ARTIKEL 29-Gruppen vedrørende Databeskyttelse

ARTIKEL 29-Gruppen vedrørende Databeskyttelse 881/11/DA WP 185 Udtalelse nr. 13/2011 om geolokaliseringstjenester i intelligente mobile enheder Vedtaget den 16. maj 2011 Artikel 29-Gruppen er nedsat ved artikel 29 i direktiv 95/46/EF. Gruppen er et uafhængigt EU-rådgivningsorgan vedrørende databeskyttelse og beskyttelse af privatlivets fred. Dens opgaver er beskrevet i artikel 30 i direktiv 95/46/EF og artikel 15 i direktiv 2002/58/EF. Sekretariatet varetages af Direktorat C (Grundlæggende rettigheder og unionsborgerskab) i Europa-Kommissionens Generaldirektoratet for Retlige Anliggender, 1049 Bruxelles, Belgien, kontor: MO36 02/013. Websted: http://ec.europa.eu/justice/data-protection/index_da.htm

INDHOLDSFORTEGNELSE 1. Indledning...3 2. Kontekst: forskellige infrastrukturer til geolokalisering...4 2.1 Basestationsdata...4 2.2 GPS-teknologi...5 2.3 WiFi...5 2.3.1 WiFi-adgangspunkter...5 3. Risici vedrørende privatlivets fred...7 4. Retlige rammer...8 4.1 Basestationsdata, som behandles af telekommunikationsoperatører...8 4.2 Basestations-, WiFi- og GPS-data, som behandles af udbydere af informationssamfundstjenester...8 4.2.1 Anvendelighed af det ændrede e-privacy-direktiv...8 4.2.2 Anvendelighed af databeskyttelsesdirektivet...9 5. Forpligtelser i henhold til databeskyttelseslovgivningen...11 5.1 Registeransvarlig...11 5.1.1. Registeransvarlige for infrastruktur til geolokalisering...12 5.1.2 Udbydere af geolokaliseringsapplikationer og -tjenester...12 5.1.3 Udvikler af styresystemet...13 5.2 Andre parters forpligtelser...13 5.3 Lovlig grund...13 5.3.1 Intelligente mobile enheder...13 5.3.2 WiFi-adgangspunkter...16 5.3 Information...17 5.4 De registreredes rettigheder...18 5.5 Opbevaringsperioder...18 6. Konklusioner...19 2

GRUPPEN VEDRØRENDE BESKYTTELSE AF PERSONER I FORBINDELSE MED BEHANDLING AF PERSONOPLYSNINGER, som er nedsat ved Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995, som henviser til dette direktivs artikel 29 og artikel 30, stk. 1, litra a), og artikel 30, stk. 3, som henviser til sin forretningsorden, HAR VEDTAGET FØLGENDE UDTALELSE: 1. Indledning Geografiske oplysninger spiller en vigtig rolle i vores samfund. Næsten alle menneskelige aktiviteter og beslutninger har en geografisk komponent. Generelt stiger værdien af informationer, når de forbindes med et sted. Alle former for information kan forbindes til et geografisk sted, f.eks. finansielle data, helbredsoplysninger og andre forbrugeradfærdsdata. Med den hurtige teknologiske udvikling og den store udbredelse af intelligente mobile enheder er der ved at opstå en helt ny kategori af lokaliseringsbaserede tjenester. Formålet med denne udtalelse er at præcisere de retlige rammer, der gælder for de geolokaliseringstjenester, der er tilgængelige i og/eller genereres af intelligente mobile enheder, som kan koble sig på internettet og er udstyret med positionsfølsomme sensorer som f.eks. GPS. Som eksempler på sådanne tjenester kan nævnes: kort og navigation, geopersonaliserede tjenester (herunder nærliggende interessepunkter), augmented reality ("forstærket virkelighed"), geotagging af indhold på internettet, sporing af venners færden, børneovervågning og positionsbaseret reklame. Denne udtalelse omhandler også de tre hovedtyper af infrastrukturer, der anvendes til at levere geolokaliseringstjenester, nemlig GPS, GSM-basestationer og WiFi. Der lægges særlig vægt på den nye infrastruktur, der er baseret på lokaliseringen af WiFiadgangspunkter. Gruppen er klar over, at der er mange andre tjenester, som behandler lokaliseringsdata, og som også kan give anledning til bekymring omkring databeskyttelse. Disse omfatter e-billetsystemer og vejafgiftssystemer samt satellitnavigationstjenester og positionssporing ved hjælp af f.eks. kameraer og geolokalisering af IP-adresser. I betragtning af den hurtige teknologiske udvikling med hensyn til især kortlægning af trådløse adgangspunkter samt det faktum, at de nye udbydere på markedet er ved at udvikle nye lokaliseringsbaserede tjenester baseret på en kombination af basestations-, GPS- og WiFi-data, har Gruppen besluttet især at præcisere de juridiske krav til disse tjenester i henhold til databeskyttelsesdirektivet. 3

I udtalelsen beskrives teknologien først, derefter identificeres og vurderes risiciene vedrørende privatlivets fred, og til sidst gives der konklusioner med hensyn til anvendelsen af de relevante lovartikler på de forskellige registeransvarlige, som indsamler og behandler lokaliseringsdata fra mobile enheder. Dette omfatter f.eks. udbydere af infrastruktur til geolokalisering, producenter af smartphones og udviklere af geolokaliseringsbaserede applikationer. Denne udtalelse vurderer ikke specifik geotagging-teknologi, der er forbundet med det såkaldte web 2.0, hvor brugere integrerer georefererede oplysninger på sociale netværk som f.eks. Facebook eller Twitter. Denne udtalelse indeholder heller ikke en detaljeret beskrivelse af visse andre geolokaliseringsteknologier, som anvendes til at sammenkoble enheder inden for et relativt lille område (shoppingcentre, lufthavne, kontorbygninger osv.) som f.eks. Bluetooth, ZigBee, geofencing og WiFi-baserede RFID-tags, selv om mange af konklusionerne i denne udtalelse med hensyn til lovlig grund, oplysninger og de registreredes rettigheder også gælder for disse teknologier, når de bruges til at geolokalisere personer via deres enheder. 2. Kontekst: forskellige infrastrukturer til geolokalisering 2.1 Basestationsdata Det område, som dækkes af de forskellige telekommunikationsoperatører, er opdelt i områder, der generelt kaldes celler. For at kunne bruge en mobiltelefon eller oprette forbindelse til internettet ved hjælp af 3G-kommunikation, skal den mobile enhed skabe forbindelse til den antenne (herefter kaldet basestation), som dækker den pågældende celle. Cellerne dækker områder af forskellig størrelse afhængig af interferensen med f.eks. bjerge og høje bygninger. Når en mobil enhed er tændt, er enheden hele tiden forbundet med en specifik basestation. Telekommunikationsoperatøren registrerer disse forbindelser løbende. Hver basestation har et unikt ID og er registreret med en specifik position. Både telekommunikationsoperatøren og mange mobile enheder kan anvende signaler fra overlappende celler (tilstødende basestationer) til at beregne positionen af den mobile enhed med større nøjagtighed. Denne teknik kaldes også triangulering. Nøjagtigheden kan yderligere øges ved hjælp af oplysninger som f.eks. RSSI (Received Signal Strength Indicator), TDOA (Time Difference of Arrival) og AOA (Angle Of Arrival) Basestationsdata kan bruges på innovative måder, f.eks. til at identificere trafikkøer. Hver vej har en gennemsnitlig fart for hvert segment på dagen, men når overførsler til næste basestation tager længere tid end forventet, er der tilsyneladende en trafikkø. Denne lokaliseringsmetode giver således en hurtig og omtrentlig indikation af position, men den er ikke særlig nøjagtig sammenlignet med GPS- og WiFi-data. Nøjagtigheden er ca. 50 meter i tæt befolkede byområder men op til flere kilometer i landområder. 4

