångssätt skulle innebära att enskilda personer en gång för alla accepterar att registreras och att ii) enskilda personer helt enkelt kan glömma bort att de exempelvis för ett år sedan gick med på att registreras, anser dock arbetsgruppen att vissa skyddsåtgärder bör införas. I synnerhet föreslår artikel 29-arbetsgruppen följande tre handlingssätt: För det första bör samtycket begränsas i tid. Samtycket att registreras bör inte gälla för alltid utan gälla för en begränsad tidsperiod, exempelvis ett år. Efter denna period skulle leverantören av annonsnätverket behöva erhålla ett nytt samtycke. Detta skulle kunna gå att ordna om cookies hade en begränsad livslängd när de lagrats i användarens terminalutrustning (och utgångsdatumet bör inte kunna förlängas). 35 Artikel 29-arbetsgruppen välkomnar arbetet som utförs av vissa sammanslutningar, exempelvis The Future of Privacy, för att stödja användningen av ikoner i informationssyfte. 36 Rekommendation 1/99 om osynlig och automatisk behandling av personuppgifter på Internet: 17

18 För det andra skulle riskerna som anges ovan kunna minskas ytterligare med mer informationsrutiner, vilket tas upp i avsnitt För det tredje ska ett frivilligt givet samtycke alltid kunna dras tillbaka. De registrerade bör erbjudas möjligheten att enkelt dra tillbaka samtycket att registreras för beteendebaserad reklam. Här är behovet av att ge tydlig information om denna möjlighet och hur man gör för att utnyttja den av avgörande betydelse (se nedan under avsnitt 4.2). Artikel 29-arbetsgruppen uppmuntrar reklambranschen att införa ovanstående eller alternativa metoder som leder till att användarna aktivt får på förhand bekräfta att de godkänner i) lagring av cookies och ii) användning av cookies för att spåra användaren över olika webbplatser i syfte att kunna tillhandahålla beteendebaserad reklam. Detta arbete kan även innefatta framtagning av webbläsare och webbläsarteknik Informerat samtycke: barn I yttrande 2/2009 tar artikel 29-arbetsgruppen upp skyddet av personuppgifter för barn 37. Problemen i samband med att erhålla ett informerat samtycke understryks ytterligare när barn är inblandade. I tillägg till kraven som beskrivs ovan (och nedan) för att samtycket ska vara giltigt, måste i vissa fall barnens samtycke lämnas av deras föräldrar eller andra målsmän. I det aktuella fallet innebär detta att leverantörer av annonsnätverk skulle behöva meddela föräldrarna om insamlingen och användningen av barnens information och få deras samtycke innan informationen samlas in och används för beteendebaserad reklam riktad till barn 38. Med tanke på ovanstående och med hänsyn till barns sårbarhet anser artikel 29-arbetsgruppen att leverantörer av annonsnätverk inte bör erbjuda intressekategorier för beteendebaserad reklam som riktar sig till barn eller som kan påverka barn Skyldigheten att tillhandahålla information i samband med beteendebaserad reklam Öppenhet och transparens är en viktig förutsättning för att enskilda personer ska kunna samtycka till insamling och behandling av information. Som anges ovan är det i samband med beteendebaserad reklam möjligt att användarna inte känner till eller förstår tekniken bakom beteendebaserad reklam eller ens att sådana typer av reklam riktas till dem. Det är därför mycket viktigt att säkerställa att tillräcklig och verkningsfull information tillhandahålls på ett sätt som når Internetanvändarna. Det är bara om de registrerade är informerade som de har möjlighet att utöva sin valmöjlighet Vilken information måste tillhandahållas och av vem? I artikel 5.3 anges att användaren måste förses med information i enlighet med direktiv 95/46/EG, bland annat om ändamålen med behandlingen av uppgifterna. Artikel 10 i direktiv 95/46/EG rör tillhandahållandet av denna information 39. I fråga om beteendebaserad reklam bör de registrerade informeras, bland annat, om identiteten på leverantören av annonsnätverket och syftet med informationsbehandlingen. Den registrerade bör klart och tydligt informeras om att cookien gör det möjligt för 37 Yttrande om skydd för uppgifter om barn (Allmänna riktlinjer och specialfallet skolor): 38 Detta i tillägg till tillämplig lagstiftning och tillämpliga normer för reklam. 39 Enligt artikeln krävs framför allt att information lämnas om den registeransvariges identitet, syftet med informationsbehandlingen, samt mottagarna av uppgifterna och att den registrerade har rätt att få tillgång till uppgifterna, i den utsträckning sådan ytterligare information behövs för att tillförsäkra den registrerade en korrekt behandling. 18

