Søgemaskiners håndtering af persondata undersøges af EU
Af Bender von Haller Dragsted

Artikel 29-gruppen, som er nedsat af EU-kommissionen, undersøger i et nyt working paper, hvorvidt databeskyttelsesdirektivets bestemmelser overholdes, når søgemaskiner på Internettet behandler personlige oplysninger. Her konkluderes det, at flere af de formål hvortil persondataene indsamles, er i strid med direktivet. 

Artikel 29-gruppen er en ekspertgruppe, der udelukkende beskæftiger sig med beskyttelse af personer i forbindelse med behandling af personoplysninger. Den er nedsat af EU-kommissionen og den udarbejder løbende working papers, hvori den tager stilling til aktuelle persondatarelaterede problemstillinger.  

I 1995 udstedte Europa-parlamentet og Rådet Databeskyttelsesdirektivet. Direktivet er implementeret i dansk lov ved Lov om Behandling af Personoplysninger (persondataloven). Som udgangspunkt skal alle udbydere af søgemaskiner opfylde kravene i direktivet, såfremt de indsamler og behandler personoplysninger inden for EU.  

Direktivet finder anvendelse, når der er tale om personoplysninger. Med dette menes både personoplysninger i bred forstand, såsom CPR-numre, kreditkortnumre samt e-mailadresser og personoplysninger i form af log filer, IP-adresser, søgehistorik og oplysninger genereret ved brug af cookies. Ved cookies forstås små tekstfiler som placeres på brugerens computer af en webside, som brugeren besøger og som benyttes til at identificere brugeren samt til at gemme oplysninger om brugernavn, foretrukne indstillinger og lignende.   

Artikel 29-gruppen fastslår, at udbydere af søgemaskiner som udgangspunkt kan indsamle og behandle personoplysninger såfremt i) der foreligger samtykke fra brugeren, ii) indsamlingen og behandlingen er nødvendig til opfyldelse af en kontrakt, hvor brugeren er part eller iii) indsamlingen og behandlingen er nødvendig for at kunne forfølge en legitim interesse; altså en interesseafvejning mellem på den ene side udbyderen af søgemaskinen og på den anden side brugeren. Såfremt en af disse tre legitime grunde ikke foreligger, må udbyderen ikke behandle personoplysningerne.  

Endvidere tager Artikel 29-gruppen stilling til en række grunde som adspurgte udbydere af søgemaskiner har angivet til indsamling og behandling af personoplysninger. Såfremt formålet er en forbedring af udbyderens generelle søgetjeneste, vil personoplysningerne skulle anonymiseres, idet dette ikke er et lovligt behandlingsformål. Årsagen til dette er, at en specifik identifikation ikke er nødvendig, for at kunne opnå formålet med indsamlingen.  

Ønskes det derimod at gøre systemet mere sikkert eller at forhindre bedrageri og misbrug, vil lovligheden af indsamlingen/behandlingen afhænge af hvorvidt dataene og opbevaringen af disse er nødvendig.  

Såfremt indsamling og behandling kan finde sted, følger det af direktivets art. 6 (persondatalovens § 5), at personoplysninger skal behandles rimeligt og lovligt, at de kun må indsamles til udtrykkeligt angivne formål, at senere behandling ikke må være uforeneligt med disse formål samt at oplysningerne ikke må omfatte mere end hvad der kræves til opfyldelse af formålet. Der er således tale om, at indsamling og behandling skal ske i overensstemmelse med god databehandlingsskik. Der stilles endvidere krav om, at brugerne informeres om hvilke data, der er blevet indsamlet, samt hvad dataene skal bruges til.  

Artikel 29-gruppen påpeger endvidere nogle områder, hvor udbyderne af søgemaskiner skal være særligt opmærksomme. Det specificeres blandt andet, at såfremt persondata opbevares, må opbevaringsperioden ikke være længere, end hvad der er nødvendigt for at opfylde det specifikke formål med opbevaringen. En sådan periode kan efter ekspertgruppens opfattelse ikke overstige 6 måneder. Under alle omstændigheder, skal udbyderne af søgemaskiner informere brugerne om deres opbevarings-politik.  

Også anvendelsen af cookies har påkaldt sig ekspertgruppens opmærksomhed. De fleste browsere er installeret til at acceptere cookies. Det er dog muligt at indstille browseren til at afvise alle cookies, kun at acceptere udvalgte cookies eller til at angive, hvornår en cookie bliver sendt. Det er imidlertid ikke alle services, der fungerer optimalt, når eventuelle cookies fravælges. Hertil kommer anvendelsen af flash cookies. Disse bruges f.eks. som back up til de almindelige cookies, idet de ikke lige så let kan slettes fra browseren. Som følge heraf, er udbyderne forpligtede til at informere brugerne om eventuelle cookies, der vil blive placeret på computeren, samt om hvordan cookie´en kan nægtes eller afinstalleres. Den omstændighed, at det er muligt at fravælge cookies, fritager således ikke udbyderen fra at opfylde sin informationspligt.   

Endvidere påpeger ekspertgruppen, at mange af de udløbsdatoer, som udbyderne af søgemaskinerne fastsætter for cookies, er alt for lange, idet flere først udløber efter adskillige år. Udbyderne skal derfor sørge for, at en passende levetid for de forskellige cookies fastsættes. Sammenfattende, kan en udbyder anvende cookies såfremt: 

• Brugeren informeres om, at en cookie er blevet placeret.
• Brugeren informeres om formålet med placeringen af cookie´en.
• Brugeren får mulighed for på en let måde at frabede sig eller afinstallere eventuelle cookies, herunder vejledning hertil.
• Cookie´ens levetid er passende. Artikel 29-gruppen foreslår, at levetiden ikke overstiger 6 måneder.
• Brugeren gives generel information om udbyderens brug af cookies og effekten af disse. 

Det danske datatilsyn er repræsenteret i Artikel 29-gruppen og har således medvirket til udarbejdelsen af working paper´et. Datatilsynet mener, at udtalelsen vil være en hjælp for både søgemaskiner og brugerne af disse.  

Du kan læse mere om Datatilsynet her

Du kan læse hele Artikel 29-gruppens Working Paper her  

Relaterede artikler (0):

Eksterne links: (0):