2.2 GPS-teknologi Intelligente mobile enheder har indbyggede chipsæt med GPS-modtagere, som bestemmer deres position. GPS-teknologi (Global Positioning System) anvender 31 satellitter, som hver især kredser om jorden i et af de 6 forskellige kredsløb 1. Hver satellit overfører et meget nøjagtigt radiosignal. Den mobile enhed kan bestemme sin position, når GPS-sensoren opfanger mindst 4 af disse signaler. Til forskel fra basestationsdata går signalet kun én vej. De enheder, som styrer satellitterne, kan ikke spore enheder, som har modtaget radiosignalet. GPS-teknologi udfører nøjagtig lokalisering, mellem 4 og 15 meter. Den største ulempe ved GPS er, at det har en relativt langsom opstart 2. En anden ulempe er, at det ikke fungerer eller ikke fungerer godt indendørs. I praksis kombineres GPS-teknologi derfor ofte med basestationsdata og/eller kortlægges med WiFi-adgangspunkter. 2.3 WiFi 2.3.1 WiFi-adgangspunkter Brugen af WiFi-adgangspunkter er en relativt ny kilde til geolokaliseringsoplysninger. Teknologien er den samme som ved brug af basestationer. De er begge afhængige af et unikt ID (fra basestationen eller WiFi-adgangspunktet), som kan identificeres af en mobil enhed og sendes til en tjeneste, som har en position for hvert unikt ID. Det unikke ID for hvert WiFi-adgangspunkt er dets MAC-adresse (medium access control). En MAC-adresse er en unik identifikator, som er tildelt til et netværksinterface og som regel registreret i hardware som f.eks. hukommelseschips og/eller netværkskort i computere, telefoner, laptops eller adgangspunkter 3. Årsagen til at WiFi-adgangspunkter kan bruges som en kilde til geolokaliseringsoplysninger er, at de hele tiden tilkendegiver deres eksistens. De fleste adgangspunkter for bredsbåndsinternet har som standard også en WiFi-antenne. Standardindstillingen for de hyppigst anvendte adgangspunkter i Europa er, at denne forbindelse er slået "til", også selv om brugeren kun har forbundet sin computer med fast forbundne kabler til adgangspunktet. I lighed med en radio overfører WiFiadgangspunktet løbende sit eget netværksnavn og MAC-adresse, også selv om ingen 1 2 3 Global Positioning System består af satellitter, som er opsendt af USA til militære formål. I 2014 har Europa-Kommissionen til hensigt at opsende Galileo, et netværk af 18 satellitter, der muliggør gratis, ikke-militær, global satellitpositionering. De første 2 satellitter skal opsendes i 2011 og yderligere 2 i 2012. Kilde: Europa-Kommissionen, "Commission presents midterm review of Galileo and EGNOS", 25. januar 2011, URL: http://ec.europa.eu/enterprise/newsroom/cf/itemlongdetail.cfm?displaytype=news&tpa_id=0&ite m_id=4835 For at fremskynde den første id.entificering af GPS-signalet er det muligt at indlæse såkaldte rainbow tables med den forventede positionering af de forskellige satellitter i de næste uger. Eksempel på en MAC-adresse: 00-1F-3F-D7-3C-58. MAC-adressen for et WiFi-adgangspunkt kaldes BSSID (Basic Service Set Identifier). 5

bruger forbindelsen, og indholdet af den trådløse kommunikation er kodet med WEP, WPA eller WPA2. Der er to forskellige måder at indsamle MAC-adresserne for WiFiadgangspunkterne 4. 1. Aktiv scanning: fremsendelse af aktive forespørgsler 5 til alle nærliggende WiFi-adgangspunkter og registrering af svarene. Disse svar omfatter ikke oplysninger om enheder, der er forbundet til WiFi-adgangspunkter. 2. Passiv scanning: registrering af de periodiske beacon frames, som transmitteres af hvert adgangspunkt (som regel 10 gange pr. sekund). Som et ikke-standard alternativ registrerer visse værktøjer mere bredt alle WiFiframes, som transmitteres af adgangspunkter, herunder dem som ikke udsender beacon-signaler. Hvis denne type scanning udføres uden passende anvendelse af "privacy by design", kan det medføre indsamling af data udvekslet mellem adgangspunkter og de enheder, der er forbundet med dem. På denne måde kan MAC-adresserne for stationære computere, laptops og printere registreres. Denne type scanning kan også medføre ulovlig registrering af indholdet af meddelelser. Dette indhold kan nemt læses, hvis ejeren af WiFi-adgangspunktet ikke har aktiveret WiFi-kodning (WEP/WPA/WPA2). Positionen for et WiFi-adgangspunkt kan beregnes på to forskellige måder. 1. Statistisk/én gang: De registeransvarlige indsamler selv MAC-adresserne for WiFiadgangspunkter ved at køre rundt i køretøjer, der er udstyret med antenner. De registrerer den nøjagtige bredde- og længdegrad for køretøjet i det øjeblik, hvor signalet opfanges, og kan således beregne positionen af adgangspunkterne ud fra bl.a. signalstyrke. 2. Dynamisk/løbende: Brugere af geolokaliseringstjenester indsamler automatisk de MAC-adresser, som registreres af deres WiFi-kompatible enheder, når de f.eks. bruger et online-kort til at bestemme deres egen position (Hvor er jeg?). Den mobile enhed sender derefter alle tilgængelige oplysninger til udbyderen af geolokaliseringstjenesten, herunder MAC-adresser, SSID'er og signalstyrke. Den registeransvarlige kan bruge disse løbende observationer til at beregne og/eller forbedre positionerne for WiFi-adgangspunkterne i sin database med kortlagte WiFiadgangspunkter. Det er vigtigt at bemærke, at mobile enheder ikke behøver at "oprette forbindelse" til WiFi-adgangspunkter for at indsamle WiFi-oplysninger. De opdager automatisk tilstedeværelsen af adgangspunkterne (i aktiv eller passiv scanningsmodus) og indsamler automatisk data om dem. Derudover sender mobiltelefoner, som anmoder om geolokalisering, ikke kun WiFidata men ofte også andre lokaliseringsoplysninger, som de indeholder, herunder GPS- 4 5 Aktiv og passiv scanning er standardiseret i IEEE 802.11 for at identificere adgangspunkter. For at indsamle MAC-adresserne sender indsamleren en "probe request" til alle adgangspunkter. 6

