ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE

Transkript

1 ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE 00737/DA WP 148 Udtalelse nr. 1/2008 om databeskyttelsesproblemer i forbindelse med søgemaskiner vedtaget den 4. april 2008 Arbejdsgruppen er nedsat på grundlag af artikel 29 I direktiv 95/46/EF. Den fungerer som en uafhængig europæisk rådgivningsinstans vedrørende databeskyttelse og beskyttelse af privatlivets fred. Gruppens arbejdsopgaver er fastsat i artikel 30 i direktiv 95/46/EF og artikel 15 i direktiv 2002/58/EF. Sekretariatsfunktionen varetages af direktorat C (Civilret, grundlæggende rettigheder og EU-borgerskab) i Kommissionen, Generaldirektoratet for Retfærdighed, Frihed og Sikkerhed, B-Bruxelles, Belgien, kontor LX-46 06/80. Website:

2 Indholdsfortegnelse Sammendrag INDLEDNING SØGEMASKINER - DEFINITION OG FORRETNINGSMODEL HVAD SLAGS DATA? RETSGRUNDLAG Forvaltere af brugerdata Privatlivets fred - en grundlæggende rettighed Hvornår direktiv 95/46/EF (databeskyttelsesdirektivet) kan bringes i anvendelse Hvor gælder direktiv 2002/58/EF og direktiv 2006/24/EC? Leverandører af indholdsdata Ytringsfrihed og privatlivets fred Databeskyttelsesdirektivet DATABEHANDLINGENS LOVLIGHED Søgemaskineudbydernes argumentation Arbejdsgruppens analyse af udbydernes argumentation Forskellige problemer som branchen må løse PLIGTEN TIL AT INFORMERE DATASUBJEKTER DATASUBJEKTETS RETTIGHEDER KONKLUSIONER Bilag 1 EKSEMPLER PÅ DATA, DER BEARBEJDES AF SØGEMASKINER - TERMINOLOGI Bilag

3 SAMMENDRAG Søgemaskiner er blevet en fast bestanddel af hverdagen for alle, der benytter internettet til informationssøgning. Artikel 29-databeskyttelsesgruppen er enig i, at søgemaskiner er nyttige, og erkender deres betydning. I denne udtalelse undersøger arbejdsgruppen, hvilket ansvar søgemaskineudbydere har i deres egenskab af forvaltere af brugerdata (i direktivet kaldet "registeransvarlig") ifølge databeskyttelsesdirektivet (95/46/EF). I visse tilfælde finder EU's databeskyttelseslovgivning også anvendelse på søgemaskineudbydere, der fungerer som udbydere af indholdsdata (dvs. søgeresultatoversigter), f.eks. hvor de tilbyder en cacheservice eller er specialiseret i opbygning af personprofiler. Den overordnede målsætning i udvalgets arbejde har været at finde en rimelig balance mellem søgemaskineudbydernes legitime erhvervsinteresser og beskyttelsen af internetbrugernes personlige oplysninger. Arbejdsgruppen gør i denne udtalelse rede for, hvad der forstås ved søgemaskiner, hvilke data der bearbejdes som led i udbydelsen af søgetjenester, hvad retsgrundlaget er, hvilke formål/årsager der kan lægges til grund for legitim databearbejdning, hvordan datasubjekter (i direktivet benævnt "de registrerede") skal informeres, og hvilke rettigheder de har. Gruppens vigtigste konklusion er, at databeskyttelsesdirektivet generelt er gældende i tilfælde, hvor søgemaskineudbydere behandler personoplysninger, og det også i tilfælde hvor udbyderen har hovedsæde uden for EØS, og at det påhviler søgemaskineudbydere selv at afklare, hvilken status de har i EØS, og hvilket ansvar de har ifølge direktivet. Det fremhæves endvidere klart i udtalelsen, at søgemaskineudbydere ikke er omfattet af databeskyttelsesdirektivet (2006/24/EF). Gruppen konkluderer, at personoplysninger kun må bearbejdes, når dette sker med et lovligt formål for øje. Søgemaskineudbydere har pligt til at sørge for, at personoplysninger slettes eller irreversibelt anonymiseres, når de ikke længere tjener det specifikke og legitime formål, de er indsamlet til, og de skal til enhver tid kunne oplyse grunden til, at der lagres cookies, og disses udløbsfrist. Brugernes samtykke skal indhentes forud for enhver form for krydskombination af brugerdata og brugerdataforædling. Hvis en netstedsredaktør har fravalgt indeksering (opt-out), skal dette fravalg respekteres af søgemaskinen, og anmodninger fra brugerne om opdatering/genopfriskning af cache-lagre skal straks imødekommes. Arbejdsgruppen erindrer om, at søgemaskineudbydere har pligt til fra første færd at underrette brugeren, hvis de har planer om udnyttelse af dennes data, og pligt til at respektere brugerens ret til nemt at få adgang til, inspicere og korrigere personoplysninger, jf. artikel 12 i databeskyttelsesdirektivet (95/46/EF). -3-

4 ARBEJDSGRUPPEN FOR PERSONBESKYTTELSE I FORBINDELSE MED BEARBEJDNING AF PERSONOPLYSNINGER som blev nedsat ved Europa-Parlamentets og Rådets direktiv (95/46/EF) af 24. oktober , som henviser til artikel 29 og artikel 30, stk. 1, litra a), og stk. 3, i nævnte direktiv og artikel 15, stk. 3, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002, som henviser til artikel 255 i EF-traktaten og Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001 af 30. maj 2001 om aktindsigt i Europa-Parlamentets, Rådets og Kommissionens dokumenter, og som henviser til sin forretningsorden, HAR VEDTAGET FØLGENDE DOKUMENT: 1. INDLEDNING Internettets søgemaskineudbydere varetager en vigtig formidlingsrolle i informationssamfundet. Arbejdsgruppen er enig i, at søgemaskiner er vigtige og nyttige, og fastslår, at de yder et bidrag til udviklingen af informationssamfundet. Søgemaskinernes voksende betydning fremgår af, at de uafhængige databeskyttelsesmyndigheder i EØS modtager stadig flere klager fra privatpersoner (datasubjekter) om krænkelse af privatlivets fred. Der er også konstateret en markant stigning i antallet af henvendelser fra dataforvaltere og pressen for så vidt angår spørgsmålet om, hvilke følger internetsøgning har for beskyttelsen af personoplysninger. Den dobbelte rolle, søgemaskiner spiller i forbindelse med personoplysninger, afspejles i klagerne fra datasubjekterne og henvendelserne fra dataforvalterne og pressen. For det første er der den omstændighed, at søgemaskineudbyderne indsamler og bearbejder store mængder brugerdata - og herunder også data, der indsamles ad teknisk vej, ved hjælp af cookies - som led i den service, de yder brugerne. Der indsamles data af yderst forskellig art, lige fra de individuelle brugeres IP-adresser til detaljerede historiske oversigter over brugeres tidligere søgeadfærd, og herunder data, der indtastes af brugerne selv, f.eks. når de indskriver sig til personlige serviceydelser. Denne indsamling af brugerdata rejser mange spørgsmål. Takket være sagen omkring AOL er mange mennesker nu blevet mere opmærksomme på, hvor mange følsomme personoplysninger logfilerne fra deres søgninger indeholder 2. Arbejdsgruppens opfattelse er, at søgemaskineudbyderne i forbindelse med indsamling af brugerdata har forsømt at forklare brugerne arten af disse aktiviteter og formålet hermed. 1 2 EFT L 281 af , s. 31, Denne serviceudbyder offentliggjorde i sommeren 2006 et udsnit af ca brugeres søgninger og søgeresultater over en tremåneders periode. AOL havde erstattet brugernes navne med tal, men journalister kunne alligevel ofte spore søgninger tilbage til individuelle brugere, bl.a. takket være såkaldte "forfængelighedssøgninger" (folk søger ofte på information om sig selv) og ved at kombinere flere søgninger foretaget af en enkelt bruger. -4-

