Artikel 29-gruppen vedrørende databeskyttelse

Transkript

1 Artikel 29-gruppen vedrørende databeskyttelse 2130/05/DA WP115 Udtalelse 5/2005 fra Artikel 29-Gruppen om brug af lokaliseringsdata med henblik på at yde tillægstjenester Vedtaget den 25. november 2005 Denne gruppe blev nedsat ved artikel 29 i direktiv 95/46/EF. Den er et uafhængigt EU-rådgivningsorgan vedrørende databeskyttelse og beskyttelse af privatlivets fred. Dens opgaver er beskrevet i artikel 30 i direktiv 95/46/EF og artikel 15 i direktiv 2002/58/EF. Sekretariatet varetages af Direktorat C (civilret, grundlæggende rettigheder og EU-borgerskab) i Europa- Kommissionen, Generaldirektoratet for Retfærdighed, Frihed og Sikkerhed, B-1000 Bruxelles, Belgien. Websted:

2 Artikel 29-gruppen vedrørende databeskyttelse GRUPPEN VEDRØRENDE BESKYTTELSE AF PERSONER I FORBINDELSE MED BEHANDLING AF PERSONOPLYSNINGER, som blev oprettet ved Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995, som henviser til dette direktivs artikel 29, artikel 30, stk. 1, litra a), artikel 30, stk. 3, og til artikel 15, stk. 3, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002, som henviser til sin forretningsorden, særlig artikel 12 og 14, har vedtaget følgende udtalelse: Gruppen har bemærket, at spørgsmål om brug af lokaliseringsdata er meget oppe i tiden. Sådanne data defineres som "data, som behandles i et elektronisk kommunikationsnet og angiver den geografiske placering af det terminaludstyr, som brugeren af en offentligt tilgængelig elektronisk kommunikationstjeneste anvender" (artikel 2 i direktiv 2002/58/EF om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor). Baggrund og formål: Der har i de sidste 20 år været en iøjnefaldende stigning i brugen af lokaliseringsdata, hvilket skyldes to hovedfaktorer. Den første er den stærkt stigende brug af satellitlokaliseringsdata, som nu kan være utrolig nøjagtige og ofte meget værdifulde, især når nødlidende skal hjælpes. 1 Sådanne systemer er imidlertid kun tilgængelige for personer, som er udstyret med de korrekte terminaler. Den anden faktor er den hidtil usete udbredelse af mobiltelefoni, hvor hver bruger konstant bærer på et apparat, som gør, at han eller hun potentielt kan lokaliseres. Generelt gælder det, at personer kan lokaliseres på mange måder, primært ved brug af "spor", som de efterlader, når de bruger ny teknologi: automatiske billetautomater i transportsektoren, GPS, bank- eller betalingskort eller mobiltelefoner som i det foreliggende tilfælde. Først blev lokaliseringsdata betragtet som rent tekniske oplysninger, som var nødvendige, når der skulle foretages eller modtages mobiltelefonopkald, og de var kun tilgængelige for de elektroniske kommunikationsoperatører. Betegnelsen "trafikdata" anvendes i denne forbindelse. Sådanne data kommer alene fra brugen af en bestemt teknologi og adskiller sig ikke fra andre "spor", som skabes hver eneste dag. 1 Satellitgeolokalisering tilbydes i øjeblikket kun af GPS-systemet (Global Positioning System), som er udviklet af den amerikanske hær, og hvis resultater er blevet åbnet for civilt brug, overvejende marinenavigering. Lokaliseringsdata beregnes ved hjælp af triangulering og leveres direkte til den person, der har en GPS-modtager. Data kan derefter sendes til en tredjemand via et elektronisk kommunikationsnet (GPS/GSM-kombination).

