ARTIKEL 29-ARBETSGRUPPEN FÖR SKYDD AV
PERSONUPPGIFTER
01189/09/SV
WP 163
Yttrande 5/2009 om sociala nätverk på Internet
Antaget den 12 juni 2009
Arbetsgruppen inrättades enligt artikel 29 i direktiv 95/46/EG. Den är ett oberoende rådgivande EU-organ i frågor rörande
dataskydd och integritet. Dess uppgifter beskrivs i artikel 30 i direktiv 95/46/EG och artikel 15 i direktiv 2002/58/EG.
Gruppens sekretariat finns hos direktorat C (Civilrättsliga frågor, grundläggande rättigheter och medborgarskap) på Europeiska
kommissionen, Generaldirektoratet för rättvisa, frihet och säkerhet, B-1049 Bryssel, Belgien, Kontor LX-46 01/06.
Webbplats: http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm
Innehållsförteckning
Sammanfattning ..................................................................................................................... 3
1.
Inledning..................................................................................................................... 4
2.
Definition av en ”social nätverkstjänst” och affärsmodell......................................... 4
3.
Tillämpning av dataskyddsdirektivet ......................................................................... 5
3.1
Vem är registeransvarig?........................................................................................ 5
3.2
Säkerhet och standardinställningar för sekretess ................................................... 7
3.3
Information som ska lämnas av sociala nätverkstjänster ....................................... 7
3.4
Känsliga uppgifter .................................................................................................. 8
3.5
Behandling av icke-medlemmars uppgifter ........................................................... 8
3.6
Åtkomst för tredje part ........................................................................................... 9
3.7
Rättslig grund för direkt marknadsföring............................................................. 10
3.8
Lagring av uppgifter............................................................................................. 10
3.9
Användares rättigheter ......................................................................................... 11
4.
Barn och underåriga ................................................................................................. 12
5.
Sammanfattning av skyldigheter/rättigheter ............................................................ 13
- 2-
Sammanfattning
Detta yttrande handlar om hur sociala nätverkssajter kan fungera på ett sätt som är förenligt
med kraven i EU:s dataskyddslagstiftning. Avsikten är främst att ge ledning till leverantörer
av sociala nätverkstjänster när det gäller de åtgärder som måste vidtas för att följa EUlagstiftningen.
I yttrandet konstateras att leverantörer av sociala nätverkstjänster och, i många fall,
leverantörer av tredjepartsprogram är registeransvariga med motsvarande ansvar gentemot
användare av sociala nätverkstjänster. I yttrandet beskrivs hur många användare är
verksamma på ett rent personligt plan och kontaktar människor som ett led i hanteringen av
sitt privatliv eller sina familje- eller hushållsangelägenheter. I sådana fall anses i yttrandet att
”hushållsundantaget” gäller och att bestämmelserna om registeransvariga inte är tillämpliga. I
yttrandet anges också under vilka omständigheter verksamheten hos en användare av en social
nätverkstjänst inte omfattas av ”hushållsundantaget”. Spridning och användning av
information på en social nätverkssajt för andra sekundära, oavsiktliga ändamål är en mycket
viktig fråga för artikel 29-arbetsgruppen. I hela yttrandet förespråkas ordentliga säkerhetsoch integritetsfrämjande standardinställningar som den bästa utgångspunkten när det gäller
alla tjänster som erbjuds. Åtkomst till profilinformation framstår som ett av de främsta
problemområdena. Dessutom diskuteras frågor som behandling av känsliga uppgifter och
bilder, annonsering och direkt marknadsföring på sociala nätverkssajter samt frågor som rör
lagring av uppgifter.
De huvudsakliga rekommendationerna gäller skyldigheterna för leverantörer av sociala
nätverkstjänster att rätta sig efter dataskyddsdirektivet och att värna om och stärka
användarnas rättigheter. Det är av yttersta vikt att leverantörer av sociala nätverkstjänster
redan från början klargör sin identitet för användarna och beskriver alla olika ändamål för
vilka de behandlar personuppgifter. Leverantörer av sociala nätverkstjänster bör iaktta
särskild försiktighet när det gäller behandling av underårigas personuppgifter. I yttrandet
rekommenderas att användare lägger upp bilder eller information om andra individer endast
med den berörda personens samtycke. Leverantörer av sociala nätverkstjänster anses
dessutom vara skyldiga att informera användarna om andras rätt till personlig integritet.
