ARTIKEL 29-ARBETSGRUPPEN FÖR SKYDD AV PERSONUPPGIFTER 01189/09/SV WP 163 Yttrande 5/2009 om sociala nätverk på Internet Antaget den 12 juni 2009 Arbetsgruppen inrättades enligt artikel 29 i direktiv 95/46/EG. Den är ett oberoende rådgivande EU-organ i frågor rörande dataskydd och integritet. Dess uppgifter beskrivs i artikel 30 i direktiv 95/46/EG och artikel 15 i direktiv 2002/58/EG. Gruppens sekretariat finns hos direktorat C (Civilrättsliga frågor, grundläggande rättigheter och medborgarskap) på Europeiska kommissionen, Generaldirektoratet för rättvisa, frihet och säkerhet, B-1049 Bryssel, Belgien, Kontor LX-46 01/06. Webbplats: http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm Innehållsförteckning Sammanfattning ..................................................................................................................... 3 1. Inledning..................................................................................................................... 4 2. Definition av en ”social nätverkstjänst” och affärsmodell......................................... 4 3. Tillämpning av dataskyddsdirektivet ......................................................................... 5 3.1 Vem är registeransvarig?........................................................................................ 5 3.2 Säkerhet och standardinställningar för sekretess ................................................... 7 3.3 Information som ska lämnas av sociala nätverkstjänster ....................................... 7 3.4 Känsliga uppgifter .................................................................................................. 8 3.5 Behandling av icke-medlemmars uppgifter ........................................................... 8 3.6 Åtkomst för tredje part ........................................................................................... 9 3.7 Rättslig grund för direkt marknadsföring............................................................. 10 3.8 Lagring av uppgifter............................................................................................. 10 3.9 Användares rättigheter ......................................................................................... 11 4. Barn och underåriga ................................................................................................. 12 5. Sammanfattning av skyldigheter/rättigheter ............................................................ 13 - 2- Sammanfattning Detta yttrande handlar om hur sociala nätverkssajter kan fungera på ett sätt som är förenligt med kraven i EU:s dataskyddslagstiftning. Avsikten är främst att ge ledning till leverantörer av sociala nätverkstjänster när det gäller de åtgärder som måste vidtas för att följa EUlagstiftningen. I yttrandet konstateras att leverantörer av sociala nätverkstjänster och, i många fall, leverantörer av tredjepartsprogram är registeransvariga med motsvarande ansvar gentemot användare av sociala nätverkstjänster. I yttrandet beskrivs hur många användare är verksamma på ett rent personligt plan och kontaktar människor som ett led i hanteringen av sitt privatliv eller sina familje- eller hushållsangelägenheter. I sådana fall anses i yttrandet att ”hushållsundantaget” gäller och att bestämmelserna om registeransvariga inte är tillämpliga. I yttrandet anges också under vilka omständigheter verksamheten hos en användare av en social nätverkstjänst inte omfattas av ”hushållsundantaget”. Spridning och användning av information på en social nätverkssajt för andra sekundära, oavsiktliga ändamål är en mycket viktig fråga för artikel 29-arbetsgruppen. I hela yttrandet förespråkas ordentliga säkerhetsoch integritetsfrämjande standardinställningar som den bästa utgångspunkten när det gäller alla tjänster som erbjuds. Åtkomst till profilinformation framstår som ett av de främsta problemområdena. Dessutom diskuteras frågor som behandling av känsliga uppgifter och bilder, annonsering och direkt marknadsföring på sociala nätverkssajter samt frågor som rör lagring av uppgifter. De huvudsakliga rekommendationerna gäller skyldigheterna för leverantörer av sociala nätverkstjänster att rätta sig efter dataskyddsdirektivet och att värna om och stärka användarnas rättigheter. Det är av yttersta vikt att leverantörer av sociala nätverkstjänster redan från början klargör sin identitet för användarna och beskriver alla olika ändamål för vilka de behandlar personuppgifter. Leverantörer av sociala nätverkstjänster bör iaktta särskild försiktighet när det gäller behandling av