ARTIKEL 29 ARBETSGRUPPEN FÖR UPPGIFTSSKYDD

Transkript

1 ARTIKEL 29 ARBETSGRUPPEN FÖR UPPGIFTSSKYDD 00737/SV WP 148 Yttrande 1/2008 om dataskyddsfrågor med anknytning till sökmotorer Avgivet den 4 april 2008 Denna arbetsgrupp inrättades genom artikel 29 i direktiv 95/46/EG. Den är ett oberoende rådgivande EU-organ för uppgiftsskydd och integritetsskydd. Arbetsuppgifterna finns beskrivna i artikel 30 i direktiv 95/46/EG och artikel 15 i direktiv 2002/58/EG. För sekretariatet svarar direktorat C (Civilrättsliga frågor, grundläggande rättigheter och medborgarskap) vid Europeiska kommissionens generaldirektorat för rättvisa, frihet och säkerhet, B-1049 Bryssel, Belgien, Kontor LX-46 06/80. Webbplats:

2 Innehåll SAMMANFATTNING INLEDNING DEFINITION AV EN SÖKMOTOR OCH AFFÄRSMODELL VILKA SLAGS UPPGIFTER? RÄTTSLIG RAM Registeransvariga för användaruppgifter Den grundläggande rättigheten respekt för privatlivet Tillämplighet för direktiv 95/46/EG (dataskyddsdirektivet) Tillämplighet för direktiv 2002/58/EG (direktivet om integritetsskydd) och direktiv 2006/24/EG (direktivet om lagring av uppgifter) Innehållsleverantörer Yttrandefrihet och rätten till privatliv Dataskyddsdirektivet BEHANDLINGENS LAGLIGHET Ändamål/skäl som har angetts av sökmotorleverantörerna Arbetsgruppens analys av ändamålen och skälen Frågor som industrin behöver lösa SKYLDIGHET ATT INFORMERA REGISTRERADE DE REGISTRERADES RÄTTIGHETER SLUTSATSER BILAGA 1 EXEMPEL PÅ UPPGIFTER SOM BEHANDLAS AV SÖKMOTORER SAMT TERMINOLOGI BILAGA

3 SAMMANFATTNING Sökmotorer har blivit en del av det dagliga livet för dem som använder Internet och informationsåtervinningsteknik. Artikel 29-arbetsgruppen bekräftar att sökmotorerna är användbara och viktiga. I detta yttrande identifierar arbetsgruppen en tydlig uppsättning ansvarsområden enligt direktivet om skydd av personuppgifter (95/46/EG) för leverantörer av sökmotorer i egenskap av registeransvariga (controllers) för användaruppgifter. Som leverantörer av innehållsdata (dvs. register över sökresultat) gäller EU:s lagstiftning om skydd av personuppgifter även för sökmotorleverantörer i särskilda situationer, till exempel om de erbjuder en cache-tjänst eller specialiserar sig på att skapa profiler för enskilda personer. Den huvudsakliga målsättningen med yttrandet är att göra en avvägning mellan sökmotorföretagens legitima affärsbehov och skyddet av personuppgifter för Internetanvändare. I yttrandet diskuteras definitionen av en sökmotor, det slags uppgifter som behandlas i samband med tillhandahållandet av söktjänster, den rättsliga ramen, skäl till berättigad behandling av uppgifter, skyldigheten att informera de registrerade och de registrerades rättigheter. En central slutsats i yttrandet är att dataskyddsdirektivet i regel gäller vid behandling av personuppgifter av sökmotorer, även när leverantörens huvudkontor finns beläget utanför Europeiska ekonomiska samarbetsområdet (EES), och att sökmotorleverantörerna följaktligen är skyldiga att klargöra sin roll inom EES och omfattningen av sin ansvarsskyldighet enligt direktivet. Det betonas tydligt att direktivet om lagring av uppgifter (2006/24/EG) inte är tillämpligt på leverantörer av sökmotorer. I yttrandet dras slutsatsen att personuppgifter endast får behandlas för berättigade ändamål. Sökmotorleverantörer måste utplåna eller oåterkalleligt anonymisera personuppgifter så snart de inte längre tjänar det angivna och berättigade ändamål som de samlades in för, och ska alltid kunna motivera lagringen av och livslängden hos kakor (cookies). Användarens samtycke måste inhämtas för all planerad korsanvändning av användaruppgifter och för att komplettera uppgifter i användarprofiler. Sökmotorleverantören måste respektera att utgivare inte vill att deras webbsidor ska omfattas av en sökmotor, och krav från användare på uppdatering/aktualisering av cachar måste uppfyllas omedelbart. Arbetsgruppen erinrar om att leverantörer av sökmotorer är skyldiga att tydligt och öppet informera användarna om alla avsedda användningsområden för deras uppgifter och att respektera deras rätt att enkelt få tillgång till, granska eller rätta sina personuppgifter i enlighet med artikel 12 i dataskyddsdirektivet (95/46/EG). -3-

4 ARBETSGRUPPEN FÖR SKYDD AV ENSKILDA MED AVSEENDE PÅ BEHANDLING AV PERSONUPPGIFTER som inrättats genom Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober , HAR AVGETT DETTA YTTRANDE med beaktande av artiklarna 29, 30.1a och 30.3 i det direktivet och artikel 15.3 i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002, med beaktande av artikel 255 i EG-fördraget och Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamentets, rådets och kommissionens handlingar, och med beaktande av sin arbetsordning. 1. INLEDNING Leverantörer av sökmotorer på webben fyller en central roll i informationssamhället som mellanhänder. Arbetsgruppen inser behovet och nyttan av sökmotorer och bekräftar deras bidrag till informationssamhällets utveckling. För de oberoende dataskyddsmyndigheterna i EES-området avspeglas sökmotorernas allt större betydelse när det gäller skyddet av personuppgifter i det ökande antal klagomål som mottas från enskilda personer (registrerade) om eventuella överträdelser av deras rätt till privatliv. En markant ökning av antalet förfrågningar från både registeransvariga och pressen om hur söktjänster påverkar skyddet av personuppgifter har även noterats. Klagomålen från registrerade och registeransvariga och pressens frågor avspeglar de två olika roller som sökmotorleverantörer spelar när det gäller personuppgifter. För det första samlar sökmotorer in och behandlar enorma mängder användaruppgifter i sin roll som leverantörer av tjänster till användarna, däribland uppgifter som samlas in med tekniska hjälpmedel, såsom kakor. De insamlade uppgifterna kan sträcka sig från enskilda användares IP-adresser till utförlig sökhistorik eller uppgifter som användarna själva lämnar när de registrerar sig för att använda personligt anpassade tjänster. Insamlingen av användaruppgifter ger upphov till många frågor. Efter AOL-målet blev den bredare allmänheten medveten om hur känslig den personliga information som finns i en söklogg är. 2 Arbetsgruppen anser att sökmotorleverantörerna i sin roll som insamlare av användaruppgifter hittills inte har gett användarna av deras tjänster någon tillräcklig redogörelse för vilka åtgärder som vidtas och varför. 1 2 EGT L 281, , s. 31, Under sommaren 2006 publicerade denna tjänsteleverantör ett urval sökningar och resultat för cirka användare under en period på 3 månader. Även om AOL hade ersatt användarnas namn med siffror upptäckte journalister att dessa resultat ofta kunde spåras till enskilda användare, inte bara på grund av så kallade vanity searches (när personer söker information om sig själva), utan även genom att kombinera flera sökningar av en enskild användare. -4-

