ARTIKEL
29-ARBETSGRUPPEN
PERSONUPPGIFTER
FÖR
SKYDD
AV
00909/10/SV
WP 171
Yttrande 2/2010 om beteendebaserad reklam på Internet
Antaget den 22 juni 2010
Arbetsgruppen inrättades enligt artikel 29 i direktiv 95/46/EG. Den är ett oberoende rådgivande EU-organ i frågor rörande
dataskydd och integritet. Dess uppgifter beskrivs i artikel 30 i direktiv 95/46/EG och artikel 15 i direktiv 2002/58/EG.
Gruppens sekretariat finns hos direktorat D (Grundläggande rättigheter och medborgarskap) på Europeiska kommissionen,
Generaldirektoratet för rättvisa, frihet och säkerhet, B-1049 Bryssel, Belgien, Kontor LX-46 01/190.
Webbplats: http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm
Innehållsförteckning
Sammanfattning ......................................................................................................................... 3
1.
Inledning ........................................................................................................................ 4
2.
Beteendebaserad reklam på Internet .............................................................................. 4
2.1.
Distribueringssystem för leverans av beteendebaserad reklam ............................... 5
2.2.
Spårningstekniker .................................................................................................... 6
2.3.
Framtagning av profiler och typer av identifierare .................................................. 7
3.
Rättslig ram.................................................................................................................... 8
3.1.
Inledning .................................................................................................................. 8
3.2.
Tillämpningsområden för artikel 5.3 och direktiv 95/46/EG................................... 9
3.2.1. Faktiskt tillämpningsområde för artikel 5.3 .............................................................................9
3.2.2. Faktiskt tillämpningsområde för direktiv 95/46/EG: Behandling av personuppgifter...............9
3.2.3. Samspelet mellan de båda direktiven .......................................................................................10
3.2.4. Territoriellt tillämpningsområde för artikel 5.3 och direktiv 95/46/EG.................................10
3.3.
De olika aktörernas roller och ansvarsområden..................................................... 11
4.
Skyldighet att begära informerat samtycke på förhand ............................................... 13
4.1.
Skyldigheten att erhålla den registrerades samtycke på förhand för
beteendebaserad reklam ......................................................................................... 13
4.1.1. Samtycke genom webbläsarinställningar...................................................................................14
4.1.2. Samtycke och möjligheten att välja bort funktioner (”opt-out”).................................................16
4.1.3. Mekanismer för aktivt förhandsval (”opt-in”) mer lämpade för informerat samtycke.................17
4.1.4. Informerat samtycke: barn.......................................................................................................18
4.2.
Skyldigheten att tillhandahålla information i samband med beteendebaserad
reklam .................................................................................................................... 18
4.2.1. Vilken information måste tillhandahållas och av vem? ............................................................18
5.
5.1.
5.2.
5.3.
5.4.
6.
6.1.
6.2.
6.3.
6.4.
Andra skyldigheter och principer enligt direktiv 95/46/EG ........................................ 20
Skyldigheter i fråga om speciella uppgiftskategorier ............................................ 20
Uppfyllande av principerna för datakvalitet .......................................................... 21
De registrerades rättigheter .................................................................................... 22
Andra skyldigheter................................................................................................. 22
Slutsatser och rekommendationer ................................................................................ 23
Tillämpliga lagar.................................................................................................... 23
Tillämplig rätt beroende på det territorium där den registeransvarige är etablerad
................................................................................................................................ 24
Roller och ansvarsområden.................................................................................... 24
Skyldigheter och rättigheter................................................................................... 24
Sammanfattning
Med beteendebaserad reklam menas att användare spåras när de surfar på Internet och att man
med tiden bygger upp profiler, som sedan används för att förse användarna med reklam som
passar deras intressen. Artikel 29-arbetsgruppen ifrågasätter inte de ekonomiska fördelar som
beteendebaserad reklam kan föra med sig för intressenterna, men det är gruppens bestämda
åsikt att sådan verksamhet inte får utföras på bekostnad av enskilda personers rätt till
integritet och dataskydd. EU:s regelverk för dataskydd, som fastställer specifika
skyddsåtgärder, måste följas. För att underlätta och främja efterlevnaden av regelverket
klarläggs i detta yttrande de rättsliga ramar som gäller för alla som arbetar med
beteendebaserad reklam.
I yttrandet understryks att leverantörer av annonsnätverk måste följa artikel 5.3 i direktivet
om integritet och elektronisk kommunikation, där det anges att lagring av cookies eller
liknande funktioner på användarnas terminalutrustning eller insamling av information genom
sådana funktioner endast är tillåtet med användarnas informerade samtycke. I yttrandet
konstateras att webbläsarinställningarna på de webbläsare som används idag och mekanismer
för bortval av funktioner (”opt-out”) endast under mycket begränsade omständigheter ger ett
godtagbart samtycke. Leverantörerna av annonsnätverk uppmanas att skapa mekanismer som
kräver att de registrerade aktivt och på förhand väljer (”opt-in”) att de vill ta emot cookies
eller liknande funktioner och godkänner den efterföljande registreringen av deras surfvanor
för leverans av skräddarsydd reklam. Enligt yttrandet bör en användares samtycke till att ta
emot en cookie vid ett tillfälle även kunna tolkas som att användaren godkänner insamling av
information från denna cookie och därigenom registrering av surfandet. För att uppfylla
kraven i artikel 5.3 krävs därför inte att samtycke begärs för varje enskild avläsning av
cookien. För att de registrerade ska vara medvetna om registreringen bör dock leverantörerna
av annonsnätverk i) tidsbegränsa samtycket, ii) ge möjlighet att enkelt ta tillbaka samtycket
och iii) skapa synliga verktyg som visas när registreringen äger rum. Detta tillvägagångssätt
skulle förhindra att användarna belastas med en mängd meddelanden, samtidigt som
användarna måste lämna sitt informerade samtycke innan cookies lagras och användarnas
surfbeteende registreras för skräddarsydd marknadsföring.
Beteendebaserad reklam bygger på användningen av identifierare som gör det möjligt att
skapa mycket detaljerade användarprofiler vilka, i de flesta fall, kan anses utgöra
personuppgifter. Därför är även direktiv 95/46/EG tillämpligt. I yttrandet kommenteras hur
leverantörer av annonsnätverk bör uppfylla de förpliktelser som följer av detta direktiv, i
synnerhet i fråga om rättigheterna till tillgång, korrigering, radering, lagring osv. Med hänsyn
till att utgivarna kan anses bära en del av ansvaret för den informationsbehandling som äger
rum i samband med distribution av beteendebaserad reklam, uppmanas utgivarna att dela
ansvaret för att informera användarna med leverantörerna av annonsnätverk och uppmanar till
kreativitet och nya arbetssätt inom detta område. Med tanke på hur beteendebaserad reklam
fungerar är transparens och öppenhet grundförutsättningar för att enskilda personer ska kunna
lämna sitt samtycke till insamling och behandling av personuppgifter och göra ett
verkningsfullt val. I yttrandet fastställs informationsskyldigheterna för leverantörer av
annonsnätverk/utgivare gentemot de registrerade, med hänvisning i synnerhet till direktivet
om integritet och elektronisk kommunikation som kräver att användare förses med ”tydlig
och fullständig information”.
I yttrandet analyseras och klargörs vilka skyldigheter som följer av det tillämpliga
regelverket. Det föreskrivs dock inte hur dessa skyldigheter ska uppfyllas ur teknisk
synvinkel. Istället inbjuds branschen att så snart som möjligt börja föra en dialog inom olika
områden med artikel 29-arbetsgruppen, för att ta fram tekniska metoder och andra medel för
att uppfylla regelverket enligt beskrivningen i yttrandet. I detta syfte kommer artikel 293
arbetsgruppen att kontakta intressenter för att höra deras åsikter. Fysiska och juridiska
personer som inte uttryckligen tillfrågats är också välkomna att skicka in sina bidrag till
sekretariatet för artikel 29-arbetsgruppen.
ARBETSGRUPPEN FÖR SKYDD AV ENSKILDA MED AVSEENDE PÅ
BEHANDLING
AV
PERSONUPPGIFTER
HAR
ANTAGIT
DETTA
ARBETSDOKUMENT
med beaktande av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995,
genom vilket arbetsgruppen inrättades1,
med beaktande av artiklarna 29, 30.1 a och 30.3 i Europaparlamentets och rådets direktiv
95/46/EG samt artikel 15.3 i Europaparlamentets och rådets direktiv 2002/58/EG av den 12
juli 2002,
med beaktande av artikel 255 i EG-fördraget och av Europaparlamentets och rådets
förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till
Europaparlamentets, rådets och kommissionens handlingar, och
med beaktande av arbetsgruppens arbetsordning.
1.
Inledning
Internetreklam är en viktig inkomstkälla för många webbaserade tjänster och en viktig faktor
för Internetekonomins tillväxt och expansion. De speciella omständigheterna kring
tillhandahållandet av beteendebaserad reklam innebär dock att vissa viktiga frågor som rör
dataskydd och integritet måste tas upp. Grundläggande Internetteknik gör det möjligt för
leverantörer av annonsnätverk att spåra de registrerade på olika webbplatser och att följa dem
under en tid. Information som samlas in om de registrerades surfbeteende analyseras för att
skapa utförliga profiler över de registrerades intressen. Sådana profiler kan användas för att
förse de registrerade med skräddarsydd reklam.
Med tanke på den ökade användningen av beteendebaserad reklam, baserad på användning av
spårningscookies och liknande funktioner, och den höga graden av intrång i människors
privatliv som detta innebär, har artikel 29-arbetsgruppen beslutat att inrikta detta yttrande på
beteendebaserad reklam som spänner över flera olika webbplatser, utan att detta påverkar
utformningen av framtida yttranden som kan analysera andra marknadsföringstekniker.
Med detta yttrande vill artikel 29-arbetsgruppen klargöra den rättsliga ram som gäller för dem
som arbetar med beteendebaserad reklam. Gruppen önskar även att branschen så snart som
möjligt ska föreslå tekniska metoder och andra medel för att uppfylla regelverket som
beskrivs häri och föra en dialog med artikel 29-arbetsgruppen kring sådana metoder och
medel. Slutligen kommer artikel 29-arbetsgruppen att utvärdera situationen och vidta de
åtgärder som är nödvändiga och lämpliga för att säkerställa att det fastställda regelverket
uppfylls.
2.
Beteendebaserad reklam på Internet
Med interaktiv mediemarknadsföring menas en mängd olika metoder som syftar till att skapa
mer relevant reklam. Metoderna kan klassificeras i flera olika kategorier, däribland
kontextuell reklam, segmenterad reklam och beteendebaserad reklam.
1
EGT L 281, 23.11.1995, s. 31.
4
Beteendebaserad reklam är reklam som bygger på observation av enskilda personers
beteende över tid. Beteendebaserad reklam försöker studera de registrerades egenskaper
genom att analysera deras agerande (upprepade besök på en webbplats, interaktioner,
nyckelord, produktion av innehåll på webbplatser osv.) för att utveckla en specifik profil och
på så sätt förse de registrerade med reklam som är anpassad för att passa deras intressen.
Medan kontextuell reklam2 och segmenterad reklam3 använder ”ögonblicksbilder” av vad de
registrerade tittar på eller gör på en viss webbplats eller kända egenskaper hos användarna, är
beteendebaserad reklam tänkt att ge annonsörerna en mycket detaljerad bild av de
registrerades liv på Internet, med information om många av de webbplatser och specifika
sidor de har tittat på, under hur lång tid de har tittat på olika artiklar eller liknande, i vilken
ordning osv.
2.1.