5 For det andet bidrager søgemaskineudbydernes rolle som indholdsleverandør til, at et internationalt publikum får nem adgang til oplysninger, der er offentliggjort på internettet. Visse søgemaskiner republicerer data i såkaldte cache-lagre. Ved at samle og gruppere oplysninger om en enkelt person fra forskellige steder rundt om på nettet kan en søgemaskine skabe et nyt billede, og dette indebærer en meget højere risiko for datasubjektet, end hvis de enkelte oplysninger på nettet var forblevet spredt. Søgemaskinernes præsentations- og samkøringskapacitet kan indebære en stor risiko for individet, både personligt og på det sociale plan, og det ikke mindst hvis personoplysningerne i søgeresultaterne er ukorrekte, ufuldstændige eller for indgående. Den internationale arbejdsgruppe for databeskyttelse inden for telekommunikation 3 vedtog et fælles standpunkt vedrørende beskyttelse af privatlivets fred og søgemaskiner den 15. april 1998; dette standpunkt blev revideret den april Arbejdsgruppen gav heri udtryk for bekymring med hensyn til den omstændighed, at søgemaskiner åbner mulighed for at skabe profiler over fysiske personer. Gruppen gjorde rede for, hvordan forskellige søgemaskineaktiviteter ville kunne true privatlivets fred, og gjorde det klart, at alle former for personoplysninger på et netsted kunne bruges af tredjemand i profileringsøjemed. Det skal også nævnes, at der på den 28. internationale kommissærkonference om databeskyttelse og beskyttelse af privatlivets fred i London den november 2006 blev vedtaget en resolution om beskyttelse af privatlivets fred og søgemaskiner 5. I resolutionen opfordres søgemaskineudbydere til at overholde de regler om privatlivets fred, der er fastlagt i de forskellige landes nationale lovgivning og i forskellige internationale politiske dokumenter og traktater, og til at tilpasse deres praksis hertil. Forskellige punkter i forbindelse med serverlogfiler, kombinerede søgninger og lagring heraf og detaljeret brugerprofilering blev også taget op i resolutionen. 2. SØGEMASKINER - DEFINITION OG FORRETNINGSMODEL Generelt beskrevet forstås ved søgemaskine en service, der hjælper brugeren til at finde information på internettet. Søgemaskiner kan opdeles efter, hvilke datatyper de søger på, og herunder også billed- og/eller videomateriale og/eller lydfiler eller forskellige formater. En ny udvikling er søgemaskiner, der specifikt er beregnet til at opbygge personprofiler på grundlag af personoplysninger rundt om på internettet. I direktivet om elektronisk handel (2000/31/EF) behandles søgemaskiner som en form for informationssamfundsservice 6, og nærmere betegnet som et værktøj til informationslokalisering 7. Arbejdsgruppen tager udgangspunkt i denne kategorisering Arbejdsgruppen er nedsat af databeskyttelseskommissærer fra forskellige lande med henblik på en bedre beskyttelse af privatlivets fred og data inden for IT og medierne. Internetsøgemaskiner er behandlet i EU's lovgivning om informationssamfundstjenester og defineret i artikel 2 i direktiv 2003/31/EF. Denne artikel refererer til direktiv 98/34/EF, hvori begrebet informationssamfundstjeneste er specificeret. Se artikel 21, stk. 2sammenholdt med betragtning 18 i direktivet om elektronisk handel (2000/31/EF). -5-

6 I denne udtalelse sætter arbejdsgruppen i første række fokus på de søgemaskineudbydere, der bygger på den dominerende forretningsmodel for søgemaskiner, dvs. reklame. Dette omfatter både alle de store velkendte søgemaskiner og forskellige søgemaskiner, der er specialiseret i personprofilering, samt metasøgemaskiner, der viser og eventuelt omgrupperer resultater fra andre søgemaskiner. Udtalelsen vedrører ikke søgefunktioner, der er indbygget i netstedet med henblik på intern søgning inden for netstedets eget domæne. Sådanne søgemaskiners rentabilitet afhænger af, om den reklame, der ledsager søgeresultaterne, er effektiv. Indtægten beregnes for det meste på grundlag af en betalpr.-klik-metode. Ifølge denne forretningsmodel modtager søgemaskineudbyderen betaling fra reklamefirmaet, hver gang en bruger klikker på et sponsoreret link. En stor del af forskningen i, hvor akkurate søgeresultater og reklamer er, fokuserer på den rette kontekstualisering. En forudsætning for, at søgemaskinen kan fremføre de ønskede resultater, og at reklamen når frem til det rette publikum - således at indtægterne optimeres - er den bedst mulige indsigt i de enkelte søgningers karakteristika og kontekst. 3. HVAD SLAGS DATA? Søgemaskiner bearbejder mange forskellige typer data 8. Bilaget indeholder en liste over, hvilke data der kan være tale om. Logfiler Logfiler over specifikke individers brug af søgemaskinen er - forudsat at der ikke er tale om anonymiserede data - de vigtigste personoplysninger, der behandles af søgemaskineudbyderne. Data om brugen af søgemaskinen kan opdeles i forskellige kategorier: søgningslogfiler (søgekriterier, dato og tidspunkt, oprindelse (IP-adresse og cookie), brugerindstillinger samt oplysninger om brugerens computer); data om tilbudte indholdsdata (de links og den reklame, søgningen resulterer i); samt data om brugerens efterfølgende navigering (videregående klik). Søgemaskiner kan også bearbejde data om brugerdata, data om registrerede brugere og data fra andre serviceydelser og kilder såsom , desktop-søgning og reklame på tredjeparts netsteder. IP-adresser En søgemaskineudbyder kan sammenholde forskellige søgninger og søgesessioner, der foretages fra en og samme IP-adresse 9. Det er muligt at spore og samkøre alle netsøgninger, der foretages fra samme IP-adresse, når der føres log over disse søgninger. En endnu bedre identificering kan opnås ved, at IP-adressen samkøres med en unik bruger-id, som søgemaskineudbyderen har lagret i en cookie, da cookies ikke ændrer sig, når IP-adressen ændres. IP-adressen kan også bruges som lokaliseringsinformation, omend dette i dag er en upræcis teknik. 8 9 En af de metoder, som Artikel-29-Gruppen har anvendt, er udarbejdelse af et spørgeskema om beskyttelse af privatlivets fred. Skemaet blev sendt til forskellige søgemaskineudbydere i forskellige medlemsstater og til forskellige USA-baserede udbydere. Nærværende udtalelse bygger til dels på analysen af besvarelserne. Spørgeskemaet er vedlagt i bilag 2. Stadig flere ISP'er tildeler enkeltbrugere faste IP-adresser. -6-