19 reklamleverantören att samla in information om besök på andra webbplatser, vilken reklam som har visats för den registrerade, vad den registrerade har klickat på, tidsregistrering osv. Det bör finnas en enkel beskrivning av hur cookien används för att skapa profiler för riktad reklam. Enligt skäl 25 i direktivet om integritet och elektronisk kommunikation krävs att meddelanden ger tydlig och klar information. Uttalanden i stil med annonsörer och andra tredjeparter kan även använda egna cookies eller webbfyrar är uppenbarligen inte tillräckliga. I fråga om hur denna information ska tillhandahållas anges i skäl 25 att sättet att lämna information ska vara så användarvänligt som möjligt. Artikel 29-arbetsgruppen anser att det effektivaste sättet att uppfylla denna princip är att ge ett minimum av information direkt på skärmen och att denna information ska vara interaktiv, lätt att se och lätt att tolka 40. Det är viktigt att informationen är enkel att komma åt och lätt att se. Denna viktiga information får inte gömmas bland allmänna villkor och förutsättningar och/eller i integritetspolicyn. Artikel 29-arbetsgruppen konstaterar att det tekniskt sett kan finnas olika sätt att tillhandahålla information och välkomnar kreativitet inom detta område. Artikel 29- arbetsgruppen är medveten om att vissa leverantörer av annonsnätverk har börjat utveckla nya sätt att tillhandahålla information och välkomnar detta arbete. Ikoner som placeras runt annonser på utgivarens webbplats med länkar till ytterligare information är ett exempel på en sådan utveckling som arbetsgruppen finner både positiv och nödvändig. Med tanke på möjligheten som anges ovan i avsnitt att individer kan acceptera registrering en gång och att detta samtycke sedan gäller för följande avläsningar av cookien, anser artikel 29-arbetsgruppen att det är mycket viktigt för leverantörer av annonsnätverk att hitta sätt att informera individer med jämna mellanrum att registreringen äger rum. Om inte de registrerade får tydliga och entydiga påminnelser, på ett enkelt och lättförståeligt sätt, om registreringen är det mycket troligt att de efter en viss tidsperiod inte längre är medvetna om att registreringen fortfarande äger rum och att de har samtyckt till den. Artikel 29- arbetsgruppen skulle verkligen stödja framtagningen av en symbol med tillhörande meddelanden som informerar användarna att en leverantör av ett annonsnätverk registrerar deras surfbeteende för att kunna leverera riktad reklam. Denna symbol skulle vara till mycket stor hjälp inte bara för att påminna användarna om registreringen utan även för att kontrollera om de vill ha kvar eller ta tillbaka sitt samtycke. En annan relevant fråga är vem som ska tillhandahålla informationen ska den tillhandahållas av utgivaren eller av leverantören av annonsnätverket eller av båda? Slutresultatet bör vara att de registrerade får lättillgänglig och väl synlig information. Som vidareutvecklas nedan verkar samarbetet mellan leverantörer av annonsnätverk och utgivare vara mycket viktigt i denna fråga. Artikel 29-arbetsgruppen konstaterar att enligt ordalydelsen i artikel 5.3 i direktivet om integritet och elektronisk kommunikation ligger skyldigheten att tillhandahålla nödvändig information och inhämta de registrerades samtycke i sista hand hos den som skickar och läser av cookien. I de flesta fall är detta leverantören av annonsnätverket. När utgivare delar ansvaret som registeransvariga, till exempel när de överför direkt identifierbar information till leverantörer av annonsnätverk, har de också skyldighet att tillhandahålla information till de registrerade om informationsbehandlingen. 40 Detta är i linje med arbetsgruppens tidigare riktlinjer, se arbetsgruppens rekommendation WP 43 2/2001 om vissa minimikrav för insamling av personuppgifter på Internet inom Europeiska unionen som antogs den 17 maj 2001 och finns på: 19

