Arbejdsgruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger. Henstilling 1/99

Transkript

1 5093/98/DA/endelig udg. WP 17 Arbejdsgruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger Henstilling 1/99 om usynlig og elektronisk behandling af personoplysninger på Internettet via software og hardware vedtaget af arbejdsgruppen den 23. februar 1999

2 Henstilling 1/99 om usynlig og elektronisk behandling af personoplysninger på Internettet via software og hardware vedtaget af arbejdsgruppen den 23. februar 1999 ARBEJDSGRUPPEN VEDRØRENDE BESKYTTELSE AF PERSONER I FORBINDELSE MED BEHANDLING AF PERSONOPLYSNINGER der blev nedsat ved Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995, som henviser til artikel 29 og 30, stk. 3 i dette direktiv, som henviser til procedurereglerne og navnlig artikel 12 og 14 heri, HAR VEDTAGET FØLGENDE HENSTILLING: 1. Arbejdsgruppen opfordrer software- og hardwareindustrien til at udvikle internetprodukter, som overholder reglerne om privatlivets fred og dermed de europæiske databeskyttelsesregler. En forudsætning for at behandlingen af personoplysninger er lovlig, er at den registrerede underrettes og således gøres bekendt med databehandlingen. Derfor beskæftiger arbejdsgruppen sig især med alle former for databehandling via software og hardware på Internettet, der sker uden personens vidende og derfor er "usynlig" for ham/hende. Typiske eksempler på usynlig databehandling er chatting på HTTP-niveau 1, automatiske hyperlinks til tredjemand, aktivt indhold (som Java, ActiveX eller andre kundebaserede scriptteknologier) og cookies-mekanismen, som anvendes i de fleste browsere. 2. Internetsoftware- og hardware-produkter bør give internetbrugere oplysninger om de data, de ønsker at indsamle, lagre eller overføre og til hvilke formål de er nødvendige. Internet-software-og hardware-produkter bør også give databrugeren mulighed for at få let adgang til alle data, som senere måtte blive indsamlet om ham/hende. Dette betyder f.eks.: 1 Dette betyder, at der sendes flere oplysninger via http, end der er behov for til at etablere forbindelse til serveren. 2

3 - i forbindelse med browsersoftware, at brugeren ved etablering af forbindelse til en webserver (afsendelse af en forespørgsel eller modtagelse af en webside) underrettes om, hvilke oplysninger der skal overføres og til hvilke formål. - i forbindelse med hyperlinks, der sendes via et websted til en bruger, at brugerens browser skal vise disse oplysninger. - i forbindelse med cookies, at brugerens skal informeres, når en cookie skal modtages, lagres eller sendes via internetsoftwaren. I meddelelsen skal det specificeres i et almindeligt forståeligt sprog, hvilke oplysninger, der vil blive lagret i cookien, til hvilket formål og cookiens levetid. 3. Konfigureringen af hard- og software-produkter bør ikke som standard gøre det muligt at indsamle, lagre eller sende persistente kundedata 2 : - Browsersoftware bør som standard være konfigureret på en sådan måde, at der kun behandles det minimum af oplysninger, som er nødvendig til etablering af en internetforbindelse. Cookies bør ikke som standard sendes eller lagres. - Når en browser installeres, bør den funktion der er beregnet til at lagre og sende data om brugerens identitet eller kommunikationsadfærd (profil) ikke automatisk udfyldes med data, der er lagret på brugerens udstyr. 4. Internethardware- og software-produkter bør give den registrerede mulighed for frit at bestemme, om hans/hendes personlige oplysninger skal behandles eller ikke og ved hjælp af brugervenlige værktøjer at filtrere (dvs. at afvise eller ændre) modtagelse, lagring eller afsendelse af persistente kundedata efter visse kriterier (inkl. profiler, internetserverens domæne eller identitet, arten og varigheden af de oplysninger, der indsamles, lagres, sendes osv.). Brugeren bør forsynes med klare instrukser om brugen af soft- og hardware til implementeringen af disse valgmuligheder og værktøjer: - Browser-softwaren bør give brugeren mulighed for at konfigurere browseren på en sådan måde, at det specificeres, hvilke data browseren skal indsamle og overføre. - I forbindelse med cookies skal brugeren altid have mulighed for at acceptere eller afslå afsendelse eller lagring af en cookie. Brugeren skal også have mulighed for at bestemme, hvilke oplysninger der skal bevares på eller fjernes fra en cookie, afhængig af f.eks. cookiens levetid eller afsendelse eller modtagelse af websteder. 2 Persistente kundedata (Client persistent information) er en teknisk (ikke juridisk) betegnelse, som betyder oplysninger, der vedrører kunden (brugerens pc), og som forbliver på pc'en i mere end en session. En session starter, når kunden klikker sig ind på en side på et bestemt websted og ophører, når han forlader browserprogrammet eller slukker pc'en, eller når han klikker sig ind på en side på et andet websted. Cookies er typiske eksempler på persistente kundedata og det samme gælder for privacy preferences. 3