7 Web-cookies Bruger-cookies lagres af søgemaskineudbyderen på brugerens egen computer. Disse cookies' indhold afviger fra den ene søgemaskine til den anden. De indeholder ofte information om brugerens styresystem og internet-browser samt et unikt identificeringsnummer for hver brugerkonto. De åbner mulighed for en mere akkurat identificering af brugeren end IP-adressen. Hvis flere brugere, hver med sin konto, er fælles om en computer, tildeles de hver især en cookie, der unikt identificerer den pågældende som bruger af computeren. Sådanne cookies gør det således muligt at spore en bruger fra en IP-adresse til den næste, selv i tilfælde, hvor computeren gør brug af en dynamisk og variabel IP-adresse. Den kan også bruges til at samkøre søgninger, der foretages fra bærbare computere såsom laptops, eftersom brugeren vil have samme cookie uanset opholdssted. Hvor flere computere er fælles om en internetforbindelse (f.eks. bag en Network Address Translation router) giver cookies mulighed for at identificere de enkelte brugere ved de forskellige computere. Søgemaskinerne bruger også cookies (sædvanligvis persistente cookies) til at lagre brugernes præferencer og vaner (f.eks. hvordan brugerne søger) som led i arbejdet på at forbedre deres service. De fleste internetbrowsere er fra fabrikkens side indstillet til at acceptere cookies, men det er muligt at ændre denne indstilling til enten totalt at afvise cookies eller kun at acceptere cookies, så længe sessionen varer, eller til at vise, hvornår der lagres en cookie. Men visse funktioner og visse serviceydelser fungerer måske ikke korrekt, hvis cookie-funktionen er deaktiveret, og det er ikke altid nemt at konfigurere avancerede cookiestyringsfunktioner. Flash-cookies Visse søgemaskiner installerer flash-cookies på brugernes computere. Med de sletteværktøjer, som browsere i dag normalt leveres med, er det imidlertid ikke nogen nem sag at slette flash-cookies. Flash-cookies kan for eksempel bruges til at lave en backup-kopi af normale cookies, der jo nemt kan slettes af brugeren, eller til at opbevare detaljeret information om brugersøgninger (f.eks. alle søgekriterier der sendes til en søgemaskine). 4. RETSGRUNDLAG Forvaltere af brugerdata Privatlivets fred - en grundlæggende rettighed Detaljeret indsamling og lagring af en persons søgehistorie i en form, hvor personens identitet direkte eller indirekte er identificerbar, omfattes af beskyttelsesbestemmelserne i artikel 8 i EU's charter om grundlæggende rettigheder. En persons søgehistorie indeholder oplysninger om vedkommendes interesser, forhold og hensigter. Sådanne oplysninger kan senere anvendes til kommercielle formål og kan anvendes af de håndhævende myndigheder eller landets sikkerhedstjeneste (i forbindelse med anmodninger og phishing-operationer og/eller data-mining). -7-

8 Betragtning 2 i direktiv 95/46/EF har følgende ordlyd: "databehandlingssystemer er til for menneskets skyld; de skal være i overensstemmelse med de grundlæggende rettigheder og frihedsrettigheder, der gælder for fysiske personer, uanset statsborgerskab og bopæl, herunder retten til privatlivets fred, og bidrage til at sikre økonomiske og sociale fremskridt og til at fremme samhandelen og det enkelte menneskes velfærd". Søgemaskiner spiller en central rolle som indgangsportal for informationssøgning på internettet. Nem adgang til information er en grundlæggende forudsætning for individuel meningsdannelse i et moderne demokrati. Artikel 11 i EU's charter om grundlæggende rettigheder er særlig relevant i denne forbindelse, da det heri fastslås, at alle skal have adgang til information uden indblanding fra offentlige myndigheder som en del af ytrings- og informationsfriheden Hvornår direktiv 95/46/EF (databeskyttelsesdirektivet) kan bringes i anvendelse Arbejdsgruppen har i tidligere arbejdsdokumenter gjort rede for, hvilke databeskyttelsesregler der gælder i forbindelse med logning af IP-adresser og brugen af cookies i informationssamfundstjenester. I nærværende udtalelse forelægges yderligere retningslinjer med hensyn til, hvordan søgemaskineudbydere skal tolke definitionen af "personoplysninger" og "dataforvalter" (i direktivet kaldet "registeranvarlig"). Via nettet kan søgemaskiner stilles til rådighed fra lokaliteter inden for EU/EØS, fra lokaliteter uden for EU/EØS, og fra lokaliteter, der ligger både inden for og uden for EU/EØS. Bestemmelserne i artikel 4 i databeskyttelsesdirektivet må derfor medtages i overvejelserne. Nævnte artikel vedrører spørgsmålet om, hvornår national datalovgivning finder anvendelse. Personoplysninger: IP-adresser og cookies I den udtalelse (WP 136), som arbejdsgruppen afgav, afklarede den definitionen af begrebet personoplysninger nærmere 10. En søgehistorie er at betragte som en personoplysning, hvis det individ der har foretaget søgningen, kan identificeres. Personen bag en IP-adresse kan for det meste ikke identificeres direkte af søgemaskinen, men en sådan identificering kan realiseres af tredjepart. Internetudbyderne opbevarer nemlig data om IP-adresser. De håndhævende myndigheder og de nationale sikkerhedstjenester kan få adgang til disse oplysninger, og i visse medlemsstater kan også private få adgang hertil ved civilt søgsmål. Det vil sige, at der i de fleste tilfælde - selv i de tilfælde, hvor IPadresser allokeres dynamisk - er tilstrækkeligt mange oplysninger til stede til, at brugeren med den pågældende IP-adresse kan identificeres. Arbejdsgruppen anførte følgende i WP 136: "... for at være på den sikre side skal det internetudbydende selskab, medmindre det med absolut sikkerhed er i stand til at fastslå, at dataene vedrører brugere, som ikke kan identificeres, behandle alle IP-informationer som personoplysninger". Disse betragtninger gælder tilsvarende for søgemaskineudbydere. 10 WP 136, -8-