5 För det andra bidrar sökmotorföretagen i sin roll som innehållsleverantörer till att göra publikationer på Internet lätt tillgängliga för en världsomfattande publik. En del sökmotorer lagrar uppgifter för senare visning i en ögonblicksbild, en så kallad cache. Genom att hämta och gruppera många olika typer av information om en enda person kan sökmotorer skapa en ny bild, med mycket högre risk för den registrerade än om varje uppgiftspost som läggs ut på Internet förblir separat. Sökmotorers möjligheter att återge och samla in uppgifter kan avsevärt påverka individen, både i privatlivet och i samhället, särskilt om personuppgifterna i sökresultaten är felaktiga, ofullständiga eller överdrivna. Den internationella arbetsgruppen för dataskydd inom telekommunikation 3 antog den 15 april 1998 en gemensam ståndpunkt om skydd av privatlivet och sökmotorer, som reviderades den 6 7 april I sin gemensamma ståndpunkt uttryckte arbetsgruppen oro över att sökmotorer gör det möjligt att skapa profiler för fysiska personer. I ståndpunkten beskrivs hur vissa sökmotoraktiviteter kan hota enskilda personers privatliv och att all slags personlig information som läggs ut på en webbplats kan användas av tredje part för att skapa profiler. Dessutom antogs vid den 28:e International Data Protection and Privacy Commissioners Conference i London den 2 3 november 2006 en resolution om skydd av privatlivet och sökmotorer 5. I resolutionen uppmanas leverantörer av söktjänster att respektera bestämmelser om skydd av privatlivet i många länders nationella lagstiftningar och i internationella policydokument och avtal och ändra sin praxis därefter. I resolutionen behandlas ett antal oroande frågor när det gäller serverloggar, kombinerade sökningar och lagring av dessa uppgifter samt detaljerad profilering av användare. 2. DEFINITION AV EN SÖKMOTOR OCH AFFÄRSMODELL Generellt sett är sökmotorer tjänster som hjälper användarna att finna information på webben. De kan särskiljas med utgångspunkt i de olika typer av uppgifter som de har som mål att samla in, inklusive bilder och/eller videor och/eller ljud eller olika slags format. Ett nytt utvecklingsområde är sökmotorer som är särskilt utformade för att skapa profiler av personer på grundval av personuppgifter som hittats var som helst på nätet. I samband med direktivet om elektronisk handel (2000/31/EG) har sökmotorer betecknats som en typ av informationssamhällets tjänster 6, nämligen verktyg för informationssökning. 7 Arbetsgruppen använder denna kategorisering som en utgångspunkt Dataskyddsansvariga från olika länder har tagit initiativet till arbetsgruppen för att förbättra integritetsoch uppgiftsskyddet inom telekommunikation och medier. Sökmotorer på Internet omfattas av EU-lagstiftningen om informationssamhällets tjänster och definieras i artikel 2 i direktiv 2000/31/EG. I denna artikel hänvisas till direktiv 98/34/EG, där begreppet informationssamhällets tjänster definieras. Se artikel 21.2 tillsammans med skäl 18 i direktivet om elektronisk handel (2000/31/EG). -5-

6 I detta yttrande inriktar sig arbetsgruppen främst på leverantörer av sökmotorer som följer den dominerande affärsmodellen för sökmotorer, som baseras på annonsering. Detta omfattar alla de stora välkända sökmotorerna samt specialiserade sökmotorer, som sökverktyg som inriktas på personlig profilering och metasökmotorer, som presenterar och eventuellt omgrupperar resultat från andra befintliga sökmotorer. Sökverktyg på webbplatser som endast används för att söka i webbplatsens egen domän behandlas inte i detta yttrande. Lönsamheten hos dessa sökmotorer beror i allmänhet på hur effektiv den annonsering som är kopplad till sökresultaten är. Intäkterna genereras i de flesta fall genom en betala per klick -metod. Enligt denna modell debiterar sökmotorföretaget det annonserande företaget varje gång en användare klickar på en sponsrad länk. Undersökningarna av sökresultatens precision och annonserna inriktas i stor utsträckning på rätt kontextualisering. För att sökmotorn ska producera de önskade resultaten och rikta in annonserna på lämpligt sätt för att optimera intäkterna, försöker sökmotorföretagen få så mycket insikt som möjligt i karakteristiken och sammanhanget för varje enskild sökning. 3. VILKA SLAGS UPPGIFTER? Sökmotorer behandlar många olika slags uppgifter. 8 En förteckning över de uppgifter som omfattas finns i bilagan. Loggfiler Loggfilerna för enskilda individers användning av en sökmotor är förutsatt att de inte har anonymiserats de viktigaste personuppgifter som behandlas av sökmotorleverantörerna. Uppgifter som beskriver hur tjänsten används delas in i olika kategorier: sökloggarna (innehåll i sökningen, datum, tid, källa (IP-adress och kaka), användarens preferenser och uppgifter om användarens dator), uppgifter om det innehåll som erbjudits (länkar och annonser som genereras av varje sökning) och uppgifter om användarens följande navigeringar (klickningar). Sökmotorerna kan också behandla operativa data som rör användaruppgifter, uppgifter om registrerade användare och uppgifter från andra tjänster och källor, såsom e-post, skrivbordssökningar och annonsering på tredje parters webbplatser. IP-adresser En sökmotorleverantör kan koppla ihop olika sökningar och söksessioner som härrör från en enda IP-adress. 9 På så vis är det möjligt att spåra och korrelera alla webbsökningar från en enda IP-adress, om sökningarna loggas. Identifieringen kan förbättras om IP-adressen korreleras med en användarunik ID-kaka som distribueras av sökmotorföretaget, eftersom denna kaka inte kommer att ändras när IP-adressen ändras. IP-adresserna kan även användas som lokaliseringsinformation, även om sådan information ofta kan vara inaktuell. 8 9 Ett av de hjälpmedel som Artikel 29-arbetsgruppen använde var ett frågeformulär om sekretesspolicy. Frågeformuläret skickades till flera sökmotorföretag i medlemsstaterna och till ett antal USA-baserade sökmotorer. Svaren på frågeformuläret ligger delvis till grund för detta yttrande. Frågeformuläret bifogas yttrandet, se bilaga 2. Alltfler Internetleverantörer distribuerar fasta IP-adresser till enskilda användare. -6-