3 I det omfang lokaliseringsdata giver afgørende oplysninger om en person (kort sagt: hvor personen befinder sig), er de imidlertid hurtigt blevet opfattet som en potentiel indtægtskilde. Virksomhederne har udviklet en bred vifte af tjenesteydelser, hvor sådanne data anvendes. 3

4 De første af sådanne tjenester tilbød enkeltpersoner oplysninger om f.eks. det nærmeste apotek eller den restaurant, de umiddelbart befandt sig tættest på. Derefter blev tjenesteydelser, der var baseret på engangsbrug af lokaliseringsdata (med oplysninger, der blev givet til brug i et bestemt øjeblik), suppleret med tjenesteydelser, der var baseret på løbende brug af disse data (navigeringsbistand). Denne første fase er nu blevet afløst af anden fase, hvor der udvikles tjenesteydelser, som ikke længere er baseret på at lokalisere personer efter eget ønske (hvor brugerne selv ønsker at anvende en tjeneste), men hvor de lokaliseres efter en tredjemands ønske. Der er blevet udviklet sporings- og søgetjenester, så personer kan lokaliseres via deres mobiltelefon, selv om de ikke bruger den, men den blot er tændt. Det afgørende spørgsmål i forbindelse med bearbejdning af lokaliseringsdata drejer sig således ikke længere om lagring (dvs. på hvilke betingelser bør elektroniske kommunikationsoperatører opbevare lokaliseringsdata?), men om brugen (hvordan kan man sikre, at data anvendes til udbud af tillægstjenester i overensstemmelse med principperne om behandling af personoplysninger?). Retlige rammer: Da lokaliseringsdata altid vedrører en identificeret eller identificerbar fysisk person, er de underlagt bestemmelserne om beskyttelse af personoplysninger i direktiv 95/46/EF af 24. oktober Da behandling af sådanne data er et særligt følsomt emne, der også vedrører det afgørende spørgsmål om friheden til at bevæge sig anonymt, har de europæiske lovgivere efter at have taget hensyn til de europæiske databeskyttelsesmyndigheders overvejelser vedtaget specifikke regler om, at brugeres eller abonnenters tilladelse skal indhentes, før der behandles lokaliseringsdata, som skal anvendes til at levere tillægstjenester, og at brugere eller abonnenter skal oplyses om vilkårene for en sådan behandling (artikel 9 i direktiv 2002/58/EF af 12. juli 2002). I artikel 2 i direktiv 2002/58/EF defineres trafikdata som "data, som behandles med henblik på overføring af kommunikation i et elektronisk kommunikationsnet eller debitering heraf", og lokaliseringsdata som "data, som behandles i et elektronisk kommunikationsnet og angiver den geografiske placering af det terminaludstyr, som brugeren af en offentligt tilgængelig elektronisk kommunikationstjeneste anvender". Mens de to nævnte direktiver udgør en passende ramme for behandling af lokaliseringsdata, ønsker gruppen at understrege, hvordan visse af disse bestemmelser bør anvendes og at fremhæve bestemte aspekter ved nogle af de udbudte tjenesteydelser. Denne udtalelse omhandler ikke betingelserne for behandling af lokaliseringsdata efter artikel 13 i direktiv 95/46/EF og artikel 15 i direktiv 2002/58/EC, dvs. hvis lokaliseringsdata behandles ved en undtagelse fra principperne i disse direktiver som led i en nødvendig, passende og forholdsmæssig foranstaltning inden for et demokratisk samfund med det formål at sikre den nationale sikkerhed, forsvaret, den offentlige sikkerhed og at forebygge, undersøge og retsforfølge strafbare handlinger. På grund af spørgsmålets vigtighed har 4