og basestationsdata. Dette gør det muligt for udbyderen at beregne positionen af "nye" WiFi-adgangspunkter og/eller forbedre positionerne af WiFi-adgangspunkter, som allerede var inkluderet i databasen. På denne måde decentraliseres indsamlingen af oplysninger om WiFi-adgangspunkter på en effektiv måde, uden at kunderne nødvendigvis er klar over det. Kort sagt: Geolokalisering baseret på WiFi-adgangspunkter giver en hurtig og, på grundlag af løbende målinger, mere og mere nøjagtig position. 3. Risici vedrørende privatlivets fred En intelligent mobil enhed er meget tæt knyttet til en specifik person. De fleste mennesker har som regel deres mobile enheder tæt ved sig enten i lommen, i tasken eller på natbordet ved siden af sengen. De låner kun sjældent en sådan enhed til en anden person. De fleste mennesker er klar over, at deres mobile enhed indeholder en række meget personlige oplysninger lige fra e-mails til private billeder og fra browsing-historik til f.eks. en kontaktliste. Dette gør det muligt for udbydere af geolokaliseringsbaserede tjenester at få et detaljeret overblik over vaner og mønstre hos ejeren af en sådan enhed og at opbygge omfattende profiler. Ud fra et inaktivitetsmønster om natten kan en persons sovested udledes, og ud fra et regelmæssigt transportmønster om morgenen kan en arbejdsgivers placering udledes. Mønstret kan også omfatte data udledt fra venners bevægelsesmønstre på baggrund af den såkaldte sociale graf 6. Et adfærdsmønster kan også omfatte særlige kategorier af data, hvis de f.eks. viser besøg på hospitaler og religiøse steder, tilstedeværelse ved politiske demonstrationer eller på andre specifikke steder, som afslører data om f.eks. sexliv. Disse profiler kan bruges til at tage beslutninger, som i væsentlig grad påvirker ejeren. Teknologien bag intelligente mobile enheder muliggør konstant monitorering af lokaliseringsdata. Smartphones kan permanent indsamle signaler fra basestationer og WiFi-adgangspunkter. Rent teknisk kan monitoreringen udføres i hemmelighed uden at informere ejeren. Monitoreringen kan også udføres halvhemmeligt, når personer "glemmer" eller ikke informeres behørigt om, at lokaliseringstjenester er slået "til", eller når tilgængelighedsindstillinger for lokaliseringsdata ændres fra "privat" til "offentlig". Selv når personer med vilje gør deres geolokaliseringsdata tilgængelige på internettet via whereabout- og geotaggging-tjenester, skaber den ubegrænsede globale adgang nye risici lige fra datatyveri til indbrud og endda fysisk aggressivitet og stalking. Som det også er tilfældet med anden ny teknologi, er der i forbindelse med brug af lokaliseringsdata en stor risiko for function creep (funktionsskred), dvs. det faktum, at der på baggrund af tilgængeligheden af en ny type data udvikles nye formål, som ikke var forudset på tidspunktet for den oprindelige dataindsamling. 6 Den "sociale graf" er et udtryk, som henviser til synligheden af venner på sociale netværkssteder og muligheden for at udlede adfærdsmæssige træk fra data om disse venner. 7

4. Retlige rammer Den relevante retlige referenceramme er databeskyttelsesdirektivet (95/46/EF). Det finder anvendelse i alle situationer, hvor personoplysninger behandles som følge af behandling af lokaliseringsdata. E-privacy-direktivet (2002/58/EF som ændret ved 2009/136/EF) finder kun anvendelse på offentlige elektroniske kommunikationstjenesters og -nets (telekommunikationsoperatører) behandling af basestationsdata. 4.1 Basestationsdata, som behandles af telekommunikationsoperatører Telekommunikationsoperatører behandler løbende basestationsdata i forbindelse med levering af offentlige elektroniske kommunikationstjenester 7. De kan også behandle basestationsdata med henblik på levering af tillægstjenester. Dette tilfælde er allerede blevet behandlet af Gruppen i udtalelse 5/2005 (WP115). Selv om nogle af eksemplerne i udtalelsen uundgåeligt er blevet forældede på grund af spredningen af internetteknologi og sensorer til stadig mindre enheder, er de juridiske konklusioner og anbefalinger i denne udtalelse stadig gældende med hensyn til brugen af basestationsdata. 1. Da lokaliseringsdata fra basestationer vedrører en identificeret eller identificerbar fysisk person, er de underlagt bestemmelserne om beskyttelse af personoplysninger i direktiv 95/46/EF af 24. oktober 1995. 2. Direktiv 2002/58/EF af 12. juli 2002 (som ændret i november 2009 ved direktiv 2009/136/EF) finder også anvendelse i henhold til definitionen i artikel 2, litra c), i dette direktiv: "lokaliseringsdata": data, som behandles i et elektronisk kommunikationsnet eller af en elektronisk kommunikationstjeneste og angiver den geografiske placering af det terminaludstyr, som brugeren af en offentligt tilgængelig elektronisk kommunikationstjeneste anvender Hvis en telekommunikationsoperatør tilbyder en hybrid geolokaliseringstjeneste, som også er baseret på behandling af andre typer af lokaliseringsdata som f.eks. GPS eller WiFi-data, betragtes denne aktivitet også som en offentlig elektronisk kommunikationstjeneste. Telekommunikationsoperatøren skal indhente forudgående samtykke fra sine kunder, hvis denne videregiver disse geolokaliseringsdata til tredjepart. 4.2 Basestations-, WiFi- og GPS-data, som behandles af udbydere af informationssamfundstjenester 4.2.1 Anvendelighed af det ændrede e-privacy-direktiv Virksomheder, som leverer lokaliseringstjenester og -applikationer baseret på en kombination af basestations- GPS- og WiFi-data er typisk informationssamfundstjenester. Som sådan er de udtrykkeligt udelukket fra e-privacy- 7 Det bemærkes, at telekommunikationsudbyderes tilrådighedsstillelse af offentlige WiFi-hotspots også betragtes som en offentlig elektronisk kommunikationstjeneste og derfor primært skal overholde bestemmelserne i e-privacy-direktivet (direktiv om databeskyttelse inden for elektronisk kommunikation). 8