20 Dessutom, vilket tas upp i avsnitt 3.3 ovan, delar utgivarna visst ansvar med leverantörerna av annonsnätverk för informationsbehandlingen som sker i samband med leveransen av beteendebaserad reklam. Mer specifikt gäller detta ansvar det första steget i informationsbehandlingen, dvs. överföringen av IP-adressen till leverantören av annonsnätverket som sker när personer besöker deras webbplatser och skickas vidare till webbplatsen för leverantören av annonsnätverket. Som en följd av detta ansvar har utgivare vissa skyldigheter gentemot registrerade som huvudsakligen härrör från direktiv 95/46/EG 41. I synnerhet anser artikel 29-arbetsgruppen att utgivare är bundna av skyldigheten att informera de registrerade om den informationsbehandling som äger rum som ett resultat av att deras webbläsare dirigerats om, samt för vilka syften leverantören av annonsnätverket ska använda informationen längre fram. Informationen bör inte bara gälla överföringen av IP-adressen, som utförs för att kunna visa annonser, utan även den vidare informationsbehandlingen som utförs av leverantörerna av annonsnätverk, inklusive lagring av cookies. Självfallet föreslår inte artikel 29-arbetsgruppen att informationen måste ges två gånger (en gång av leverantören av annonsnätverket och en gång av utgivaren). Artikel 29-arbetsgruppen anser att detta är ett område där det finns ett tydligt behov av samarbete mellan leverantörerna av annonsnätverk och utgivarna, så att de kan besluta vem som ska tillhandahålla informationen och hur detta ska göras. Gruppen uppmanar därför leverantörerna av annonsnätverk och utgivarna att göra allt de kan för att tillhandahålla så effektiva meddelanden som möjligt och säkerställa en maximal nivå av medvetenhet bland Internetanvändarna om hur beteendebaserad reklam fungerar i varje specifik situation. Behovet av denna interaktion blir ännu ytterligare om man tänker på att leverantörer av annonsnätverk i princip är osynliga för de registrerade. Användarens interaktion sker istället med den besökta webbplatsen, dvs. utgivarens webbplats. Av detta skäl är det, ur användarens perspektiv, mer lättförståeligt att få informationen från utgivarens webbplats. Detta kan göras på olika sätt. Om utgivaren exempelvis tillhandahåller utrymme på webbplatsen, kan leverantören av annonsnätverket visa den nödvändiga informationen där. Dataskyddsmyndigheterna kommer i sitt arbete att överväga lämpliga medvetenhetshöjande åtgärder i fråga om dessa metoder och de registrerades rättigheter. 5. Andra skyldigheter och principer enligt direktiv 95/46/EG Utöver skyldigheterna enligt artikel 5.3 måste registeransvariga även uppfylla alla skyldigheter enligt direktiv 95/46/EG som inte överlappas av artikel 5.3 eller andra artiklar. De måste säkerställa följande: 5.1. Skyldigheter i fråga om speciella uppgiftskategorier Information som avslöjar ras eller etniskt ursprung, politiska åsikter, religiösa eller filosofiska uppfattningar, medlemskap i fackföreningar eller uppgifter rörande hälsa eller sexualliv anses känsliga enligt artikel 8 i direktiv 95/46/EG. Artikel 29-arbetsgruppen ser allvarliga risker för att enskilda personers personliga integritet kränks om denna typ av information används för att tillhandahålla beteendebaserad reklam. Alla målgruppsindelningar av registrerade som baseras på känslig information öppnar upp möjligheter för missbruk. Dessutom, med tanke på denna informations känslighet och de besvärliga situationer som kan uppstå om personer 41 Dessutom konstaterar artikel 29-arbetsgruppen att utgivare enligt generella rättsprinciper (kontrakts- och skadeståndslagar) liksom konsumentskyddslagar rörande företags agerande gentemot kunder kan vara skyldiga att informera de registrerade i de fall då informationsbehandlingen och registreringen äger rum som ett resultat av deras åtgärd att skicka den registrerade vidare till leverantören av annonsnätverket. 20