5 gruppen allerede udtrykt sine holdninger herom ved flere lejligheder Almindelige betingelser for brugen af lokaliseringsdata i forbindelse med tillægstjenester Gruppen vil gerne påpege, at det ved behandling af personoplysninger gælder, at de forskellige parter, der beskæftiger sig med at yde tillægstjenester på grundlag af lokaliseringsdata - det være sig elektroniske kommunikationsoperatører, som bearbejder lokaliseringsdata, eller tredjemand, som yder tillægstjenester på grundlag af lokaliseringsdata fra operatørerne skal overholde deres forpligtelser efter lovgivningen om beskyttelse af personoplysninger. 1.1 Gældende national ret Gruppen har fulgt udviklingen af tillægstjenester, der er baseret på bearbejdning af lokaliseringsdata fra elektroniske kommunikationstjenester, men som leveres af virksomheder (f.eks. via et websted), som ikke er hjemmehørende inden for samme territorium som den pågældende forbruger, dvs. den registrerede. Efter artikel 3 i direktiv 2002/58/EF finder dette direktiv anvendelse på behandling af personoplysninger i forbindelse med levering af offentligt tilgængelige elektroniske kommunikationstjenester i offentlige kommunikationsnet inden for EF. Efter artikel 4 i direktiv 95/46/EF er den gældende lovgivning den, som findes i den medlemsstat, hvor den registeransvarlige har hjemsted. Denne sidstnævnte bestemmelse betyder, at behandling af lokaliseringsdata inden for EF er underlagt den nationale lovgivning i den medlemsstat, hvor den registeransvarlige har hjemsted i stedet for den medlemsstat, hvor den registrerede er statsborger. Hvis den registeransvarlige (udbyderen af merværditjenesten) ikke har hjemsted i en medlemsstat, må lokaliseringsdata kun overføres fra den elektroniske kommunikationsoperatør til den registeransvarlige på de vilkår, som er fastsat i kapitel IV i direktiv 95/46/EF om overførsel af personoplysninger til tredjelande. I sådanne vilkår indgår kravet om, at databeskyttelseslovgivningen i tredjelandet skal findes tilstrækkelig af Europa- Kommissionen, eller at overførslen skal kunne retfærdiggøres på andet grundlag især den registreredes samtykke, en kontrakt, der er indgået i den registreredes interesse, en overordnet offentlig interesse, et retskrav eller behovet for at sikre den registreredes afgørende interesser. 1.2 Oplysning af de registrerede 2 Jf. henstilling 2/99 om beskyttelse af privatlivets fred i forbindelse med aflytning af telekommunikationer, udtalelse 7/2000 om Europa-Kommissionens forslag til Europa-Parlamentets og Rådets direktiv om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor af 12. juli 2000, KOM(2000) 385, udtalelse 4/2001 om Europarådets udkast til konvention om cyberkriminalitet, udtalelse 10/2001 om behovet for en afbalanceret fremgangsmåde i kampen mod terrorisme, udtalelse 5/2002 om de europæiske databeskyttelsesmyndigheders erklæring på den internationale konference i Cardiff ( september 2002) om obligatorisk og systematisk lagring af teletrafikdata, udtalelse 1/2003 om lagring af trafikdata til debiteringsformål og udtalelse 9/2004 om udkast til rammeafgørelse om opbevaring af data, der behandles og lagres i forbindelse med levering af offentligt tilgængelige elektroniske kommunikationstjenester, og af data, der findes i offentlige kommunikationsnet, med henblik på at forebygge, efterforske, afsløre og strafforfølge kriminalitet og strafbare handlinger, herunder terrorisme [forslag fremlagt af Frankrig, Irland, Sverige og Det Forenede Kongerige (Rådets dokument 8958/04 af 28. april 2004)]. 5

6 Gruppen skal gøre opmærksom på, at personer, der registreres med lokaliseringsdata til behandling, efter direktiv 95/46/EF (artikel 10) og 2002/58/EF (artikel 6 og 9) skal oplyses om: - den registeransvarliges og eventuelt hans repræsentants navn - formålet med databehandlingen - den lokaliseringsdatatype, der skal behandles - behandlingens varighed - hvorvidt data overføres til tredjemand med henblik på at yde en tillægstjeneste - adgangen til og retten til at korrigere data - brugernes ret til at trække deres samtykke tilbage til enhver tid eller til midlertidigt at nægte, at sådanne data må behandles, og betingelserne for