direktivet ud fra den strenge definition af elektroniske kommunikationstjenester (artikel 2, litra c), i det ændrede rammedirektiv (uændret) 8. E-privacy-direktivet finder ikke anvendelse på informationssamfundstjenesters behandling af lokaliseringsdata, heller ikke selv om denne behandling udføres via et offentligt elektronisk kommunikationsnet. En bruger kan vælge at overføre GPS-data over internettet, f.eks. via navigationstjenester på internettet. I så fald overføres GPSsignalet på applikationsniveauet for internetkommunikation uafhængigt af GSMnettet. Udbyderen af telekommunikationstjenesten fungerer alene som et mellemled. Denne kan ikke opnå adgang til GPS- og/eller WiFi- og/eller basestationsdata, som kommunikeres til og fra en intelligent mobil enhed mellem en bruger/abonnent og en informationssamfundstjeneste uden at anvende meget påtrængende metoder som f.eks. deep packet inspection. 4.2.2 Anvendelighed af databeskyttelsesdirektivet Hvor det ændrede e-privacy-direktiv ikke finder anvendelse, gælder direktiv 95/46/EF i henhold til artikel 1, stk. 2: "Med henblik på at nå de i stk. 1 omhandlede mål specificerer og supplerer dette direktivs bestemmelser direktiv 95/46/EF." I henhold til databeskyttelsesdirektivet er personoplysninger enhver form for information om en identificeret eller identificerbar fysisk person ("den registrerede"); ved identificerbar person forstås en person, der direkte eller indirekte kan identificeres, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet artikel 2, litra a), i direktivet. Betragtning 26 i direktivet gør især opmærksom på udtrykket "identificerbar", idet det anføres: "for at afgøre, om en person er identificerbar, tages alle de hjælpemidler i betragtning, der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende enten af den registeransvarlige eller af enhver anden person." Endvidere hedder det i betragtning 26 i direktivet: "for at afgøre, om en person er identificerbar, tages alle de hjælpemidler i betragtning, der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende enten af den registeransvarlige eller af enhver anden person Betragtning 27 i direktivet redegør for det brede omfang af beskyttelsen: "omfanget af beskyttelsen må i praksis ikke afhænge af de anvendte teknikker, da der ellers vil være alvorlig risiko for omgåelse;" 8 Direktiv 2002/21/EF af 7.marts 2002, artikel 2, litra c): "elektronisk kommunikationstjeneste": en tjeneste, som normalt ydes mod betaling, og som udelukkende eller overvejende består i overføring af signaler via elektroniske kommunikationsnet, herunder telekommunikationstjenester og transmissionstjenester på net, der anvendes til radio- og tv-spredning, men ikke tjenester, der består i tilrådighedsstillelse af eller udøvelse af redaktionel kontrol over indhold fremført via elektroniske kommunikationsnet og -tjenester; begrebet omfatter ikke informationssamfundstjenester som defineret i artikel 1 i direktiv 98/34/EF, og som ikke udelukkende eller overvejende består i overføring af signaler via elektroniske kommunikationsnet". 9

I sin udtalelse 4/2007 om begrebet personoplysninger anfører Gruppen omfattende retningslinjer for definitionen af personoplysninger. Intelligente mobile enheder Intelligente mobile enheder er uløseligt knyttet til fysiske personer. Der er som regel direkte og indirekte identificerbarhed. For det første har den telekommunikationsoperatør, som leverer GSM- og mobil internetadgang, som regel et register med hver kundes navn, adresse og bankoplysninger i kombination med flere unikke numre for enheden som f.eks. IMEI og IMSI. For det andet kræver køb af ekstra software til enheden (applikationer eller apps) som regel et kreditkortnummer og beriger således kombinationen af det unikke nummer og lokaliseringsdataene med direkte identificerende data. Indirekte identificerbarhed kan opnås via kombinationen af enhedens unikke nummer og en eller flere beregnede positioner. Alle intelligente mobile enheder har mindst én unik identifikator, nemlig MACadressen. Denne enhed kan have andre unikke identifikationsnumre, som tilføjes af udvikleren af styresystemet. Disse identifikatorer kan overføres og behandles yderligere i forbindelse med geolokaliseringstjenester. Det er et faktum, at positionen af en bestemt enhed kan beregnes meget nøjagtigt, især når de forskellige infrastrukturer for geolokalisering kombineres. En sådan position kan pege på et hus eller en arbejdsgiver. Ved gentagne observationer er det især muligt at identificere ejeren af enheden. Når man overvejer de tilgængelige metoder til opnåelse af identificerbarhed, skal man tage højde for den udvikling, at mennesker er tilbøjelige til at afsløre flere og flere personlige lokaliseringsdata på internettet, f.eks. ved at offentliggøre positionen for deres hus eller arbejde i kombination med andre identificerende data. En sådan afsløring kan også finde sted uden deres vidende, når de geotagges af andre mennesker. Denne udvikling gør det nemmere at forbinde en position eller adfærdsmønster med en bestemt person. I forbindelse med udtalelse 4/2007 om begrebet personoplysninger skal det også bemærkes, at en unik identifikator i ovennævnte sammenhæng muliggør sporing af en bruger af en specifik enhed og således gør det muligt at "udpege" brugeren, selv om dennes rigtige navn ikke kendes. WiFi-adgangspunkter Denne indirekte identificerbarhed gælder også for WiFi-adgangspunkter 9. MACadressen for et WiFi-adgangspunkt er i kombination med sin beregnede position uløseligt knyttet til positionen for ejeren af adgangspunktet. 9 WiFi-adgangspunkter kan endda være direkte identificerbare, hvis udbyderen af internetadgangen fører et register over MAC-adresserne for WiFi-routerne, som denne leverer til sine identificerede kunder. 10

En rimeligt udstyret registeransvarlig kan beregne en mere og mere præcis position for et WiFi-adgangspunkt ud fra signalstyrke og de løbende opdateringer for positionen via brugerne af dennes geolokaliseringstjeneste. Ved hjælp af disse ressourcer kan man i mange tilfælde identificere en lille gruppe lejligheder eller huse, hvor ejeren af adgangspunkterne bor. Hvor nemt det er at identificere denne ejer ud fra MAC-adressen afhænger af miljøet: I tyndt befolkede områder, hvor MAC-adressen peger på et bestemt hus, kan ejeren af boligen identificeres direkte med værktøjer som f.eks. grundejerfortegnelser, telefonbøger, valgregistre eller blot en almindelig forespørgsel på en søgemaskine 10. I mere tæt befolkede områder er det muligt, med hjælp fra redskaber som f.eks. signalstyrke og/eller SSID (som enhver med en WiFi-kompatibel enhed kan identificere), at bestemme den præcise position for adgangspunktet og således i mange tilfælde bestemme identiteten af den person, som bor på det nøjagtige sted (hus eller lejlighed), hvor adgangspunktet ligger. I meget tæt befolkede områder vil MAC-adressen, selv med hjælp fra oplysninger om signalstyrke, pege på flere lejligheder som den mulige position for adgangspunktet. I disse situationer er det ikke muligt, uden en urimelig indsats, præcist at identificere den person, som bor i lejligheden, hvor adgangspunktet befinder sig. Det faktum, at det i visse tilfælde ikke aktuelt er muligt at identificere ejeren af enheden uden en urimelig indsats, står ikke til hinder for den generelle konklusion, at kombinationen af en MAC-adresse for et WiFi-adgangspunkt og dens beregnede position skal behandles som personoplysninger. Under disse omstændigheder og idet der tages højde for, at det er usandsynligt, at den registeransvarlige er i stand til at skelne mellem de tilfælde, hvor ejeren af WiFiadgangspunktet er identificerbar, og de tilfælde, hvor denne ikke er identificerbar, skal den registeransvarlige behandle alle data om WiFi-routere som personoplysninger. Det er vigtigt at huske på, at formålet med at behandle disse geolokaliseringsdata ikke nødvendigvis skal være at identificere brugerne. Hvorvidt det kræver en urimelig indsat at identificere ejerne af WiFi-adgangspunkterne afhænger i høj grad af de tekniske muligheder, som den registeransvarlige eller enhver anden person har for at identificere dem. 5. Forpligtelser i henhold til databeskyttelseslovgivningen 5.1 Registeransvarlig I forbindelse med online geolokaliseringstjenester leveret af informationsamfundstjenester skelnes der mellem tre forskellige funktionaliteter med forskellige forpligtelser vedrørende behandlingen af personoplysninger. Der er tale om: den registeransvarlige for infrastrukturen for geolokalisering; udbyderen af en 10 Tilgængeligheden af sådanne registre eller fortegnelser varierer fra medlemsstat til medlemsstat. 11