- 3-
ARBETSGRUPPEN FÖR SKYDD AV ENSKILDA MED AVSEENDE PÅ
BEHANDLING
AV
PERSONUPPGIFTER
HAR
ANTAGIT
DETTA
ARBETSDOKUMENT
med beaktande av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995,
genom vilket arbetsgruppen inrättades1,
med beaktande av artiklarna 29, 30.1 a och 30.3 i Europaparlamentets och rådets direktiv
95/46/EG samt artikel 15.3 i Europaparlamentets och rådets direktiv 2002/58/EG av den 12
juli 2002,
med beaktande av artikel 255 i EG-fördraget och av Europaparlamentets och rådets
förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till
Europaparlamentets, rådets och kommissionens handlingar, och
med beaktande av dess arbetsordning.
1.
Inledning
Uppkomsten av webbgemenskaper och värdbaserade tjänster som sociala nätverkstjänster är
en relativt ny företeelse, och antalet användare på dessa webbplatser fortsätter att växa
exponentiellt.
Den personliga information som en användare lägger ut på Internet kan, tillsammans med
uppgifter som beskriver användarens verksamhet och interaktion med andra människor, skapa
en uttömmande bild av personens intressen och aktiviteter. Personuppgifter som offentliggörs
på sociala nätverkssajter kan användas av tredje parter för en mängd olika ändamål, även
kommersiella ändamål, och kan vara förenade med stora risker, t.ex. identitetsstöld,
ekonomiska förluster, förlust av affärs- eller anställningsmöjligheter och fysisk skada.
Den internationella Berlinarbetsgruppen för dataskydd inom telekommunikation antog i mars
2008 Rommemorandumet2. I memorandumet analyseras de integritets- och säkerhetsrisker
som sociala nätverk innebär, och riktlinjer utfärdas för lagstiftare, leverantörer och användare.
I den nyligen antagna resolutionen om integritetsskydd i sociala nätverkstjänster3 behandlas
också de utmaningar som de sociala nätverkstjänsterna medfört. Arbetsgruppen beaktar
dessutom ståndpunktsdokumentet Security Issues and Recommendations for Online Social
Networks4, som offentliggjordes av Europeiska byrån för nät- och informationssäkerhet i
oktober 2007 och vände sig till lagstiftare och leverantörer av sociala nätverk.
2.
Definition av en ”social nätverkstjänst” och affärsmodell
Sociala nätverkstjänster kan generellt definieras som kommunikationsplattformar på Internet
som gör det möjligt för individer att gå med i eller skapa nätverk av likasinnade användare. I
rättsligt avseende ingår sociala nätverk i informationssamhällets tjänster enligt definitionen i
1
2
3
4
EGT L 281, 23.11.1995, s. 31,
http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm
http://www.datenschutz-berlin.de/attachments/461/WP_social_network_services.pdf
Antogs vid den 30:e internationella konferensen för ombudsmännen för dataskydd och integritet i Strasbourg,
17.10.2008,
http://www.privacyconference2008.org/adopted_resolutions/STRASBOURG2008/resolution_social_networks_en.pdf
http://www.enisa.europa.eu/doc/pdf/deliverables/enisa_pp_social_networks.pdf
- 4-
artikel 1.2 i direktiv 98/34/EG, ändrat genom direktiv 98/48/EG. Sociala nätverkstjänster har
vissa gemensamma egenskaper:
-
Användare uppmanas att lämna personuppgifter som bildar en beskrivning av dem själva,
en ”profil”.
-
Sociala nätverkstjänster erbjuder också verktyg som ger användarna möjlighet att lägga ut
eget material (användargenererat innehåll, t.ex. ett fotografi eller en dagboksanteckning,
musik eller videoklipp eller länkar till andra webbplatser5).
-
”Socialt nätverkande” möjliggörs med hjälp av verktyg som ger en lista över kontakter för
varje användare, och som gör det möjligt för användarna att interagera.
En stor del av intäkterna för sociala nätverkstjänster kommer från annonser som läggs ut på
de webbsidor som användarna skapar och går in på. Användare som lämnar ut mycket
information om sina intressen i sina profiler utgör en perfekt marknad för annonsörer som vill
lägga ut riktade annonser på grundval av denna information.
Det är därför viktigt att sociala nätverkstjänster fungerar på ett sätt som innebär att
användarnas rättigheter och friheter respekteras. Användarna förväntar sig nämligen med rätta
att de personuppgifter de lämnar ut ska behandlas i enlighet med EU:s och medlemsstaternas
dataskydds- och integritetslagstiftning.
3.
Tillämpning av dataskyddsdirektivet
Bestämmelserna i dataskyddsdirektivet gäller i de flesta fall leverantörer av sociala
nätverkstjänster, även om de har sitt säte utanför EES-området. Artikel 29-arbetsgruppen
hänvisar till sitt tidigare yttrande om sökmotorer för ytterligare vägledning i frågor som rör
etablering och användning av utrustning som bestämmande faktorer för tillämpligheten för
dataskyddsdirektivet och de bestämmelser som senare tillkommit till följd av behandling av
IP-adresser och användning av kakor.6
3.1
Vem är registeransvarig?