7 Webbkakor (cookies) Sökmotorn skapar ID-kakor som lagras i användarens dator. Innehållet i kakorna varierar från en sökmotor till en annan. De kakor som används av sökmotorer innehåller vanligen information om användarens operativsystem och webbläsare och ett unikt identifieringsnummer för varje användarkonto. Kakorna gör det möjligt att identifiera användaren mer exakt än IP-adressen. Om en dator till exempel delas av flera användare med separata konton har varje användare sin egen kaka som identifierar honom eller henne som användaren av datorn. När en dator har en dynamisk och variabel IP-adress och kakorna inte raderas i slutet av en session gör en sådan kaka det möjligt att spåra användaren från en IP-adress till nästa. En kaka kan även användas för att korrelera sökningar från flyttbara datorer, till exempel bärbara datorer, eftersom en användare har samma kaka på olika platser. Om flera datorer delar på en Internetanslutning (t.ex. en box eller en router med nätadressöversättning) är det slutligen möjligt att identifiera de olika datorernas enskilda användare med hjälp av en kaka. Sökmotorleverantörer använder kakor (vanligtvis beständiga kakor) för att förbättra kvaliteten på sina tjänster genom att lagra användarpreferenser och följa användartrender, till exempel hur sökningarna utförs. De flesta webbläsare programmeras för att tillåta kakor som standard, men det är möjligt att ändra inställningarna så att läsaren nekar alla kakor, endast accepterar sessionskakor eller anger när en kaka skickas. En del funktioner och tjänster kanske inte fungerar ordentligt om cookie-funktionen stängs av, och avancerade funktioner som omfattar hantering av kakor kan ibland vara svåra att konfigurera. Flash-cookies En del sökmotorer installerar flash cookies på användarens dator. För närvarande är det relativt svårt att radera detta slags kakor, t.ex. genom att använda raderingsverktyg som levereras som standard tillsammans med webbläsare. Flash cookies har till exempel använts för att backa upp normala webbkakor som är lätta att radera för användaren eller för att lagra utförlig information om användarnas sökningar (t.ex. alla webbförfrågningar som skickas till en sökmotor). 4. RÄTTSLIG RAM Registeransvariga för användaruppgifter Den grundläggande rättigheten respekt för privatlivet Skydd mot omfattande insamling och lagring av individers sökhistorik i en direkt eller indirekt identifierbar form omfattas av skydd enligt artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna. En individs sökhistorik ger ett fotavtryck av denna persons intressen, relationer och avsikter. Dessa uppgifter kan sedan utnyttjas, både för kommersiella syften och som ett resultat av förfrågningar och fiske efter uppgifter och/eller data mining av rättsvårdande myndigheter eller nationella underrättelsetjänster. -7-

8 Följande anges i skäl 2 i direktiv 95/46/EG: Systemen för databehandling av uppgifter är till för människornas skull. Oavsett fysiska personers medborgarskap eller hemvist måste systemen respektera dessa personers grundläggande fri- och rättigheter särskilt rätten till privatlivet och bidra till ekonomiska och sociala framsteg, handelns utveckling och enskilda personers välfärd. Sökmotorer spelar en central roll som första kontaktpunkt för att få tillgång till information fritt på Internet. Fri tillgång till information är nödvändigt för att man ska kunna skapa sig en personlig åsikt i vår demokrati. Därför är artikel 11 i EU:s stadga om de grundläggande rättigheterna särskilt relevant: Var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning Tillämplighet för direktiv 95/46/EG (dataskyddsdirektivet) Artikel 29-arbetsgruppen har i tidigare arbetsdokument klargjort bestämmelserna om skydd av personuppgifter till följd av loggning av IP-adresser och användning av kakor inom ramen för informationssamhällets tjänster. I detta yttrande ges ytterligare vägledning om tillämpningen av definitionerna av personuppgifter och registeransvarig när det gäller sökmotorföretag. Söktjänster kan tillhandahållas via Internet inom EU/EES, från en plats utanför EU-/EES-medlemsstaterna eller från flera platser inom EU/EES och utomlands. Därför kommer även bestämmelserna i artikel 4 att diskuteras. Artikel 4 i dataskyddsdirektivet handlar om den nationella dataskyddslagstiftningens tillämplighet. Personuppgifter: IP-adresser och kakor I sitt yttrande (WP 136) om begreppet personuppgifter har arbetsgruppen klargjort definitionen av personuppgifter. 10 En individs sökhistorik utgör personuppgifter om den individ som uppgifterna gäller kan identifieras. Även om IP-adresser i de flesta fall inte är direkt identifierbara genom sökmotorer kan emellertid en tredje part identifiera individen. Internetleverantörer innehar IP-adressuppgifter. Rättsvårdande myndigheter och nationella säkerhetsmyndigheter kan få åtkomst till dessa uppgifter, och i några medlemsstater har även privata parter fått åtkomst genom civilrättsliga processer. I de flesta fall bland annat vid dynamisk tilldelning av IP-adresser finns de uppgifter som krävs för att identifiera användaren/användarna av IP-adressen tillgängliga. Arbetsgruppen konstaterar följande i sitt yttrande WP 136: Om inte Internetleverantören med absolut säkerhet kan särskilja att uppgifterna svarar mot användare som inte kan identifieras måste den följaktligen behandla all IP-information som personuppgifter för att vara på den säkra sidan. Dessa överväganden gäller även för sökmotorföretag. 10 Arbetsdokument 136, -8-

9 Kakor När en kaka innehåller ett unikt användar-id står det klart att detta ID utgör personuppgifter. Användningen av beständiga kakor eller liknande funktioner med ett unikt användar-id gör det möjligt att spåra användarna av en viss dator även när dynamiska IP-adresser används. 11 De uppgifter om sökbeteendet som genereras genom användning av sådana funktioner gör det möjligt att få reda på ännu mer om den berörda individens personliga karakteristik. Detta är i linje med logiken i den dominerande affärsmodellen på detta område. Registeransvariga En sökmotorleverantör som behandlar användaruppgifter, inklusive IP-adresser och/eller beständiga kakor som innehåller en unik identifierare, faller inom den egentliga räckvidden för definitionen av en registeransvarig, eftersom denna person i själva verket avgör ändamålen och metoderna för behandlingen. De stora sökmotorleverantörernas karaktär av multinationella företag som ofta har huvudkontor utanför EES, erbjuder tjänster över hela världen och har olika filialer och eventuellt tredje parter som är involverade i behandlingen av personuppgifter har gett upphov till en debatt om vem som ska anses vara registeransvarig för behandlingen av personuppgifter. Arbetsgruppen vill betona skillnaden mellan definitionerna i dataskyddslagstiftningen inom EES och frågan om huruvida lagstiftningen är tillämplig i en given situation. En sökmotorleverantör som behandlar personuppgifter, t.ex. loggar med personlig identifierbar sökhistorik, anses vara registeransvarig för dessa personuppgifter, oberoende av frågan om jurisdiktion. Artikel 4 i dataskyddsdirektivet/tillämplig lagstiftning Frågan om tillämplig lagstiftning behandlas i artikel 4 i dataskyddsdirektivet. Arbetsgruppen har lämnat ytterligare vägledning när det gäller artikel 4 i sitt arbetsdokument om den internationella tillämpningen av EU:s dataskyddslagstiftning när webbplatser utanför EU behandlar personuppgifter på Internet. 12 Denna bestämmelse bygger på två logiska grunder. Den första är att undvika luckor i gemenskapens dataskyddssystem och se till att det inte är möjligt att kringgå lagstiftningen. Den andra är att undvika möjligheten att en och samma databehandling kan styras av lagstiftningen i mer än en EU-medlemsstat. Till följd av den gränsöverskridande karaktären hos de dataflöden som sökmotorer ger upphov till tar arbetsgruppen särskilt upp båda dessa komplikationer. När det gäller sökmotorleverantörer som är etablerade i och tillhandahåller alla sina tjänster i en eller flera medlemsstater, råder det inget tvivel om att en sådan behandling av personuppgifter faller inom dataskyddsdirektivets tillämpningsområde. Det är viktigt att notera att dataskyddsbestämmelserna i detta fall inte begränsas till att omfatta registrerade personer inom en medlemsstats territorium eller med en viss nationalitet Arbetsdokument 136: I detta sammanhang bör det noteras att även om identifiering genom namnet i praktiken är det oftast förekommande så är ett namn i sig inte alltid nödvändigt för att identifiera en individ. Detta kan vara fallet när andra identifierare används för att särskilja någon. I datafiler för registrering av personuppgifter ges de registrerade personerna vanligen en unik identifierare för att undvika sammanblandning mellan två personer i filen. Arbetsdokument 56, -9-