Distribueringssystem för leverans av beteendebaserad reklam
Beteendebaserad reklam innefattar följande roller: a) leverantörer av annonsnätverk (kallas
även ”annonsnätverksföretag”), som är de viktigaste distributörerna av beteendebaserad
reklam eftersom de kopplar samman utgivarna med annonsörerna; b) annonsörer som vill
göra reklam för en produkt eller tjänst för en specifik målgrupp; c) utgivare som äger
webbplatser och vill göra en ekonomisk förtjänst genom att sälja annonsutrymme på sina
webbplatser4.
Leveransen av reklam genom annonsnätverk fungerar i stort på följande sätt: utgivaren
reserverar visuellt utrymme på webbplatsen för att visa en annons och överlåter resten av
reklamprocessen till en eller flera leverantörer av annonsnätverk. Leverantörerna av
annonsnätverk ansvarar för att distribuera reklam till utgivarna med största möjliga effekt.
Leverantörerna av annonsnätverk har kontroll över målinriktningstekniken och tillhörande
databaser. Ju större annonsnätverket är, desto mer resurser har det att kartlägga användarna
och ”spåra” deras beteende5. Annonsören förhandlar vanligtvis med ett eller flera
annonsnätverk och känner inte nödvändigtvis till vilka alla utgivare är (om ens någon alls)
som kommer att distribuera reklamen. Samtidigt kan en utgivare ha flera kontrakt med olika
annonsnätverk, exempelvis genom att reservera olika utrymmen på webbplatsen för olika
annonsnätverk.
Det blir allt vanligare att annonsnätverk samarbetar genom ett anbudssystem6.
2
3
4
5
6
.
Kontextuell reklam är reklam som väljs utifrån det innehåll som den registrerade för tillfället tittar på. Om
det rör sig om en sökmotor kan innehåll hämtas från sökorden, tidigare sökningar eller användarens IPadress om den anger var användaren troligen befinner sig.
Reklam som väljs utifrån kända egenskaper hos den registrerade (ålder, kön, plats osv.) som användaren har
angivit vid registrering.
Förutom annonsnätverk kan beteendebaserad reklam även levereras genom reklam direkt på webbplatsen.
Med denna metod anger annonsören den tänkta målgruppen för utgivaren utifrån kriterier som kan gå längre
än demografisk information – som den traditionella trion ålder, kön och land – till mycket mer exakta
kriterier (som nyckelord eller intressen). Utgivaren ansvarar sedan för att visa reklamen för rätt målgrupp
med hjälp av målinriktningsteknik och kontroll av annonsernas placering och distribution. Denna metod
används i vissa sociala nätverk där användarna kan delas upp utifrån deras intressen.
New York Times, ”To Aim Ads, Web is Keeping Closer Eye on You”, 10 mars 2008. Artikeln visar statistik
över den frekvens med vilken större annonsnätverk registrerar enskilda besök på webbplatser. För
annonsnätverket Yahoo! registrerades en genomsnittlig användare (i USA) 2 520 gånger per månad i slutet
av 2007.
http://www.nytimes.com/2008/03/10/technology/10privacy.html?_r=1&scp=3&sq=%22They%20know%20
more%20than%20you%20think%22&st=cse
De flesta större annonsnätverk har ett strukturellt samarbete med många andra, sekundära nätverk. Exempel:
Lista över partner till Google Adsense:
http://www.google.com/support/adsense/bin/answer.py?answer=94149. Lista över partner till Yahoo!:
http://info.yahoo.com/privacy/us/yahoo/thirdparties/. Det fungerar på följande sätt: det primära
5
2.2.
Spårningstekniker
De flesta spårnings- och annonseringstekniker som används för att leverera beteendebaserad
reklam använder någon form av informationsbehandling på klientdatorn. I
informationsbehandlingen används information från användarens webbläsare och
terminalutrustning. Den vanligaste spårningstekniken som används för att följa användare på
Internet är baserad på ”spårningscookies”. Cookies ger möjlighet att registrera användarens
webbvanor över en längre tid och teoretiskt sett över olika domäner7.
Vanligtvis fungerar det på följande sätt: Leverantören av annonsnätverket lagrar en
spårningscookie i den registrerades terminalutrustning8 när han eller hon först besöker en
webbplats med en annons som ingår i dess nätverk. Cookien är en kort alfanumerisk
textsträng som lagras i (och senare hämtas från) den registrerades terminalutrustning av en
leverantör av ett annonsnätverk9. I fråga om beteendebaserad reklam gör cookien det möjligt
för leverantören av annonsnätverket att känna igen en tidigare besökare som återkommer till
webbplatsen eller besöker någon annan webbplats som är partner med annonsnätverket.
Sådana upprepade besök gör det möjligt för leverantören av annonsnätverket att skapa en
profil för besökaren som sedan används för att leverera personanpassad reklam. Eftersom
dessa spårningscookies lagras av en tredje part som är skild från webbservern som visar
webbsidans huvudinnehåll (dvs. utgivaren) kallas de ofta för ”tredjepartscookies”.
Cookies är kopplade till en domän. En cookie kan bara läsas eller modifieras av en webbplats
som kommer från en liknande domän10 (med andra ord kan en cookie som lagrats av
annonsnätverket a.minplats.com läsas av b.minplats.com men inte av annonsnätverket
c.annanplats.com). Cookies kan ha olika lång livslängd. Livslängden kan förlängas eller
bibehållas vid nya besök på samma webbplats (detta bestäms av programmeraren).
”Beständiga cookies” har antingen ett fastställt utgångsdatum i framtiden eller ligger kvar tills
de raderas manuellt.
De flesta webbläsare ger användaren möjlighet att blockera tredjepartscookies. Vissa
webbläsare har en funktion för ”privat surfning” som medför att alla cookies som skapas
raderas automatiskt när webbläsaren stängs11.
7
8
9
10
11
annonsnätverket lägger ut webbserverns annonsutrymme för budgivning mellan flera olika annonsnätverk
och väljer det bästa budet.
Andra spårningstekniker är exempelvis baserade på användningen av IP-adresser och webbläsarnas
användaragenter. Electronic Frontier Foundation har undersökt identifierbarheten hos enskilda
användaragenter, inklusive programvaran som används, version, språk och installerade plugin-program, se:
http://panopticlick.eff.org/. I fråga om IP-adresser meddelade nyligen ett företag i USA att det har en
databas med 65 miljoner IP-adresser kopplade till namn- och adressuppgifter, se:
http://www.mediapost.com/publications/?fa=Articles.showArticle&art_aid=123280.
Om den registrerade använder olika webbläsare blir det olika cookies för olika webbläsare.
Denna alfanumeriska textsträng kan användas för många olika syften, exempelvis för att memorera gjorda
val, lagra information om besöket eller identifiera användaren genom en unik identifierare.
Det finns dock enkla lösningar för samarbetande parter som vill komma runt denna restriktion och dela
cookies med varandra. En domänägare kan konfigurera sin DNS för att låta en tredje part använda en av
underdomänerna. Denna tredje part kan då dela vissa cookies med domänägaren. Andra tekniker innefattar
javascript som utför ytterligare webbförfrågningar till andra servar, vilket gör det möjligt för ännu fler parter
att länka eller synka sina spårningsdata (http://blog.kruxdigital.com/2010/02/24/cookie-synching/).
De senaste versionerna av många populära webbläsare (exempelvis Internet Explorer 8, Google Chrome,
Firefox, Safari osv.) ger användaren möjlighet att surfa i ett läge där alla cookies automatiskt raderas när
webbläsaren stängs.
6
Vissa annonsnätverk ersätter eller kompletterar traditionella spårningscookies med nya
förbättrade spårningstekniker som ”flashcookies” (lokala delade objekt)12. Flashcookies kan
inte raderas genom de vanliga sekretessinställningarna på webbläsaren. Det har rapporterats
att flashcookies har använts specifikt som ett verktyg för att återställa ”traditionella” cookies
som användaren inte har godkänt eller har raderat13.
Detta kallas för respawning. I detta yttrande används termen ”cookie” för alla tekniker som
baseras på principen att lagra och läsa information på användarens terminalutrustning, såvida
inte annat anges.
Som påpekas ovan kan ett enstaka annonsnätverk vanligtvis bara registrera en del av den
registrerades surfbeteende eftersom spårningsförmågan är begränsad till de utgivare som
länkar till nätverket. Ett annat tillvägagångssätt har dock nyligen testats där annonsnätverket
ingått ett samarbete med en Internetleverantör för att registrera användarnas surfning och
lägga in spårningscookies i all okrypterad webbtrafik14. Artikel 29-arbetsgruppen känner inte
till några nuvarande användningar av denna teknik inom EU, men anser att användningen av
denna teknik medför allvarliga juridiska problem som ligger bortom behandlingen av
personuppgifter, oavsett för vilket syfte informationen används. Att analysera denna
marknadsföringsteknik faller utanför detta yttrandes ramar.
2.3.
Framtagning av profiler och typer av identifierare
Det finns två huvudsakliga sätt att ta fram användarprofiler: i) Prediktiva profiler tas fram
genom att observera och dra slutsatser från individuellt och kollektivt användarbeteende över
tid, speciellt genom att se vilka sidor som besöks och vilka annonser användaren läser eller
klickar på. ii) Explicita profiler tas fram från personuppgifter som de registrerade själva har
tillhandahållit till en webbtjänst, exempelvis vid registrering. De båda tillvägagångssätten kan
kombineras. Dessutom kan prediktiva profiler vid ett senare tillfälle göras explicita, när den
registrerade registrerar sig på en webbplats15.
Annonsnätverk tar fram prediktiva profiler genom att använda en kombination av
spårningsteknik, cookiebaserad teknik och programvara för informationsutvinning. Det går att
dra slutsatser om kön och åldersgrupp genom att analysera vilka webbsidor den registrerade
besöker och vilka annonser han eller hon intresserar sig för. Profilen som baseras på analys av
de cookies som lagras på den registrerades terminalutrustning kan kompletteras med samlade
data från surfvanorna hos registrerade användare som visar ett liknande beteendemönster i
andra sammanhang. Reklamsystem på Internet klassificerar ofta de registrerade i segment,
antingen utifrån intresseområden eller utifrån marknadsföringskategorier (exempelvis
”trädgård”, ”kroppsvård”, ”elektronik” osv.).
12
13
14
15
W3C utvecklar även en ”DOM Storage”-standard som kommer att göra det möjligt att skapa stor lokal
lagring av data med hjälp av skript på användarens dator.
Flashcookies kan lagra information om inställningarna och kringgå användarens önskemål. Se Soltani,
Ashkan, Canty, Shannon, Mayo, Quentin, Thomas, Lauren och Hoofnagle, Chris Jay, ”Flash Cookies and
Privacy” (10 augusti 2009). Återfinns på SSRN: http://ssrn.com/abstract=1446862.
Till exempel har företaget Phorm genom sin teknik som kallas Webwise erbjudit en tjänst för
beteendebaserad målgruppsinriktning som använder DPI-inspektion (”Deep Packet Inspection”) för att
undersöka de sidor som Internetanvändare besöker. För att kunna tillhandahålla tjänsten har Phorm ingått
partnerskapsavtal med Internetleverantörer.
Vissa annonsnätverk låter registrerade användare titta på och redigera sina prediktiva profiler, åtminstone i
viss utsträckning.
7
Var den registrerade befinner sig är också en viktig faktor för målgruppsprofileringen. Det
går att dra slutsatser om var användaren befinner sig exempelvis från datorns IP-adress och
WiFi-anslutningspunkter16.
3.
Rättslig ram
3.1.
Inledning
Artikel 5.1 i direktiv 2002/58/EG17 skyddar sekretessen vid kommunikationer i allmänhet.