specifik geolokaliseringsapplikation eller -tjeneste og udvikleren af styresystemet for en intelligent mobil enhed. I praksis udfylder virksomheder ofte mange roller på samme tid, f.eks. når de kombinerer et styresystem med en database med kortlagte WiFi-adgangspunkter og en reklameplatform. 5.1.1. Registeransvarlige for infrastruktur til geolokalisering Ligesom telekommunikationsoperatører behandler positionen for en specifik enhed ved hjælp af deres basestationer, behandler ejere af databaser med kortlagte WiFiadgangspunkter personoplysninger, når de beregner positionen for en specifik intelligent mobil enhed. Da de begge bestemmer formålene med og metoderne til denne behandling, er de registeransvarlige i henhold til definitionen i artikel 2, litra d), i databeskyttelsesdirektivet. Det er vigtigt at understrege, at den specifikke enhed selv medvirker til at beregne sin position ved at overføre sine egne lokaliseringsdata (ofte en kombination af GPS, WiFi og basestation) og de unikke ID'er fra nærliggende WiFi-adgangspunkter til ejeren af databasen 11. En sådan enhed opfylder også kriteriet i artikel 4.1, litra c), i databeskyttelsesdirektivet, midler, som befinder sig på den pågældende medlemsstats område. Da MAC-addressen for et WiFi-adgangspunkt i kombination med sin beregnede position skal behandles som personoplysninger, fører indsamlingen af disse data også til behandling af personoplysninger. Uanset hvordan disse data indsamles (én gang eller løbende) skal ejeren af en sådan database overholde bestemmelserne i databeskyttelsesdirektivet. 5.1.2 Udbydere af geolokaliseringsapplikationer og -tjenester Intelligente mobile enheder muliggør installation af software fra tredjepartner, såkaldte applikationer. Sådanne applikationer kan behandle lokaliseringsdata (og andre data) fra en intelligent mobil enhed uafhængigt af udvikleren af styresystemet og/eller de registeransvarlige for infrastrukturen for geolokalisering. Som eksempler på sådanne tjenester kan nævnes: en vejrtjeneste, som forudsiger sandsynligheden for regn inden for de næste par timer inden for et meget specifikt område, en tjeneste, der giver information om nærliggende butikker, en findetjeneste for bortkomne telefoner, eller en tjeneste, som viser positionen for venner. Den udbyder af en applikation, som er i stand til at behandle geolokaliseringsdata, er registeransvarlig i forbindelse med den behandling af personoplysninger, som følger af installationen og brugen af applikationen. 11 Den mobile enhed kan fremsende de forskellige geolokaliseringsdata, som den modtager, til den registeransvarlige med henblik på beregning af sin position, eller den kan selv beregne positionen. I begge tilfælde er enheden vigtigt udstyr til behandlingen. 12

Det er naturligvis ikke altid nødvendigt at installere separat software på en intelligent mobil enhed. Der kan også opnås adgang til mange geolokaliseringstjenester via en browser. Som eksempel på en sådan enhed kan nævnes brugen af et online kort til at lede en person, der går gennem en by. 5.1.3 Udvikler af styresystemet Udvikleren af styresystemet til den intelligente mobile enhed kan være en registeransvarlig i forbindelse med behandlingen af geolokaliseringsdata, når denne interagerer direkte med brugeren og indsamler personoplysninger (f.eks. ved at anmode om initial brugerregistrering og/eller indsamling af lokaliseringsoplysninger med henblik på at forbedre tjenesterne). Som registeransvarlig skal udvikleren anvende "privacy by design" for at undgå hemmelig monitorering, enten fra selve enheden eller fra forskellige applikationer og tjenester. En udvikler er også den registeransvarlige for de data, som denne behandler, hvis enheden har en "ring hjem"-funktionalitet for sin færden. Da udvikleren i så fald bestemmer metoderne til og formålene med en sådan datastrøm, er denne registeransvarlig for behandlingen af disse data. Et almindeligt eksempel på en sådan "ring hjem"-funktion er den automatiske levering af tidszoneopdatering baseret på position. For det tredje er udvikleren registeransvarlig, når denne tilbyder en reklameplatform og/eller et webbutik-lignende miljø for applikationer, og denne er i stand til at behandle personoplysninger, som følger af (installation og brug af) geolokaliseringsapplikationerne, uafhængigt af applikationsudbyderne. 5.2 Andre parters forpligtelser Der er mange andre online parter, som muliggør (yderligere) behandling af lokaliseringsdata som f.eks. browsere, sociale netværkssider eller kommunikationsmedier, som muliggør f.eks. "geotagging". Når de inkorporerer geolokaliseringsfaciliteter i deres platform, har de et vigtigt ansvar for at tage beslutning om standardindstillingerne for applikationen (standard "TIL" eller "FRA"). Selvom de kun er registeransvarlige i den udstrækning, de selv aktivt behandler personoplysninger, spiller de en vigtig rolle med hensyn til at opfylde kravet om lovlighed af registeransvarliges behandling af data såsom udbydere af specifikke applikationer, f.eks. når det drejer som om synligheden og kvaliteten af informationen om behandlingen af geolokaliseringsdata. 5.3 Lovlig grund 5.3.1 Intelligente mobile enheder Hvis telekommunikationsoperatører ønsker at anvende basestationsdata for at levere en tillægstjeneste til en kunde, skal de i henhold til e-privacy-direktivet indhente forudgående samtykke fra denne. De skal også sikre, at kunden er informeret om betingelserne for sådan behandling. 13