10 När sökmotorleverantören är en registeransvarig som inte är etablerad inom EES finns det två fall där gemenskapslagstiftningen om dataskydd ändå gäller. För det första när sökmotorleverantören är etablerad i en medlemsstat, som i artikel 4.1 a. För det andra när sökmotorleverantören använder utrustning som befinner sig på en medlemsstats territorium, som i artikel 4.1 c. I det senare fallet måste sökmotorleverantören enligt artikel 4.2 utse en företrädare som är etablerad inom den berörda medlemsstatens territorium. Etablering på en medlemsstats territorium (EES) Enligt artikel 4.1 a ska en medlemsstats dataskyddslagstiftning tillämpas när viss databehandling utförs som ett led i verksamhet inom den medlemsstats territorium, där den registeransvarige är etablerad. En viss behandling av personuppgifter bör användas som utgångspunkt. När lagstiftningen tillämpas på en viss sökmotorleverantör vars huvudkontor är etablerat utanför EES måste frågan om huruvida behandlingen av användaruppgifter omfattar etableringar på en medlemsstats territorium besvaras. Som arbetsgruppen redan har påpekat i ett tidigare arbetsdokument 13 innebär begreppet etablering faktiskt utövande av en verksamhet genom en fast inrättning under obestämd tid, vilket ska avgöras enligt EG-domstolens rättspraxis. Den rättsliga formen för verksamheten ett lokalkontor, ett dotterbolag som är juridisk person eller en tredje parts företag är inte avgörande. Ett ytterligare krav är emellertid att behandlingen genomförs som ett led i verksamheten. Detta innebär att verksamheten även måste fylla en relevant funktion i en viss databehandling. Så är tydligt fallet när - ett företag är ansvarigt för relationerna med användarna av en sökmotor inom en viss jurisdiktion, - en sökmotorleverantör etablerar ett kontor i en medlemsstat (EES) och företaget är involverat i försäljning av målinriktade annonser till invånarna i denna stat, - en etablerad sökmotorleverantör följer domstolsbeslut och/eller begäran om tillämpning av lagen från behöriga myndigheter i en medlemsstat med avseende på användaruppgifter. Ansvaret för att klargöra graden av delaktighet i behandling av personuppgifter på en medlemsstats territorium ligger hos sökmotorleverantören. Om ett nationellt företag är involverat i behandlingen av användaruppgifter gäller artikel 4.1 a i dataskyddsdirektivet. Sökmotorleverantörer som inte är etablerade inom EES ska informera sina användare om de omständigheter där de är skyldiga att följa dataskyddsdirektivet, antingen genom etablering eller genom användning av utrustning. Användning av utrustning Sökmotorföretag som använder utrustning på en medlemsstats territorium (EES) för behandling av personuppgifter faller också inom tillämpningsområdet för medlemsstatens dataskyddslagstiftning. En medlemsstats dataskyddslagstiftning kommer fortfarande att gälla när den registeransvarige ( ) för behandling av personuppgifter använder databehandlad eller icke databehandlad utrustning som befinner sig på den 13 Arbetsdokument 56, s. 8,

11 nämnda medlemsstatens territorium, om inte sådan utrustning endast används för att låta uppgifter passera genom gemenskapen. När det gäller tillhandahållande av söktjänster utanför EU kan de datacentrum som är belägna inom en medlemsstats territorium användas för lagring och fjärrbehandling av personuppgifter. Annan slags utrustning kan vara persondatorer, terminaler och servrar. Användning av kakor och liknande programvarufunktioner av en Internetbaserad tjänsteleverantör kan också betraktas som användning av utrustning på en medlemsstats territorium, vilket innebär att den berörda medlemsstatens dataskyddslagstiftning är tillämplig. Denna fråga diskuteras i det ovannämnda arbetsdokumentet (56). Där anges att användarens dator [kan] betraktas som utrustning i den mening som avses i artikel 4.1 c i direktiv 95/46/EG. Den befinner sig på en medlemsstats territorium. Den registeransvarige beslutade att använda denna utrustning för ändamålet att behandla personuppgifter och, vilket har förklarats i föregående stycken, flera tekniska förfaranden äger rum som står utom den registrerades kontroll. Den registeransvarige förfogar över användarens utrustning och denna utrustning används inte enbart för att låta uppgifter passera genom gemenskapen. Slutsats I kombination innebär artikel 4.1 a och c i dataskyddsdirektivet att dessa bestämmelser gäller behandling av personuppgifter av sökmotorleverantörer i många fall, även när deras huvudkontor är belägna utanför EES. För att avgöra vilken nationell lagstiftning som gäller i ett visst fall krävs en närmare analys av omständigheterna i respektive fall. Arbetsgruppen förväntar sig att sökmotorleverantörerna kommer att bidra till denna analys genom att klargöra sina roller och verksamheter inom EES på lämpligt sätt. För multinationella sökmotorföretag gäller följande: - Medlemsstaten där sökmotorföretaget är etablerat ska tillämpa sin nationella dataskyddslagstiftning på behandlingen, enligt artikel 4.1 a. - Om sökmotorföretaget inte är etablerat i en medlemsstat ska den berörda medlemsstaten tillämpa sin nationella dataskyddslagstiftning på behandlingen, enligt artikel 4.1 c, om företaget använder databehandlad eller icke databehandlad utrustning som befinner sig på den nämnda medlemsstatens territorium 14 för behandling av personuppgifter (till exempel användning av en kaka). I vissa fall måste ett multinationellt sökmotorföretag följa flera olika dataskyddslagar till följd av bestämmelserna om tillämplig lagstiftning och den gränsöverskridande karaktären hos företagets behandling av personuppgifter: 14 Arbetsgruppen beaktar följande kriterier för att avgöra om artikel 4.1 c är tillämplig på användning av kakor. För det första gäller det den situation i vilken en leverantör av söktjänster är etablerad i en medlemsstat där artikel 4.1 a inte är tillämplig, eftersom denna etablering inte har en avsevärd inverkan på databehandlingen (till exempel en pressrepresentant). Andra kriterier är utveckling och/eller utformning av landsspecifika söktjänster, att Internetleverantören faktiskt är medveten om att kunderna är användare som finns i det landet samt har fördelen av att ha en varaktig andel av användarmarknaden i en viss medlemsstat. -11-