4 5. Internet-software- og hardware-produkter skal gøre det muligt for brugere at fjerne persistente kundedata på en simpel måde og uden at involvere afsenderen. Brugeren skal have klare instrukser om, hvordan dette gøres. Hvis oplysningerne ikke kan fjernes, skal der være en sikker måde til at undgå, at oplysningerne overføres eller læses. - Cookies og andre persistente kundedata skal lagres efter standardiserede principper og skal let og selektivt kunne slettes på kundens pc. BAGGRUND Det er i øjeblikket næsten umuligt at benytte Internet uden at blive konfronteret med funktioner, som griber ind i privatlivets fred, og hvorved personoplysninger bliver behandlet på en måde, som ikke er synlig for den registrerede. Med andre ord internetbrugeren er ikke klar over, at hans/hendes personlige data er blevet indsamlet og bearbejdet og kan blive anvendt til formål, som han/hun ikke er bekendt med. Den pågældende har ikke kendskab til denne databehandling og har ikke mulighed for at sige fra. Et eksempel på denne teknik er den såkaldte cookie, der kan defineres som et dataregister, som sendes fra en webserver til en brugers pc til identifikation af denne pc, hvis brugeren igen besøger dette websted. Browsere er software-programmer bl.a. til grafisk fremstilling af materiale, der er tilgængeligt på Internettet. Browsere kommunikerer mellem brugerens pc (kunden) og computeren, hvor oplysningerne er lagret (webserver). Browsere sender ofte flere oplysninger til webserveren end strengt nødvendigt for at etablere forbindelsen. Almindelige browsere vil til webserveren automatisk sende oplysninger om browserens sprog, navnet på andre software-programmer, der er installeret på brugerens pc samt operativsystemet, refencesiden, cookies mv. Sådanne data kan også usynligt overføres systematisk fra browsersoftwaren til tredjemand. Disse metoder gør det muligt at opstille clicktrails for internetbrugeren. Clicktrails består af oplysninger om en persons adfærd, identitet, stier eller valg, mens den pågældende person var inde på webstedet. De indeholder de links, som en bruger har benyttet og disse registreres på webserveren. Fællesskabets databeskyttelsesdirektiver 95/46/EF og 97/66/EF indeholder detaljerede bestemmelser om beskyttelse af enkeltpersoner for så vidt angår beskyttelse af personoplysninger. Begge direktiver er relevante for de forhold, som er omhandlet i denne henstilling, da personoplysninger om internetbrugere behandles i denne sammenhæng. Cookies eller browsere kan indeholde eller viderebearbejde data, således at det er muligt direkte eller indirekte at identificere den enkelte internetbruger. 4

5 Anvendelsen af bestemmelserne om rimelig behandling af oplysninger, legitime grunde til at behandle oplysninger og den registreredes ret til selv at bestemme, om dennes egne data skal behandles eller ikke var baggrunden for ovennævnte henstilling. Arbejdsgruppen er især betænkelig hvad angår risiciene i forbindelse med behandling af personoplysninger i de tilfælde, hvor den registrerede slet ikke har kendskab til en sådan databehandling. Software- og hardware-designere opfordres derfor indtrængende til at tage højde for og overholde principperne i disse direktiver med henblik på at forbedre beskyttelsen af privatlivets fred i forbindelse med brug af Internettet. Udfærdiget i Bruxelles, den 23. februar 1999 For arbejdsgruppen Formanden Peter Hustinx 5