Sekretesskyddet vid kommunikationer i det konkreta fallet med användning av cookies och
liknande funktioner fastställs huvudsakligen i artikel 5.3. I detta yttrande avses vid
hänvisningar till direktiv 2002/58/EG det ändrade direktivet (nedan kallat direktivet om
integritet och elektronisk kommunikation eller det ändrade direktivet om integritet och
elektronisk kommunikation). Det ändrade direktivet om integritet och elektronisk
kommunikation behöver inte införas i medlemsstaternas nationella lagstiftning förrän i maj
2011. Artikel 29-arbetsgruppen hänvisar dock redan nu till det ändrade direktivet eftersom
gruppen vill att yttrandet ska fortsätta att vara giltigt efter direktivets genomförande och i
synnerhet eftersom gruppen vill uppmärksamma intressenterna om behovet av att helt och
fullt följa den ändrade artikeln 5.3. I detta sammanhang är även skäl 66, som antogs när
direktivet ändrades 2009, och skälen 24 och 25 relevanta.
Med tanke på vikten av artikel 5.3 är det lämpligt att återge den ändrade texten här, med
ändringarna i förhållande till den tidigare texten markerade:
”Medlemsstaterna skall säkerställa att användningen av elektroniska kommunikationsnät för
att lagra information eller för att få tillgång till information ska se till att lagring av
information eller tillgång till information som redan är lagrad i en abonnents eller användares
terminalutrustning endast är tillåten på villkor att abonnenten eller användaren i fråga har gett
sitt samtycke efter att ha fått tillgång till tydlig klar och fullständig information, i enlighet
med direktiv 95/46/EG, bland annat om ändamålen med behandlingen av uppgifterna, i
enlighet med direktiv 95/46/EG, och erbjuds rätten att vägra sådan behandling av den
dataregisteransvarige. Detta får inte förhindra någon teknisk lagring eller åtkomst som endast
sker för att utföra eller underlätta överföringen av en kommunikation via ett elektroniskt
kommunikationsnät eller det som är absolut nödvändigt för att leverera leverantören ska
kunna tillhandahålla en av informationssamhällets tjänster som användaren eller
abonnenten uttryckligen har begärt.”
I tillägg till direktivet om integritet och elektronisk kommunikation gäller direktiv 95/46/EG
om skydd för enskilda personer med avseende på behandling av personuppgifter och om det
fria flödet av sådana uppgifter (nedan kallat ”direktiv 95/46/EG”) för frågor som inte specifikt
täcks av direktivet om integritet och elektronisk kommunikation när personuppgifter
behandlas18.
16
17
18
Ytterligare information om platsen kan samlas in från andra källor och användas för profileringen.
Europaparlamentets och rådets direktiv 2009/136/EG (av den 25 november 2009) om ändring av direktiv
2002/22/EG om samhällsomfattande tjänster och användares rättigheter avseende elektroniska
kommunikationsnät och kommunikationstjänster, direktiv 2002/58/EG om behandling av personuppgifter
och integritetsskydd inom sektorn för elektronisk kommunikation och förordning (EG) nr 2006/2004 om
samarbete mellan de nationella tillsynsmyndigheter som ansvarar för konsumentskyddslagstiftningen.
Se artikel 1.2 i direktivet om integritet och elektronisk kommunikation där följande anges: ”Bestämmelserna
i detta direktiv skall precisera och komplettera direktiv 95/46/EG för de ändamål som avses i punkt 1”.
8
3.2.
Tillämpningsområden för artikel 5.3 och direktiv 95/46/EG
För dem som arbetar med beteendebaserad reklam är det bra att veta vad som utlöser
skyldigheten att uppfylla artikel 5.3 i direktivet om integritet och elektronisk kommunikation
respektive direktiv 95/46/EG. Detta innebär att tillämpningsområdena för de båda direktiven
måste tas upp. Först och främst tar vi upp de faktiska tillämpningsområdena för de båda
direktiven (3.2.1 och 3.2.2) och deras samverkan (3.2.3). Därefter tar vi upp de territoriella
tillämpningsområdena för direktiven (3.2.4).
3.2.1. Faktiskt tillämpningsområde för artikel 5.3
Enligt artikel 5.3 måste informerat samtycke erhållas för att man på ett lagligt sätt ska kunna
lagra information eller skaffa sig tillgång till information som är lagrad i en användares eller
abonnents terminalutrustning19. Med tanke på att i) spårningscookies är ”information” som
lagras i den registrerades terminalutrustning och ii) de avläses av leverantörer av
annonsnätverk när den registrerade besöker en webbplats som tillhör en partner gäller artikel
5.3 fullt ut. Därför måste all lagring av cookies eller liknande funktioner (oavsett typ)20 och
all eventuell senare användning av tidigare lagrade cookies för att få tillgång till information
om den registrerade följa artikel 5.3.
Artikel 5.3 gäller för ”information” (som lagras och/eller hämtas). Det står ingenting om
vilken typ av information som avses. Informationen behöver inte bestå av personuppgifter
enligt betydelsen i direktiv 95/46/EG för att bestämmelsen ska gälla. I skäl 24 anges den
logiska grunden för detta synsätt, då det fastställs att ”terminalutrustning för användare […]
och all information som finns lagrad i sådan utrustning är en del av privatlivet för användarna
och kräver skydd enligt Europeiska konventionen om skydd för de mänskliga rättigheterna
och de grundläggande friheterna”. Skyddet av ett område som bedöms tillhöra den
registrerades privatliv är utgångspunkten för skyldigheterna i artikel 5.3, inte huruvida
informationen består av personuppgifter eller inte.
Arbetsgruppen har redan påpekat i gruppens yttrande 1/200821 att artikel 5.3 är en generell
bestämmelse som inte bara gäller elektroniska kommunikationstjänster utan även alla andra
tjänster där de olika teknikerna används. Dessutom gäller artikel 5.3 oavsett om den som
lagrar cookien är registeransvarig eller databehandlare.
3.2.2. Faktiskt tillämpningsområde för direktiv 95/46/EG: Behandling av personuppgifter
Om, som ett resultat av lagring och hämtning av information genom en cookie eller liknande
funktion, information som samlats in kan räknas som personuppgifter gäller, förutom artikel
5.3, även direktiv 95/46/EG.
Artikel 29-arbetsgruppen konstaterar att arbetsmetoderna för beteendebaserad reklam som
beskrivs i detta yttrande ofta leder till behandling av personuppgifter enligt definitionen i
artikel 2 i direktiv 95/46/EG och artikel 29-arbetsgruppens tolkning22. Det finns flera skäl till
19
20
21
22
I direktivet om integritet och elektronisk kommunikation används termerna abonnenter och användare. Med
abonnenter menas såväl enskilda personer eller registrerade (som de kallas i direktiv 95/46/EG) som
juridiska personer. Begreppet ”användare” används för registrerade som använder en elektronisk
kommunikationstjänst utan att nödvändigtvis ha abonnerat på den. För konsekvensens skull används i det
här yttrandet, när så är möjligt, termen ”den registrerade”.
Artikel 5.3 är neutral ur teknisk synpunkt och gäller därför inte bara för cookies utan även för annan teknik
som används för att lagra eller få tillgång till information som lagras i enskilda personers tekniska utrustning
(spyware, malware osv.).
Yttrande 1/2008 om dataskyddsfrågor med anknytning till sökmotorer, antaget den 4 april 2008.
Se tolkningen av begreppet personuppgifter i artikel 29-arbetsgruppens yttrande 4/2007 om begreppet
personuppgifter, som antogs den 20 juni 2007.
9
detta: i) Beteendebaserad reklam innefattar normalt insamling av IP-adresser och behandling
av unika identifierare (genom cookien). Användningen av sådana funktioner med en unik
identifierare gör det möjligt att spåra användare av en viss dator även om dynamiska IPadresser används. Med andra ord gör sådana funktioner det möjligt att ”peka ut” enskilda
registrerade, även om deras namn inte är kända. ii) Dessutom relaterar informationen som
samlas in vid beteendebaserad reklam till (dvs. handlar om) en persons egenskaper eller
beteende och används för att påverka denna specifika person23. Detta synsätt förstärks
ytterligare om man räknar med möjligheten att profiler när som helst kan länkas till direkt
identifierbar information som tillhandahålls av den registrerade, exempelvis information som
anges vid registrering på en webbplats. Andra scenarier som kan leda till identifierbarhet är
sammanslagningar, dataförluster och den växande tillgängligheten på Internet till
personuppgifter kopplade till IP-adresser.
3.2.3. Samspelet mellan de båda direktiven
Om båda direktiven gäller är det relevant att fastställa vilka bestämmelser som är tillämpliga
från vartdera direktivet. I denna fråga fastställs i skäl 10 i direktivet om integritet och
elektronisk kommunikation att direktiv 95/46/EG är tillämpligt vad gäller ”alla de frågor
avseende skydd av grundläggande fri- och rättigheter som inte särskilt omfattas av
bestämmelserna i det här direktivet, inbegripet den registeransvariges skyldigheter och
enskilda personers rättigheter”.
Detta är en tillämpning av doktrinen som anger att en lag som styr en specifik fråga (lex
specialis) har företräde framför en lag som bara styr en generell fråga (lex generalis).
I linje med ovanstående är artikel 5.3 i direktivet om integritet och elektronisk
kommunikation, som behandlar informerat samtycke, direkt tillämplig. Direktiv 95/46/EG är
fullt tillämpligt förutom för bestämmelserna som specifikt hanteras av direktivet om integritet
och elektronisk kommunikation, vilket huvudsakligen motsvarar artikel 7 i direktiv 95/46/EG
om de rättsliga grunderna för databehandling24. De kvarvarande bestämmelserna i direktiv
95/46/EG, vilket innefattar principerna för uppgifternas kvalitet, den registrerades rättigheter
(som tillgång, radering och rätten att göra invändningar), databehandlingens sekretess och
säkerhet och internationell dataöverföring, gäller fullt ut.
3.2.4. Territoriellt tillämpningsområde för artikel 5.3 och direktiv 95/46/EG
Det territoriella tillämpningsområdet för ovanstående regelverk bestäms av en kombination
av såväl artikel 3.1 i direktivet om integritet och elektronisk kommunikation25 som artikel
4.1 a och c i direktiv 95/46/EG26.
23
24
25
26
Artikel 29-arbetsgruppen bekräftar i sitt yttrande 1/2008 om dataskyddsfrågor med anknytning till
sökmotorer, som antogs den 4 april 2008, att cookies och IP-adresser i de flesta fall ska betraktas som
personuppgifter. I yttrandet fastslås följande: ”När en kaka [cookie] innehåller ett unikt användar-ID står det
klart att detta ID utgör personuppgifter. Användningen av beständiga kakor eller liknande funktioner med
ett unikt användar-ID gör det möjligt att spåra användarna av en viss dator även när dynamiska IP-adresser
används. De uppgifter om sökbeteendet som genereras genom användning av sådana funktioner gör det
möjligt att få reda på ännu mer om den berörda individens personliga karakteristik.”
Principen om korrekt och laglig behandling i artikel 6.1 a kan även anses vara inkluderad i artikel 5.3, sett
ur synvinkeln att korrekthet åsyftar och kräver öppenhet och transparens.
Tillämpningsområdet för direktivet om integritet och elektronisk kommunikation fastställs i artikel 3.1
enligt vilken artikel 5.3 ska gälla för lagring av eller tillgång till information i terminalutrustningen för
registrerade som använder allmänna kommunikationsnät inom EU.