12 - En medlemsstat ska tillämpa sin nationella lagstiftning på en sökmotorleverantör som är etablerad utanför EES om leverantören använder utrustning. - En medlemsstat får inte tillämpa nationell lagstiftning på en sökmotorleverantör som är etablerad inom EES, i en annan jurisdiktion, även om leverantören använder utrustning. I sådana fall är det lagstiftningen i den medlemsstat där sökmotorleverantören är etablerad som gäller Tillämplighet för direktiv 2002/58/EG (direktivet om integritetsskydd) och direktiv 2006/24/EG (direktivet om lagring av uppgifter) Söktjänster i strikt bemärkelse omfattas vanligen inte av tillämpningsområdet för den nya rättsliga ramen för elektronisk kommunikation, där direktivet om integritetsskydd ingår. Enligt artikel 2 c i ramdirektivet (2002/21/EG), som innehåller några av de allmänna definitionerna för den rättsliga ramen, undantas uttryckligen tjänster som innefattar tillhandahållande eller utövande av redaktionellt ansvar över detta innehåll: Elektronisk kommunikationstjänst: en tjänst som vanligen tillhandahålls mot ersättning och som helt eller huvudsakligen utgörs av överföring av signaler i elektroniska kommunikationsnät, däribland teletjänster och överföringstjänster i nät som används för rundradio, men inte tjänster i form av tillhandahållande av innehåll som överförts med hjälp av elektroniska kommunikationsnät och kommunikationstjänster eller utövande av redaktionellt ansvar över detta innehåll. Den omfattar inte de av informationssamhällets tjänster enligt definitionen i artikel 1 i direktiv 98/34/EG som inte helt eller huvudsakligen utgörs av överföring av signaler i elektroniska kommunikationsnät. Sökmotorer omfattas därför inte av definitionen av elektroniska kommunikationstjänster. En sökmotorleverantör kan emellertid erbjuda tilläggstjänster som omfattas av definitionen av en elektronisk kommunikationstjänst, t.ex. allmänt tillgängliga e-posttjänster, som då omfattas av direktiv 2002/58/EG om integritetsskydd och direktiv 2006/24/EG om lagring av uppgifter. I artikel 5.2 i direktivet om lagring av uppgifter anges uttryckligen följande: Inga uppgifter som avslöjar kommunikationens innehåll får lagras i enlighet med detta direktiv. Sökningar bör i sig själva anses utgöra innehåll snarare än trafikuppgifter, och lagring av sådana uppgifter skulle därför inte vara motiverat enligt direktivet. Att hänvisa till direktivet om lagring av uppgifter i samband med lagring av serverloggar som skapas genom att erbjuda en sökmotortjänst är därför inte motiverat. Artikel 5.3 och artikel 13 i direktivet om integritetsskydd Vissa bestämmelser i direktivet om integritetsskydd. t.ex. artikel 5.3 (kakor och spionprogram) och artikel 13 (icke begärd kommunikation) är allmänna bestämmelser som inte bara är tillämpliga på elektroniska kommunikationstjänster utan även på alla andra tjänster när dessa tekniker används. Artikel 5.3 i direktivet om integritetsskydd, som ska läsas tillsammans med skäl 25 i samma direktiv, handlar om lagring av information på användares terminalutrustning. -12-

13 Användning av beständiga kakor med unika identifierare gör det möjligt att spåra och profilera användningen av en viss dator även när dynamiska IP-adresser används. I artikel 5.3 och skäl 25 i direktivet om integritetsskydd anges det uttryckligen att lagring av sådan information på användares terminalutrustning, dvs. kakor och liknande funktioner (kort sagt kakor), måste ske i enlighet med bestämmelserna i dataskyddsdirektivet. I artikel 5.3 i direktivet om integritetsskydd klargörs följaktligen skyldigheterna när det gäller användning av kakor av en av informationssamhällets tjänster till följd av dataskyddsdirektivet. 4.2 Innehållsleverantörer Sökmotorer behandlar information, däribland personuppgifter, genom att genomsöka, analysera och indexera webben och andra källor som de gör sökbara och därmed lätt tillgängliga genom dessa tjänster. En del söktjänster lagrar uppgifter för senare visning i en så kallad cache Yttrandefrihet och rätten till privatliv Arbetsgruppen är medveten om den särskilda roll som sökmotorer har i informationsmiljön på nätet. Det är nödvändigt att göra en avvägning mellan gemenskapens och de olika medlemsstaternas lagstiftning i fråga om dataskydd och rätten till privatliv och skyddet av personuppgifter å ena sidan och det fria informationsflödet och den grundläggande rätten till yttrandefrihet å andra sidan. Syftet med artikel 9 i dataskyddsdirektivet är att garantera att denna avvägning görs i fråga om medier i medlemsstaternas lagstiftning. Dessutom har EG-domstolen klargjort att begränsningar av yttrandefriheten som kan härröra från tillämpning av dataskyddsprinciper måste vara förenliga med lagstiftningen och respektera proportionalitetsprincipen Dataskyddsdirektivet Dataskyddsdirektivet innehåller ingen särskild hänvisning till behandling av personuppgifter av sådana av informationssamhällets tjänster som fungerar som mellanhänder för att välja ut innehåll. Dataskyddsdirektivets (95/46/EG) avgörande kriterium för dataskyddsbestämmelsernas tillämplighet är definitionen av den registeransvarige, framför allt huruvida en part ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Frågan om huruvida en mellanhand själv ska anses vara registeransvarig tillsammans med andra när det gäller en viss behandling av personuppgifter ska bedömas separat från frågan om ansvar för sådan behandling EG-domstolen har uttalat sig närmare om proportionaliteten i dataskyddsbestämmelsernas effekter, dvs. om yttrandefrihet, i sin dom i målet Lindqvist mot Sverige, punkterna En del medlemsstater har vissa horisontella undantag ( safe harbour-principerna ) när det gäller sökmotorleverantörers ansvar ( verktyg för informationssökning ). Direktivet om elektronisk handel (2000/31/EG) innehåller inga safe harbour-bestämmelser för sökmotorer, men i vissa medlemsstater -13-