I betragtning af følsomheden af behandlingen af (mønstre af) lokaliseringsdata er forudgående informeret samtykke også den væsentligste gyldige grund til at berettige databehandling, når det drejer sig om behandlingen af positionerne for en intelligent mobil enhed i forbindelse med informationssamfundstjenester. I henhold til artikel 2, litra h), i databeskyttelsesdirektivet skal samtykke gives ved en frivillig, specifik og informeret viljetilkendegivelse fra den registrerede. Afhængigt af den anvendte type af teknologi spiller brugerens enhed en relativt aktiv rolle i behandlingen af geolokaliseringsdataene. Enheden er i stand til at overføre lokaliseringsdata fra forskellige kilder til enhver tredjepart. Denne tekniske funktion må ikke forveksles med lovligheden af sådan databehandling. Hvis standardindstillingerne i et styresystem muliggør overførsel af lokaliseringsdata, skal manglende intervention fra dets brugere ikke forveksles med frivilligt afgivet samtykke. For så vidt udviklere af styresystemer og andre informationssamfundstjenester aktivt behandler geolokaliseringsdata (f.eks. når de opnår adgang til lokaliseringsoplysninger fra eller via enheden), skal de også søge at indhente forudgående informeret samtykke fra deres brugere. Det skal være klart, at sådant samtykke hverken kan indhentes frivilligt via obligatorisk accept af almindelige betingelser eller muligheder for fravalg. Standarden skal være, at lokaliseringstjenester er "FRA", og at brugerne skal give samtykke til, at de specifikke applikationer slås "TIL". Samtykke fra medarbejdere Samtykke som lovlig grund til behandling er problematisk i ansættelsesforhold. I sin udtalelse om behandling af personoplysninger i ansættelsesforhold skrev Gruppen: "når der kræves samtykke fra en medarbejder, og der opstår virkelig eller potentiel relevant præjudice ved afståelse fra samtykke, er samtykket ikke gyldigt med henblik på opfyldelse af hverken artikel 7 eller 8, da det ikke er givet frivilligt. Hvis det ikke er muligt for medarbejderen af afstå fra at give samtykke, er der ikke tale om samtykke. ( ) De situationer, hvor afgivelse af samtykke er en betingelse for ansættelse, giver anledning til særlige problemer. Medarbejderen kan i teorien afvise at give samtykke, men konsekvensen kan være tab af en jobmulighed. I sådanne situationer er samtykke ikke givet frivilligt og er derfor ikke gyldigt 12. I stedet for at søge at indhente samtykke skal arbejdsgivere undersøge, om det påviseligt er nødvendigt at overvåge medarbejdernes nøjagtige positioner til et legitimt formål og opveje denne nødvendighed imod medarbejdernes grundlæggende rettigheder og frihedsrettigheder. I tilfælde hvor nødvendigheden kan retfærdiggøres tilstrækkeligt, kunne det juridiske grundlag for sådan behandling være baseret på den registeransvarliges legitime interesser (artikel 7, litra f), i databeskyttelsesdirektivet). Arbejdsgiveren skal altid bestræbe sig på at anvende den mindst påtrængende metode, undgå løbende monitorering og f.eks. vælge et system, som sender en advarsel, når en medarbejder krydser en forud fastsat virtuel grænse. En medarbejder skal kunne slukke for en monitoreringsenhed uden for arbejdstiden og skal vises, hvordan dette gøres. Bilsporingsenheder er ikke medarbejdersporingsudstyr. Deres funktion er at spore 12 WP48, Udtalelse 8/2001 om behandling af personoplysninger i ansættelsesforhold. 14

eller monitorere positionen af de køretøjer, hvori de er installeret. Arbejdsgivere må ikke betragte dem om enheder til sporing eller monitorering af føreres eller andre medarbejderes adfærd eller færden, f.eks. ved at sende meddelelser vedrørende køretøjets hastighed. Samtykke fra børn I visse tilfælde skal børns samtykke gives af deres forældre eller værge. Det betyder for eksempel, at en udbyder af en geolokaliseringsapplikation skal give meddelelse til forældrene om indsamling og brug af geolokaliseringsoplysninger fra børn og indhente samtykke fra forældrene inden indsamling og yderligere brug af oplysninger om deres børn. Visse geolokaliseringsapplikationer er specielt designet til forældreovervågning, f.eks. ved løbende at afsløre positioner for enheden på et websted eller ved at give en meddelelse, hvis enheden forlader et forud anført område. Brugen af sådanne applikationer er problematisk. I sin udtalelse 2/2009 13 om beskyttelse af børns personoplysninger skrev Artikel 29-Gruppen: "Man bør aldrig af sikkerhedshensyn udsætte børn for overdreven overvågning, som ville mindske deres selvstændighed. I den forbindelse må man finde en balance mellem beskyttelsen af børns intimitet og privatliv og deres sikkerhed." I henhold til lovgivningen er forældrene ansvarlige for, at barnets ret til privatliv garanteres. Hvis forældrene skønner, at brugen af en sådan applikation er berettiget under særlige omstændigheder, skal barnet som minimum informeres om dette og skal så hurtigt, det med rimelighed er muligt, have lov til at medvirke til beslutningen om brug af en sådan applikation. Samtykke skal være specifikt for hvert af de forskellige formål med databehandlingen. Den registeransvarlige skal gøre det helt klart, om dennes tjeneste er begrænset til at give et svar på det frivillige spørgsmål "Hvor er jeg lige nu?", eller om formålet er at få svar på spørgsmålene "Hvor er du, hvor har du været, og hvor vil du være næste uge?". Med andre ord skal den registeransvarlige være særlige opmærksom på samtykke til formål, som en registreret ikke forventer f.eks. profilering og/eller behavioural targeting (målrettet online markedsføring). Hvis formålene med behandlingen ændres væsentligt, skal den registeransvarlige søge om fornyet specifikt samtykke. Hvis en virksomhed oprindeligt har erklæret, at den ikke vil videregive personoplysninger til tredjepart men nu ønsker at gøre dette, skal den anmode hver enkelt kunde om aktiv forudgående samtykke. Manglende svar (eller anden form for fravalgsscenarie) er ikke nok. Det er vigtigt at skelne mellem samtykke til en engangstjeneste og samtykke til et regelmæssigt abonnement. For at bruge en bestemt geolokaliseringstjeneste kan det for eksempel være nødvendigt at slå geolokaliseringstjenester til i enheden eller browseren. Hvis den pågældende geolokaliseringsfunktion er "TIL", kan ethvert websted læse positionsoplysningerne for brugeren af den intelligente mobile enhed. For at undgå risikoen for hemmelig monitorering anser Artikel 29-Gruppen det for meget vigtigt, at enheden løbende advarer om, at geolokalisering er slået "TIL", f.eks. via et konstant synligt ikon. 13 WP160, Udtalelse 2/2009 om beskyttelse af børns personoplysninger (Generelle retningslinjer og det særlige tilfælde med skoler). 15