Leverantörer av sociala nätverkstjänster
Leverantörer av sociala nätverkstjänster är registeransvariga enligt dataskyddsdirektivet. De
tillhandahåller möjligheter till behandling av användaruppgifter och alla ”grundläggande”
tjänster i anslutning till användarhantering (t.ex. registrering och avslutande av konton).
Leverantörer av sociala nätverkstjänster avgör också hur användaruppgifter får användas för
annonserings- och marknadsföringsändamål – även när det gäller annonser från tredje parter.
Programleverantörer
Programleverantörer kan också vara registeransvariga, om de utvecklar program som kan
användas vid sidan av de program som den sociala nätverkstjänsten tillhandahåller och
användarna beslutar att använda ett sådant program.
5
6
I sådana fall där sociala nätverkstjänster innefattar elektroniska kommunikationstjänster gäller även bestämmelserna i
direktivet om integritet och elektronisk kommunikation, 2002/58/EG.
WP148, ”Yttrande 1/2008 om dataskyddsfrågor med anknytning till sökmotorer”.
- 5-
Användare
I de flesta fall betraktas användare som registrerade. Direktivet ålägger inte en individ som
behandlar personuppgifter ”som ett led i verksamhet av rent privat natur eller som har
samband med hans hushåll” en registeransvarigs skyldigheter – ”hushållsundantaget”. I vissa
fall är det inte säkert att verksamheten hos en användare av sociala nätverkstjänster omfattas
av hushållsundantaget, och användaren kan anses ha tagit på sig en del av det ansvar som
ligger på en registeransvarig. Några av dessa fall beskrivs nedan.
3.1.1. Syfte och art
En tilltagande trend när det gäller sociala nätverkstjänster är ”övergången från ’Web 2.0 for
fun’ till Web 2.0 för produktivitet och tjänster”7 där verksamheten hos vissa användare av
sociala nätverkstjänster kan gå utöver rent privat eller hushållsrelaterad verksamhet, t.ex. när
den sociala nätverkstjänsten används som en samarbetsplattform för en sammanslutning eller
ett företag. Om en användare av en social nätverkstjänst agerar för ett företag eller en
sammanslutning, eller använder den sociala nätverkstjänsten främst som en plattform för
kommersiella eller politiska ändamål eller för välgörenhet, gäller inte undantaget. I det fallet
påtar sig användaren det fulla ansvaret för en registeransvarig som lämnar ut personuppgifter
till en annan registeransvarig (den sociala nätverkstjänsten) och till tredje parter (andra
användare av den sociala nätverkstjänsten eller potentiellt även andra registeransvariga med
tillgång till uppgifterna). Under dessa omständigheter måste användaren ha de berörda
personernas samtycke eller någon annan legitim grund enligt dataskyddsdirektivet.
Åtkomsten till uppgifter från en användare (profildata, innehåll som lagts ut, artiklar osv.) är i
normalfallet begränsad till självvalda kontakter. I vissa fall kan dock en användare skaffa ett
stort antal tredjepartskontakter, varav han kanske inte ens känner en del. Ett stort antal
kontakter skulle kunna vara en indikation på att hushållsundantaget inte gäller och att
användaren därför skulle betraktas som registeransvarig.
3.1.2. Åtkomst till profilinformation
Sociala nätverkstjänster bör ha integritetsfrämjande och kostnadsfria standardinställningar
som begränsar åtkomsten till självvalda kontakter.
När åtkomsten till profilinformation sträcker sig längre än till självvalda kontakter, t.ex. när
en profil är tillgänglig för alla medlemmar av det sociala nätverket8 eller uppgifterna kan
indexeras av sökmotorer, är åtkomsten inte längre begränsad till den privata eller
hushållsrelaterade sfären. På samma sätt inträder ansvar som registeransvarig om en
användare fattar ett medvetet beslut att utöka åtkomsten till andra än självvalda ”vänner”. I
själva verket kommer då samma regelverk att gälla som när en person använder andra
tekniska plattformar för att offentliggöra personuppgifter på Internet.9 I flera medlemsstater
innebär avsaknaden av åtkomstrestriktioner (och därmed den offentliga karaktären) att
dataskyddsdirektivet är tillämpligt och att Internetanvändaren får ansvar som
registeransvarig.10
7
8
9
10
”Internet of the future: Europe must be a key player”, tal av Viviane Reding, ledamot av Europeiska kommissionen med
ansvar för informationssamhälle och medier under mötet Future of the Internet initiative of the Lisbon Council, Bryssel
den 2 februari 2009.
Eller när det kan hävdas att inget egentligt urval görs när kontakter accepteras, dvs. användarna accepterar ”kontakter”
oavsett vilken förbindelse de har.