9 Cookies Når en cookie indeholder en unik bruger-id, er en sådan ID jo klart en personoplysning. Brugen af persistente cookies eller tilsvarende redskaber baseret på en unik bruger-id gør det muligt at spore brugerne af en given computer, selv når der anvendes dynamiske IP-adresser 11. De adfærdsmønstre, der kan konstateres ved hjælp af sådanne redskaber, gør det muligt at fokusere endnu tættere på det pågældende individs personlighed. Dette modsvarer den logik, der ligger til grund for den dominerende forretningsmodel. Dataforvalter En søgemaskineudbyder, der bearbejder brugerdata, og herunder IP-adresser og/eller persistente cookies, der indeholder en unik identifikator, falder ind under definitionen på en dataforvalter, da en sådan udbyder reelt bestemmer bearbejdningsformål og -metode. Den omstændighed, at store søgemaskineudbydere ofte er multinationale virksomheder (deres hovedkvarter ligger ofte uden for EØS; de tilbyder deres service på verdensplan; og de involverer forskellige filialer og eventuelt eksterne virksomheder i bearbejdningen af personoplysninger) har affødt en debat om, hvem der bør betragtes som dataforvalter i forbindelse med bearbejdningen af personoplysninger. Arbejdsgruppen skal understrege, at definitionerne i EØS' databeskyttelseslovgivning og spørgsmålet, om hvorvidt lovgivningen er gældende i en bestemt situation, er to forskellige ting. En søgemaskineudbyder, der bearbejder personoplysninger såsom logfiler med personligt identificerbare søgehistorier, anses for at være forvalter af disse personoplysninger, uanset hvilken jurisdiktionen udbyderen henhører under. Artikel 4 i databeskyttelsesdirektivet - gældende lovgivning Artikel 4 i databeskyttelsesdirektivet fastslår, hvilken lovgivning der er gældende. Arbejdsgruppen fremlagde uddybende retningslinjer vedrørende artikel 4 i sit "arbejdsdokument om den internationale anvendelse af Fællesskabets databeskyttelseslovgivning ved behandling af personoplysninger på internet, som foretages af websteder, der er etableret uden for Fællesskabet" 12. Der er to årsager til denne bestemmelse. For det første ønsker man at undgå lakuner i Fællesskabets fastlagte databeskyttelsessystem og at undgå, at systemet omgås. For det andet søger man at undgå risikoen for, at en og samme bearbejdningsproces omfattes af lovgivningen i flere EUmedlemsstater. Arbejdsgruppen imødegik specifikt begge disse komplikationer ud fra den betragtning, at de datastrømme, som søgemaskiner medfører, går på tværs af landegrænserne. Hvor en søgemaskineudbyder er etableret i en eller flere medlemsstater og udbyder alle sine serviceydelser her fra, er der ingen tvivl om, at bearbejdning af personoplysninger falder ind under databeskyttelsesdirektivet. Det er vigtigt at bemærke, at databeskyttelsesreglerne i dette tilfælde ikke kun gælder for datasubjekter, som befinder sig i en medlemsstat eller har en medlemsstats nationalitet WP 136: " Det skal her bemærkes, at et navn i sig selv ikke i alle tilfælde er nødvendigt for at identificere en person, selv om identifikation ved hjælp af navnet er den mest almindelige metode i praksis. Dette kan forekomme, når der anvendes andre "identifikatorer" til at indkredse en person. I edb-registre, som indeholder personoplysninger, anvendes der som regel en entydig identifikator for de registrerede personer for at undgå sammenblanding af to personer i registret." WP 56, -9-

10 Hvis en dataforvaltende søgemaskineudbyder ikke er baseret i EØS, gælder Fællesskabets databeskyttelseslovgivning stadig i to tilfælde. For det første i det tilfælde, hvor søgemaskineudbyderen har etableret en afdeling i en medlemsstat, jf. artikel 4, stk. 1, litra a). For det andet i det tilfælde, hvor søgemaskineudbyderen gør brug af udstyr, der befinder sig på en medlemsstats område, jf. artikel 4, stk. 1, litra c). I sidstnævnte tilfælde skal søgemaskineudbyderen i medfør af artikel 4, stk. 2, udpege en repræsentant på den pågældende medlemsstats område. Etablering på en medlemsstats område (EØS) Det fastslås i artikel 4, stk. 1, at en medlemsstats databeskyttelseslovgivning finder anvendelse, når en virksomhed, der hører under dataforvalteren, "som led i sine aktiviteter" foretager bearbejdning af personoplysninger på en medlemsstats område. Udgangspunktet er her en given bearbejdningsoperation. Hvor der er tale om en søgemaskine, der er etableret uden for EØS, må det undersøges, hvorvidt brugerdatabearbejdningen involverer virksomheder, der er etableret på en medlemsstats område. Som arbejdsgruppen allerede påpegede i et tidligere arbejdsdokument, indebærer begrebet 'etablering' en effektiv og reel udøvelse af aktiviteter på basis af permanente strukturer, og undersøgelsen af, om der foreligger en sådan, må ske på grundlag af EF- Domstolens retspraksis 13. Det er i denne forbindelse ikke afgørende, hvilken form etableringen tager, om der er tale om et lokalkontor, et datterselskab med status som juridisk person, eller et agentur henhørende under tredjepart. Der gælder det yderligere krav, at bearbejdningsoperationen skal være et led i den etablerede virksomheds aktiviteter. Dette indebærer, at den etablerede virksomhed skal spille en relevant rolle i den pågældende bearbejdningsoperation. Dette er klart tilfældet, hvor: - en etableret virksomhed er ansvarlig for forholdet til søgemaskinens brugere inden for et givet retsområde - en søgemaskineudbyder i en medlemsstat (EØS) etablerer et kontor, som beskæftiger sig med salg af målrettet reklame til den pågældende stats indbyggere - etableringen af søgemaskineudbyderen efterkommer domstolspålæg og/eller lovhåndhævelsesanmodning, der fremsættes af en medlemsstats myndigheder for så vidt angår brugerdata. Søgemaskineudbyderen bærer selv ansvaret for at fastslå, hvor meget en virksomhed etableret på medlemsstaterne område er involveret i bearbejdningen af personoplysninger. Databeskyttelsesdirektivet gælder i alle tilfælde, hvor en national virksomhed er involveret i bearbejdningen af brugerdata. Hvis søgemaskineudbydere med base uden for EØS er omfattet af databeskyttelsesdirektivet, f.eks. fordi de er etableret eller bruger udstyr på en medlemsstats område, bør de informere brugerne herom. 13 WP 56, page 8,

11 Brug af udstyr Søgemaskiner, der benytter udstyr på en (EØS-)medlemsstats territorium til behandling af personoplysninger, er omfattet af den pågældende medlemsstats databeskyttelseslovgivning. Medlemsstaternes databeskyttelseslovgivning er gældende, når en "registeransvarlig... med henblik på behandling af personoplysninger anvender midler, det være sig elektroniske eller ikke-elektroniske, som befinder sig på den pågældende medlemsstats område, medmindre disse midler kun benyttes med henblik på forsendelse gennem Det Europæiske Fællesskabs område". Søgemaskineudbydere, der udbyder deres service fra et land uden for EU, kan anvende datacentre på en medlemsstats territorium til lagring og fjernbearbejdning af personoplysninger. Denne brug kan også omfatte personlige computere, terminaler og servere. En online-serviceudbyders brug af cookies eller tilsvarende software-redskaber kan også betragtes som brug af udstyr på en medlemsstats territorium og dermed være underlagt den pågældende medlemsstats databeskyttelseslovgivning. Dette punkt er behandlet i ovennævnte arbejdsdokument (WP56). Heri står følgende: brugernes PC'er kan betragtes som udstyr i den forstand, der omhandles i artikel 4, stk. 1, i direktiv 95/46/EF. Dette udstyr befinder sig på en medlemsstats territorium. Den registeransvarlige beslutter at bruge dette udstyr til behandling af personoplysninger, og - som forklaret i ovenstående afsnit - forskellige tekniske operationer finder sted uden den registreredes samtykke. Den registeransvarlige benytter brugerens udstyr, og dette udstyr anvendes ikke blot til forsendelse gennem Fællesskabets område. Konklusion Taget under ét indebærer databeskyttelsesdirektivets artikel 4, stk. 1, litra a), og artikel 4, stk. 1, litra c), at direktivet i mange tilfælde vil være gældende for søgemaskineudbyderes bearbejdning af personoplysninger, selv når de har hovedsæde uden for EØS. Hvilken national lovgivning der finder anvendelse i det enkelte tilfælde, afgøres ved en videre undersøgelse af sagens omstændigheder. Arbejdsgruppen forventer, at søgemaskineudbyderne bidrager til denne undersøgelse ved fremsendelse af de nødvendige oplysninger om deres status og aktiviteter i EØS. For multinationale søgemaskineudbydere gælder følgende: - Den medlemsstat, hvor søgemaskineudbyderen er etableret, bringer sin nationale databeskyttelseslovgivning i anvendelse på databehandlingen som fastsat i artikel 4, stk. 1, litra a). - Er søgemaskineudbyderen ikke etableret i en medlemsstat, bringer medlemsstaterne deres nationale databeskyttelseslovgivning i anvendelse på databehandlingen som fastsat i artikel 4, stk. 1, litra c), hvis virksomheden i forbindelse med behandling af personoplysninger anvender udstyr, af elektronisk eller anden art, på den pågældende medlemsstats område 14 (f.eks. ved placering af en cookie). 14 Arbejdsgruppen har set på følgende forhold i forbindelse med spørgsmålet om håndhævelse af artikel 4, stk. 1, litra c), for så vidt angår cookies. For det første den situation, hvor en søgemaskineudbyder er etableret i en medlemsstat, som ikke omfattes af artikel 4, stk. 1, litra a), fordi den etablerede virksomhed ikke spiller nogen væsentlig rolle i databehandlingen (der kan f.eks. være tale om en presserepræsentant). Af andre forhold kan nævnes udvikling og/eller konstruktion af landespecifikke søgemaskiner, den omstændighed, at en online-serviceudbyder i praksis ved, at der er tale om brugere, -11-