underårigas personuppgifter. I yttrandet rekommenderas att användare lägger upp bilder eller information om andra individer endast med den berörda personens samtycke. Leverantörer av sociala nätverkstjänster anses dessutom vara skyldiga att informera användarna om andras rätt till personlig integritet. - 3- ARBETSGRUPPEN FÖR SKYDD AV ENSKILDA MED AVSEENDE PÅ BEHANDLING AV PERSONUPPGIFTER HAR ANTAGIT DETTA ARBETSDOKUMENT med beaktande av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995, genom vilket arbetsgruppen inrättades1, med beaktande av artiklarna 29, 30.1 a och 30.3 i Europaparlamentets och rådets direktiv 95/46/EG samt artikel 15.3 i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002, med beaktande av artikel 255 i EG-fördraget och av Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamentets, rådets och kommissionens handlingar, och med beaktande av dess arbetsordning. 1. Inledning Uppkomsten av webbgemenskaper och värdbaserade tjänster som sociala nätverkstjänster är en relativt ny företeelse, och antalet användare på dessa webbplatser fortsätter att växa exponentiellt. Den personliga information som en användare lägger ut på Internet kan, tillsammans med uppgifter som beskriver användarens verksamhet och interaktion med andra människor, skapa en uttömmande bild av personens intressen och aktiviteter. Personuppgifter som offentliggörs på sociala nätverkssajter kan användas av tredje parter för en mängd olika ändamål, även kommersiella ändamål, och kan vara förenade med stora risker, t.ex. identitetsstöld, ekonomiska förluster, förlust av affärs- eller anställningsmöjligheter och fysisk skada. Den internationella Berlinarbetsgruppen för dataskydd inom telekommunikation antog i mars 2008 Rommemorandumet2. I memorandumet analyseras de integritets- och säkerhetsrisker som sociala nätverk innebär, och riktlinjer utfärdas för lagstiftare, leverantörer och användare. I den nyligen antagna resolutionen om integritetsskydd i sociala nätverkstjänster3 behandlas också de utmaningar som de sociala nätverkstjänsterna medfört. Arbetsgruppen beaktar dessutom ståndpunktsdokumentet Security Issues and Recommendations for Online Social Networks4, som offentliggjordes av Europeiska byrån för nät- och informationssäkerhet i oktober 2007 och vände sig till lagstiftare och leverantörer av sociala nätverk. 2. Definition av en ”social nätverkstjänst” och affärsmodell Sociala nätverkstjänster kan generellt definieras som kommunikationsplattformar på Internet som gör det möjligt för individer att gå med i eller skapa nätverk av likasinnade användare. I rättsligt avseende ingår sociala nätverk i informationssamhällets tjänster enligt definitionen i 1 2 3 4 EGT L 281, 23.11.1995, s. 31, http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm http://www.datenschutz-berlin.de/attachments/461/WP_social_network_services.pdf Antogs vid den 30:e internationella konferensen för ombudsmännen för dataskydd och integritet i Strasbourg, 17.10.2008, http://www.privacyconference2008.org/adopted_resolutions/STRASBOURG2008/resolution_social_networks_en.pdf http://www.enisa.europa.eu/doc/pdf/deliverables/enisa_pp_social_networks.pdf - 4- artikel 1.2 i direktiv 98/34/EG, ändrat genom direktiv 98/48/EG. Sociala nätverkstjänster har vissa gemensamma egenskaper: - Användare uppmanas att lämna personuppgifter som bildar en beskrivning av dem själva, en ”profil”. - Sociala nätverkstjänster erbjuder också verktyg som ger användarna möjlighet att lägga ut eget material (användargenererat innehåll, t.ex. ett fotografi eller en dagboksanteckning, musik eller videoklipp eller länkar till andra webbplatser5). - ”Socialt nätverkande” möjliggörs med hjälp av verktyg som ger en lista över kontakter för varje användare, och som gör det möjligt för användarna att interagera. En stor del av intäkterna för sociala nätverkstjänster kommer från annonser som läggs ut på de webbsidor som användarna skapar och går in på. Användare som lämnar ut mycket information om sina intressen i sina profiler utgör en perfekt marknad för annonsörer som vill lägga ut riktade annonser på grundval av denna information. Det är därför viktigt att sociala nätverkstjänster fungerar på ett sätt som innebär att användarnas rättigheter och friheter respekteras. Användarna förväntar sig nämligen med rätta att de personuppgifter de lämnar ut ska behandlas i enlighet med EU:s och medlemsstaternas dataskydds- och integritetslagstiftning. 