T.ex. publiceringsplattformar som inte är sociala nätverkstjänster, eller egenvärdbaserad programvara.
I EG-domstolens dom i Satamediamålet fastslås däremot följande i punkt 44: ”Härav följer att detta andra undantag ska
tolkas så, att det endast avser verksamhet som utgör en del av enskildas privatliv eller familjeliv (se domen i det
- 6-
Även om hushållsundantaget inte gäller bör man minnas att en användare av sociala
nätverkstjänster kan utnyttja andra undantag, t.ex. undantaget för journalistiska ändamål eller
konstnärligt eller litterärt skapande. I dessa fall måste yttrandefriheten vägas mot rätten till
personlig integritet.
3.1.3 Användares behandling av uppgifter från tredje part
Tillämpningen av hushållsundantaget begränsas också av behovet av att garantera tredje
parters rättigheter, särskilt när det gäller känsliga uppgifter. Dessutom bör det noteras att en
användare kan hållas ansvarig enligt allmänna bestämmelser i nationell civil- eller
strafflagstiftning (t.ex. ärekränkning, skadeståndsansvar för personlighetskränkning,
straffrättsligt ansvar), även om hushållsundantaget gäller.
3.2
Säkerhet och standardinställningar för sekretess
Säker informationshantering är grundläggande för förtroendet för sociala nätverkstjänster.
Registeransvariga måste vidta lämpliga tekniska och organisatoriska åtgärder ”både när
systemet för behandlingen utformas och när själva behandlingen sker” för att garantera
säkerheten och hindra otillåten behandling, med hänsyn till de risker som behandlingen
innebär och uppgifternas art.11
Ett viktigt inslag i integritetsinställningarna är åtkomsten till personuppgifter som publiceras i
en profil. Om inga restriktioner gäller för denna åtkomst kan tredje parter koppla ihop en
mängd intima detaljer om användarna, antingen som medlemmar av det sociala nätverket eller
via sökmotorer. Det är dock bara en minoritet av de användare som ansluter sig till en tjänst
som gör några ändringar av standardinställningarna. Sociala nätverkstjänster bör därför
erbjuda integritetsfrämjande standardinställningar som ger användare möjlighet att fritt och
specifikt samtycka till all åtkomst till deras profilinnehåll som sträcker sig längre än till deras
självvalda kontakter, för att minska risken för olaglig behandling av tredje parter. Profiler
med begränsad åtkomst bör inte kunna upptäckas av interna sökmotorer och bör inte vara
sökbara med hjälp av parametrar som ålder eller plats. Beslut om utökad åtkomst får inte vara
underförstådda12, t.ex. genom ett undantag som erbjuds av den registeransvarige för den
sociala nätverkstjänsten.
3.3
Information som ska lämnas av sociala nätverkstjänster
Leverantörer av sociala nätverkstjänster bör informera användarna om sin identitet och de
olika ändamål för vilka de behandlar personuppgifter i enlighet med bestämmelserna i artikel
10 i dataskyddsdirektivet, inklusive men inte begränsat till
-
användning av uppgifterna för direkt marknadsföring,
-
eventuell delning av uppgifterna med specificerade kategorier av tredje parter,
-
en översikt över profiler – hur de skapas och de främsta datakällorna,
-
användningen av känsliga uppgifter.
11
12
ovannämnda målet Lindqvist, punkt 47). Detta är uppenbart inte fallet i fråga om den verksamhet som Markkinapörssi
och Satamedia bedriver och som syftar till att ge ett obestämt antal personer kännedom om de insamlade uppgifterna.”
Artikel 17 och skäl 46 i dataskyddsdirektivet.
I Report and Guidance on Privacy in Social Network Services (”Rommemorandumet”) talas om risker som det
missvisande begreppet ”gemenskap” (s. 2) och att man lämnar ut mer personlig information än man tror (s. 3). Ett
datasäkerhetsföretag varnar en stor social nätverkstjänst för standardåtkomst för medlemmar inom samma geografiska
område: http://www.sophos.com/pressoffice/news/articles/2007/10/facebook-network.html
- 7-
Arbetsgruppen rekommenderar att
-
leverantörer av sociala nätverkstjänster på lämpligt sätt varnar användarna för de
integritetsrisker de utsätter sig själva och andra för när de lägger upp information på
den sociala nätverkssajten,
-
användare av sociala nätverkstjänster även erinras om att det kan inkräkta på andra
individers rätt till integritet och dataskydd att lägga upp uppgifter om dem,
-
leverantörer av sociala nätverkstjänster informerar användare om att de endast bör
lägga upp bilder eller information om andra individer med samtycke från personen i
fråga.13
3.4
Känsliga uppgifter
Uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiösa eller filosofiska
övertygelser eller medlemskap i fackföreningar samt uppgifter om hälsa eller sexliv betraktas
som känsliga. Känsliga personuppgifter får publiceras på Internet endast med uttryckligt
samtycke från den registrerade eller om det står klart att den registrerade själv har
offentliggjort uppgifterna.14
I vissa EU-medlemsstater betraktas bilder av registrerade som en särskild kategori av
personuppgifter, eftersom de kan användas för att skilja mellan olika raser/etniska ursprung
eller för att dra slutsatser om religiösa övertygelser eller hälsouppgifter. Arbetsgruppen anser
inte generellt sett att bilder på Internet utgör känsliga uppgifter15, om det inte tydligt framgår
att bilderna används för att avslöja känsliga uppgifter om individer.