De två kriterierna som styr tillämpningen av direktivet (eller rättare sagt den nationella lagstiftning som
genomför direktivet) är i) om informationsbehandlingen utförs som ett led i verksamhet inom den
medlemsstats territorium där den registeransvarige är etablerad (artikel 4.1 a) och ii) om den
registeransvarige inte är etablerad på gemenskapens territorium men för behandling av personuppgifter
10
I tidigare yttranden har artikel 29-arbetsgruppen gett vägledning om begreppet etablering och
användning av utrustning som hänvisas till i artikel 4.1 a respektive c för bestämning av
tillämpligheten för direktiv 95/46/EG27. Sådan vägledning gäller fullt ut för leverantörer av
annonsnätverkstjänster.
3.3.
De olika aktörernas roller och ansvarsområden
Som beskrivs ovan innefattar beteendebaserad reklam olika aktörer, däribland leverantörer av
annonsnätverk, utgivare och annonsörer. Det är viktigt att bestämma vilken roll de spelar för
att fastställa deras skyldigheter under nuvarande dataskyddslagstiftning. Därför anger artikel
29-arbetsgruppen följande:
Angående leverantörer av annonsnätverk:
För det första gäller skyldigheterna som anges i artikel 5.3 i direktivet om integritet och
elektronisk kommunikation för dem som lagrar cookies och/eller hämtar information från
cookies som redan är lagrade i den registrerades terminalutrustning. Med hänvisning till
artikel 5.3 är det ovidkommande om den som lagrar eller läser av cookien är registeransvarig
eller databehandlare. I fråga om beteendebaserad reklam lägger denna tolkning skyldigheten
att begära in informerat samtycke på leverantörerna av annonsnätverk.
För det andra gäller samtidigt, att när beteendebaserad reklam leder till behandling av
personuppgifter, spelar leverantören av annonsnätverk även rollen som registeransvarig. Detta
är mycket viktigt då ytterligare skyldigheter som härrör från tillämpningen av direktiv
95/46/EG blir aktuella. Leverantörer av annonsnätverk har fullständig kontroll över
informationsbehandlingens syften och medel.
De ”hyr” utrymme från utgivarnas webbplatser för att lägga in annonser, de lagrar och läser
cookierelaterad information och, i de flesta fall, samlar in IP-adress och eventuellt andra
uppgifter som webbläsaren uppger. Dessutom använder leverantörer av annonsnätverk den
information som samlats in om Internetanvändarnas surfbeteende för att skapa profiler och
välja ut och leverera annonser som ska visas på grundval av dessa profiler. I detta scenario
fungerar de utan tvekan som registeransvariga.
Angående utgivare:
Utgivare, bland andra, hyr ut utrymme på sina webbplatser där annonsnätverk kan lägga in
annonser. De kodar sina webbplatser så att besökarnas webbläsare automatiskt skickas vidare
till webbsidan för leverantören av annonsnätverket (som sedan skickar en cookie och
tillhandahåller skräddarsydd reklam). Detta lyfter upp frågan om deras ansvar vad gäller
informationsbehandlingen.
Som nyligen påpekats av artikel 29-arbetsgruppen28 är frågan huruvida en utgivare kan
bedömas ha ett gemensamt registeransvar med leverantören av annonsnätverket avhängig
samarbetsvillkoren mellan utgivaren och leverantören av annonsnätverket. I detta
sammanhang konstaterar artikel 29-arbetsgruppen att i ett typiskt scenario där leverantörer av
annonsnätverk tillhandahåller skräddarsydd annonsering bidrar utgivarna genom att koda sina
webbplatser på ett sådant sätt, att när en användare besöker en utgivares webbplats, kopplas
hans eller hennes webbläsare automatiskt vidare till webbplatsen för leverantören av
27
28
använder databehandlad eller icke databehandlad utrustning som befinner sig på en medlemsstats
territorium (artikel 4.1 c).
Se arbetsdokument 56 från den 30 maj 2002 om den internationella tillämpningen av EU:s
dataskyddslagstiftning när webbplatser utanför EU behandlar personuppgifter på Internet och, på senare tid,
yttrande 1/2008 om dataskyddsfrågor med anknytning till sökmotorer, som antogs den 4 april 2008.
Yttrande 1/2010 om begreppen registeransvarig och registerförare, som antogs den 16 februari 2010.
11
annonsnätverket. När så sker skickar användarens webbläsare hans eller hennes IP-adress till
leverantören av annonsnätverket som i sin tur skickar en cookie och skräddarsydd reklam. I
detta scenario är det viktigt att observera att utgivarna inte överför besökarens IP-adress till
leverantören av annonsnätverket. Istället är det besökarens webbläsare som automatiskt
överför sådan information till leverantören av annonsnätverket. Detta händer dock bara på
grund av att utgivaren har kodat webbplatsen på ett sådant sätt att besökare till den egna
webbplatsen automatiskt skickas vidare till webbplatsen för leverantören av annonsnätverket.
Med andra ord är det utgivaren som sätter igång överföringen av IP-adressen, som är det
första nödvändiga steget som möjliggör den efterföljande informationsbehandlingen som
utförs av leverantören av annonsnätverket för att tillhandahålla skräddarsydd reklam. Även
om dataöverföringen av IP-adressen tekniskt sett utförs av den enskilda personens webbläsare
när han eller hon besöker utgivarens webbplats är det därför inte den enskilda personen som
sätter igång överföringen. Den enskilda personen hade bara för avsikt att besöka utgivarens
webbplats. Han eller hon avsåg inte att besöka webbplatsen för leverantören av
annonsnätverket. Detta är för närvarande ett vanligt scenario.
Med tanke på detta anser artikel 29-arbetsgruppen att utgivarna har ett visst ansvar för
informationsbehandlingen som härrör från det nationella genomförandet av direktiv 95/46/EG
och/eller annan nationell lagstiftning29. Detta ansvar täcker inte all informationsbehandling
som krävs för beteendebaserad reklam, exempelvis informationsbehandlingen som utförs av
leverantören av annonsnätverket för att skapa profiler som sedan används för att
tillhandahålla skräddarsydd reklam. Utgivarnas ansvar täcker dock det första steget, dvs. den
inledande delen av informationsbehandlingen, närmare bestämt överföringen av IP-adressen
som äger rum när personer besöker webbplatserna. Detta eftersom utgivarna möjliggör en
sådan överföring och är med och bestämmer de syften för vilka den äger rum, dvs. för att
tillhandahålla skräddarsydd reklam till kunderna. Sammanfattningsvis har utgivarna därför ett
visst ansvar som registeransvariga för dessa åtgärder. Detta ansvar kan dock inte innebära att
alla skyldigheter som tas upp i direktiven måste uppfyllas.
Här är det nödvändigt att tolka den rättsliga ramen på ett flexibelt sätt genom att bara använda
de bestämmelser som är relevanta. Utgivare innehar inga personuppgifter och därför skulle
det självfallet inte vara rimligt att tillämpa vissa av skyldigheterna i direktivet, exempelvis
rätten till tillgång. Som beskrivs närmare nedan gäller dock skyldigheten att informera de
enskilda personerna om informationsbehandlingen fullt ut för utgivare.
I tillägg till ovanstående, vilket nämns i det artikel 29-yttrande som hänvisas till ovan, anses
utgivarna bära en del av ansvaret som registeransvariga om de samlar in och överför
personuppgifter rörande besökarna, som namn, adress, ålder, plats osv. till leverantören av
annonsnätverket. I den utsträckning utgivare agerar som registeransvariga är de bundna av
skyldigheterna i direktiv 95/46/EG rörande den del av informationsbehandlingen som ligger
under deras kontroll. I detta hänseende ska utgivaren, tillsammans med leverantören av
annonsnätverket, ”se till att komplexiteten och de tekniska detaljerna hos det
beteendebaserade reklamsystemet inte hindrar dem från att hitta lämpliga metoder för att
uppfylla den registeransvariges skyldigheter och garantera rättigheterna för de registrerade”30.
29
30
Artikel 29-arbetsgruppen konstaterar att skyldigheten att informera och andra eventuella skyldigheter även
kan härröra från generella rättsprinciper (kontrakts- och skadeståndslagar) liksom konsumentskyddslagar
rörande företags agerande gentemot kunder, exempelvis Europaparlamentets och rådets direktiv
2005/29/EG av den 11 maj 2005 om otillbörliga affärsmetoder som tillämpas av näringsidkare gentemot
konsumenter på den inre marknaden och om ändring av rådets direktiv 84/450/EEG och
Europaparlamentets och rådets direktiv 97/7/EG, 98/27/EG och 2002/65/EG samt Europaparlamentets och
rådets förordning (EG) nr 2006/2004 (”direktivet om otillbörliga affärsmetoder”).
Yttrande 1/2010 om begreppen registeransvarig och registerförare
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2010/wp169_sv.pdf
12
Sammanfattningsvis bör utgivarna vara medvetna om att de genom att ingå kontrakt med
annonsnätverk, som innebär att deras besökares personuppgifter görs tillgängliga för
leverantörerna av annonsnätverken, tar på sig ett visst ansvar gentemot sina besökare.
Omfattningen av detta ansvar och i vilken utsträckning de kan räknas som registeransvariga
bör analyseras från fall till fall, beroende på de specifika samarbetsvillkoren med
leverantörerna av annonsnätverken, utifrån vad som anges i serviceavtalen. Därför bör
serviceavtalen mellan utgivare och leverantörer av annonsnätverk fastställa rollerna och
ansvarsområdena för båda parterna enligt deras fastlagda samarbete, i enlighet med
beskrivningen i samarbetsavtalet.
Angående annonsörer:
När den registrerade klickar på en annons och besöker annonsörens webbplats kan
annonsören spåra vilken kampanj som ledde till klicket. Om annonsören samlar in
målgruppsinformation (exempelvis vissa demografiska uppgifter som ”unga mammor” eller
en intressegrupp som ”intresserad av extremsport”) och kombinerar den med den
registrerades surfbeteende eller registreringsuppgifter är annonsören en oberoende
registeransvarig för denna del av informationsbehandlingen.
Detta yttrande fokuserar på den informationsbehandling som utförs av leverantören av
annonsnätverket och utgivaren för att skapa skräddarsydd reklam. Det tar inte upp eventuell
ytterligare informationsbehandling som kan utföras av annonsörer enligt ovan.
4.
Skyldighet att begära informerat samtycke på förhand
Den allmänna regeln i första paragrafen i artikel 5.3 kräver att medlemsstaterna ”ska se till att
lagring av information eller tillgång till information som redan är lagrad i en abonnents eller
användares terminalutrustning endast är tillåten på villkor att abonnenten eller användaren i
fråga har gett sitt samtycke efter att ha fått tillgång till tydlig och fullständig information, i
enlighet med direktiv 95/46/EG, bland annat om ändamålen med behandlingen av
uppgifterna.” Denna artikel skrevs om när direktivet om integritet och elektronisk
kommunikation ändrades 2009. Den nya formuleringen i den ändrade versionen förtydligar
och förstärker behovet av att erhålla ett informerat samtycke på förhand31. Artikel 29arbetsgruppen anser att den rättsliga analysen nedan är relevant och giltig både för den
nuvarande versionen av artikel 5.3 och den ändrade versionen.
I följande avsnitt analyseras olika sätt att uppfylla kraven i artikel 5.3. Efter diskussionen om
samtycke följer ytterligare information om skyldigheten att tillhandahålla information.
4.1.
Skyldigheten att erhålla den registrerades samtycke på förhand för
beteendebaserad reklam
Enligt artikel 5.3 är en leverantör av ett annonsnätverk som vill lagra eller få tillgång till
information i en användares terminalutrustning tillåten att göra så om i) användaren har
försetts med tydlig och omfattande information i enlighet med direktiv 95/46/EG, bland annat
om syftet med informationsbehandlingen, och ii) användarens samtycke för lagring av eller
tillgång till information på användarens terminalutrustning har erhållits efter att användaren
har fått den information som krävs enligt i).