3. Tillämpning av dataskyddsdirektivet Bestämmelserna i dataskyddsdirektivet gäller i de flesta fall leverantörer av sociala nätverkstjänster, även om de har sitt säte utanför EES-området. Artikel 29-arbetsgruppen hänvisar till sitt tidigare yttrande om sökmotorer för ytterligare vägledning i frågor som rör etablering och användning av utrustning som bestämmande faktorer för tillämpligheten för dataskyddsdirektivet och de bestämmelser som senare tillkommit till följd av behandling av IP-adresser och användning av kakor.6 3.1 Vem är registeransvarig? Leverantörer av sociala nätverkstjänster Leverantörer av sociala nätverkstjänster är registeransvariga enligt dataskyddsdirektivet. De tillhandahåller möjligheter till behandling av användaruppgifter och alla ”grundläggande” tjänster i anslutning till användarhantering (t.ex. registrering och avslutande av konton). Leverantörer av sociala nätverkstjänster avgör också hur användaruppgifter får användas för annonserings- och marknadsföringsändamål – även när det gäller annonser från tredje parter. Programleverantörer Programleverantörer kan också vara registeransvariga, om de utvecklar program som kan användas vid sidan av de program som den sociala nätverkstjänsten tillhandahåller och användarna beslutar att använda ett sådant program. 5 6 I sådana fall där sociala nätverkstjänster innefattar elektroniska kommunikationstjänster gäller även bestämmelserna i direktivet om integritet och elektronisk kommunikation, 2002/58/EG. WP148, ”Yttrande 1/2008 om dataskyddsfrågor med anknytning till sökmotorer”. - 5- Användare I de flesta fall betraktas användare som registrerade. Direktivet ålägger inte en individ som behandlar personuppgifter ”som ett led i verksamhet av rent privat natur eller som har samband med hans hushåll” en registeransvarigs skyldigheter – ”hushållsundantaget”. I vissa fall är det inte säkert att verksamheten hos en användare av sociala nätverkstjänster omfattas av hushållsundantaget, och användaren kan anses ha tagit på sig en del av det ansvar som ligger på en registeransvarig. Några av dessa fall beskrivs nedan. 3.1.1. Syfte och art En tilltagande trend när det gäller sociala nätverkstjänster är ”övergången från ’Web 2.0 for fun’ till Web 2.0 för produktivitet och tjänster”7 där verksamheten hos vissa användare av sociala nätverkstjänster kan gå utöver rent privat eller hushållsrelaterad verksamhet, t.ex. när den sociala nätverkstjänsten används som en samarbetsplattform för en sammanslutning eller ett företag. Om en användare av en social nätverkstjänst agerar för ett företag eller en sammanslutning, eller använder den sociala nätverkstjänsten främst som en plattform för kommersiella eller politiska ändamål eller för välgörenhet, gäller inte undantaget. I det fallet påtar sig användaren det fulla ansvaret för en registeransvarig som lämnar ut personuppgifter till en annan registeransvarig (den sociala nätverkstjänsten) och till tredje parter (andra användare av den sociala nätverkstjänsten eller potentiellt även andra registeransvariga med tillgång till uppgifterna). Under dessa omständigheter måste användaren ha de berörda personernas samtycke eller någon annan legitim grund enligt dataskyddsdirektivet. Åtkomsten till uppgifter från en användare (profildata, innehåll som lagts ut, artiklar osv.) är i normalfallet begränsad till självvalda kontakter. I vissa fall kan dock en användare skaffa ett stort antal tredjepartskontakter, varav han kanske inte ens känner en del. Ett stort antal kontakter skulle kunna vara en indikation på att hushållsundantaget inte gäller och att användaren därför skulle betraktas som registeransvarig. 3.1.2. Åtkomst till profilinformation Sociala nätverkstjänster bör ha integritetsfrämjande och kostnadsfria standardinställningar som begränsar åtkomsten till självvalda kontakter. När åtkomsten till profilinformation sträcker sig längre än till självvalda kontakter, t.ex. när en profil är tillgänglig för alla medlemmar av det sociala nätverket8 eller uppgifterna kan indexeras av sökmotorer, är åtkomsten inte längre begränsad till den privata eller hushållsrelaterade sfären. På samma sätt inträder ansvar som registeransvarig om en användare fattar ett medvetet beslut att utöka åtkomsten till andra än självvalda ”vänner”. I själva verket kommer då samma regelverk att gälla som när en person använder andra tekniska plattformar för att offentliggöra personuppgifter på Internet.9 I flera medlemsstater innebär avsaknaden av åtkomstrestriktioner (och därmed den offentliga karaktären) att dataskyddsdirektivet är tillämpligt och att Internetanvändaren får ansvar som registeransvarig.10 7 8 9 10 ”Internet of the