Som registeransvariga får leverantörer av sociala nätverkstjänster inte behandla några
känsliga uppgifter om medlemmar av sociala nätverk eller om andra personer utan deras
uttryckliga samtycke16. Om en social nätverkstjänst har med frågor som rör känsliga uppgifter
på användarens profilformulär måste det mycket tydligt framgå att det är helt frivilligt att
besvara sådana frågor.
3.5
Behandling av icke-medlemmars uppgifter
I många sociala nätverk kan användarna lägga in uppgifter om andra människor, t.ex. genom
att skriva ett namn vid en bild, betygssätta en person eller räkna upp ”folk jag träffat/vill
träffa” vid evenemang. Genom sådana taggar kan även icke-medlemmar identifieras. För att
den sociala nätverkstjänsten ska få behandla sådana uppgifter om icke-medlemmar måste
dock något av kriterierna i artikel 7 i dataskyddsdirektivet vara uppfyllt.
Skapande av förkonstruerade profiler för icke-medlemmar genom sammanställning av
uppgifter som lämnas av enskilda användare av sociala nätverkstjänster, även relationsdata
som hämtats från adressböcker som lagts upp, saknar dessutom rättslig grund.17
13
14
15
16
17
Detta skulle kunna underlättas genom införande av verktyg för tagghantering på sociala nätverkssajter, t.ex. genom att
ge utrymme i en personlig profil för att ange att en användares namn förekommer i taggade bilder eller videofilmer som
väntar på samtycke, eller genom att ange förfallotider för taggar som inte fått samtycke av den taggade individen.
Medlemsstaterna får föreskriva undantag från denna regel; se artikel 8.2 a andra meningen och artikel 8.4 i
dataskyddsdirektivet.
Offentliggörande av bilder på Internet innebär dock allt större integritetsproblem i takt med att tekniken för
ansiktsigenkänning blir allt bättre.
Samtycket ska vara frivilligt, informerat och specifikt.
I skäl 38 i dataskyddsdirektivet anges följande: ”En korrekt behandling av uppgifter förutsätter att de registrerade kan få
kännedom om behandlingen och att de – när uppgifter samlas in hos dem – kan få korrekt och fullständig information
med hänsyn till de närmare omständigheterna vid insamlingen.” Offentliggörande av profiler för icke-medlemmar påstås
ha blivit ett viktigt sätt för vissa sociala nätverkstjänster att marknadsföra sina ”tjänster”.
- 8-
Även om den sociala nätverkstjänsten hade möjlighet att kontakta icke-medlemmen och
informera denne om förekomsten av personuppgifter om honom/henne skulle en eventuell epostinbjudan att gå med i det sociala nätverket för att få åtkomst till dessa personuppgifter
strida mot förbudet i artikel 13.4 i direktivet om integritet och elektronisk kommunikation mot
att skicka icke begärda e-postmeddelanden för direkt marknadsföring.
3.6
Åtkomst för tredje part
3.6.1 Åtkomst via den sociala nätverkstjänsten
Vid sidan av själva grundtjänsten erbjuder många sociala nätverkstjänster användarna
ytterligare program som tillhandahålls av tredjepartsutvecklare som också behandlar
personuppgifter.
Leverantörer av sociala nätverkstjänster bör kunna se till att tredjepartsprogram uppfyller
bestämmelserna i dataskyddsdirektivet och direktivet om integritet och elektronisk
kommunikation. Det innebär framför allt att de måste ge tydlig och specifik information till
användarna om behandlingen av deras personuppgifter och att de bara har tillgång till
nödvändiga personuppgifter. Den sociala nätverkstjänsten bör därför erbjuda
tredjepartsutvecklare skiktad åtkomst så att de kan välja ett åtkomstsätt som i sig självt är mer
begränsat. Sociala nätverkstjänster bör dessutom se till att användarna enkelt kan rapportera
farhågor när det gäller program.