12 Multinationale søgemaskineudbydere vil under visse omstændigheder skulle opfylde flere forskellige databeskyttelseslove (dette følger af bestemmelserne om, hvilken lovgivning der er gældende, og af at udbyderens behandling af personoplysninger går på tværs af landegrænserne): - Medlemsstaterne bringer deres nationale lovgivning i anvendelse på søgemaskiner, der er etableret uden for EØS, hvis de gør brug af udstyr på en medlemsstats område. - Medlemsstaterne må ikke bringe deres nationale lovgivning i anvendelse på en søgemaskine, der er etableret inden for en anden jurisdiktion i EØS, selv ikke hvis søgemaskinen gør brug af udstyr på medlemsstatens område. I sådanne tilfælde gælder den nationale lovgivning i den medlemsstat, hvori søgemaskinen er etableret Hvor gælder direktiv 2002/58/EF og direktiv 2006/24/EF? Søgemaskinetjenester i egentlig forstand omfattes generelt ikke af de nye retsbestemmelser for elektronisk kommunikation, hvoraf direktiv 2002/58/EF (direktivet om databeskyttelse inden for elektronisk kommunikation) udgør en integrerende del. Ifølge artikel 2, litra c), i rammedirektivet (2002/21/EF), som indeholder nogle af de generelle definitioner for rammebestemmelserne, er tjenester, der indebærer udøvelse af redaktionel kontrol over indholdet, eksplicit udelukket: "elektronisk kommunikationstjeneste": en tjeneste, som normalt ydes mod betaling, og som udelukkende eller overvejende består i overføring af signaler via elektroniske kommunikationsnet, herunder telekommunikationstjenester og transmissionstjenester på net, der anvendes til radio- og tv-spredning, men ikke tjenester, der består i tilrådighedsstillelse af eller udøvelse af redaktionel kontrol over indhold fremført via elektroniske kommunikationsnet og -tjenester; begrebet omfatter ikke informationssamfundets tjenester som defineret i artikel 1 i direktiv 98/34/EF, og som ikke udelukkende eller overvejende består i overføring af signaler via elektroniske kommunikationsnet. Søgemaskiner omfattes således ikke af definitionen på elektroniske kommunikationstjenester. Søgemaskineudbydere kan imidlertid tilbyde ekstratjenester, der omfattes af definitionen på elektroniske kommunikationstjenester, såsom offentlig tilgængelig , der henhører under databeskyttelsesdirektivet (2002/58/EF) og datalagringsdirektivet (2006/24/EF). Det hedder specifikt i artikel 5, stk. 2, i datalagringsdirektivet, at lagring af data, der afslører indholdet af kommunikationen, er forbudt. Søgekriterier vil blive betragtet som indholdsdata snarere end trafikdata, og sådanne data kan derfor ikke lagres under henvisning til dette direktiv. der befinder sig i det pågældende land, samt fordelen ved at besidde en vedvarende andel af brugermarkedet i en bestemt medlemsstat. -12-

13 Der kan derfor ikke henvises til datalagringsdirektivet i forbindelse med lagring af serverlogfiler, der genereres som led i udbydelsen af en søgemaskineservice. Artikel 5, stk. 3, og artikel 13 i databeskyttelsesdirektivet Visse bestemmelser i databeskyttelsesdirektivet, såsom artikel 5, stk. 3, (cookies og spyware) og artikel 13 (uønsket post) er generelle regler, som ikke blot gælder for elektroniske kommunikationstjenester, men også for andre tjenester, hvor denne teknik anvendes. Databeskyttelsesdirektivets artikel 5, stk. 3, der skal læses under ét med samme direktivs betragtning 25, omhandler lagring af information på terminaludstyr hos brugerne. Ved brug af persistente cookies med unikke identifikatorer kan man følge og opstille en profil for brugen af en bestemt computer, også selv om der anvendes dynamisk IP-adressering. Det fastslås klart i databeskyttelsesdirektivets artikel 5, stk. 3, og betragtning 25, at lagring af information af denne art, dvs. cookies eller tilsvarende redskaber, på brugernes terminaludstyr kun må ske i overensstemmelse med bestemmelserne i databeskyttelsesdirektivet. I databeskyttelsesdirektivets artikel 5, stk. 3, gøres der nærmere rede for, hvilke pligter direktivet pålægger en informationssamfundstjeneste, der gør brug af cookies. 4.2 Leverandører af indholdsdata Søgemaskiner, der bearbejder information, og herunder også personoplysninger, gennemtrawler, analyserer og indekserer internettet og andre kilder, således at disse oplysninger gøres søgbare og dermed nemt tilgængelige via disse tjenester. Visse søgemaskiner offentliggør også data i såkaldt cache-form Ytringsfrihed og privatlivets fred Arbejdsgruppen konstaterer, at søgemaskiner har en særlig rolle i onlineinformationsmiljøet. Der må i Fællesskabets og de forskellige medlemsstaters databeskyttelseslovgivning findes en passende balance mellem beskyttelsen af privatlivets fred og personoplysninger på den ene hånd og ønsket om en fri informationsstrøm og den grundlæggende ret til fri ytringsfrihed på den anden. Formålet med databeskyttelsesdirektivets artikel 9 er at sikre en sådan balance i medlemsstaternes lovgivning, hvad medierne angår. Den Europæiske Domstol har fastslået, at forudsætningen for en begrænsning af ytringsfriheden under henvisning til princippet om databeskyttelse er, at både lovgivningen og proportionalitetsprincippet overholdes EF-domstolen har behandlet spørgsmålet om, hvorvidt databeskyttelsesreglerne har en proportionel virkning, dvs. på ytringsfriheden, i sagen Lindqvist mod Sverige, pkt