31
Detta har gjorts på två sätt: För det första genom att ändra frasen ”rätten att vägra” till behovet att inhämta
”samtycke”, enligt direktiv 95/46/EG, och för det andra genom att använda verbfrasen ”ha fått tillgång till” i
förfluten tid.
13
Det framgår av ordalydelsen i artikel 5.3 att i) samtycket måste erhållas innan cookien lagras
och/eller information i användarens terminalutrustning hämtas, vilket normalt kallas
samtycke på förhand, och ii) informerat samtycke kan bara erhållas om användaren på
förhand fått information om cookiens lagring och syftet därmed. I detta sammanhang är det
viktigt att tänka på att för att samtycket ska vara giltigt, oavsett under vilka förhållanden det
getts, måste det ha getts frivilligt, specifikt och utgöra ett informerat tillkännagivande av den
registrerades önskemål. Samtycke måste erhållas innan personuppgifter samlas in, som en
nödvändig åtgärd för att säkerställa att de registrerade helt och fullt är medvetna om att de
samtycker och vad de samtycker till. Dessutom måste samtycket gå att ta tillbaka.
I följande delavsnitt analyseras huruvida samtycke genom webbläsarinställningar och
möjligheter att välja bort funktioner (”opt-out”) som tillhandahålls av leverantörer av
annonsnätverk uppfyller kraven i artikel 5.3.
4.1.1. Samtycke genom webbläsarinställningar
Utgivare och leverantörer av annonsnätverk som arbetar med beteendebaserad reklam lagrar
spårningscookies i den registrerades terminalutrustning när den registrerade besöker en
webbplats som ingår i annonsnätverket. Detta sker om inte den registrerades webbläsare är
inställd att inte godkänna cookies. I praktiken innebär det att först när cookien är lagrad och
den registrerade surfar på webbsidan där annonsen ligger får han eller hon information om
cookies och hur man ställer in webbläsaren för att kontrollera mottagningen av cookies.
Denna information lämnas av utgivaren och leverantören av annonsnätverket. Dessa
registeransvariga tillhandahåller vanligtvis informationen på sidan för allmänna villkor och
förutsättningar och/eller i integritetspolicyn för tredjepartscookies som används för
beteendebaserad reklam. Informationen kan innefatta grundläggande användningar/syften
med sådana cookies och hur de kan undvikas genom webbläsarinställningar. Detta
tillvägagångssätt uppfyller dock inte kraven i artikel 5.3, i synnerhet inte den ändrade
versionen, som betonar att information ska tillhandahållas på förhand och att samtycke ska
inhämtas på förhand (innan informationsbehandlingen påbörjas).
I skäl 66 i det ändrade direktivet om integritet och elektronisk kommunikation anges att
användarens samtycke kan uttryckas genom lämpliga webbläsarinställningar eller annan
anordning ”om det är tekniskt möjligt och effektivt i enlighet med direktiv 95/46/EG”. Detta
är inte ett undantag från artikel 5.3 utan snarare en påminnelse om att samtycke, i denna
tekniska miljö, kan ges på olika sätt – när så är tekniskt möjligt, effektivt och i enlighet med
de övriga relevanta kraven för giltigt samtycke. I detta sammanhang är det relevant att
fastställa under vilka förutsättningar webbläsarinställningarna uppfyller kraven i direktiv
95/46/EG och därigenom utgör ett giltigt samtycke ”i enlighet med direktiv 95/46/EG”.
Artikel 29-arbetsgruppen anser att detta endast sker under mycket begränsade förhållanden av
följande skäl:
För det första, baserat på definitionen och kraven för giltigt samtycke i artikel 2 h i direktiv
95/46/EG, kan de registrerade generellt sett inte bedömas ha samtyckt bara för att de har
skaffat/använt en webbläsare eller liknande som med standardinställningar möjliggör
insamling och behandling av deras information. De flesta av de registrerade är inte medvetna
om att deras beteende på Internet spåras, vilka syften som finns med spårningen osv. De
känner inte alltid till hur man använder webbläsarinställningar för att avvisa cookies, även om
detta tas upp i integritetspolicyn. Det är fel att generellt tro att registrerades overksamhet (han
eller hon har inte ställt in webbläsaren att avvisa cookies) utgör en tydlig och otvetydig
indikation av hans eller hennes önskemål. Som påpekades i artikel 29-arbetsgruppens
yttrande 1/2008 som togs upp tidigare: ”Ansvaret för behandlingen av dessa uppgifter
[cookies] kan inte begränsas till att användaren är ansvarig för att vidta, eller inte vidta, vissa
14
försiktighetsåtgärder när det gäller webbläsarinställningarna.” För närvarande är det bara en
av de fyra stora webbläsarna som blockerar tredjepartscookies som standard när webbläsaren
installeras. De andra tre stora webbläsarna har som standardinställning att alla cookies ska
tillåtas. I dessa fall lagras cookies och information samlas in innan samtycke har inhämtats,
vilket strider mot kravet på samtycke på förhand32.
För det andra, för att webbläsarinställningar ska kunna räknas som ett informerat samtycke
bör det inte vara möjligt att ”gå förbi” valet som användaren gjort genom inställningen av
webbläsaren. I praktiken kan dock raderade cookies lätt läggas tillbaka (”respawn”) av så
kallade flashcookies, vilket gör det möjligt för leverantören av annonsnätverket att fortsätta
övervaka användaren. Tillgängligheten till sådan teknik och den ökade användningen utmanar
möjligheten att använda webbläsarinställningar för att ge ett informerat, giltigt och
verkningsfullt samtycke.
Slutligen innebär ett generellt samtycke att ta emot cookies genom webbläsarinställningar att
användaren godkänner vidare behandling, möjligen utan att veta syftet med eller
användningen av cookien. Ett generellt samtycke för all eventuell framtida behandling utan
att veta omständigheterna kring behandlingen kan inte anses vara ett giltigt godkännande33.
Därför måste webbläsare eller andra funktioner lösa ovanstående problem för att kunna
”leverera” ett giltigt samtycke. I praktiken innebär detta följande:
a) Webbläsare eller andra funktioner som genom standardinställningarna avvisar
tredjepartscookies, och som kräver att den registrerade vidtar en bekräftande åtgärd för att
acceptera såväl lagringen av cookies som vidarebefordran av information från cookies vid
besök på specifika webbplatser kan leverera ett giltigt och verkningsfullt samtycke.
Däremot, om webbläsarinställningarna som standard är inställda att godkänna alla
cookies, skulle ett sådant samtycke inte uppfylla artikel 5.3 eftersom ett sådant samtycke,
generellt sett, inte kan utgöra en sann indikering av den registrerades önskemål. Ett sådant
samtycke skulle varken vara specifikt eller göras på förhand (innan
informationsbehandlingen påbörjas). Även om vissa registrerade verkligen skulle ha
kunnat välja att behålla inställningarna att acceptera alla tredjepartscookies, är det inte
realistiskt för leverantörer av annonsnätverk att anta att den stora majoriteten av
registrerade som har sina webbläsare ”inställda” att godkänna cookies har gjort detta val
aktivt.
b) Webbläsare, tillsammans med eller i kombination med andra informationsverktyg, vilket
inbegriper samarbete med leverantörer av annonsnätverk och utgivare, behöver
tillhandahålla tydlig, omfattande och fullt synlig information för att säkerställa att
samtycket är helt informerat. För att uppfylla kraven i direktiv 95/46/EG bör webbläsarna,
på leverantören av annonsnätverkets vägnar, förmedla relevant information om syftena
32
33
En ytterligare komplikation är att de tre webbläsarna som avses ovan fortsätter att skicka information från
befintliga cookies även om webbläsarinställningarna sätts att avvisa (nya) tredjepartscookies. Med andra ord
fortsätter information om cookies som lagrades innan webbläsaren ställdes in att avvisa cookies att skickas
till leverantören av annonsnätverket. Det är bara en av de stora webbläsarna som idag låter användarna
blockera både lagringen av och överföringen av information från tredjepartscookies (dvs. även cookies som
lagrades innan webbläsaren ställdes in att avvisa cookies). Detta har som konsekvens att även cookies som
har lagrats som förstapartscookies (vid besök på en webbplats för exempelvis en sökmotor eller ett socialt
nätverk) kan läsas av webbplatsen när användaren besöker en webbplats som är partner med den första
webbplatsen.
Som anges i artikel 29-arbetsdokumentet om en gemensam tolkning av artikel 26.1 i direktiv 95/46/EG av
den 24 oktober 1995, som antogs den 25 november 2005, i fråga om framtida dataöverföringar: ”Att
samtycke skall vara uttryck för positivt agerande utesluter i praktiken alla system som ger den registrerade
rätt att protestera mot överföringen först efter det att den har ägt rum – särskilt samtycke till en överföring är
förutsättningen för att överföringen skall kunna äga rum.”
15
med cookies och informationsbehandlingen. Generella varningar utan uttryckliga
hänvisningar till annonsnätverket som lagrar cookien är inte tillräckliga.
Artikel 29-arbetsgruppen är av åsikten att såvida inte ovanstående krav uppfylls kan inte
tillhandahållande av information och, i viss utsträckning, underlättande av användarens
möjligheter att avvisa cookies (genom att förklara hur detta kan göras) generellt bedömas som
ett informerat samtycke enligt artikel 5.3 i direktivet om integritet och elektronisk
kommunikation eller enligt artikel 2 h i direktiv 95/46/EG.
Med tanke på hur stor roll webbläsarinställningarna spelar för att säkerställa att de
registrerade på ett tydligt sätt ger sitt samtycke till lagring av cookies och behandling av
information, verkar det vara av allra största vikt att webbläsarna är försedda med
integritetsskyddande inställningar som standard. Med andra ord att de levereras med
inställningen att inte acceptera och inte skicka information från tredjepartscookies. För att
komplettera detta skydd och göra skyddet mer effektivt bör webbläsarna kräva att användarna
går igenom en integritetsguide när de installerar eller uppdaterar webbläsaren och säkerställa
att det går att välja inställningar på ett enkelt sätt under användning. Artikel 29-arbetsgruppen
uppmanar utvecklarna av webbläsare att vidta omedelbara åtgärder och koordinera arbetet
med leverantörerna av annonsnätverk.
4.1.2. Samtycke och möjligheten att välja bort funktioner (”opt-out”)
Leverantörer av annonsnätverk erbjuder i allt högre grad mekanismer för bortval (”opt-out”)
av riktad reklam34. För att använda denna mekanism måste den registrerade gå till
webbplatsen för leverantören av annonsnätverket och ange att han eller hon vill välja bort att
spåras för att få riktad reklam. Dessa mekanismer syftar till att komplettera och, i viss
utsträckning, åtgärda problemen som beskrivs ovan ifråga om webbläsarinställningar.
Sådana cookiebaserade mekanismer är välkomna och ska uppmuntras i den mån de förenklar
de registrerades tekniska möjligheter att välja bort riktad reklam. I princip är dock sådana
bortvalsmekanismer inga verktyg för att inhämta de registrerades samtycke. Bara i mycket
specifika, enskilda fall skulle man kunna hävda ett underförstått samtycke. Detta skulle kunna
vara fallet när en erfaren användare, som är medveten om konceptet med beteendebaserad
reklam, känner till att han eller hon kan välja bort denna reklam men väljer frivilligt att inte
välja bort den (i synnerhet om detta görs innan någon cookie har skickats till användaren).