14 Enligt proportionalitetsprincipen ska en sökmotorleverantör som endast agerar som mellanhand inte anses vara den som främst är registeransvarig när det gäller den innehållsrelaterade behandling av personuppgifter som genomförs. I detta fall är det informationsleverantörerna som i första hand är registeransvariga för personuppgifterna. 17 Den formella, rättsliga och praktiska kontroll som en sökmotorleverantör har över de berörda personuppgifterna begränsas vanligtvis till möjligheten att radera personuppgifter från sina servrar. När det gäller att radera personuppgifter från sina index och sökresultat har sökmotorleverantörerna däremot tillräcklig kontroll för att de ska anses vara registeransvariga (antingen ensamma eller tillsammans med andra) i sådana fall, men omfattningen av skyldigheten att radera eller blockera personuppgifter beror på den allmänna lagstiftning om huruvida sådan verksamhet är åtalbar och de bestämmelser om ansvarsskyldighet som gäller i medlemsstaten i fråga. 18 Ägare av webbplatser kan i förväg välja att sökmotorn och cache-funktionen inte ska innefatta webbplatsen genom att använda textfilen robots.txt eller Noindex/NoArchivetaggarna. 19 Det är mycket viktigt att sökmotorleverantörerna respekterar att webbredaktörer väljer att inte omfattas av sökmotorn. Detta kan meddelas innan den första genomsökningen av webbplatsen har gjorts eller när den redan har genomsökts. I det senare fallet bör uppdateringar av sökmotorn genomföras så snabbt som möjligt. Sökmotorföretag är inte alltid begränsade till en roll som mellanhänder. Vissa sökmotorer lagrar till exempel hela delar av webbinnehållet inklusive personuppgifterna i detta innehåll på sina servrar. Det är också oklart i vilken utsträckning sökmotorer aktivt inriktar sig på personligt identifierbar information i det innehåll de behandlar. Genomsökningar, analyser och indexering kan göras automatiskt utan att förekomsten av personlig identifierbar information avslöjas. Formatet för vissa typer av personligt identifierbar information, såsom personnummer, kreditkortsnummer, telefonnummer och e-postadresser, gör dessa uppgifter lätta att upptäcka. Men det finns även mer avancerad teknik som används alltmer av sökmotorleverantörer, såsom ansiktsigenkänningsteknik i samband med bildbehandling och bildsökning har sådana bestämmelser införts. Se Första rapporten om tillämpningen av Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster, särskilt elektronisk handel, på den inre marknaden ( Direktiv om elektronisk handel ), , KOM(2003)0702 slutlig, s. 13. Användarna av söktjänsten kan strängt taget också anses vara registeransvariga, men deras roll faller vanligen utanför tillämpningsområdet för direktivet som varande verksamhet av rent privat natur (se artikel 3.2, andra strecksatsen). En del medlemsstaters dataskyddsmyndigheter har särskilt reglerat sökmotorleverantörers ansvar för att radera innehållsdata från sökindex, på grundval av rätten att göra invändningar enligt artikel 14 i dataskyddsdirektivet (95/46/EG) och direktivet om elektronisk handel (2000/31/EG). Enligt sådan nationell lagstiftning är sökmotorleverantörer skyldiga att följa en policy om meddelande och radering liknande den som gäller för webbhostleverantörer för att inte vara ansvarsskyldiga. Detta kan vara mer än en frivillig lösning. Utgivare av personuppgifter måste ta hänsyn till frågan om huruvida den rättsliga grunden för publicering omfattar indexering av denna information av sökmotorer och vid behov skydda sig på lämpligt sätt mot detta, inklusive, men inte begränsat till, användning av textfilen robots.txt file och eller Noindex/NoArchive-taggar. -14-

15 Sökmotorleverantörer kan följaktligen behandla information på ett sätt som ger mervärde när det gäller egenskaper för eller typer av personuppgifter i den information som de behandlar. I sådana fall bär sökmotorleverantören enligt dataskyddslagstiftningen hela ansvaret för det innehåll som blir resultatet i anslutning till behandlingen av personuppgifter. Samma ansvarsskyldighet gäller för en sökmotorleverantör som säljer annonser som styrs av personuppgifter till exempel en persons namn. Cachefunktionen Cachefunktionen utgör en annan anledning till att ett sökmotorföretag kan överskrida sin roll som ren mellanhand. Den tidsperiod som innehållet i en cache får lagras bör begränsas till den tid som krävs för att lösa problem i samband med att en webbplats är tillfälligt oåtkomlig. Alla cacheperioder för personuppgifter på indexerade webbplatser utöver den tid det tar att se till att en webbplats är tekniskt tillgänglig bör betraktas som oberoende ompublicering. Arbetsgruppen anser att leverantörer av sådana cachefunktioner är ansvariga för att följa dataskyddslagstiftningen i sin roll som registeransvariga för de personuppgifter som cache-publikationerna innehåller. I situationer där originalpublikationen ändras, till exempel för att radera felaktiga personuppgifter, ska den registeransvariga för cachen omedelbart uppfylla en begäran om att uppdatera cachekopian eller tillfälligt blockera den till dess att webbplatsen har genomsökts av sökmotorn igen. 5. BEHANDLINGENS LAGLIGHET Enligt artikel 6 i dataskyddsdirektivet ska personuppgifter behandlas på ett korrekt och lagligt sätt, de ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och senare behandling får inte ske på ett sätt som är oförenligt med dessa ändamål. Dessutom måste de behandlade uppgifterna vara adekvata och relevanta och får inte omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och/eller för vilka de senare behandlas. För att behandling av personuppgifter ska vara laglig måste den uppfylla ett eller flera av de sex skäl till laglig behandling som anges i artikel 7 i samma direktiv Ändamål/skäl som har angetts av sökmotorleverantörerna Sökmotorleverantörerna har vanligen nämnt följande ändamål och skäl för att använda och lagra personuppgifter i sin roll som registeransvariga för användaruppgifter. Förbättra tjänsten Många registeransvariga använder serverloggar för att förbättra sina tjänster och kvaliteten på söktjänsterna. Enligt deras uppfattning är analyser av serverloggar ett viktigt redskap för att förbättra kvaliteten på sökningarna, resultaten och annonserna, och även för att eventuellt skapa nya tjänster i framtiden. -15-