14 4.2.2 Databeskyttelsesdirektivet Databeskyttelsesdirektivet indeholder ingen særlige bestemmelser om den bearbejdning af personoplysninger, der foretages af informationssamfundsserviceudbydere, der har en formidlingsfunktion. Det afgørende kriterium i databeskyttelsesdirektivet (95/46/EF) for, hvilke databeskyttelsesbestemmelser der gælder, er definitionen på en dataforvalter (i direktivet kaldet "registeransvarlig"), dvs. en virksomhed, der "alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger". Spørgsmålet om, hvorvidt en formidlende virksomhed skal betragtes som dataforvalter alene eller dataforvalter i forening med andre for så vidt angår visse former for bearbejdning af personoplysninger, er uafhængigt af spørgsmålet om, hvor ansvaret for en sådan bearbejdning ligger 16. Proportionalitetsprincippet indebærer, at søgemaskineudbydere i den udstrækning, hvori de blot fungerer som mellemled, ikke bør betragtes som hovedforvaltere af data, hvor der er tale om indholdsrelateret bearbejdning af personoplysninger. I denne forbindelse er hovedforvalteren informationsleverandøren 17. Søgemaskineudbyderens formelle, retlige og praktiske kontrol med personoplysninger begrænser sig hovedsageligt til blot at kunne fjerne data fra serverne. Søgemaskiner udøver, for så vidt angår fjernelse af personoplysninger fra deres indeks og søgeresultater, så stor datakontrol, at de i disse tilfælde kan betragtes som forvaltere (det være sig alene eller sammen med andre), men spørgsmålet om, hvorvidt de har pligt til at fjerne eller blokere adgangen til personoplysninger afhænger af den pågældende medlemsstats generelle erstatnings- og ansvarsbestemmelser 18. Netstedsejere kan på forhånd vælge at afvise både søgemaskiners indeksering og cachelagring ved hjælp af robots.txt-filer og Noindex/NoArchive-tags 19. Det er vigtigt, at søgemaskineudbydere respekterer netstedsredaktørernes fravalg. Fravalg kan ske både før og efter netstedets indeksering; i sidstnævnte tilfælde skal søgemaskinens filer ajourføres så hurtigt som muligt Visse lande opererer med særlige tværgående undtagelser ("safe harbors") med hensyn til søgemaskiners ansvar ("information location tools"). Direktivet om elektronisk handel (2000/31/EF) indeholder ingen bestemmelser herom for søgemaskiner, men visse medlemsstater har indført sådanne regler. Se første rapport om anvendelsen af Europa-Parlamentets og Rådets direktiv 2000/31/EF af 8. juni 2000 om visse retlige aspekter af informationssamfundstjenester, navnlig elektronisk handel, i det indre marked ("direktivet om elektronisk handel"), KOM/2003/0702 endelig af , s. 13. Strengt taget kan brugere af søgemaskiner også betragtes som dataforvaltere, men deres rolle vil typisk falde uden for direktivets område som en rent personlig aktivitet (se artikel 3, stk. 2, andet led). Databeskyttelsesmyndighederne i visse EU-medlemsstater har fastsat specifikke bestemmelser for søgemaskineudbydernes ansvar med det formål at fjerne indholdsdata fra søgeindekset; dette er sket med udgangspunkt i retten til at gøre indsigelse, der er knæsat i artikel 14 i databeskyttelsesdirektivet (95/46/EF) og direktivet om elektronisk handel (2000/31/EF). I henhold til disse landes lovgivning har søgemaskineudbyderne pligt til at følge en notifikations-/nedlukningspolitik svarende til den, der gælder for host-leverandører for at holde sig ansvarsfri. Dette kan være mere end en valgfri løsning. Virksomheder, der offentliggør personlige oplysninger, bør overveje, hvorvidt retsgrundlaget for offentliggørelsen tillader, at søgemaskiner indekserer denne information, og må om nødvendigt iværksætte garantiordninger, f.eks. i form af robots.txt-filer og Noindex/NoArchive-tags. -14-

15 Søgemaskineudbydere begrænser sig ikke altid til en ren formidlingsrolle. Visse søgemaskiner lagrer således komplette dele af nettets indhold - inklusive eventuelle personoplysninger i disse indholdsdata - på deres servere. Det er endvidere uklart, hvor ofte søgemaskiner aktivt søger efter personligt identificerbare oplysninger i de indholdsdata, de bearbejder. Gennemtrawling, analysering og indeksering kan ske automatisk, uden detektering af personligt identificerbare oplysninger. Visse former for personligt identificerbare oplysninger, såsom CPR-numre, kreditkortnumre, telefonnumre og -adresser har specifikke formater, der gør dem nemt detekterbare. Der findes også teknologi af mere sofistikeret art, såsom ansigtsgenkendelsesteknologi i forbindelse med billedbehandling og -søgning, der stadig hyppigere bruges af søgemaskineudbyderne. Søgemaskineudbydere kan også foretage en forædling af de data, de behandler, på grundlag af personoplysningernes art eller særlige karakteristika. I sådanne tilfælde er søgemaskineudbyderen ifølge databeskyttelseslovgivningen fuldt ansvarlig for de indholdsdata, som bearbejdningen af personoplysningerne resulterer i. Samme ansvar påhviler søgemaskineudbydere, der sælger reklame, der udløses på grundlag af personoplysninger, såsom en persons navn. Cache-lagring Cache-lagring er endnu en funktion, hvormed søgemaskineudbydere kan komme til at overskride grænsen for deres formidlingsfunktion. I tilfælde, hvor et netsted midlertidigt er utilgængeligt, kan der opbevares indholdsdata i et cache-lager, men kun så længe netstedet er utilgængeligt. Enhver form for cache-lagring af personoplysninger, der stammer fra indekserede netsteder - dvs. udover hvad behovet for teknisk disponibilitet gør nødvendigt - er at betragte som en uafhængig republicering. Arbejdsgruppen finder, at udbydere, der stiller en sådan cache-funktion til rådighed, er ansvarlige for, at databeskyttelseslovgivningen overholdes, da de fungerer som forvaltere af personoplysningerne i cache-lagrene. I tilfælde, hvor de oprindeligt offentliggjorte oplysninger ændres - f.eks. fordi ukorrekte personoplysninger fjernes - har forvalteren af cache-lageret pligt til øjeblikkeligt at efterkomme anmodninger om ajourføring af kopien i cache-lageret eller blokere for adgangen hertil, indtil netstedet næste gang indekseres af søgemaskinen. 5. DATABEHANDLINGENS LOVLIGHED Det følger af artikel 6 i databeskyttelsesdirektivet, at bearbejdning af personoplysninger skal være rimelig og lovlig; personoplysninger må kun indsamles til bestemte, udtrykkeligt angivne og lovlige formål, og må ikke bearbejdes til formål, der er uforenelige med det formål, de oprindeligt blev indsamlet for. De indsamlede oplysninger skal endvidere være relevante og tilstrækkelige og må ikke omfatte mere, end hvad der kræves til opfyldelse af det formål, hvortil de indsamles og/eller bearbejdes. Bearbejdning af personoplysninger skal, for at være lovlig, opfylde et eller flere af de krav, der er opstillet i nævnte direktivs artikel 7 for lovlig bearbejdning. -15-