future: Europe must be a key player”, tal av Viviane Reding, ledamot av Europeiska kommissionen med ansvar för informationssamhälle och medier under mötet Future of the Internet initiative of the Lisbon Council, Bryssel den 2 februari 2009. Eller när det kan hävdas att inget egentligt urval görs när kontakter accepteras, dvs. användarna accepterar ”kontakter” oavsett vilken förbindelse de har. T.ex. publiceringsplattformar som inte är sociala nätverkstjänster, eller egenvärdbaserad programvara. I EG-domstolens dom i Satamediamålet fastslås däremot följande i punkt 44: ”Härav följer att detta andra undantag ska tolkas så, att det endast avser verksamhet som utgör en del av enskildas privatliv eller familjeliv (se domen i det - 6- Även om hushållsundantaget inte gäller bör man minnas att en användare av sociala nätverkstjänster kan utnyttja andra undantag, t.ex. undantaget för journalistiska ändamål eller konstnärligt eller litterärt skapande. I dessa fall måste yttrandefriheten vägas mot rätten till personlig integritet. 3.1.3 Användares behandling av uppgifter från tredje part Tillämpningen av hushållsundantaget begränsas också av behovet av att garantera tredje parters rättigheter, särskilt när det gäller känsliga uppgifter. Dessutom bör det noteras att en användare kan hållas ansvarig enligt allmänna bestämmelser i nationell civil- eller strafflagstiftning (t.ex. ärekränkning, skadeståndsansvar för personlighetskränkning, straffrättsligt ansvar), även om hushållsundantaget gäller. 3.2 Säkerhet och standardinställningar för sekretess Säker informationshantering är grundläggande för förtroendet för sociala nätverkstjänster. Registeransvariga måste vidta lämpliga tekniska och organisatoriska åtgärder ”både när systemet för behandlingen utformas och när själva behandlingen sker” för att garantera säkerheten och hindra otillåten behandling, med hänsyn till de risker som behandlingen innebär och uppgifternas art.11 Ett viktigt inslag i integritetsinställningarna är åtkomsten till personuppgifter som publiceras i en profil. Om inga restriktioner gäller för denna åtkomst kan tredje parter koppla ihop en mängd intima detaljer om användarna, antingen som medlemmar av det sociala nätverket eller via sökmotorer. Det är dock bara en minoritet av de användare som ansluter sig till en tjänst som gör några ändringar av standardinställningarna. Sociala nätverkstjänster bör därför erbjuda integritetsfrämjande standardinställningar som ger användare möjlighet att fritt och specifikt samtycka till all åtkomst till deras profilinnehåll som sträcker sig längre än till deras självvalda kontakter, för att minska risken för olaglig behandling av tredje parter. Profiler med begränsad åtkomst bör inte kunna upptäckas av interna sökmotorer och bör inte vara sökbara med hjälp av parametrar som ålder eller plats. Beslut om utökad åtkomst får inte vara underförstådda12, t.ex. genom ett undantag som erbjuds av den registeransvarige för den sociala nätverkstjänsten. 3.3 Information som ska lämnas av sociala nätverkstjänster Leverantörer av sociala nätverkstjänster bör informera användarna om sin identitet och de olika ändamål för vilka de behandlar personuppgifter i enlighet med bestämmelserna i artikel 10 i dataskyddsdirektivet, inklusive men inte begränsat till - användning av uppgifterna för direkt marknadsföring, - eventuell delning av uppgifterna med specificerade kategorier av tredje parter, - en översikt över profiler – hur de skapas och de främsta datakällorna, - användningen av känsliga uppgifter. 11 12 ovannämnda målet Lindqvist, punkt 47). Detta är uppenbart inte fallet i fråga om den verksamhet som Markkinapörssi och Satamedia bedriver och som syftar till att ge ett obestämt antal personer kännedom om de insamlade uppgifterna.” Artikel 17 och skäl 46 i dataskyddsdirektivet. I Report and Guidance on Privacy in Social Network Services (”Rommemorandumet”) talas om risker som det missvisande begreppet ”gemenskap” (s. 2) och att man lämnar ut mer personlig information än man tror (s. 3). Ett datasäkerhetsföretag varnar en stor social nätverkstjänst för standardåtkomst för medlemmar inom samma geografiska område: http://www.sophos.com/pressoffice/news/articles/2007/10/facebook-network.html - 7- Arbetsgruppen rekommenderar att - leverantörer av sociala nätverkstjänster på lämpligt sätt varnar användarna för de integritetsrisker de utsätter sig själva och andra för när de lägger upp information på den sociala nätverkssajten, - användare av sociala nätverkstjänster även erinras om att det kan inkräkta på