16 Säkra systemet Serverloggar sägs bidra till att göra sökmotorerna säkra att använda. Några sökmotorleverantörer uppger att lagring av loggar kan bidra till att skydda systemet mot säkerhetsattacker och att de behöver ett tillräckligt stort urval av historiska serverlogguppgifter för att kunna upptäcka mönster och analysera säkerhetshot. Förhindra bedrägerier Serverloggar sägs bidra till att skydda sökmotorernas system och användarna mot bedrägerier och missbruk. Många sökmotorleverantörer tillämpar en betala per klick -mekanism för de annonser som visas. Nackdelen med detta är att företag kan debiteras felaktigt om en angripare använder automatisk programvara för att systematiskt klicka på annonserna. Sökmotorföretagen har uppmärksammat dessa problem och vidtar åtgärder för att försäkra sig om att de upptäcker och kan stoppa denna typ av beteende. Redovisningskrav åberopas som ett skäl när det gäller tjänster som klickningar på sponsrade länkar, där det finns en avtals- och redovisningsmässig skyldighet att lagra uppgifter, åtminstone till dess att fakturorna betalats och perioden för överklagande har löpt ut. Personanpassad annonsering Sökmotorleverantörerna strävar efter att personanpassa annonseringen för att öka sina intäkter. De metoder som används för närvarande går bland annat ut på att se på sökhistorik, kategorisera användare och tillämpa geografiska kriterier. På så vis kan man visa personanpassade annonser som bygger på användarnas beteende och IP-adresser. Statistik samlas in av vissa sökmotorleverantörer för att undersöka användarkategorier, vilket slags information de söker och vilken tid på året som sökningarna görs. Dessa uppgifter kan sedan användas för att förbättra tjänsten, rikta annonser mot rätt kundgrupp och även för kommersiella ändamål för att räkna ut kostnader för företag som vill annonsera sina produkter. Brottsbekämpning En del leverantörer förklarar att loggar är ett viktigt redskap för brottsbekämpning, och att de kan användas för att utreda och åtala allvarliga brott, såsom utnyttjande av barn Arbetsgruppens analys av ändamålen och skälen Sökmotorleverantörerna lämnar i allmänhet inte någon omfattande översikt över de angivna, uttryckliga och berättigade skälen till att de behandlar personuppgifter. För det första är några skäl, som att förbättra tjänsten eller erbjuda personanpassad annonsering alltför allmänt uttryckta för att det ska vara möjligt att på lämpligt sätt bedöma om de är berättigade. För det andra anger sökmotorleverantörerna många olika skäl till behandlingen, och det går inte att utläsa i vilken utsträckning uppgifterna behandlas på nytt av ett annat skäl som inte är förenligt med det ändamål som uppgifterna ursprungligen samlades in för. Insamling och behandling av personuppgifter kan ske av ett eller flera berättigade skäl. Det finns tre skäl som sökmotorleverantörerna kan hänvisa till för olika ändamål. -16-

17 - Samtycke artikel 7 a i dataskyddsdirektivet De flesta sökmotorleverantörer erbjuder både oregistrerad och registrerad åtkomst till tjänsten. I det senare fallet, till exempel om en användare har skapat ett särskilt användarkonto, kan samtycke 20 användas som ett berättigat skäl till behandling av vissa noggrant angivna kategorier av personuppgifter, däribland lagring av uppgifter under en begränsad tidsperiod. Bestämmelsen om samtycke kan inte tillämpas för anonyma användare av tjänsten och för de personuppgifter som samlas in från användare som inte har valt att verifiera sig själva frivilligt. Dessa uppgifter får inte behandlas eller lagras för något annat ändamål än för att agera med anledning av en särskild begäran med en förteckning över sökresultat. - Behandlingen är nödvändig för att fullgöra ett avtal artikel 7 b i dataskyddsdirektivet Behandling av personuppgifter kan också vara nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. Denna rättsliga grund kan användas av sökmotorleverantörer för att samla in personuppgifter som användaren lämnar frivilligt för att registrera sig för en viss tjänst, t.ex. ett användarkonto. Denna grund kan också, precis som samtycke, användas för behandling av vissa noggrant angivna kategorier av personuppgifter från verifierade användare för noggrant angivna berättigade ändamål. Många Internetföretag hävdar också att en användare i själva verket ingår en avtalsförbindelse när han eller hon använder tjänster som erbjuds på företagets webbplats, såsom ett sökformulär. Ett sådant allmänt antagande uppfyller emellertid inte den strikta begränsningen av nödvändig användning enligt direktivets krav Behandlingen är nödvändig för ändamål som rör berättigade intressen hos den registeransvarige artikel 7 f i dataskyddsdirektivet Enligt artikel 7 f i dataskyddsdirektivet kan behandling vara nödvändig för ändamål som rör berättigade intressen hos den registeransvarige eller hos den eller de tredje män till vilka uppgifterna har lämnats ut, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd under artikel 1.1. Förbättringar av tjänsterna Flera sökmotorleverantörer lagrar innehållet i användarnas sökningar i sina serverloggar. Sådan information är ett viktigt verktyg för leverantörerna eftersom den ger dem möjlighet att förbättra sina tjänster genom att analysera det slags sökningar som användarna gör, hur de väljer att förfina sökningarna och de sökresultat som de väljer att I artikel 2 h i dataskyddsdirektivet anges följande: den registrerades samtycke: varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom. I artikel 7 b i direktivet anges följande: behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. -17-

18 följa upp. Arbetsgruppen anser emellertid att sökningar inte måste hänföras till identifierade individer för att de ska kunna användas för att förbättra söktjänster. För att korrelera enskilda användares sökningar (och på så vis till exempel ta reda på om de förslag som sökmotorn ger är användbara) är det endast nödvändigt att kunna särskilja en enda användares sökning från andra, det är inte nödvändigt att identifiera dessa användare. En sökmotorleverantör kan till exempel vilja veta att användare X sökte på ordet Woodhouse och sedan också valde att klicka på resultaten för den föreslagna stavningsvarianten Wodehouse, men den behöver inte veta vem användare X är. Förbättringar av tjänsten kan därför inte anses vara ett berättigat skäl till att lagra uppgifter som inte har anonymiserats. Systemsäkerhet Sökmotorleverantörer kan anse att behovet av att upprätthålla säkerheten i sitt system utgör ett berättigat intresse och adekvata skäl för att behandla personuppgifter. Alla personuppgifter som lagras av säkerhetsskäl måste emellertid vara strikt begränsade i fråga om ändamålet. Därför får uppgifter som lagras av säkerhetsskäl exempelvis inte användas för att optimera en tjänst. Sökmotorleverantörerna hävdar att serverloggar måste lagras under en rimlig tidsperiod (antalet månader varierar mellan leverantörerna) för att man ska kunna upptäcka mönster för användarbeteende och på så vis kunna identifiera och förhindra överbelastningsangrepp ( DoS-attacker ) och andra säkerhetshot. Alla leverantörer som hänvisar till sådana skäl måste utförligt motivera den lagringsperiod som de tillämpar för detta ändamål, vilken beror på hur nödvändig behandlingen av dessa uppgifter är. Förhindra bedrägerier Sökmotorleverantörer kan också ha ett berättigat intresse av att upptäcka och förhindra bedrägerier,.t.ex. klickbedrägerier. Precis som när det gäller säkerhetsskäl är dock mängden lagrade och behandlade personuppgifter samt den tidsperiod som uppgifterna lagras av detta skäl beroende av om uppgifterna verkligen är nödvändiga för att upptäcka och förhindra bedrägerier. Redovisning Redovisningskrav kan inte motivera systematisk loggning av normala sökmotorsuppgifter där användaren inte har klickat på en sponsrad länk. På grundval av de upplysningar som sökmotorföretagen har lämnat som svar på frågeformuläret hyser arbetsgruppen även allvarliga tvivel om huruvida personuppgifter om användare av sökmotorer verkligen är nödvändiga av redovisningsskäl. Denna fråga måste undersökas närmare innan några definitiva slutsatser kan dras. I alla händelser uppmanar arbetsgruppen sökmotorleverantörerna att utveckla redovisningsmekanismer som bättre uppfyller sekretesskraven, till exempel genom att använda anonymiserade uppgifter. Personanpassad annonsering Sökmotorleverantörer som vill tillhandahålla personanpassad annonsering för att öka sina intäkter kan finna ett skäl till berättigad behandling av vissa personuppgifter i artikel 7 a (samtycke) eller 7 b (fullgörande av ett avtal) i direktivet, men det är svårt att finna ett berättigat skäl för insamling av personuppgifter från användare som inte särskilt har registrerat sig på grundval av uttrycklig information om ändamålet för behandlingen. Arbetsgruppen föredrar helt klart anonymiserade uppgifter. -18-