16 5.1. Søgemaskineudbydernes argumentation Søgemaskineudbyderne har anført følgende generelle formål med og årsager til, at de anvender og opbevarer personoplysninger i kraft af deres funktion som forvaltere af brugerdata. Bedre service Mange dataforvaltere anvender server-logfiler til at forbedre deres serviceydelser, og herunder kvaliteten af deres søgeservice. De anfører, at analyser af server-logfiler er et vigtigt redskab i arbejdet på at levere søgninger, resultater og reklame af bedre kvalitet og i udviklingen af nye serviceydelser, og herunder også ydelser, der endnu ikke er opfundet. Systemsikring Det anføres, at serverlog-filer kan bidrage til at gøre søgemaskineserviceydelser mere sikre. Nogle søgemaskineudbydere har anført, at opbevaring af logfiler hjælper med til at beskytte systemet mod angreb, og at detektering af brugsmønstre og analyse af sikkerhedstrusler forudsætter, at der er adgang til et udsnit af serverlogdata over en tilstrækkeligt lang periode. Forebyggelse af bedrageri Det anføres, at serverlog-filer hjælper med til at beskytte søgemaskinesystemer og brugere mod bedrageri og misbrug. Mange søgemaskineudbydere anvender en betalingpr.-klik-ordning for de reklamer, der vises. Ulempen herved er, at en reklamevirksomhed kommer til at betale, hvis netstedet udsættes for angreb i form af automatisk software, der systematisk klikker på virksomhedens reklamer. Søgemaskineudbydere er opmærksomme på problemet og prøver på at sikre, at adfærd af denne art detekteres og forhindres. Et andet argument, der anføres, er bogføringskrav i forbindelse med serviceydelser i form af klik på sponsorerede links, hvor der foreligger en kontraktlig og regnskabsmæssig pligt til at opbevare oplysninger, i det mindste indtil regningen er betalt, og den lovhjemlede frist for sagsanlæg er udløbet. Personrettet reklame Søgemaskineudbydere tilstræber personrettet reklame for at øge deres indtægter. I den praksis, der er gængs i dag, tages der hensyn til tidligere søgninger, brugerkategorier og geografiske kriterier. Søgemaskiner kan således vise personrettet reklame på basis af brugernes adfærd og IP-adresse. Nogle søgemaskineudbydere indsamler statistikker over, hvilke brugerkategorier der konsulterer hvilke online-oplysninger på hvilken tid af året. Disse oplysninger kan bruges til at forbedre servicens kvalitet, til at lave målrettet reklame og til at undersøge, hvad det vil koste en virksomhed at gøre reklame for dens produkter. Håndhævelse af loven Nogle udbydere anfører, at logfiler er et vigtigt redskab, når politiet skal undersøge og retsforfølge alvorlige forbrydelser såsom pædofili. -16-

17 5.2. Arbejdsgruppens analyse af udbydernes argumentation Generelt set giver søgemaskineudbyderne ikke nogen komplet redegørelse for, hvilke specifikke, eksplicitte og legitime formål der ligger til grund for bearbejdning af personoplysninger. For det første er visse formål, såsom "bedre service" og "personrettet reklame" så bredt defineret, at det ikke er muligt på dette grundlag at bedømme, hvorvidt formålet er legitimt. For det andet anfører søgemaskineudbyderne mange forskellige formål med bearbejdningen, og det er ikke klart, i hvor stor udstrækning oplysningerne er genstand for bearbejdning til formål, som er uforenelige med det formål, de oprindeligt blev indsamlet til. Indsamling og bearbejdning af personoplysninger er tilladt, når det sker under henvisning til en eller flere legitime årsager. Søgemaskineudbydere kan henvise til følgende tre begrundelser. - Samtykke - artikel 7, litra a), i databeskyttelsesdirektivet De fleste søgemaskineudbydere tilbyder både uregistreret og registreret adgang til deres service. I sidstnævnte tilfælde, hvor en bruger f.eks. har oprettet en specifik brugerkonto, kan der henvises til, at der er givet samtykke 20, som legitim årsag til, at visse veldefinerede personoplysningskategorier bearbejdes til velspecificerede legitime formål, og herunder opbevares i et begrænset tidsrum. Man kan ikke gå ud fra, at der er givet samtykke, hvor der er tale om anonyme brugere, og ej heller når der er tale om personoplysninger, der er indsamlet fra brugere, der ikke frivilligt har valgt at autentificere sig. Sådanne oplysninger må kun bearbejdes og opbevares med det formål at udarbejde en liste med søgeresultater på grundlag af specifikke søgekriterier. - Opfyldelse af kontrakt - artikel 7, litra b), i databeskyttelsesdirektivet Databearbejdning kan også være nødvendig for at kunne opfylde en kontrakt, som datasubjektet har undertegnet, eller for at træffe foranstaltninger på datasubjektets anmodning, inden kontrakten indgås. Dette retsgrundlag kan udnyttes af søgemaskinerne til at indsamle personoplysninger, som en bruger frivilligt afgiver for at kunne tilmelde sig en bestemt service, f.eks. i forbindelse med oprettelsen af en brugerkonto. Dette retsgrundlag kan også - på samme måde som samtykke - bringes i anvendelse, når visse velspecifierede kategorier af brugerdata fra autentificerede brugere bearbejdes til velspecificerede legitime formål. Det argumenteres også fra mange internetselskabers side, at brugere indgår en de factoaftale, når de bruger en service, der udbydes på selskabets netsted, f.eks. ved at udfylde søgefelterne på skærmen. En sådan generel formodning opfylder imidlertid ikke det strenge nødvendighedskrav, der gælder ifølge i direktivet Artikel 2, litra h) i databeskyttelsesdirektivet: ""den registreredes samtykke" enhver frivillig, specifik og informeret viljetilkendegivelse, hvorved den registrerede indvilliger i, at personoplysninger, der vedrører den pågældende selv, gøres til genstand for behandling". Artikel 7, litra b) i direktivet: "behandlingen er nødvendig af hensyn til opfyldelsen af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelsen af foranstaltninger, der træffes på dennes anmodning forud for indgåelsen af en sådan kontrakt". -17-

18 - Databearbejdning er nødvendig, for at dataforvalteren kan varetage en legitim interesse - artikel 7, litra f), i databeskyttelsesdirektivet Artikel 7, litra f), i databeskyttelsesdirektivet omhandler det tilfælde, hvor databearbejdning er nødvendig for, at den registeransvarlige [dataforvalteren] eller den tredjemand eller de tredjemænd, til hvem oplysningen videregives, kan forfølge en legitim interesse, medmindre den registreredes interesser eller de grundlæggende rettigheder og frihedsrettigheder, der skal beskyttes i henhold til artikel 1, stk. 1, i dette direktiv, går forud herfor. Bedre service Mange søgemaskineudbydere opbevarer indholdet af brugernes søgninger i deres serverlogfiler. Denne information er et vigtigt redskab for søgemaskineudbydere; den giver dem mulighed for at undersøge, hvilke kriterier brugerne søger på, hvordan de vælger at præcisere disse kriterier, og hvilke søgeresultater de vælger at følge op, og på denne måde forbedre deres service. Artikel 29-Gruppen mener ikke, at søgekriterier nødvendigvis må kunne spores tilbage til identificerbare personer for at kunne bruges til at forbedre den tilbudte søgeservice. For at kunne analysere en given brugers aktiviteter (og på denne måde konstatere, om søgemaskinens forslag er nyttige) er det nok, at en given brugers aktiviteter under en enkelt søgning kan skelnes fra andre brugeres; det er ikke nødvendigt at kunne identificere brugeren. Det kan således være relevant at vide, at bruger X efter at have søgt på "Woodhouse" vælger at klikke på de resultater, der vises for den stavningsvariant, "Wodehouse", der også foreslås; søgemaskinen behøver ikke at vide, hvem bruger X er. Ønsket om at forbedre den tilbudte service kan derfor ikke betragtes som nogen legitim grund til at opbevare uanonymiserede data. Systemsikkerhed Søgemaskineudbydere betragter behovet for at beskytte systemsikkerheden som en legitim interesse og en fyldestgørende grund til at bearbejde personoplysninger. Lagring af personoplysninger af enhver form med henblik på at beskytte sikkerheden må imidlertid kun ske inden for strengt afgrænsede rammer. Data, der lagres af sikkerhedshensyn, må således ikke bruges til at optimere den tilbudte service. Søgemaskineudbydernes argument er, at server-logfiler nødvendigvis må opbevares i et rimeligt tidsrum (antallet af måneder svinger fra den ene udbyder til den anden), hvis man skal kunne detektere brugeradfærdsmønstre og på denne måde indkredse og forebygge denial-of-service angreb og andre trusler mod sikkerheden. Alle sådanne udbydere må kunne give fyldestgørende argumenter for længden af den valgte opbevaringsperiode, der bør afhænge af, hvor nødvendigt det er at bearbejde sådanne data. Forebyggelse af bedrageri Søgemaskineudbydere har også en legitim interesse i at kunne detektere og forebygge bedrageri, og herunder også "klikbedrageri". Ligesom med sikkerhedshensynet vil spørgsmålet om, hvor store datamængder der må lagres og bearbejdes, og hvor længe sådanne personoplysninger må opbevares til dette formål, afhænge af, hvorvidt disse data reelt er nødvendige for at kunne detektere og forebygge bedrageri. -18-