andra individers rätt till integritet och dataskydd att lägga upp uppgifter om dem, - leverantörer av sociala nätverkstjänster informerar användare om att de endast bör lägga upp bilder eller information om andra individer med samtycke från personen i fråga.13 3.4 Känsliga uppgifter Uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiösa eller filosofiska övertygelser eller medlemskap i fackföreningar samt uppgifter om hälsa eller sexliv betraktas som känsliga. Känsliga personuppgifter får publiceras på Internet endast med uttryckligt samtycke från den registrerade eller om det står klart att den registrerade själv har offentliggjort uppgifterna.14 I vissa EU-medlemsstater betraktas bilder av registrerade som en särskild kategori av personuppgifter, eftersom de kan användas för att skilja mellan olika raser/etniska ursprung eller för att dra slutsatser om religiösa övertygelser eller hälsouppgifter. Arbetsgruppen anser inte generellt sett att bilder på Internet utgör känsliga uppgifter15, om det inte tydligt framgår att bilderna används för att avslöja känsliga uppgifter om individer. Som registeransvariga får leverantörer av sociala nätverkstjänster inte behandla några känsliga uppgifter om medlemmar av sociala nätverk eller om andra personer utan deras uttryckliga samtycke16. Om en social nätverkstjänst har med frågor som rör känsliga uppgifter på användarens profilformulär måste det mycket tydligt framgå att det är helt frivilligt att besvara sådana frågor. 3.5 Behandling av icke-medlemmars uppgifter I många sociala nätverk kan användarna lägga in uppgifter om andra människor, t.ex. genom att skriva ett namn vid en bild, betygssätta en person eller räkna upp ”folk jag träffat/vill träffa” vid evenemang. Genom sådana taggar kan även icke-medlemmar identifieras. För att den sociala nätverkstjänsten ska få behandla sådana uppgifter om icke-medlemmar måste dock något av kriterierna i artikel 7 i dataskyddsdirektivet vara uppfyllt. Skapande av förkonstruerade profiler för icke-medlemmar genom sammanställning av uppgifter som lämnas av enskilda användare av sociala nätverkstjänster, även relationsdata som hämtats från adressböcker som lagts upp, saknar dessutom rättslig grund.17 13 14 15 16 17 Detta skulle kunna underlättas genom införande av verktyg för tagghantering på sociala nätverkssajter, t.ex. genom att ge utrymme i en personlig profil för att ange att en användares namn förekommer i taggade bilder eller videofilmer som väntar på samtycke, eller genom att ange förfallotider för taggar som inte fått samtycke av den taggade individen. Medlemsstaterna får föreskriva undantag från denna regel; se artikel 8.2 a andra meningen och artikel 8.4 i dataskyddsdirektivet. Offentliggörande av bilder på Internet innebär dock allt större integritetsproblem i takt med att tekniken för ansiktsigenkänning blir allt bättre. Samtycket ska vara frivilligt, informerat och specifikt. I skäl 38 i dataskyddsdirektivet anges följande: ”En korrekt behandling av uppgifter förutsätter att de registrerade kan få kännedom om behandlingen och att de – när uppgifter samlas in hos dem – kan få korrekt och fullständig information med hänsyn till de närmare omständigheterna vid insamlingen.” Offentliggörande av profiler för icke-medlemmar påstås ha blivit ett viktigt sätt för vissa sociala nätverkstjänster att marknadsföra sina ”tjänster”. - 8- Även om den sociala nätverkstjänsten hade möjlighet att kontakta icke-medlemmen och informera denne om förekomsten av personuppgifter om honom/henne skulle en eventuell epostinbjudan att gå med i det sociala nätverket för att få åtkomst till dessa personuppgifter strida mot förbudet i artikel 13.4 i direktivet om integritet och elektronisk kommunikation mot att skicka icke begärda e-postmeddelanden för direkt marknadsföring. 3.6 Åtkomst för tredje part 3.6.1 Åtkomst via den sociala nätverkstjänsten Vid sidan av själva grundtjänsten erbjuder många sociala nätverkstjänster användarna ytterligare program som tillhandahålls av tredjepartsutvecklare som också behandlar personuppgifter. Leverantörer av sociala nätverkstjänster bör kunna se till att tredjepartsprogram uppfyller bestämmelserna i dataskyddsdirektivet och direktivet om integritet och elektronisk kommunikation. Det innebär framför allt att de måste ge tydlig och specifik information till användarna om behandlingen av deras personuppgifter och att de bara har tillgång till nödvändiga personuppgifter. Den sociala nätverkstjänsten bör därför erbjuda tredjepartsutvecklare skiktad åtkomst så att de kan välja ett åtkomstsätt som i sig självt är mer begränsat. Sociala nätverkstjänster bör dessutom se till att användarna enkelt kan rapportera farhågor när det gäller program. 