Denna mekanism är dock inte en adekvat mekanism för att erhålla den genomsnittlige
användarens informerade samtycke. Anledningarna liknar dem som angavs ovan i samband
med webbläsarinställningar, och kan beskrivas enligt följande:
För det första saknar användarna i allmänhet den grundläggande kunskapen om insamling av
information, informationens användningsområden, hur tekniken fungerar och – viktigast av
allt – hur och var man väljer bort. Som ett resultat av detta blir det i praktiken mycket få
personer som utövar möjligheten att välja bort beteendebaserad reklam. Resten låter inte bli
för att de har gjort ett informerat val att acceptera beteendebaserad reklam, utan snarare för att
de inte inser att de genom att inte välja bort i själva verket accepterar.
För det andra innebär samtycke ett aktivt deltagande av den registrerade innan insamlingen
och behandlingen av information påbörjas. Bortvalsmekanismen hänvisar ofta till en ”ickereaktion” hos den registrerade efter att en sådan informationsbehandling redan har startat.
Dessutom finns det i bortvalsmekanismen inget aktivt deltagande, den registrerades vilja
underförstås eller antas. Detta uppfyller inte kraven på ett juridiskt giltigt samtycke.
34
Se exempelvis ”opt out”-funktionen från Network Advertising Initiative som gör det möjligt att välja bort
olika nätverk: http://www.networkadvertising.org/managing/opt_out.asp.
16
Med tanke på ovanstående anser artikel 29-arbetsgruppen att cookiebaserade
bortvalsmekanismer (”opt-out”) inte ger genomsnittsanvändaren ett verkningsfullt sätt att
samtycka till mottagandet av beteendebaserad reklam. I detta hänseende klarar de inte att
uppfylla kraven i artikel 5.3.
4.1.3. Mekanismer för aktivt förhandsval (”opt-in”) mer lämpade för informerat samtycke
Artikel 29-arbetsgruppen är av åsikten att mekanismer för ett aktivt förhandsval (”opt-in”),
som kräver en bekräftande åtgärd från den registrerades sida för att ange samtycke innan
cookien skickas till den registrerade, ligger mer i linje med artikel 5.3. I fråga om samtycke
som juridisk grund för informationsbehandling, bekräftade artikel 29-arbetsgruppen nyligen
dessa åsikter genom ett uttalande om att den tekniska utvecklingen också kräver att stor vikt
läggs vid samtycket. I praktiken tillämpas inte alltid artikel 7 i direktiv 95/46/EG på ett
korrekt sätt, i synnerhet inte vad gäller Internet där ett underförstått samtycke inte alltid är ett
otvetydigt samtycke (vilket krävs enligt artikel 7 a i direktivet). För att ge de registrerade
större möjligheter att uttrycka sina önskemål innan deras personuppgifter behandlas av andra
bör dock krav ställas på ett uttryckligt samtycke (som aktivt väljs [”opt-in”]) för all
informationsbehandling som baseras på samtycke.35
I ett tidigare yttrande, där denna fråga diskuteras, rekommenderar artikel 29-arbetsgruppen36
att specifika meddelanden bör användas för att informera användaren när en cookie ska tas
emot, lagras eller skickas, och att dessa meddelanden på ett lättförståeligt sätt bör ange vilken
sorts information som kommer att lagras i cookien samt för vilka ändamål och hur länge
cookien kommer att finnas kvar. Efter att ha mottagit sådan information bör den registrerade
erbjudas möjligheten att ange om han eller hon vill profileras för beteendebaserad reklam.
Artikel 29-arbetsgruppen är medveten om de nuvarande praktiska problemen i samband med
att erhålla samtycke, i synnerhet om samtycke krävs varje gång en cookie avläses i syfte att
leverera riktad reklam. Ett sätt att undvika detta problem är möjligheten att, i enlighet med
skäl 25 i direktivet om integritet och elektronisk kommunikation (där det anges att rätten att
vägra cookies kan erbjudas en enda gång och därefter även omfatta framtida användningar av
dessa cookies), låta en användares godkännande av en cookie tolkas som att det inte bara
gäller för sändandet av cookien utan även för fortsatt insamling av data med koppling till
denna cookie. Med andra ord kan det samtycke som erhållits för att lagra cookien och
använda informationen för att skicka riktad reklam även gälla efterföljande ”avläsningar” av
cookien som sker varje gång användaren besöker en webbplatspartner till leverantören av
annonsnätverket som ursprungligen lagrade cookien.
Med tanke på att i) detta tillvägagångssätt skulle innebära att enskilda personer ”en gång för
alla” accepterar att registreras och att ii) enskilda personer helt enkelt kan ”glömma bort” att
de exempelvis för ett år sedan gick med på att registreras, anser dock arbetsgruppen att vissa
skyddsåtgärder bör införas. I synnerhet föreslår artikel 29-arbetsgruppen följande tre
handlingssätt:
För det första bör samtycket begränsas i tid. Samtycket att registreras bör inte gälla ”för
alltid” utan gälla för en begränsad tidsperiod, exempelvis ett år. Efter denna period skulle
leverantören av annonsnätverket behöva erhålla ett nytt samtycke. Detta skulle kunna gå att
ordna om cookies hade en begränsad livslängd när de lagrats i användarens
terminalutrustning (och utgångsdatumet bör inte kunna förlängas).
35
36
Artikel 29-arbetsgruppen välkomnar arbetet som utförs av vissa sammanslutningar, exempelvis The Future
of Privacy, för att stödja användningen av ikoner i informationssyfte.
Rekommendation 1/99 om osynlig och automatisk behandling av personuppgifter på Internet:
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/1999/wp17sv.pdf.
17
För det andra skulle riskerna som anges ovan kunna minskas ytterligare med mer
informationsrutiner, vilket tas upp i avsnitt 4.2.1.
För det tredje ska ett frivilligt givet samtycke alltid kunna dras tillbaka. De registrerade bör
erbjudas möjligheten att enkelt dra tillbaka samtycket att registreras för beteendebaserad
reklam. Här är behovet av att ge tydlig information om denna möjlighet och hur man gör för
att utnyttja den av avgörande betydelse (se nedan under avsnitt 4.2).
Artikel 29-arbetsgruppen uppmuntrar reklambranschen att införa ovanstående eller alternativa
metoder som leder till att användarna aktivt får på förhand bekräfta att de godkänner i)
lagring av cookies och ii) användning av cookies för att spåra användaren över olika
webbplatser i syfte att kunna tillhandahålla beteendebaserad reklam. Detta arbete kan även
innefatta framtagning av webbläsare och webbläsarteknik.
4.1.4. Informerat samtycke: barn
I yttrande 2/2009 tar artikel 29-arbetsgruppen upp skyddet av personuppgifter för barn37.
Problemen i samband med att erhålla ett informerat samtycke understryks ytterligare när barn
är inblandade. I tillägg till kraven som beskrivs ovan (och nedan) för att samtycket ska vara
giltigt, måste i vissa fall barnens samtycke lämnas av deras föräldrar eller andra målsmän. I
det aktuella fallet innebär detta att leverantörer av annonsnätverk skulle behöva meddela
föräldrarna om insamlingen och användningen av barnens information och få deras samtycke
innan informationen samlas in och används för beteendebaserad reklam riktad till barn38.
Med tanke på ovanstående och med hänsyn till barns sårbarhet anser artikel 29-arbetsgruppen
att leverantörer av annonsnätverk inte bör erbjuda intressekategorier för beteendebaserad
reklam som riktar sig till barn eller som kan påverka barn.
4.2.
Skyldigheten att tillhandahålla information i samband med
beteendebaserad reklam
Öppenhet och transparens är en viktig förutsättning för att enskilda personer ska kunna
samtycka till insamling och behandling av information. Som anges ovan är det i samband
med beteendebaserad reklam möjligt att användarna inte känner till eller förstår tekniken
bakom beteendebaserad reklam eller ens att sådana typer av reklam riktas till dem. Det är
därför mycket viktigt att säkerställa att tillräcklig och verkningsfull information tillhandahålls
på ett sätt som når Internetanvändarna. Det är bara om de registrerade är informerade som de
har möjlighet att utöva sin valmöjlighet.
4.2.1. Vilken information måste tillhandahållas och av vem?
I artikel 5.3 anges att användaren måste förses med information ”i enlighet med direktiv
95/46/EG, bland annat om ändamålen med behandlingen av uppgifterna”. Artikel 10 i
direktiv 95/46/EG rör tillhandahållandet av denna information39.
I fråga om beteendebaserad reklam bör de registrerade informeras, bland annat, om
identiteten på leverantören av annonsnätverket och syftet med informationsbehandlingen.
Den registrerade bör klart och tydligt informeras om att cookien gör det möjligt för
37
38
39
Yttrande om skydd för uppgifter om barn (Allmänna riktlinjer och specialfallet skolor):
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2009/wp160_sv.pdf.
Detta i tillägg till tillämplig lagstiftning och tillämpliga normer för reklam.
Enligt artikeln krävs framför allt att information lämnas om den registeransvariges identitet, syftet med
informationsbehandlingen, samt mottagarna av uppgifterna och att den registrerade har rätt att få tillgång till
uppgifterna, i den utsträckning sådan ytterligare information behövs för att tillförsäkra den registrerade en
korrekt behandling.
18
reklamleverantören att samla in information om besök på andra webbplatser, vilken reklam
som har visats för den registrerade, vad den registrerade har klickat på, tidsregistrering osv.
Det bör finnas en enkel beskrivning av hur cookien används för att skapa profiler för riktad
reklam. Enligt skäl 25 i direktivet om integritet och elektronisk kommunikation krävs att
meddelanden ger ”tydlig och klar” information. Uttalanden i stil med ”annonsörer och andra
tredjeparter kan även använda egna cookies eller webbfyrar” är uppenbarligen inte
tillräckliga.
I fråga om hur denna information ska tillhandahållas anges i skäl 25 att sättet att lämna
information ska vara ”så användarvänligt som möjligt”. Artikel 29-arbetsgruppen anser att det
effektivaste sättet att uppfylla denna princip är att ge ett minimum av information direkt på
skärmen och att denna information ska vara interaktiv, lätt att se och lätt att tolka40. Det är
viktigt att informationen är enkel att komma åt och lätt att se. Denna viktiga information får
inte gömmas bland allmänna villkor och förutsättningar och/eller i integritetspolicyn.
Artikel 29-arbetsgruppen konstaterar att det tekniskt sett kan finnas olika sätt att
tillhandahålla information och välkomnar kreativitet inom detta område. Artikel 29arbetsgruppen är medveten om att vissa leverantörer av annonsnätverk har börjat utveckla nya
sätt att tillhandahålla information och välkomnar detta arbete. Ikoner som placeras runt
annonser på utgivarens webbplats med länkar till ytterligare information är ett exempel på en
sådan utveckling som arbetsgruppen finner både positiv och nödvändig.
Med tanke på möjligheten som anges ovan i avsnitt 4.1.3 att individer kan acceptera
registrering en gång och att detta samtycke sedan gäller för följande avläsningar av cookien,
anser artikel 29-arbetsgruppen att det är mycket viktigt för leverantörer av annonsnätverk att
hitta sätt att informera individer med jämna mellanrum att registreringen äger rum. Om inte
de registrerade får tydliga och entydiga påminnelser, på ett enkelt och lättförståeligt sätt, om
registreringen är det mycket troligt att de efter en viss tidsperiod inte längre är medvetna om
att registreringen fortfarande äger rum och att de har samtyckt till den. Artikel 29arbetsgruppen skulle verkligen stödja framtagningen av en symbol med tillhörande
meddelanden som informerar användarna att en leverantör av ett annonsnätverk registrerar
deras surfbeteende för att kunna leverera riktad reklam. Denna symbol skulle vara till mycket
stor hjälp inte bara för att påminna användarna om registreringen utan även för att kontrollera
om de vill ha kvar eller ta tillbaka sitt samtycke.