udøvelsen af denne ret - retten til at slette data. Gruppen finder, at disse oplysninger bør gives af den part, der indsamler lokaliseringsdata til behandling, dvs. udbyderen af merværditjenesten eller af den elektroniske kommunikationsoperatør, såfremt udbyderen ikke har direkte kontakt med den registrerede. Oplysningerne kan gives enten i de almindelige vilkår og betingelser for merværditjenesten eller direkte, hver gang tjenesten anvendes. Da behandling af lokaliseringsdata er et meget følsomt område, vil gruppen gerne henlede tjenesteudbydernes opmærksomhed på behovet for at give klare, fuldstændige og omfattende oplysninger om aspekterne ved den tjenesteydelse, der udbydes. Hvis der gives oplysninger i de almindelige vilkår og betingelser for tjenesteydelsen, henstiller gruppen, at tjenesteudbyderen giver de berørte personer mulighed for at se disse oplysninger igen til enhver tid og ved en enkel metode, f.eks. via et websted eller ved brug af tjenesteydelsen (f.eks. ved opkald til et særligt telefonnummer). 1.3 Samtykke Indhentning af samtykke I overensstemmelse med standardpraksis for beskyttelse af personoplysninger, når der behandles følsomme oplysninger, kræver europæisk lovgivning, at der indhentes forhåndssamtykke forud for behandling af lokaliseringsdata ud over trafikdata. Derfor gør gruppen her detaljeret rede for betingelserne for at opnå samtykke. I artikel 2, litra h), i direktiv 95/46/EF defineres den registreredes samtykke som "enhver frivillig, specifik og informeret viljetilkendegivelse, hvorved den registrerede indvilliger i, at personoplysninger, der vedrører den pågældende selv, gøres til genstand for behandling". Med denne definition udelukkes det eksplicit, at der kan gives samtykke sammen med, at de almindelige vilkår og betingelser for den elektroniske kommunikationstjeneste accepteres. I denne forbindelse kan der henvises til den klarhed, der skabes i Artikel 29-Gruppens udtalelse nr. 5/2004 om uanmodet kommunikation med henblik på markedsføring, som er særlig vigtig i denne sammenhæng. 6

7 Imidlertid kan den registreredes samtykke afhængigt af den udbudte tjenestes type vedrøre en bestemt operation eller kan være ensbetydende med, at den registrerede indvilliger i at blive lokaliseret løbende. En tjeneste, der kræver automatisk lokalisering af en person (f.eks. muligheden for at ringe et bestemt nummer op for at få oplysninger om vejret på det sted, man befinder sig), kan accepteres, såfremt brugerne på forhånd oplyses fuldt ud om behandlingen af deres lokaliseringsdata. I så fald betyder et opkald til det pågældende nummer, at brugerne samtykker i at blive lokaliseret. Virksomhederne skal indhente den registreredes samtykke En tillægstjeneste baseret på lokaliseringsdata kan enten ydes direkte af den elektroniske kommunikationsoperatør (den relevante bruger kontakter operatøren, som derefter udfører tjenesteydelsen på grundlag af lokaliseringsdata fra systemet) eller via en tredjemand (den relevante bruger kontakter en tredjemand, som derefter udfører tjenesteydelsen på grundlag af lokaliseringsdata fra operatøren). I sidstnævnte tilfælde er det tjenesteudbyderen, som skal indhente den registreredes samtykke. Medmindre lokaliseringsdata kommer fra selve terminaludstyret, kræver dette, at operatørerne systematisk sender lokaliseringsdata for en identificeret person (dvs. den person, som har kontaktet tredjemand for at gøre brug af tjenesteydelsen) til en tredjemand efter opfordring fra denne. I lyset af det stigende antal udbydere af tjenesteydelser finder gruppen, at der kan opnås en høj grad af beskyttelse ved behandling af personlige lokaliseringsdata, hvis operatørerne centraliserer anmodningerne om at anvende en tillægstjeneste på grundlag af lokaliseringsdata (kunderne ringer til et nummer, som operatøren