3.6.2 Åtkomst för tredje part via användare Sociala nätverkstjänster ger ibland användarna möjlighet att få tillgång till och uppdatera sina uppgifter med hjälp av andra program. Användarna kan t.ex. ha möjlighet att - läsa och skicka meddelanden till nätverket från sin mobiltelefon, - synkronisera kontaktuppgifter för sina vänner i det sociala nätverket med sin adressbok på en stationär dator, - automatiskt uppdatera sin status eller vistelseort i det sociala nätverket med hjälp av en annan webbplats. Sociala nätverkstjänster offentliggör hur detta program kan skrivas i form av ett gränssnitt för tillämpningsprogram (”API”). På så sätt ges vilken tredje part som helst möjlighet att skriva program för att utföra dessa uppgifter, och användarna kan fritt välja mellan flera olika tredjepartsleverantörer.18 En leverantör av en social nätverkstjänst som erbjuder ett API som möjliggör åtkomst till kontakters uppgifter bör - tillhandahålla en granularitet som tillåter användaren att välja en åtkomstnivå för den tredje parten som är precis tillräcklig för att en viss uppgift ska kunna utföras. När tredjepartstjänster ges åtkomst till personuppgifter via tredjeparts-API på en användares vägnar bör man - behandla och lagra uppgifter bara så länge som behövs för att utföra en viss uppgift, - inte använda importerade kontaktuppgifter från en användare för något annat ändamål än personligt bruk av den användare som lämnat uppgifterna. 18 ”API” är en bred teknisk term, men här avser begreppet åtkomst på en användares vägnar, dvs. användarna måste ge sina inloggningsuppgifter till programmet för att det ska kunna agera på deras vägnar. - 9- 3.7 Rättslig grund för direkt marknadsföring Direkt marknadsföring är ett grundläggande inslag i affärsmodellen för sociala nätverkstjänster, och olika marknadsföringsmodeller kan användas. Marknadsföring med hjälp av användares personuppgifter bör dock vara förenlig med tillämpliga bestämmelser i både dataskyddsdirektivet och direktivet om integritet och elektronisk kommunikation.19 Kontextuell marknadsföring är anpassad till det innehåll som användaren tittar på eller har tillgång till.20 Segmenterad marknadsföring består i att visa annonser för användare i en viss målgrupp21. En användare placeras i en grupp med utgångspunkt i den information han har meddelat till det sociala nätverket.22 Vid beteendebaserad marknadsföring, slutligen, väljs annonserna ut på grundval av observation och analys av användarnas aktivitet över tiden. Dessa metoder kan omfattas av olika rättsliga krav beroende på den tillämpliga rättsliga grunden och vilken teknik som används. Arbetsgruppen rekommenderar att känsliga uppgifter inte används vid beteendebaserad annonsering, om inte alla rättsliga krav är uppfyllda. Oavsett vilken modell eller vilken kombination av modeller som används kan annonser antingen läggas ut direkt av den sociala nätverkstjänsten (leverantören av den sociala nätverkstjänsten fungerar här som mellanhand) eller av en tredjepartsannonsör. I det första fallet behöver inte användarnas personuppgifter lämnas ut till tredje parter. I det andra fallet kan dock tredjepartsannonsören behandla personuppgifter om användarna exempelvis om man hanterar användarens IP-adress och en kaka som placerats på användarens dator. 3.8 Lagring av uppgifter Sociala nätverkstjänster omfattas inte av definitionen av elektroniska kommunikationstjänster i artikel 2 c i ramdirektivet (2002/21/EG). Leverantörer av sociala nätverkstjänster kan erbjuda tilläggstjänster som utgör elektroniska kommunikationstjänster, t.ex. en offentligt tillgänglig e-posttjänst. En sådan tjänst omfattas av bestämmelserna i direktivet om integritet och elektronisk kommunikation och direktivet om lagring av uppgifter. Vissa sociala nätverkstjänster tillåter sina användare att skicka inbjudningar till tredje parter. Förbudet mot användning av elektronisk post för direkt marknadsföring gäller inte personliga meddelanden. För att omfattas av undantaget för personlig kommunikation måste en social nätverkstjänst uppfylla följande kriterier: - Varken sändaren eller mottagaren ges någon uppmuntran. - Leverantören väljer inte meddelandets mottagare.23 - Den sändande användarens identitet måste tydligt framgå. - Den sändande användaren måste känna till hela innehållet i det meddelandet som skickas på hans vägnar. 