Gruppen anbefaler, at udbydere af geolokaliseringsapplikationer eller -tjenester søger at indhente fornyet individuelt samtykke (også selv om der ikke er nogen ændring i typen af behandling) efter en passende tid. Det vil for eksempel ikke være i orden at fortsætte med at behandle lokaliseringsdata, hvis en person ikke aktivt har brugt tjenesten inden for de seneste 12 måneder. Selv hvis en person har brugt tjenesten, skal denne mindst én gang om året (eller oftere hvis typen af behandling kræver det) mindes om typen af behandling af deres personoplysninger og skal præsenteres for en nem fravalgsmetode. Sidst men ikke mindst skal registrerede have mulighed for at trække deres samtykke tilbage på en nem måde uden negative konsekvenser for brugen af deres enhed: W3C (World Wide Web Consortium) har uafhængigt af de europæiske databeskyttelsesdirektiver udarbejdet et udkast til en standard for geolokaliserings- API, som understreger behovet for forudgående, udtrykkeligt og informeret samtykke 14. W3C forklarer specifikt nødvendigheden af at respektere tilbagetrækning af samtykke og råder implementører af standarden til at overveje, at "det indhold, der hostes på et bestemt URL, ændres på en sådan måde, at de tidligere tildelte lokaliseringstilladelser ikke længere er gældende for så vidt angår brugeren. Eller brugerne kan helt enkelt skifte mening." Eksempel på bedste praksis for udbydere af geolokaliseringsapplikationer En applikation, som ønsker at bruge geolokaliseringsdata, informerer klart brugeren om formålene med brugen af dataene og beder om utvetydig samtykke for hvert af de muligvis forskellige formål. Brugeren vælger aktivt geolokaliseringens niveau (f.eks. landeniveau, byniveau, postnummerniveau eller så nøjagtigt som muligt). Når først lokaliseringstjenesten er aktiveret, vises der permanent et ikon på hver skærm, der betyder, at lokaliseringstjenester er "TIL". Brugeren kan til enhver tid trække sit samtykke tilbage uden at skulle gå ud af applikationen. Brugeren kan også nemt og permanent slette lokaliseringsoplysninger, som er gemt i enheden. 5.3.2 WiFi-adgangspunkter På baggrund af databeskyttelsesdirektivet kan virksomheder have en legitim interesse i den nødvendige indsamling og behandling af MAC-adresser og beregnede positioner for WiFi-adgangspunkter med det specifikke formål at tilbyde geolokaliseringstjenester. Den legitime grund i artikel 7, litra f), i databeskyttelsesdirektivet kræver en balance mellem den registeransvarliges legitime interesser og de registreredes grundlæggende rettigheder. I betragtning af WiFi-adgangspunkternes halvstatiske beskaffenhed udgør kortlægningen af WiFi-adgangspunkter i princippet en mindre trussel mod privatlivets fred for ejerne af adgangspunkterne end realtidssporing af positionerne for intelligente mobile enheder. Balancen mellem den registeransvarliges rettigheder og den registreredes rettigheder er dynamisk. For at de registeransvarlige med succes kan lade deres legitime 14 W3C geolokaliserings-api: http://www.w3.org/tr/geolocation-api/ 16

interesser gå forud for de registreredes interesser over tid, skal de udvikle og implementere garantier som f.eks. retten til nemt og permanent at fravælge databasen uden at skulle give den registeransvarlige for en sådan database yderligere personoplysninger. De kan f.eks. bruge software til automatisk at opdage, at en person er knyttet til et specifikt adgangspunkt 15. Derudover er indsamling og behandling af SSID'er med henblik på levering af geolokaliseringsoplysninger ikke nødvendig. Derfor er indsamling og behandling af SSID'er unødvendig for formålet om at tilbyde geolokaliseringstjenester baseret på kortlægning af positionen af WiFi-adgangspunkter. 5.3 Information De forskellige registeransvarlige skal sikre, at ejerne af intelligente mobile enheder er tilstrækkeligt informeret om hovedelementerne i databehandlingen i overensstemmelse med artikel 10 i databeskyttelsesdirektivet, f.eks. deres identitet som registeransvarlig, formålene med behandlingen, typen af data, varigheden af behandlingen, de registreredes ret til at få adgang til, rette eller annullere deres data og retten til at trække deres samtykke tilbage. Gyldigheden af samtykke er uløseligt forbundet med kvaliteten af informationen om tjenesten. Informationen skal være klar, omfattende, forståelig for en bred, ikketeknisk orienteret gruppe og permanent og let tilgængelig. Informationen skal være rettet mod en bred gruppe. De registeransvarlige må ikke antage, at deres kunder er teknisk kvalificerede personer, blot fordi de ejer en intelligent mobil enhed. Informationen skal være alderstilpasset, hvis den registeransvarlig ved, at denne tiltrækker en yngre gruppe. Hvis udbydere af geolokaliseringsapplikationer planlægger at beregne positioner for en enhed mere end én gang, skal de holde kunderne underrettet, så længe de behandler lokaliseringsdata. De skal også gøre det muligt for deres kunder at fortsætte eller tilbagekalde deres samtykke. For at opnå disse mål skal udbyderne af applikationer samarbejde tæt med udvikleren af styresystemet. Udvikleren har rent teknisk de bedste muligheder for at skabe en permanent synlig påmindelse om, at der behandles lokaliseringsdata. Udvikleren har også den bedste mulighed for at kontrollere, at der ikke tilbydes applikationer, som i hemmelighed monitorerer intelligente mobile enheders færden. 15 En mulig anvendelses-case kunne være følgende: 1. En registreret går ind på en bestemt webside, hvor denne kan indtaste MAC-adressen for sit WiFi-adgangspunkt. 2. Hvis MAC-adressen optræder i databasen med de kortlagte WiFi-adgangspunkter, kan den registeransvarlige vise en verifikationsside, som indeholder et script, der beder om ARPtabellen for internetenheden. Teoretisk set kan WLAN MAC-adresserne vises via kommandoen "ARP-a". Ved hjælp af kode indeholdt i browseren som f.eks. java kan denne ARP-tabel fremstilles i baggrunden. 3. Hvis MAC-adressen ikke optræder i ARP-tabellen, bestemmes det, at den bruger, som er forbundet til WLAN, også er den, der har adgang til den lokale WLAN MAC-adresse. Den registeransvarlige verificerer således nemt og automatisk anmodningen om sletning. 17

Hvis udvikleren af styresystemet har skabt en "ring hjem"-funktion eller anden metode til at få adgang til data, der lagres i enheden, eller på anden måde opnår adgang til lokaliseringsdata, f.eks. via tredjepartsannoncører, skal udvikleren på forhånd informere den registrerede om de (specifikke og legitime) formål, med hvilke denne har til hensigt at behandle disse data samt varigheden af behandlingen. Forpligtelsen til at informere de registrerede gælder for de registeransvarlige for databaser med geolokaliserede WiFi-adgangspunkter. De skal informere offentligheden tilstrækkeligt om deres identitet og formålene med behandlingen samt anden relevant information. Det er ikke nok blot at nævne muligheden for indsamling af data om WiFi-adgangspunkter i en specifik databeskyttelseserklæring rettet mod brugerne af en geolokaliseringsapplikation. Der findes nok metoder til at informere offentligheden, både online og offline. 5.4 De registreredes rettigheder Registrerede har ret til at opnå adgang fra de forskellige registeransvarlige til de lokaliseringsdata, som disse har indsamlet fra deres intelligente mobile enheder, samt information om formålene med behandlingen og de modtagere eller kategorier af modtagere, til hvem dataene videregives. Informationen skal leveres i læsbart format dvs. i geografiske positioner i stedet for abstrakte numre på f.eks. basestationer. Registrerede har også ret til at opnå adgang til mulige profiler baseret på disse lokaliseringsdata. Hvis lokaliseringsoplysninger gemmes, skal brugerne have lov til at opdatere, rette eller slette disse oplysninger. Gruppen anbefaler, at registeransvarlige bestræber sig på at finde sikre metoder til levering af direkte online adgang til lokaliseringsdata og mulige profiler. Det er altafgørende, at sådan adgang leveres uden at kræve yderligere personoplysninger til at bekræfte identiteten af de registrerede. 5.5 Opbevaringsperioder Udbydere af geolokaliserings- og applikationstjenester skal fastsætte en opbevaringsperiode for lokaliseringsdata, som ikke er længere end nødvendigt til de formål, til hvilke dataene blev indsamlet eller behandles yderligere. De skal sikre, at geolokaliseringsdata eller profiler, der udledes at sådanne data, slettes efter en begrundet periode. Hvis det er påviseligt nødvendigt for udvikleren af styresystemet og/eller den registeransvarlige for en geolokaliseringsinfrastruktur at indsamle anonyme data om lokaliseringshistorik med henblik på opdatering eller forbedring af dennes tjeneste, skal der gøres alle bestræbelser på at undgå at gøre disse data (indirekte) identificerbare. Det gælder især, at selv om den mobile enhed identificeres med et vilkårligt tildelt UDID (Unique Device Identifier), må et sådant unikt nummer kun gemmes i højst 24 timer til driftsmæssige formål. Efter udløbet af denne periode skal dette UDID yderligere anonymiseres, idet der tages højde for, at det bliver sværere og sværere at opnå sand anonymisering, og at kombinerede lokaliseringsdata stadig kan 18