En annan relevant fråga är vem som ska tillhandahålla informationen – ska den
tillhandahållas av utgivaren eller av leverantören av annonsnätverket eller av båda?
Slutresultatet bör vara att de registrerade får lättillgänglig och väl synlig information. Som
vidareutvecklas nedan verkar samarbetet mellan leverantörer av annonsnätverk och utgivare
vara mycket viktigt i denna fråga.
Artikel 29-arbetsgruppen konstaterar att enligt ordalydelsen i artikel 5.3 i direktivet om
integritet och elektronisk kommunikation ligger skyldigheten att tillhandahålla nödvändig
information och inhämta de registrerades samtycke i sista hand hos den som skickar och läser
av cookien. I de flesta fall är detta leverantören av annonsnätverket. När utgivare delar
ansvaret som registeransvariga, till exempel när de överför direkt identifierbar information till
leverantörer av annonsnätverk, har de också skyldighet att tillhandahålla information till de
registrerade om informationsbehandlingen.
40
Detta är i linje med arbetsgruppens tidigare riktlinjer, se arbetsgruppens rekommendation WP 43 2/2001 om
vissa minimikrav för insamling av personuppgifter på Internet inom Europeiska unionen som antogs den 17
maj 2001 och finns på: http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2001/wp43sv.pdf.
19
Dessutom, vilket tas upp i avsnitt 3.3 ovan, delar utgivarna visst ansvar med leverantörerna av
annonsnätverk för informationsbehandlingen som sker i samband med leveransen av
beteendebaserad reklam. Mer specifikt gäller detta ansvar det första steget i
informationsbehandlingen, dvs. överföringen av IP-adressen till leverantören av
annonsnätverket som sker när personer besöker deras webbplatser och skickas vidare till
webbplatsen för leverantören av annonsnätverket.
Som en följd av detta ansvar har utgivare vissa skyldigheter gentemot registrerade som
huvudsakligen härrör från direktiv 95/46/EG41. I synnerhet anser artikel 29-arbetsgruppen att
utgivare är bundna av skyldigheten att informera de registrerade om den
informationsbehandling som äger rum som ett resultat av att deras webbläsare dirigerats om,
samt för vilka syften leverantören av annonsnätverket ska använda informationen längre
fram. Informationen bör inte bara gälla överföringen av IP-adressen, som utförs för att kunna
visa annonser, utan även den vidare informationsbehandlingen som utförs av leverantörerna
av annonsnätverk, inklusive lagring av cookies.
Självfallet föreslår inte artikel 29-arbetsgruppen att informationen måste ges två gånger (en
gång av leverantören av annonsnätverket och en gång av utgivaren). Artikel 29-arbetsgruppen
anser att detta är ett område där det finns ett tydligt behov av samarbete mellan leverantörerna
av annonsnätverk och utgivarna, så att de kan besluta vem som ska tillhandahålla
informationen och hur detta ska göras. Gruppen uppmanar därför leverantörerna av
annonsnätverk och utgivarna att göra allt de kan för att tillhandahålla så effektiva
meddelanden som möjligt och säkerställa en maximal nivå av medvetenhet bland
Internetanvändarna om hur beteendebaserad reklam fungerar i varje specifik situation.
Behovet av denna interaktion blir ännu ytterligare om man tänker på att leverantörer av
annonsnätverk i princip är osynliga för de registrerade. Användarens interaktion sker istället
med den besökta webbplatsen, dvs. utgivarens webbplats. Av detta skäl är det, ur användarens
perspektiv, mer lättförståeligt att få informationen från utgivarens webbplats. Detta kan göras
på olika sätt. Om utgivaren exempelvis tillhandahåller utrymme på webbplatsen, kan
leverantören av annonsnätverket visa den nödvändiga informationen där.
Dataskyddsmyndigheterna kommer i sitt arbete att överväga lämpliga medvetenhetshöjande
åtgärder i fråga om dessa metoder och de registrerades rättigheter.
5.
Andra skyldigheter och principer enligt direktiv 95/46/EG
Utöver skyldigheterna enligt artikel 5.3 måste registeransvariga även uppfylla alla
skyldigheter enligt direktiv 95/46/EG som inte överlappas av artikel 5.3 eller andra artiklar.
De måste säkerställa följande:
5.1.
Skyldigheter i fråga om speciella uppgiftskategorier
Information som avslöjar ras eller etniskt ursprung, politiska åsikter, religiösa eller filosofiska
uppfattningar, medlemskap i fackföreningar eller uppgifter rörande hälsa eller sexualliv anses
känsliga enligt artikel 8 i direktiv 95/46/EG. Artikel 29-arbetsgruppen ser allvarliga risker för
att enskilda personers personliga integritet kränks om denna typ av information används för
att tillhandahålla beteendebaserad reklam. Alla målgruppsindelningar av registrerade som
baseras på känslig information öppnar upp möjligheter för missbruk. Dessutom, med tanke på
denna informations känslighet och de besvärliga situationer som kan uppstå om personer
41
Dessutom konstaterar artikel 29-arbetsgruppen att utgivare enligt generella rättsprinciper (kontrakts- och
skadeståndslagar) liksom konsumentskyddslagar rörande företags agerande gentemot kunder kan vara
skyldiga att informera de registrerade i de fall då informationsbehandlingen och registreringen äger rum
som ett resultat av deras åtgärd att skicka den registrerade vidare till leverantören av annonsnätverket.
20
mottar reklam som avslöjar exempelvis sexuell läggning eller politisk aktivitet, bör
erbjudanden om/användning av intressekategorier som avslöjar känslig information
motverkas.
Om leverantörer av annonsnätverk inte desto mindre erbjuder och använder intressekategorier
som avslöjar känslig information måste de uppfylla artikel 8 i direktiv 95/46/EG. Om en
leverantör av annonsnätverk exempelvis behandlar information om en enskild persons
beteende för att ”placera” honom eller henne i en intressekategori som anger en viss sexuell
läggning skulle de behandla sådan känslig information som avses i artikel 8 i direktiv
95/46/EG. Denna artikel förbjuder behandling av känslig information förutom i särskilda,
specifika fall. I detta sammanhang är den enda rättsliga grunden som skulle kunna legitimera
informationsbehandlingen ett uttryckligt och separat samtycke som skett på förhand och på
eget initiativ enligt artikel 8.2 a. Kravet på en separat, förhandsbekräftelse av den
registrerades samtycke innebär att mekanismer för samtycke som kräver bortval (”opt-out”)
under inga förhållanden skulle uppfylla lagens krav. Det innebär även att samtycke inte skulle
kunna erhållas genom webbläsarinställningarna. För att på ett lagligt sätt samla in och
behandla denna typ av information måste leverantörerna av annonsnätverk ta fram
mekanismer för att få ett uttryckligt samtycke på förhand, separat från andra samtycken som
erhållits för generell informationsbehandling.
5.2.
Uppfyllande av principerna för datakvalitet
I artikel 6 i 95/46/EG fastställs olika principer som den registeransvarige måste respektera. I
detta sammanhang är följande särskilt relevant:
Artikel 29-arbetsgruppen är medveten om att profiler som samlas in och används för
beteendebaserad reklam potentiellt kan användas för andra syften än reklam. De skulle
potentiellt kunna användas för utveckling av nya tjänster vars egenskaper än så länge är
okända.
Användningen är dock underställd kraven i artikel 6.1 b som fastställer principen om
begränsning av syftet. Denna princip förhindrar att personuppgifter behandlas på ett sätt som
inte är förenligt med syftena som legitimerade den ursprungliga insamlingen. Med andra ord
skulle oförenliga andrahandsanvändningar av information som samlats in och lagrats för
beteendebaserad reklam stå i strid med artikel 6.1 b i direktiv 95/46/EG. Om exempelvis ett
annonsnätverk utgör en del av en koncern som erbjuder flera olika tjänster, kan i princip
annonsnätverket inte använda information som samlats in för beteendebaserad reklam för
sådana andra tjänster (om det inte kan visas att syftena är förenliga). Av samma skäl kan inte
annonsnätverk berika informationen som samlats in för beteendebaserad reklam med annan
information.
Om leverantörer av annonsnätverk vill använda information som samlats in för
beteendebaserad reklam för andra, ej förenliga syften, exempelvis för andra tjänster, behöver
de ytterligare rättslig grund för att göra detta enligt artikel 7 i direktiv 95/46/EG. Därför måste
de informera de registrerade och, i de flesta fall, erhålla deras samtycke enligt artikel 7 a.
Artikel 6.1 e kräver att information raderas när den inte längre behövs för det syfte i vilket
den samlades in (lagringsprincipen). För att denna princip ska uppfyllas måste lagringen av
informationen begränsas. Därför måste företagen specificera och respektera bestämda
tidsramar inom vilka informationen lagras.
I enlighet med ovanstående måste information om användares beteende raderas om den inte
längre behövs för utvecklingen av en profil. Obegränsade eller överdrivet långa
lagringsperioder är i strid med artikel 6.1 e i direktivet. Artikel 29-arbetsgruppen har
21
observerat att lagringstiderna kan variera hos stora leverantörer av annonsnätverk; vissa
företag använder en obegränsad tidsperiod och andra begränsar den till tre månader.
Artikel 29-arbetsgruppen uppmanar därför leverantörerna av annonsnätverk att införa
policybeslut som säkerställer att informationen som samlas in varje gång en cookie blir läst
omedelbart raderas eller anonymiseras så snart den inte längre behövs. Varje registeransvarig
måste kunna rättfärdiga behovet av en viss lagringsperiod. Artikel 29-arbetsgruppen
uppmanar leverantörerna av annonsnätverk att tillhandahålla skäl som motiverar den
tidsperiod för lagring av informationen som de anser vara nödvändig för
informationsbehandlingens syften.
Om/när en enskild person ber om att hans eller hennes profil ska raderas eller om han eller
hon utövar sin rätt att dra tillbaka samtycket, måste leverantören av annonsnätverket
omedelbart radera den registrerades information eftersom leverantören av annonsnätverket
inte längre har den nödvändiga rättsliga grunden (dvs. samtycket) som tillåter
informationsbehandlingen.
5.3.
De registrerades rättigheter
De registeransvariga ska göra det möjligt för de enskilda personer som berörs av
informationsbehandlingen att utöva sina rättigheter till tillgång, korrigering, radering och att
göra invändningar enligt artiklarna 12 och 14 i dataskyddsdirektivet (95/46/EG).
Artikel 29-arbetsgruppen känner till initiativ från leverantörer av annonsnätverk som går ut på
att erbjuda de registrerade tillgång till de intressekategorier som de har klassificerats i, utifrån
cookiens ID-nummer42. Dessa nya verktyg låter inte bara användarna få tillgång till de
intressekategorier som är kopplade till dem utan de kan även modifiera och radera
klassificeringarna.
Artikel 29-arbetsgruppen välkomnar dessa initiativ som bidrar till att effektivisera enskilda
personers rätt att enkelt komma åt och korrigera sina personuppgifter. Artikel 29arbetsgruppen uppmanar leverantörerna av annonsnätverk att ta fram rutiner för att informera
de registrerade om dessa verktyg och göra dem så synliga som möjligt, så att
genomsnittsanvändaren får en reell möjlighet att använda dem.
5.4.
Andra skyldigheter
Artikel 17 i direktivet pålägger registeransvariga och registerförare skyldigheten att vidta
tekniska och organisatoriska åtgärder för att skydda personuppgifter mot oavsiktliga eller
olagliga förluster genom destruktion, avslöjanden eller andra former av olaglig behandling.