19 20 21 22 23 Arbetsgruppen kommer inom kort att behandla olika aspekter av Internetannonsering i ett separat dokument. Om t.ex. ordet ”Paris” finns med på den sida som visas kan annonsen gälla en restaurang i den staden. Varje grupp definieras med hjälp av en uppsättning kriterier. T.ex. när han registrerade sig för tjänsten. Detta innebär att det inte är tillåtet att som vissa sociala nätverkstjänster gör godtyckligt skicka inbjudningar till alla kontakter i en användares adressbok. -10- Vissa sociala nätverkstjänster lagrar också identifieringsuppgifter för användare som uteslutits från tjänsten, för att se till att de inte kan registrera sig på nytt. I sådana fall måste dessa användare informeras om att denna lagring sker. Den enda information som får lagras är dessutom identitetsinformation och inte information om skälen till att personen i fråga uteslöts. Informationen bör inte lagras längre än ett år. Personuppgifter som lämnas av en användare när han registrerar sig för en social nätverkstjänst bör raderas så snart antingen användaren eller leverantören av den sociala nätverkstjänsten beslutar sig för att avsluta kontot.24 Information som raderas av en användare när han uppdaterar sitt konto bör inte heller lagras. Innan sådana åtgärder vidtas bör leverantörer av sociala nätverkstjänster underrätta användarna om lagringsperioderna med de medel som står till deras förfogande. Av säkerhetsskäl och rättsliga skäl kan det i vissa fall vara motiverat att lagra uppdaterade eller raderade uppgifter och konton under en fastställd tidsperiod för att bidra till att förhindra fientliga handlingar till följd av identitetsstöld och andra förseelser eller brott. Om en användare inte använder tjänsten under en fastställd tidsperiod bör profilen ges status som inaktiv, dvs. inte längre synlig för övriga användare eller omvärlden, och efter ytterligare en tid bör uppgifterna i det övergivna kontot raderas. Innan dessa åtgärder vidtas bör leverantörer av sociala nätverkstjänster underrätta användarna med de medel som står till deras förfogande. 3.9 Användares rättigheter Sociala nätverkstjänster bör respektera rättigheterna för de individer som berörs av behandlingen, i enlighet med bestämmelserna i artiklarna 12 och 14 i dataskyddsdirektivet. Användarnas rätt till tillgång och rättelse är inte begränsad till användarna av tjänsten utan gäller alla fysiska personer vars uppgifter behandlas.25 Medlemmar och icke-medlemmar av sociala nätverk måste ha möjlighet att utöva sin rätt till tillgång, rättelse och radering. På hemsidan för sociala nätverkssajter bör det tydligt framgå att det finns en ”enhet för klagomålshantering” som leverantören av den sociala nätverkstjänsten inrättat för att hantera frågor som gäller dataskydd och integritet och klagomål från både medlemmar och ickemedlemmar. Enligt artikel 6.1 c i dataskyddsdirektivet ska uppgifterna vara ”adekvata och relevanta och inte […] omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och för vilka de senare behandlas”. I detta sammanhang kan det konstateras att sociala nätverkstjänster kan behöva registrera en del identifieringsuppgifter om medlemmarna men inte behöver offentliggöra deras riktiga namn på Internet. Leverantörer av sociala nätverkstjänster bör därför noggrant överväga om det är motiverat att tvinga användarna att använda sin verkliga identitet i stället för en pseudonym. Det finns starka argument för att ge användarna valfrihet i detta avseende, och det är ett rättsligt krav i minst en medlemsstat. Argumenten är särskilt starka när det gäller sociala nätverk med ett stort antal medlemmar. Enligt artikel 17 i dataskyddsdirektivet ska den registeransvarige genomföra lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter. Sådana säkerhetsåtgärder innefattar bl.a. åtkomstkontroll och autentiseringsmekanismer som kan genomföras även om pseudonymer används. 24 25 Enligt artikel 6.1 e i dataskyddsdirektivet ska uppgifterna ”förvaras på ett sätt som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in eller för vilka de senare behandlades”. Det gäller exempelvis om en persons e-postadress använts av den sociala nätverkstjänsten för att skicka honom en inbjudan. -11- 4. Barn och underåriga En stor del av de sociala nätverkstjänsterna används av barn/underåriga. I arbetsgruppens yttrande WP14726 behandlades tillämpningen av dataskyddsprinciper i skolan och skolmiljön. I yttrandet framhölls behovet av att ta hänsyn till barnets bästa, såsom också anges i FNkonventionen om barnets rättigheter. Arbetsgruppen vill betona vikten av denna princip även i samband med