3.6.2 Åtkomst för tredje part via användare
Sociala nätverkstjänster ger ibland användarna möjlighet att få tillgång till och uppdatera sina
uppgifter med hjälp av andra program. Användarna kan t.ex. ha möjlighet att
-
läsa och skicka meddelanden till nätverket från sin mobiltelefon,
-
synkronisera kontaktuppgifter för sina vänner i det sociala nätverket med sin adressbok
på en stationär dator,
-
automatiskt uppdatera sin status eller vistelseort i det sociala nätverket med hjälp av en
annan webbplats.
Sociala nätverkstjänster offentliggör hur detta program kan skrivas i form av ett gränssnitt för
tillämpningsprogram (”API”). På så sätt ges vilken tredje part som helst möjlighet att skriva
program för att utföra dessa uppgifter, och användarna kan fritt välja mellan flera olika
tredjepartsleverantörer.18 En leverantör av en social nätverkstjänst som erbjuder ett API som
möjliggör åtkomst till kontakters uppgifter bör
-
tillhandahålla en granularitet som tillåter användaren att välja en åtkomstnivå för den
tredje parten som är precis tillräcklig för att en viss uppgift ska kunna utföras.
När tredjepartstjänster ges åtkomst till personuppgifter via tredjeparts-API på en användares
vägnar bör man
-
behandla och lagra uppgifter bara så länge som behövs för att utföra en viss uppgift,
-
inte använda importerade kontaktuppgifter från en användare för något annat ändamål
än personligt bruk av den användare som lämnat uppgifterna.
18
”API” är en bred teknisk term, men här avser begreppet åtkomst på en användares vägnar, dvs. användarna måste ge
sina inloggningsuppgifter till programmet för att det ska kunna agera på deras vägnar.
- 9-
3.7
Rättslig grund för direkt marknadsföring
Direkt marknadsföring är ett grundläggande inslag i affärsmodellen för sociala
nätverkstjänster, och olika marknadsföringsmodeller kan användas. Marknadsföring med
hjälp av användares personuppgifter bör dock vara förenlig med tillämpliga bestämmelser i
både dataskyddsdirektivet och direktivet om integritet och elektronisk kommunikation.19
Kontextuell marknadsföring är anpassad till det innehåll som användaren tittar på eller har
tillgång till.20
Segmenterad marknadsföring består i att visa annonser för användare i en viss målgrupp21. En
användare placeras i en grupp med utgångspunkt i den information han har meddelat till det
sociala nätverket.22
Vid beteendebaserad marknadsföring, slutligen, väljs annonserna ut på grundval av
observation och analys av användarnas aktivitet över tiden. Dessa metoder kan omfattas av
olika rättsliga krav beroende på den tillämpliga rättsliga grunden och vilken teknik som
används. Arbetsgruppen rekommenderar att känsliga uppgifter inte används vid
beteendebaserad annonsering, om inte alla rättsliga krav är uppfyllda.
Oavsett vilken modell eller vilken kombination av modeller som används kan annonser
antingen läggas ut direkt av den sociala nätverkstjänsten (leverantören av den sociala
nätverkstjänsten fungerar här som mellanhand) eller av en tredjepartsannonsör. I det första
fallet behöver inte användarnas personuppgifter lämnas ut till tredje parter. I det andra fallet
kan dock tredjepartsannonsören behandla personuppgifter om användarna exempelvis om
man hanterar användarens IP-adress och en kaka som placerats på användarens dator.
3.8
Lagring av uppgifter
Sociala nätverkstjänster omfattas inte av definitionen av elektroniska kommunikationstjänster
i artikel 2 c i ramdirektivet (2002/21/EG). Leverantörer av sociala nätverkstjänster kan
erbjuda tilläggstjänster som utgör elektroniska kommunikationstjänster, t.ex. en offentligt
tillgänglig e-posttjänst. En sådan tjänst omfattas av bestämmelserna i direktivet om integritet
och elektronisk kommunikation och direktivet om lagring av uppgifter.
Vissa sociala nätverkstjänster tillåter sina användare att skicka inbjudningar till tredje parter.
Förbudet mot användning av elektronisk post för direkt marknadsföring gäller inte personliga
meddelanden. För att omfattas av undantaget för personlig kommunikation måste en social
nätverkstjänst uppfylla följande kriterier:
-
Varken sändaren eller mottagaren ges någon uppmuntran.
-
Leverantören väljer inte meddelandets mottagare.23
-
Den sändande användarens identitet måste tydligt framgå.
-
Den sändande användaren måste känna till hela innehållet i det meddelandet som
skickas på hans vägnar.
19
20
21
22
23
Arbetsgruppen kommer inom kort att behandla olika aspekter av Internetannonsering i ett separat dokument.
Om t.ex. ordet ”Paris” finns med på den sida som visas kan annonsen gälla en restaurang i den staden.
Varje grupp definieras med hjälp av en uppsättning kriterier.