För att uppfylla dessa säkerhetskrav krävs att leverantörerna av annonsnätverk använder de
senaste tekniska och organisatoriska verktygen och metoderna för att säkerställa
informationens säkerhet och integritet.
Enligt artikel 18 i direktiv 95/46/EG kan registeransvariga behöva anmäla behandlingen av
personuppgifter till tillsynsmyndigheten, såvida de inte är fritagna från denna skyldighet. Om
den nationella lagstiftningen kräver detta måste därför leverantörer av annonsnätverk anmäla
informationsbehandlingen. Om information överförs utanför EU, till servrar i tredjeländer,
måste dessutom leverantörerna av annonsnätverk säkerställa att bestämmelserna för
överföring av personuppgifter till tredjeländer (artikel 25 och 26 i direktiv 95/46/EG)
uppfylls.
42
Se Yahoos Ad Interest Manager på http://info.yahoo.com/privacy/us/yahoo/opt_out/targeting/ och Googles
Interest-Based Advertising på http://www.google.com/ads/preferences/html/about.html.
22
6.
Slutsatser och rekommendationer
De tekniska lösningarna för beteendebaserad reklam gör det möjligt för annonsörer, framför
allt reklamleverantörer, att spåra enskilda personer när de surfar på Internet, att skapa profiler
och att använda dessa profiler för att tillhandahålla skräddarsydd reklam. I de flesta fall vet de
enskilda personerna helt enkelt inte om att detta händer.
Artikel 29-arbetsgruppen är djupt oroad över den påverkan denna allt mer spridda verksamhet
har på integriteten och dataskyddet. Även om dataskyddslagarna kräver, bland annat, att
informerat samtycke måste erhållas från de berörda personerna för att verksamheten ska få
utföras, är det i praktiken mycket tveksamt om genomsnittsanvändaren är medveten om, och i
ännu mindre utsträckning samtycker till, att registreras för att få skräddarsydd reklam.
Hittills har de sätt på vilka branschen har tillhandahållit information och hjälpt användarna att
bestämma om de vill registreras misslyckats. Information som tillhandahålls bland de
allmänna villkoren och förutsättningarna och/eller i integritetspolicyn, ofta ganska dunkelt
skrivet, uppfyller inte kraven i dataskyddslagstiftningen. I vissa medlemsstater har branschen
gjort en del ansträngningar för att komplettera den befintliga lagstiftningen med
självreglerande åtgärder. Sådana satsningar är välkomna eftersom de specificerar de generella
principer som finns i regelverket. Artikel 29-arbetsgruppen anser dock att det är långt kvar
innan en fullgod lösning uppnåtts. Branschen borde öka ansträngningarna för att uppfylla de
skärpta tillämpliga lagarna.
Med detta yttrande vill artikel 29-arbetsgruppen hjälpa intressenterna, i synnerhet leverantörer
av annonsnätverk och utgivare, att uppfylla de gällande reglerna enligt tolkningen i yttrandet.
I detta syfte anger artikel 29-arbetsgruppen här sina åsikter om hur det tillämpliga regelverket
för dataskydd ska tolkas för beteendebaserad reklam. Den uppmanar även branschen att ta
fram tekniska lösningar och andra metoder för att uppfylla regelverket enligt beskrivningen i
yttrandet och föra en dialog med artikel 29-arbetsgruppen om sådana åtgärder. Efter en viss
”diskussionsperiod” kommer artikel 29-arbetsgruppen att utvärdera läget och vidta
nödvändiga och lämpliga åtgärder. Under tiden uppmanar artikel 29-arbetsgruppen de
relevanta parterna att genomföra de rekommendationer som beskrivs nedan.
6.1.
43
Tillämpliga lagar
•
EU:s rättsliga ram för användning av cookies fastställs i första hand i artikel 5.3 i
direktivet om integritet och elektronisk kommunikation43.
•
Artikel 5.3 gäller när ”information”, exempelvis en cookie, lagras eller hämtas från en
Internetanvändares terminalutrustning. Denna information behöver inte bestå av
personuppgifter.
•
Dessutom gäller direktiv 95/46/EG för frågor som inte specifikt omfattas av direktivet
om integritet och elektronisk kommunikation när personuppgifter behandlas.
Beteendebaserad reklam bygger på användningen av identifierare som gör det möjligt
att skapa mycket detaljerade användarprofiler som, i de flesta fall, bedöms som
personuppgifter.
Det ändrade direktivet om integritet och elektronisk kommunikation måste genomföras senast maj 2011.
23
6.2.
Tillämplig rätt beroende på det territorium där den registeransvarige
är etablerad
•
Direktiv 95/46/EG gäller för den informationsbehandling som äger rum när utgivare
och leverantörer av annonsnätverk använder sig av beteendebaserad reklam, enligt
artikel 4.1 a och c i direktiv 95/46/EG och artikel 3 i direktivet om integritet och
elektronisk kommunikation. Befintlig vägledning från artikel 29-arbetsgruppen
rörande denna fråga är fullt tillämplig.
6.3.
Roller och ansvarsområden
•
Leverantörer av annonsnätverk är bundna av skyldigheterna i artikel 5.3 i direktivet
om integritet och elektronisk kommunikation eftersom de lagrar cookies och/eller
hämtar information från cookies som redan är lagrade i den registrerades
terminalutrustning. De är även registeransvariga i den mån de beslutar om syftena och
de viktigaste metoderna för informationsbehandlingen.
•
Utgivare har ett visst ansvar som registeransvariga i fråga om den första fasen av
informationsbehandlingen, dvs. när de genom det sätt de kodat webbplatsen på startar
överföringen av IP-adressen till leverantörer av annonsnätverk (vilket möjliggör
vidare behandling). Detta ansvar medför vissa begränsade dataskyddsskyldigheter (se
nedan). När/om utgivare själva överför direkt identifierbara personuppgifter till
leverantörer av annonsnätverk bedöms de dessutom bära en del av ansvaret som
registeransvariga.
6.4.
Skyldigheter och rättigheter
Leverantörer av annonsnätverk:
•
Artikel 5.3 i direktivet om integritet och elektronisk kommunikation som fastställer
skyldigheten att erhålla ett informerat samtycke på förhand gäller för leverantörer av
annonsnätverk.
•
Webbläsarinställningar kan bara leverera samtycke under mycket begränsade
omständigheter. Närmare bestämt om webbläsaren som standard är inställd att avvisa
alla cookies (eller om webbläsaren har ställts in med denna inställning) och
användaren har ändrat inställningarna för att aktivt godkänna cookies och han eller
hon har blivit utförligt informerad om namnet på den registeransvarige,
informationsbehandlingens syfte och vilken information som samlas in. Därför måste
webbläsaren antingen i sig själv eller i kombination med något annat verktyg på ett
verkningsfullt sätt visa tydlig, omfattande och fullt synlig information om
informationsbehandlingen.
•
Leverantörer av annonsnätverk bör uppmuntra och samarbeta med
utvecklare/tillverkare av webbläsare för att införa integritetsskydd direkt i
webbläsarna.
•
Cookiebaserade mekanismer för bortval av funktioner (”opt-out”) utgör i allmänhet
inte en tillräckligt kraftfull mekanism för att få ett informerat användarsamtycke. I de
flesta fall underförstås användarnas samtycke om de inte väljer bort funktionerna. I
praktiken är det dock väldigt få personer som använder bortvalsfunktionen; inte för att
de har gjort ett informerat beslut att acceptera beteendebaserad reklam utan snarare för
att de inte inser att informationsbehandlingen äger rum och ännu mindre vet hur de
ska göra för att välja bort den.
24
•
Leverantörer av annonsnätverk bör snarast sluta använda mekanismer för bortval
(”opt-out”) och istället skapa mekanismer för ett aktivt förhandsval (”opt-in”).
Mekanismer för att leverera ett informerat och giltigt samtycke bör kräva en aktiv
åtgärd av den registrerade som visar på hans eller hennes villighet att ta emot cookies
och acceptera den efterföljande registreringen av surfbeteendet för att få skräddarsydd
reklam.
•
I enlighet med skäl 25 i direktivet om integritet och elektronisk kommunikation kan
en användares godkännande att ta emot en cookie även tolkas som ett godkännande av
de efterföljande avläsningarna av cookien och därigenom registrering av hans eller
hennes surfande på Internet. Det är då inte nödvändigt att begära in samtycke för varje
enskild avläsning av cookien. För att säkerställa att de registrerade fortsätter att vara
medvetna om registreringen över tid bör dock leverantörerna av annonsnätverk: i)
tidsbegränsa samtycket; ii) erbjuda möjligheten att på ett enkelt sätt ta tillbaka
samtycket till att registreras för att få beteendebaserad reklam och iii) skapa en symbol
eller andra verktyg som syns på alla webbplatser där registrering äger rum
(webbplatspartner till leverantören av annonsnätverket). Denna symbol skulle inte
bara påminna personerna om registreringen utan även hjälpa dem att bestämma om de
vill fortsätta registreras eller ta bort samtycket.
•
Leverantörer av annonsnätverk bör säkerställa att de följer de skyldigheter i direktiv
95/46/EG som inte direkt överlappas av artikel 5.3, närmare bestämt principen om
begränsning av syftet och skyldigheter i fråga om säkerhet.
•
Dessutom bör leverantörer av annonsnätverk göra det möjligt för de registrerade att
utöva sina rättigheter i fråga om tillgång, korrigering och radering. Artikel 29arbetsgruppen välkomnar initiativet från vissa leverantörer av annonsnätverk att
erbjuda de registrerade möjligheten att komma åt och modifiera de intressekategorier
de klassificerats för.
•
Leverantörer av annonsnätverk bör införa en lagringspolicy som säkerställer att den
information som samlas in varje gång en cookie avläses, automatiskt raderas efter en
rimlig tidsperiod (som behövs för informationsbehandlingen). Detta gäller även för
alternativa spårningstekniker som används för beteendebaserad reklam, som javascript
som installeras i användarens webbläsarmiljö.
Leverantörer av annonsnätverk och utgivare:
•
Väl synlig information är en förutsättning för att samtycket ska vara giltigt. Det räcker
aldrig att bara nämna användningen av beteendebaserad reklam bland de allmänna
villkoren och förutsättningarna och/eller i integritetspolicyn. Med tanke på detta och
den genomsnittligt låga kunskapsnivån om användningen av beteendebaserad reklam
bör insatser göras för att ändra på situationen.
•
Leverantörer av annonsnätverk/utgivare måste ge användarna information i enlighet
med artikel 10 i direktiv 95/46/EG. Rent praktiskt bör de se till att användarna
åtminstone får veta vem (dvs. vilken fysisk eller juridisk person) som ansvarar för att
lagra cookien och samla in informationen. Dessutom bör användarna på ett
lättbegripligt sätt informeras om a) att cookien kommer att användas för att skapa
profiler; b) vilken typ av information som kommer att samlas in för att skapa sådana
profiler; c) att profilerna kommer att användas för att leverera riktad reklam och d) att
cookien gör det möjligt att identifiera användaren tvärs över olika webbplatser.
25
•
Leverantörer av annonsnätverk/utgivare bör tillhandahålla informationen direkt på
skärmen, interaktivt och vid behov genom meddelanden i flera nivåer. Under alla
omständigheter bör informationen vara lättillgänglig och väl synlig.
•
Ikoner som placeras på utgivarens webbplats, runt reklamen, med länkar till
ytterligare information är ett bra exempel. Artikel 29-arbetsgruppen uppmanar
leverantörerna av annonsnätverk/utgivarna att vara kreativa inom detta område.
Utfärdat i Bryssel den 22 juni 2010
På arbetsgruppens vägnar
Ordföranden
Jacob KOHNSTAMM
26