sociala nätverkstjänster. En del intressanta initiativ27 har inletts av dataskyddsmyndigheter världen över, med fokus framför allt på att öka medvetenheten om sociala nätverkstjänster och eventuella risker. Arbetsgruppen uppmuntrar mer forskning om hur man ska hantera svårigheterna i samband med tillförlitlig ålderskontroll och bevis på informerat samtycke, för att bättre kunna lösa dessa frågor. Med utgångspunkt i de överväganden som gjorts hittills anser arbetsgruppen att en flerdimensionell strategi är lämplig för att hantera skyddet av barns uppgifter i samband med sociala nätverkstjänster. En sådan strategi kan grundas på - initiativ för ökad medvetenhet som är grundläggande för att säkra barns aktiva engagemang (via skolor, införande av DP-basics i läroplanerna, utformning av särskilt anpassade läromedel, samarbete med nationella behöriga organ), - korrekt och laglig behandling när det gäller underåriga, t.ex. att inte fråga efter känsliga uppgifter i registreringsformulär, inte rikta direkt marknadsföring specifikt mot underåriga, kräva föräldrars medgivande före registrering och införa en lämplig grad av logisk åtskillnad mellan gemenskaper för barn och vuxna, - införande av integritetsfrämjande teknik (t.ex. integritetsfrämjande standardinställningar, poppupprutor med varningar i lämpliga skeden, program för ålderskontroll), - självreglering av leverantörerna för att främja antagande av uppförandekoder som innefattar effektiva åtgärder för efterlevnad, även av disciplinär art, - vid behov, ad hoc-lagstiftning för att motverka ohederliga och/eller vilseledande metoder i samband med sociala nätverkstjänster. 26 27 http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2008/wp147_en.pdf Exempelvis det portugisiska initiativet ”Dadus” http://dadus.cnpd.pt/ och det danska initiativet ”Chat Check Badge”, http://www.fdim.dk/ -12- 5. Sammanfattning av skyldigheter/rättigheter EG-direktivens tillämplighet 1. Dataskyddsdirektivet är generellt tillämpligt på sociala nätverkstjänsters behandling av personuppgifter, även om de har sitt säte utanför EES-området. 2. Leverantörer av sociala nätverkstjänster betraktas som registeransvariga enligt dataskyddsdirektivet. 3. Programleverantörer dataskyddsdirektivet. 4. Användare betraktas som registrerade i samband med behandling av deras uppgifter inom ramen för sociala nätverkstjänster. 5. Användares behandling av personuppgifter omfattas i de flesta fall av hushållsundantaget. Det finns fall när en användares verksamhet inte omfattas av detta undantag. 6. Sociala nätverkstjänster omfattas inte av definitionen av elektronisk kommunikationstjänst, och direktivet om lagring av uppgifter gäller därför inte sociala nätverkstjänster. kan betraktas som registeransvariga enligt Skyldigheter för sociala nätverkstjänster 7. Leverantörer av sociala nätverkstjänster bör informera användarna om sin identitet och tillhandahålla uttömmande och tydlig information om de olika sätt på vilka de kan komma att behandla personuppgifter samt för vilka ändamål. 8. Sociala nätverkstjänster bör erbjuda integritetsfrämjande standardinställningar. 9. Leverantörer av sociala nätverkstjänster bör ge användarna information och lämpliga varningar om integritetsrisker när de lägger upp uppgifter på den sociala nätverkssajten. 11. Leverantörer av sociala nätverkstjänster bör informera användarna om att bilder och information om andra individer endast bör läggas upp med den berörda personens samtycke. 12. Hemsidan för sociala nätverkstjänster bör som ett minimum innehålla en länk till en klagomålsinstans som hanterar dataskyddsfrågor för både medlemmar och icke-medlemmar. 13. Marknadsföringsverksamhet ska vara förenlig med reglerna i dataskyddsdirektivet och direktivet om integritet och elektronisk kommunikation. 14. Leverantörer av sociala nätverkstjänster ska fastställa maximiperioder för lagring av uppgifter om inaktiva användare. Övergivna konton ska raderas. 15. Leverantörer av sociala nätverkstjänster bör vidta lämpliga åtgärder för att minska riskerna för underåriga. -13- Användares rättigheter 16. Både medlemmar och icke-medlemmar av sociala nätverk har i tillämpliga fall rättigheter som registrerade enligt bestämmelserna i artiklarna 10–14 i dataskyddsdirektivet. 17. Både medlemmar och icke-medlemmar bör ha tillgång till ett användarvänligt klagomålsförfarande som inrättas av leverantören av den sociala nätverkstjänsten. 18. Användare bör generellt sett tillåtas att använda en pseudonym. Bryssel den 12 juni 2009 På arbetsgruppens vägnar Ordförande Alex Türk -14-