styrer) og ved at overføre anmodningerne til den tredjemand, der yder tjenesten på en sådan måde, at tjenesteudbyderen ikke kan identificere kunden (f.eks. ved brug af et alias 3 ). Som led i denne ordning kan udbyderen levere den ønskede tjenesteydelse (f.eks. navnet på den nærmeste restaurant) via operatøren uden at kunne identificere den person, der udbeder sig tjenesteydelsen. Gruppen har ligeledes bemærket, at en terminal for slutbrugere også kan yde en høj grad af beskyttelse med sin egen indbyggede lokaliseringskapacitet. Lokaliseringsdata kan derefter bearbejdes af et identitetsstyringssystem, så der leveres pseudonymer til flere tjenesteudbydere. En anden mulighed på baggrund af stadig stigende mobilbåndbredde og lagringskapacitet er, at der på slutbrugerens apparat downloades en fuldstændig liste over restauranter i en by, hvorefter der søges lokalt på denne liste med brug af både lokaliseringsdata og brugerens indstillinger (f.eks. fransk køkken vegetarmenu m.v.). Med disse eksempler vil gruppen gerne lægge vægt på behovet for at overveje teknologier til beskyttelse af privatlivets fred som elementer, der medvirker til at sikre en høj og tilfredsstillende grad af beskyttelse til brugere af geografiske lokaliseringstjenester. Under alle omstændigheder ønsker gruppen at henlede operatørernes opmærksomhed på behovet for at indføre effektive foranstaltninger, der gør det muligt at bekræfte og berigtige anmodninger om adgang til lokaliseringsdata fra en tredjemand, der tilbyder en tillægstjeneste. 3 Ved "alias" forstås de tekniske data, der gør det muligt for tjenesteudbyderen at levere en tjeneste ud fra brugerens lokaliseringsdata uden at kunne identificere personen ved navn. Kun operatøren kan forbinde dette alias med den pågældende person. 7

8 Foranstaltninger til at sikre, at samtykket er ægte Gruppen finder, at udbydere af tillægstjenester ved indhentning af samtykke skal tage passende foranstaltninger til at sikre, at den person, som lokaliseringsdata vedrører, er den samme person, der har givet sit samtykke. Hvis behandlingen af lokaliseringsdata sker løbende (f.eks. ved tjenester som Find-a-friend), skal udbyderen: - bekræfte abonnementet på tjenesten ved at sende en meddelelse til brugerens terminaludstyr, efter at samtykket er modtaget - om nødvendigt bede om bekræftelse af abonnementet. Formålet er at undgå tilfælde med svigagtige abonnementer uden personens viden (midlertidig fjernelse af en persons terminaludstyr med henblik på at abonnere på tjenesteydelsen). Den person, hvis samtykke kræves I artikel 6 og 9 i direktiv 2002/58/EF henvises der til brugeres eller abonnenters samtykke. Gruppen finder, at når der udbydes tjenesteydelser til privatpersoner, skal der indhentes samtykke fra den person, som data vedrører, dvs. brugeren af terminaludstyret. 1.4 Brug af retten til at trække et samtykke tilbage Efter artikel 9 i direktiv 2002/58/EF kan personer, der har givet samtykke til behandling af lokaliseringsdata ud over trafikdata, trække deres samtykke tilbage og skal have mulighed for ved brug af en simpel, gebyrfri anordning midlertidigt at forhindre, at disse data behandles. Gruppen betragter disse rettigheder - som i sig selv giver ret til at afvise behandling af lokaliseringsdata - som afgørende på grund af lokaliseringsdatas følsomme natur. Gruppen mener, at det er en forudsætning for at kunne udøve disse rettigheder, at personerne bliver informeret, ikke kun når de begynder at abonnere på en tjeneste, men også når de anvender den. Når en tjenesteydelse kræver løbende behandling af lokaliseringsdata, finder gruppen, at tjenesteudbyderen jævnligt bør underrette den berørte person om, at hans eller hendes terminaludstyr er blevet eller vil blive lokaliseret eller kan lokaliseres. Dette vil gøre det muligt for denne person at udøve sin ret til at trække sit samtykke tilbage efter artikel 9 i direktiv 2002/58/EF, hvis han eller hun ønsker dette. 