T.ex. när han registrerade sig för tjänsten.
Detta innebär att det inte är tillåtet att som vissa sociala nätverkstjänster gör godtyckligt skicka inbjudningar till alla
kontakter i en användares adressbok.
-10-
Vissa sociala nätverkstjänster lagrar också identifieringsuppgifter för användare som uteslutits
från tjänsten, för att se till att de inte kan registrera sig på nytt. I sådana fall måste dessa
användare informeras om att denna lagring sker. Den enda information som får lagras är
dessutom identitetsinformation och inte information om skälen till att personen i fråga
uteslöts. Informationen bör inte lagras längre än ett år.
Personuppgifter som lämnas av en användare när han registrerar sig för en social
nätverkstjänst bör raderas så snart antingen användaren eller leverantören av den sociala
nätverkstjänsten beslutar sig för att avsluta kontot.24 Information som raderas av en användare
när han uppdaterar sitt konto bör inte heller lagras. Innan sådana åtgärder vidtas bör
leverantörer av sociala nätverkstjänster underrätta användarna om lagringsperioderna med de
medel som står till deras förfogande. Av säkerhetsskäl och rättsliga skäl kan det i vissa fall
vara motiverat att lagra uppdaterade eller raderade uppgifter och konton under en fastställd
tidsperiod för att bidra till att förhindra fientliga handlingar till följd av identitetsstöld och
andra förseelser eller brott.
Om en användare inte använder tjänsten under en fastställd tidsperiod bör profilen ges status
som inaktiv, dvs. inte längre synlig för övriga användare eller omvärlden, och efter ytterligare
en tid bör uppgifterna i det övergivna kontot raderas. Innan dessa åtgärder vidtas bör
leverantörer av sociala nätverkstjänster underrätta användarna med de medel som står till
deras förfogande.
3.9
Användares rättigheter
Sociala nätverkstjänster bör respektera rättigheterna för de individer som berörs av
behandlingen, i enlighet med bestämmelserna i artiklarna 12 och 14 i dataskyddsdirektivet.
Användarnas rätt till tillgång och rättelse är inte begränsad till användarna av tjänsten utan
gäller alla fysiska personer vars uppgifter behandlas.25 Medlemmar och icke-medlemmar av
sociala nätverk måste ha möjlighet att utöva sin rätt till tillgång, rättelse och radering. På
hemsidan för sociala nätverkssajter bör det tydligt framgå att det finns en ”enhet för
klagomålshantering” som leverantören av den sociala nätverkstjänsten inrättat för att hantera
frågor som gäller dataskydd och integritet och klagomål från både medlemmar och ickemedlemmar.
Enligt artikel 6.1 c i dataskyddsdirektivet ska uppgifterna vara ”adekvata och relevanta och
inte […] omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de har
samlats in och för vilka de senare behandlas”. I detta sammanhang kan det konstateras att
sociala nätverkstjänster kan behöva registrera en del identifieringsuppgifter om medlemmarna
men inte behöver offentliggöra deras riktiga namn på Internet. Leverantörer av sociala
nätverkstjänster bör därför noggrant överväga om det är motiverat att tvinga användarna att
använda sin verkliga identitet i stället för en pseudonym. Det finns starka argument för att ge
användarna valfrihet i detta avseende, och det är ett rättsligt krav i minst en medlemsstat.
Argumenten är särskilt starka när det gäller sociala nätverk med ett stort antal medlemmar.
Enligt artikel 17 i dataskyddsdirektivet ska den registeransvarige genomföra lämpliga
tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter. Sådana
säkerhetsåtgärder innefattar bl.a. åtkomstkontroll och autentiseringsmekanismer som kan
genomföras även om pseudonymer används.
24
25
Enligt artikel 6.1 e i dataskyddsdirektivet ska uppgifterna ”förvaras på ett sätt som förhindrar identifiering av den
registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in eller för
vilka de senare behandlades”.
Det gäller exempelvis om en persons e-postadress använts av den sociala nätverkstjänsten för att skicka honom en
inbjudan.
-11-
4.
Barn och underåriga
En stor del av de sociala nätverkstjänsterna används av barn/underåriga. I arbetsgruppens
yttrande WP14726 behandlades tillämpningen av dataskyddsprinciper i skolan och skolmiljön.
I yttrandet framhölls behovet av att ta hänsyn till barnets bästa, såsom också anges i FNkonventionen om barnets rättigheter. Arbetsgruppen vill betona vikten av denna princip även i
samband med sociala nätverkstjänster.
En del intressanta initiativ27 har inletts av dataskyddsmyndigheter världen över, med fokus
framför allt på att öka medvetenheten om sociala nätverkstjänster och eventuella risker.