19 Bogføring Bogføringskrav berettiger ikke til systematisk opbevaring af normale søgemaskinedata, når brugeren ikke har klikket på et sponsoreret link. Arbejdsgruppen - der bygger dette standpunkt på de oplysninger, som søgemaskineudbyderne selv har indgivet på spørgeskemaet - har også alvorlig tvivl med hensyn til spørgsmålet om, hvorvidt personoplysninger om søgemaskinebrugerne virkelig er nødvendige for bogføring. Yderligere undersøgelser er nødvendige for at kunne træffe afgørelse herom. Arbejdsgruppen opfordrer under alle omstændigheder søgemaskineudbyderne til at udvikle bogføringsordninger, der i højere grad tilgodeser beskyttelsen af privatlivets fred, f.eks. gennem anonymisering af data. Personrettet reklame Søgemaskineudbydere, der gerne vil tilbyde personrettet reklame for at øge deres indtjening, søger undertiden en begrundelse for legitim bearbejdning af visse personoplysninger i direktivets artikel 7, litra a), (samtykke) og artikel 7, litra b (kontraktopfyldelse), men det er vanskeligt at finde en legitim berettigelse af denne praksis for brugere, der ikke specifikt har tilmeldt sig på grundlag af klare oplysninger om formålet med denne databearbejdning. Arbejdsgruppens præference er klart anonymiserede data. Håndhævelse af loven - lovhjemlede anmodninger Myndighederne kan anmode søgemaskineudbyderne om at udlevere brugerdata med henblik på detektering eller forebyggelse af kriminalitet. Privatpersoner kan også søge at opnå retskendelse om udlevering af brugerdata. Når sådanne anmodninger overholder de gældende retsprocedurer og resulterer i en gyldig retskendelse, er søgemaskineudbyderen naturligvis nødt til at efterkomme kendelsen og udlevere den nødvendige information. Efterkommelsen af denne pligt bør imidlertid ikke fejlagtigt betragtes som en retlig forpligtelse til - eller begrundelse for - at opbevare sådanne oplysninger blot med dette formål for øje. Hvis søgemaskineudbyderne ligger inde med store mængder brugeroplysninger, vil dette kunne friste ordensmagten og andre til at udøve denne rettighed hyppigere og mere intensivt, med deraf følgende risiko for at miste forbrugernes tillid Forskellige problemer som branchen må løse Opbevaringsfrister Hvor søgemaskineudbydere foretager databearbejdning, der omfattes af landets lovgivning, har de pligt til at overholde de krav, der gælder for privatlivets fred og opbevaringsfrister ifølge denne lovgivning. Hvis der opbevares personoplysninger, må oplysningerne ikke opbevares i længere tid, end hvad der er nødvendigt for det specifikke bearbejdningsformål. Personoplysninger skal derfor slettes efter hver session, og en videre opbevaring forudsætter en fyldestgørende begrundelse. Visse søgemaskineudbydere opbevarer tilsyneladende deres data på ubestemt tid, selvom dette er forbudt. Der bør opstilles tidsfrister for de enkelte formål. Der bør ikke opbevares flere personoplysninger, end formålet kræver. -19-

20 I praksis sker der det, at de store søgemaskiner opbevarer data om deres brugere i personligt identificerbar form i mere end et år (den præcise varighed veksler). Arbejdsgruppen hilser med tilfredshed, at de store søgemaskineudbydere for nylig har indført kortere opbevaringsfrister for personoplysninger. Den omstændighed, at de førende udbydere har været i stand til at afkorte deres opbevaringsfrister, tyder på, at de tidligere frister har været unødigt lange. Med udgangspunkt i søgemaskineudbydernes foreløbige redegørelse for hensigten med at indsamle personoplysninger finder arbejdsgruppen ikke, at der skulle være nogen grund til en længere opbevaringsfrist end seks måneder 22. Opbevaring af personoplysninger og den herfor gældende frist forudsætter en god grund (konkrete og relevante argumenter) og bør reduceres til et minimum: formålet er at sikre større klarhed, en rimelig bearbejdning samt proportionalitet i forhold til det formål, der ligger til grund for opbevaringen. Arbejdsgruppen opfordrer derfor søgemaskineudbyderne til at basere sig på privacy-bydesign princippet; dette vil bidrage til at afkorte opbevaringsfristerne yderligere. Arbejdsgruppens opfattelse er den, at kortere opbevaringsfrister vil give brugerne større tillid til udbydernes service og dermed give den pågældende udbyder en konkurrencefordel. I tilfælde, hvor personoplysninger opbevares i mere end et halvt år, har søgemaskineudbyderen pligt til på fyldestgørende måde at redegøre for, hvorfor dette er nødvendigt. Søgemaskineudbydere har under alle omstændigheder pligt til at informere brugerne om, hvad opbevaringspolitikken er for de personoplysninger, der bearbejdes. Yderligere bearbejdning til forskellige formål Hvorvidt og hvordan brugerdata er genstand for yderligere analyse, og hvorvidt der udarbejdes (detaljerede) brugerprofiler, afhænger af, hvilken søgemaskineudbyder der er tale om. Arbejdsgruppen er klar over, at muligheden for yderligere bearbejdning af brugerdata rører ved et centralt aspekt i innovationen af søgemaskineteknologien og kan være yderst relevant konkurrencemæssigt. En komplet offentliggørelse af, hvordan brugerdata anvendes og analyseres, kan også gøre søgemaskineudbydere mere sårbare over for misbrug af deres serviceydelser. Dette kan imidlertid ikke tjene til undskyldning for ikke at overholde den databeskyttelseslovgivning, der gælder i medlemsstaterne. Søgemaskineudbydere kan ikke hævde, at formålet med at indsamle personoplysninger er at udvikle nye serviceydelser af en art, der endnu ikke er fastlagt. Ud fra et rimelighedshensyn må der være pligt til at informere datasubjekter om, hvor store indgreb i deres privatliv indsamling af disse oplysninger kan medføre. Dette er ikke muligt uden at fastsætte mere præcist definerede formål. 22 Visse medlemsstaters lovgivning kan kræve, at personlige oplysninger slettes inden for en kortere frist. -20-