1.5 Datalagringstid Lokaliseringsdata må kun behandles "i det tidsrum, som er nødvendigt for levering af en tillægstjeneste" (artikel 9, stk. 1, i direktiv 2002/58/EF). Dette betyder, at når en tjeneste er blevet leveret, må udbyderen principielt ikke lagre brugernes lokaliseringsdata, medmindre dette sker med debitering og sammenkoblingsbetaling for øje. 4 Hvis tjenesteudbyderne ønsker at føre et register over lokaliseringsdata for brugerne af deres tjenesteydelser, skal disse data først anonymiseres. 4 I denne forbindelse henviser gruppen til sine henstillinger om lagring af trafikdata til debiteringsformål (udtalelse 1/2003 af 29. januar 2003). 8

9 1.6 Sikkerhedsforanstaltninger og videresendelse til tredjemand Gruppen vil gerne gøre elektroniske kommunikationsoperatører og leverandører af tillægstjenester, der er baseret på behandling af lokaliseringsdata opmærksomme på behovet for at indføre sikkerhedsforanstaltninger med det formål at sikre de behandlede lokaliseringsdatas fortrolighed og integritet. Efter artikel 9, stk. 3, i direktiv 2002/58/EF må lokaliseringsdata, der skal behandles med henblik på at yde en tillægstjeneste, ikke overføres til andre tredjemænd end de, som yder denne tillægstjeneste. Kun personer, der handler på vegne af den tredjemand, der yder tillægstjenesten, må behandle disse data i det omfang og det tidsrum, der kræves for at kunne yde denne tjenesteydelse. Der bør også føres en log over sådanne personers adgang til disse lokaliseringsdata. 2. Betingelser for visse lokaliseringstjenester på baggrund af deres formål Da de anvender personoplysninger, skal lokaliseringstjenester ud over at opfylde de specifikke betingelser i direktiv 2002/58/EF også opfylde kravene i artikel 6 i direktiv 95/46/EF, hvori det hedder, at personoplysninger "skal indsamles til udtrykkeligt angivne og legitime formål". Gruppen vil derfor undersøge betingelserne for anvendelse af visse lokaliseringstjenester, især under hensyntagen til deres formål. 2.1 Lokalisering af mindreårige Gruppen har bemærket udviklingen af lokaliseringstjenester beregnet til forældre, der f.eks. sætter dem i stand til at skabe forbindelse med et websted med henblik på at konstatere, hvor deres børn, som de har givet en mobiltelefon, befinder sig. Denne type tjenesteydelse giver anledning til en række problematiske spørgsmål, der især vedrører behovet for at skabe balance mellem de forskellige interesser og rettigheder, der er involveret. En tjeneste, der gør det muligt at lokalisere børn ved hjælp af en mobiltelefon, kan udmærket være, hvad nogle forældre ønsker. Mediedækningen af kriminalsager, hvor der er børn indblandet, behovet for at overvåge børn med bestemte sygdomme eller en stadig mere, "nomadisk" livsstil, kan lede visse forældre til at søge tilflugt i muligheden for at kunne lokalisere deres børn til enhver tid uden at ringe dem op. Denne nye brug af mobiltelefonen til fordel for forældrene, som betaler for den, kan betragtes som en slags "familiekontrakt", hvor barnet får mere kommunikationsuafhængighed, mens forældrene får mulighed for at lokalisere barnet. I denne forbindelse kan sådanne tjenester opfylde et konstateret moderne "behov" og afspejle tjenesteudbydernes ønske om at skabe sig en position på et marked, der kan forventes at vokse, og som udgør et nyt eksempel på, hvordan mulighederne ved lokaliseringsdata bliver markedsført. Denne tjeneste bør imidlertid også betragtes omvendt: ikke fra forældrenes synsvinkel, selv om den kan være særdeles forståelig, men fra barnets. 9