Arbetsgruppen uppmuntrar mer forskning om hur man ska hantera svårigheterna i samband
med tillförlitlig ålderskontroll och bevis på informerat samtycke, för att bättre kunna lösa
dessa frågor.
Med utgångspunkt i de överväganden som gjorts hittills anser arbetsgruppen att en
flerdimensionell strategi är lämplig för att hantera skyddet av barns uppgifter i samband med
sociala nätverkstjänster. En sådan strategi kan grundas på
-
initiativ för ökad medvetenhet som är grundläggande för att säkra barns aktiva
engagemang (via skolor, införande av DP-basics i läroplanerna, utformning av särskilt
anpassade läromedel, samarbete med nationella behöriga organ),
-
korrekt och laglig behandling när det gäller underåriga, t.ex. att inte fråga efter
känsliga uppgifter i registreringsformulär, inte rikta direkt marknadsföring specifikt
mot underåriga, kräva föräldrars medgivande före registrering och införa en lämplig
grad av logisk åtskillnad mellan gemenskaper för barn och vuxna,
-
införande
av
integritetsfrämjande
teknik
(t.ex.
integritetsfrämjande
standardinställningar, poppupprutor med varningar i lämpliga skeden, program för
ålderskontroll),
-
självreglering av leverantörerna för att främja antagande av uppförandekoder som
innefattar effektiva åtgärder för efterlevnad, även av disciplinär art,
-
vid behov, ad hoc-lagstiftning för att motverka ohederliga och/eller vilseledande
metoder i samband med sociala nätverkstjänster.
26
27
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2008/wp147_en.pdf
Exempelvis det portugisiska initiativet ”Dadus” http://dadus.cnpd.pt/ och det danska initiativet ”Chat Check Badge”,
http://www.fdim.dk/
-12-
5.
Sammanfattning av skyldigheter/rättigheter
EG-direktivens tillämplighet
1.
Dataskyddsdirektivet är generellt tillämpligt på sociala nätverkstjänsters
behandling av personuppgifter, även om de har sitt säte utanför EES-området.
2.
Leverantörer av sociala nätverkstjänster betraktas som registeransvariga enligt
dataskyddsdirektivet.
3.
Programleverantörer
dataskyddsdirektivet.
4.
Användare betraktas som registrerade i samband med behandling av deras
uppgifter inom ramen för sociala nätverkstjänster.
5.
Användares behandling av personuppgifter omfattas i de flesta fall av
hushållsundantaget. Det finns fall när en användares verksamhet inte omfattas
av detta undantag.
6.
Sociala nätverkstjänster omfattas inte av definitionen av elektronisk
kommunikationstjänst, och direktivet om lagring av uppgifter gäller därför inte
sociala nätverkstjänster.
kan
betraktas
som
registeransvariga
enligt
Skyldigheter för sociala nätverkstjänster
7.
Leverantörer av sociala nätverkstjänster bör informera användarna om sin
identitet och tillhandahålla uttömmande och tydlig information om de olika sätt
på vilka de kan komma att behandla personuppgifter samt för vilka ändamål.
8.
Sociala nätverkstjänster bör erbjuda integritetsfrämjande standardinställningar.
9.
Leverantörer av sociala nätverkstjänster bör ge användarna information och
lämpliga varningar om integritetsrisker när de lägger upp uppgifter på den
sociala nätverkssajten.
11.
Leverantörer av sociala nätverkstjänster bör informera användarna om att
bilder och information om andra individer endast bör läggas upp med den
berörda personens samtycke.
12.
Hemsidan för sociala nätverkstjänster bör som ett minimum innehålla en länk
till en klagomålsinstans som hanterar dataskyddsfrågor för både medlemmar
och icke-medlemmar.
13.
Marknadsföringsverksamhet
ska
vara
förenlig
med
reglerna
i
dataskyddsdirektivet och direktivet om integritet och elektronisk
kommunikation.
14.
Leverantörer av sociala nätverkstjänster ska fastställa maximiperioder för
lagring av uppgifter om inaktiva användare. Övergivna konton ska raderas.
15.
Leverantörer av sociala nätverkstjänster bör vidta lämpliga åtgärder för att
minska riskerna för underåriga.
-13-
Användares rättigheter
16.
Både medlemmar och icke-medlemmar av sociala nätverk har i tillämpliga fall
rättigheter som registrerade enligt bestämmelserna i artiklarna 10–14 i
dataskyddsdirektivet.
17.
Både medlemmar och icke-medlemmar bör ha tillgång till ett användarvänligt
klagomålsförfarande som inrättas av leverantören av den sociala
nätverkstjänsten.
18.
Användare bör generellt sett tillåtas att använda en pseudonym.
Bryssel den 12 juni 2009
På arbetsgruppens vägnar
Ordförande
Alex Türk
-14-