føre til identifikation. Et sådant UDID må hverken kunne forbindes til tidligere eller fremtidige UDID'er, som tildeles til enheden, eller kunne forbindes til nogen fast identifikator for brugeren eller telefonen (som f.eks. en MAC-adresse, IMEI- eller IMSI-nummer eller et hvilket som helst andet kontonummer). Med hensyn til data om WiFi-adgangspunkter gælder det, at når først MAC-adressen for et WiFi-adgangspunkt er knyttet til en ny position ud fra løbende observationer af ejere af intelligente mobile enheder, skal den tidligere position straks slettes for at undgå yderligere brug af dataene til upassende formål som f.eks. marketing rettet mod personer, som har ændret deres position. 6. Konklusioner Ved hjælp af geolokaliseringsteknologier som f.eks. basestationsdata, GPS og kortlagte WiFi-adgangspunkter kan intelligente mobile enheder spores af alle typer af registeransvarlige til varierende formål lige fra adfærdsbaseret annoncering til overvågning af børn. Da smartphones og tablet-computere er uløseligt knyttet til deres ejere, giver enhedernes bevægelsesmønster meget detaljeret indsigt i ejernes privatliv. En af de store risici er, at ejerne ikke er klar over, at de overfører deres position, eller til hvem. En anden relateret risiko er, at samtykket til, at visse applikationer må bruge deres lokaliseringsdata, er ugyldigt, fordi informationen om hovedelementerne i databehandlingen er uforståelig, forældet eller på anden måde utilstrækkelig. Der er forskellige forpligtelser for de forskellige interessenter, lige fra udviklerne af styresystemerne til applikationsudbydere og parter som f.eks. sociale netværkssteder, som inkorporerer lokaliseringsfunktioner til mobile enheder i deres platforme. 6.1 Retlige rammer EU's retlige ramme for brugen af geolokaliseringsdata fra intelligente mobile enheder er primært databeskyttelsesdirektivet. Lokaliseringsdata fra intelligente mobile enheder er personoplysninger. Kombinationen af den unikke MAC-adresse og den beregnede position for et WiFiadgangspunkt skal behandles som personoplysninger. Derudover gælder det reviderede e-privacy-direktiv 2002/58/EF kun for telekommunikationsoperatørers behandling af basestationsdata. 6.2 Registeransvarlige Der skelnes mellem tre typer af registeransvarlige: registeransvarlige for geolokaliseringsinfrastruktur (især registeransvarlige for kortlagte WiFiadgangspunkter), udbydere af geolokaliseringsapplikationer og -tjenester og udviklere af styresystemet til intelligente mobile enheder. 6.3 Lovlig grund Da lokaliseringsdata fra intelligente mobile enheder afslører personlige detaljer om ejerens privatliv, er den væsentligste gældende lovlige grund forudgående informeret samtykke. 19

Samtykke kan ikke indhentes via almindelige betingelser. Samtykket skal være specifikt til de forskellige formål, til hvilke data behandles, herunder f.eks. profilering og/eller adfærdsbaseret målretning fra den registeransvarliges side. Hvis formålene med behandlingen ændres væsentligt, skal den registeransvarlige søge om fornyet specifikt samtykke. Lokaliseringstjenester skal som standard være slået fra. En mulig fravalgsmekaniske udgør ikke en tilstrækkelig mekanisme til indhentning af informeret samtykke fra brugeren. Samtykke er problematisk i forbindelse med medarbejdere og børn. Med hensyn til medarbejdere må arbejdsgivere kun bruge denne teknologi, når det er påviseligt nødvendigt til et lovligt formål, og samme mål ikke kan nås ved hjælp af mindre påtrængende metoder. Med hensyn til børn skal forældrene skønne, om brugen af en sådan applikation kan retfærdiggøres under de specifikke omstændigheder. De skal som minimum informere deres børn og skal, så hurtigt som det med rimelighed er muligt, lade dem deltage i beslutningen om at bruge en sådan applikation. Gruppen anbefaler at begrænse det tidsmæssige omfang af samtykket og påminde brugerne mindst én gang om året. Gruppen anbefaler også tilstrækkelig granularitet i samtykket med hensyn til nøjagtigheden af lokaliseringsdataene. Registrerede skal have mulighed for at trække deres samtykke tilbage på en meget nem måde uden negative konsekvenser for brugen af deres enhed. Med hensyn til kortlægning af WiFi-adgangspunkter kan virksomheder have en legitim interesse i den nødvendige indsamling og behandling af MAC-adresser og beregnede positioner for WiFi-adgangspunkter med det specifikke formål at tilbyde geolokaliseringstjenester. For at opnå balance mellem den registeransvarliges rettigheder og de registreredes rettigheder skal den registeransvarlige gør det muligt at fravælge databasen på en nem og permanent måde, uden at der kræves yderligere personoplysninger. 6.4 Information Informationen skal være klar, omfattende, forståelig for en bred, ikketeknisk orienteret gruppe og permanent og let tilgængelig. Gyldigheden af samtykke er uløseligt forbundet med kvaliteten af oplysningerne om tjenesten. Tredjeparter som f.eks. browsere og sociale netværkssteder spiller en vigtig rolle med hensyn til synligheden og kvaliteten af informationen om behandlingen af geolokaliseringsdata. 6.5 De registreredes rettigheder De forskellige registeransvarlige for geolokaliseringsoplysninger fra mobile enheder skal gøre det muligt for deres kunder at opnå adgang til deres lokaliseringsdata i læsbart format og muliggøre rettelse og sletning af disse uden indsamling af for mange personoplysninger. Registrerede har også ret til at opnå adgang til, rette og slette mulige profiler baseret på disse lokaliseringsdata. Gruppen anbefaler, at der oprettes (sikker) online adgang. 20