10 Gruppen gør opmærksom på artikel 3 og 18 i den internationale konvention om børns rettigheder, hvori det hedder, at i alle foranstaltninger vedrørende børn "skal barnets tarv komme i første række". I det foreliggende spørgsmål bør man ligeledes tage højde for konventionens artikel 16, hvori det fastsættes, at "intet barn må udsættes for vilkårlig eller ulovlig indblanding i sit privat- og familieliv, sit hjem eller sin brevveksling". Der er derfor betænkeligheder ved brugen af denne type tjeneste, som kan forstyrre de normale forbindelser med gensidig tillid mellem forældre og deres børn og forhindre børn i at opnå den nødvendige afstand til deres forældre i takt med, at de bliver mere uafhængige. Kan det desuden tænkes, at et sådant system utilsigtet får nogle forældre til at negligere deres ansvar, mens de holder fast ved en illusion om, at de kontrollerer eller i det mindste overvåger deres børns aktiviteter? Fra samfundets synsvinkel kan udviklingen af en sådan tjeneste muligvis også medvirke til, at visse personer allerede fra barndommen bliver vænnet til en form for varig overvågning, som de end ikke længere betragter som indblanding. Endelig foreligger der en risiko for, at forældrene vil forveksle deres viden om, hvor barnets mobiltelefon befinder sig, med viden om, hvad deres barn reelt foretager sig. Gruppen opfordrer derfor som et minimum til forsigtighed ved brugen af denne slags tjeneste og vil gerne gøre opmærksom på, at den skal ydes i overensstemmelse med reglerne om behandling af lokaliseringsdata og i henhold til den specifikke nationale lovgivning vedrørende de pågældende umyndige personers alder. Tjenesteudbyderne skal derfor indføre passende procedurer til identificering af personer, som lader sig registrere som forældre, og de skal begrænse adgangen til tjenesten til disse personer. Derudover er der spørgsmålet om en mindreårigs samtykke til at blive genstand for en lokaliseringsforespørgsel. I denne forbindelse bemærker gruppen, at det er umuligt at bekræfte i forbindelse med en lokaliseringsforespørgsel, om den person, der anvender telefonen, er den pågældende mindreårige og ikke en anden person, f.eks. en voksen, som telefonabonnenten har overladt den relevante telefon til. Derfor anbefaler gruppen, at telefonbrugerens samtykke skal indhentes, i hvert fald når der tegnes abonnement på tjenesten. For at forhindre svigagtig registrering af telefoner bør tjenesteudbyderne f.eks. sende meddelelser til den relevante telefon med besked om, at der er blevet foretaget en lokaliseringsforespørgsel, så telefonbrugeren kan udøve sin ret til at tilbagekalde sit samtykke efter artikel 9 i direktiv 2002/58/EF. 2.2 Lokalisering af medarbejdere Gruppen har allerede taget stilling til spørgsmålet om behandling af personoplysninger i ansættelsessammenhæng. 5 Den lagde vægt på, at overvågning af medarbejdere skal ske med så lidt indblanding som muligt. Databehandling, der giver en arbejdsgiver mulighed for at indsamle oplysninger om, hvor en arbejdstager befinder sig, det være sig direkte (lokalisering af arbejdstageren selv) eller 5 Udtalelse 8/2001 af 13. september 2001 om behandling af personoplysninger i ansættelsesforhold. 10

11 indirekte (lokalisering af det køretøj, som arbejdstageren anvender, eller af et produkt/aktiv, som han eller hun har ansvar for), medfører brug af personoplysninger og er underlagt bestemmelserne i direktiv 95/46/EF. Gruppen har fulgt udviklingen af systemer, der giver virksomheder mulighed for at konstatere deres ansattes geografiske position på et givet tidspunkt eller løbende ved lokalisering af genstande, som de bærer på (tjenestekort, mobiltelefon m.v.) eller anvender (køretøj). Disse oplysninger kan baseres på behandling af data fra satellitter (GPS), fra et elektronisk kommunikationsnet (mobiltelefon, wi-fi-netværk) eller fra andre apparater (f.eks. et trådløst identifikationsmærke, der lokaliseres af et læseapparat). De suppleres i stigende