19 Brottsbekämpning och domstolsbeslut Rättsvårdande myndigheter kan ibland begära att få tillgång till användaruppgifter från sökmotorer för att upptäcka eller förhindra brott. Privata parter kan också försöka få ett domstolsbeslut om att en sökmotorleverantör ska lämna ut användaruppgifter. När en sådan begäran sker enligt lagliga rättsliga förfaranden och leder till en laglig domstolsbegäran måste sökmotorleverantörerna naturligtvis efterkomma den och lämna ut de nödvändiga upplysningarna. Detta ska emellertid inte förväxlas med en rättslig skyldighet eller motivering för att lagra sådana uppgifter enbart för dessa ändamål. Om sökmotorföretagen har tillgång till stora mängder personuppgifter kan de rättsvårdande myndigheterna och andra parter uppmuntras att utöva sina rättigheter oftare och mer intensivt, vilket i sin tur kan leda till ett minskat konsumentförtroende Frågor som industrin behöver lösa Lagringsperioder Om den behandling som utförs av sökmotorleverantören omfattas av nationell lagstiftning måste leverantören följa både sekretessnormerna och de lagringsperioder som föreskrivs i den medlemsstatens lagstiftning. Om personuppgifter lagras får lagringsperioden inte vara längre än vad som är nödvändigt för de särskilda ändamålen för behandlingen. Personuppgifterna kan därför raderas när en söksession har avslutats, och fortsatt lagring kräver följaktligen en adekvat motivering. En del sökmotorföretag verkar emellertid lagra uppgifter på obestämd tid, vilket är förbjudet. En begränsad lagringstid bör fastställas för varje ändamål. Dessutom får uppsättningen lagrade personuppgifter inte omfatta mer än vad som är nödvändigt med hänsyn till varje ändamål. I praktiken lagrar de stora sökmotorleverantörerna uppgifter om sina användare i personligt identifierbar form i över ett år (den exakta längden varierar). Arbetsgruppen välkomnar att de stora sökmotorföretagen nyligen förkortade sina lagringstider. Det faktum att de ledande företagen har kunnat förkorta sina lagringstider antyder emellertid att de tidigare lagringstiderna var längre än nödvändigt. Med tanke på de första förklaringarna från sökmotorleverantörerna om de möjliga ändamålen för att insamling av personuppgifter ser inte arbetsgruppen något skäl till att lagringsperioden ska vara längre än sex månader. 22 Lagringen av personuppgifter och motsvarande lagringsperiod måste emellertid alltid vara berättigad (vilket ska styrkas med konkreta och relevanta argument) och minskas till ett minimum för att förbättra insynen, garantera rättvis behandling och säkra proportionalitet i förhållande till det ändamål som gör lagringen berättigad. 22 Tidigare radering av personuppgifter kan krävas enligt nationell lagstiftning. -19-

20 Därför uppmanar arbetsgruppen sökmotorleverantörerna att tillämpa principen om privacy by design, som kommer att bidra till att lagringsperioderna kan förkortas ytterligare. Arbetsgruppen anser dessutom att förkortade lagringsperioder kommer att öka användarnas förtroende för tjänsten, vilket utgör en viktig konkurrensfördel. Sökmotorföretag som lagrar personuppgifter längre än sex månader måste utförligt kunna bestyrka att detta är absolut nödvändigt för tjänsten. Sökmotorleverantörerna måste alltid informera användarna om den policy de tillämpar för lagring av alla typer av personuppgifter som företaget behandlar. Ytterligare behandling för olika ändamål Omfattningen av närmare analyser av användaruppgifter, hur dessa analyser görs och huruvida (detaljerade) användarprofiler skapas eller inte beror på sökmotorleverantören. Arbetsgruppen är medveten om att denna typ av ytterligare behandling av personuppgifter eventuellt berör ett centralt område när det gäller innovation av sökmotortekniken och att detta kan vara mycket viktigt av konkurrensskäl. Fullständig insyn i ytterligare användning och analys av användaruppgifter kan även leda till att söktjänsterna blir mer sårbara för missbruk. Sådana hänsynstaganden kan emellertid inte användas som en ursäkt för att inte följa medlemsstaternas tillämpliga dataskyddslagstiftning. Sökmotorleverantörer kan inte heller hävda att ändamålet för att samla in personuppgifter är att utveckla tjänster vars form inte har bestämts ännu. Rättvisan kräver att de registrerade är medvetna om hur stora ingrepp i deras privatliv som kan ske när deras personuppgifter inhämtas. Detta kommer inte att vara möjligt om inte ändamålen definieras mer exakt. Kakor Beständiga kakor som innehåller ett unikt användar-id utgör personuppgifter och omfattas därför av tillämplig dataskyddslagstiftning. Ansvaret för behandlingen av dessa uppgifter kan inte begränsas till att användaren är ansvarig för att vidta, eller inte vidta, vissa försiktighetsåtgärder när det gäller webbläsarinställningarna. Det är sökmotorleverantören som bestämmer om en kaka ska lagras, vilken typ av kaka det rör sig om och för vilka ändamål kakan ska användas. Slutligen förefaller de förfallodatum som vissa sökmotorleverantörer fastställer för sina kakor vara alltför långa. Flera företag fastställer datum för kakorna som löper ut efter många år. När en kaka används bör även en lämplig tidsbegränsning fastställas för kakan, både för att möjliggöra en förbättrad upplevelse på nätet och en begränsad varaktighet för kakan. Det är mycket viktigt att användarna får fullständig information om användning och effekter av kakor, särskilt med tanke på hur webbläsarnas standardinställningar är utformade. Denna information bör vara mer synlig och inte bara ingå i en sökmotorleverantörs sekretesspolicy, som kanske inte finns omedelbart tillgänglig. Anonymisering Om det inte finns något berättigat skäl för behandling eller för användning utöver noggrant angivna berättigade ändamål måste sökmotorleverantörerna radera personuppgifterna. De kan emellertid välja att anonymisera uppgifterna i stället för att radera dem, men en sådan anonymisering måste vara fullständigt oåterkallelig för att dataskyddsdirektivet inte längre ska vara tillämpligt. -20-