omfang af data fra forskellige sensorer, der går ud over lokalisering i ordets egentlige betydning, oplysninger om, hvor længe en maskine eller et køretøj er i brug, kilometertal eller den hastighed, som et køretøj har kørt med. En sådan behandling giver anledning til to spørgsmål: skillelinjen mellem arbejds- og privatliv og den grad af overvågning, som en medarbejder med rimelighed kan udsættes for. Gruppen vil gerne igen gøre opmærksom på, at lovligheden af en sådan databehandling ikke alene bør være afhængig af den ansattes samtykke, som bør gives "frit" i henhold til direktivet. Som gruppen allerede har nævnt i sit arbejdsdokument om databeskyttelse i ansættelsessammenhæng, bør spørgsmålet om samtykke vurderes i et bredere perspektiv; alle interesserede parters deltagelse (som fastsat i flere medlemsstaters lovgivning) via fælles aftaler kan fremhæves som en hensigtsmæssig måde til at regulere indsamlingen af samtykkeerklæringer under sådanne omstændigheder. På baggrund af kravet om, at data skal behandles til specifikke formål, finder gruppen, at behandlingen af lokaliseringsdata om ansatte skal modsvare det specifikke behov i den virksomhed, som står i forbindelse hermed. Behandling af lokaliseringsdata kan retfærdiggøres, hvis det sker som led i overvågning af person- eller godstransport eller forbedring af ressourcefordeling for tjenester i spredte områder (f.eks. driftsplanlægning i realtid), eller hvis det sker af hensyn til den ansattes sikkerhed eller de varer eller køretøjer, som han eller hun er ansvarlig for. Omvendt finder gruppen, at databehandlingen går for vidt, hvis medarbejderne under alle omstændigheder frit kan organisere deres rejseaktivitet, eller hvis det sker med det ene formål at overvåge den ansattes arbejde, når dette kan gøres på anden vis. I disse to tilfælde kan formålet ikke retfærdiggøre brugen af utvetydig indblanding på baggrund af de indsamlede oplysninger. Dette forhold forværres yderligere af, at der findes national lovgivning, der udtrykkeligt forbyder afstandsovervågning af ansatte med henblik på at vurdere deres præstationer. Under alle omstændigheder betyder formålskravet, at en arbejdsgiver ikke bør indsamle lokaliseringsdata om en ansat uden for dennes arbejdstid. Gruppen henstiller derfor, at materiel, der stilles til rådighed for medarbejdere, især køretøjer, og som også kan anvendes til privat brug, udstyres med et system, der gør det muligt for de ansatte at slukke for lokaliseringsfunktionen. Lokaliseringsdata om en ansat må beholdes, så længe det er passende på baggrund af det formål, der bruges til at retfærdiggøre behandlingen af sådanne data. På grund af de mulige 11

12 årsager til behandling af lokaliseringsdata vil behandlingen dybest set foregå i realtid. Under alle omstændigheder henstiller gruppen, at lokaliseringsdata kun opbevares i et rimeligt tidsrum, dvs. ikke længere end to måneder. Hvis en arbejdsgiver ønsker at behandle lokaliseringsdata i mere end to måneder (f.eks. for at udarbejde en historisk oversigt over køreture med henblik på at optimere sine ruter), henstiller gruppen, at disse data først anonymiseres. Adgang til lokaliseringsdata skal begrænses til personer, som under udøvelsen af deres hverv efter reglerne kan konsultere dem i lyset af deres formål. Arbejdsgiverne skal derfor tage alle nødvendige forholdsregler for at holde sådanne data sikre og forhindre uberettiget adgang til dem, især ved indførelse af bekræftelses- og identifikationsprocedurer. Endelig gør gruppen opmærksom på forpligtelsen til at oplyse de berørte ansatte og vil gerne henlede virksomhedernes opmærksomhed på behovet for at indføre lokaliseringssystemer på en sådan måde, at de ansatte er klar over, at de findes. Udfærdiget i Bruxelles, den 25. november 2005 På gruppens vegne Formand Peter Schaar 12