GROEP GEGEVENSBESCHERMING ARTIKEL 29
01189/09/NL WP 163
Advies 5/2009 over online sociale netwerken
Goedgekeurd op 12 juni 2009
De groep is opgericht op grond van artikel 29 van Richtlijn 95/46/EG. Zij is een onafhankelijk Europees adviesorgaan inzake gegevensbescherming en de persoonlijke levenssfeer, waarvan de taken zijn omschreven in artikel 30 van Richtlijn 95/46/EG en in artikel 15 van Richtlijn 2002/58/EG. Het secretariaat wordt verzorgd door directoraat D (Grondrechten en burgerschap) van het directoraat-generaal Justitie, vrijheid en veiligheid van de Europese Commissie, 1049 Brussel, België, kamer LX-46 01/02. Website: http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm
Inhoud Samenvatting.............................................................................................................................. 3 1.
Inleiding ............................................................................................................................. 4
2.
Definitie en businessmodel van sociale netwerkdiensten .................................................. 5
3.
Toepasselijkheid van de richtlijn gegevensbescherming ................................................... 5 3.1.
Wie is de voor de verwerking verantwoordelijke?..................................................... 5
3.2.
Veiligheid en standaardinstellingen op het gebied van privacy ................................. 7
3.3.
Door sociale netwerkdiensten te verstrekken gegevens ............................................. 8
3.4.
Gevoelige gegevens.................................................................................................... 8
3.5.
Verwerking van gegevens betreffende niet-leden...................................................... 9
3.6.
Toegang voor derden.................................................................................................. 9
3.7.
Rechtsgrondslagen voor direct marketing................................................................ 10
3.8.
Bewaren van gegevens ............................................................................................. 11
3.9.
Rechten van gebruikers ............................................................................................ 12
4.
Kinderen en minderjarigen............................................................................................... 13
5.
Samenvatting van rechten en plichten.............................................................................. 14
2
Samenvatting In dit advies wordt vooral belicht hoe sociale netwerksites te werk kunnen gaan om aan de eisen van de EU-wetgeving inzake gegevensbescherming te voldoen. Het is met name de bedoeling de aanbieders van sociale netwerkdiensten richtsnoeren te bieden voor de maatregelen die zij moeten nemen om aan de EU-wetgeving te voldoen. In het advies wordt geconstateerd dat de aanbieders van sociale netwerkdiensten, en in vele gevallen ook externe aanbieders van toepassingen, als “voor de verwerking verantwoordelijke” optreden en dus de daarbij behorende verantwoordelijkheden hebben ten opzichte van de gebruikers. Beschreven wordt hoe veel gebruikers uitsluitend in de persoonlijke sfeer te werk gaan en contact maken met mensen in het kader van hun persoonlijke aangelegenheden of die van hun gezin of huishouden. In het advies wordt betoogd dat in dergelijke gevallen de vrijstelling voor huishoudelijk gebruik geldt en de regelgeving inzake de voor de verwerking verantwoordelijken niet van toepassing is. Ook worden specifieke omstandigheden genoemd waarin de activiteiten van een gebruiker van sociale netwerkdiensten niet onder deze vrijstelling vallen. De verspreiding en het gebruik van op sociale netwerkdiensten beschikbare informatie voor andere, secundaire of onbedoelde doeleinden is waar de Groep Artikel 29 met name over bezorgd is. In het hele advies worden een robuuste beveiliging en privacyvriendelijke standaardinstellingen aanbevolen als ideaal uitgangspunt voor alle aangeboden diensten. De toegang tot in het profiel opgenomen informatie is een zeer belangrijk punt van zorg. Ook wordt aandacht besteed aan onderwerpen als de verwerking van gevoelige gegevens en afbeeldingen, reclame en direct marketing op sociale netwerksites en gegevensbewaring. De belangrijkste aanbevelingen betreffen de verplichting van de aanbieders van sociale netwerkdiensten om de richtlijn gegevensbescherming na te leven en de rechten van gebruikers te respecteren en versterken. Het is van het allergrootste belang dat de aanbieders van sociale netwerkdiensten vanaf het begin hun gebruikers over hun identiteit inlichten en een overzicht geven van alle verschillende doeleinden waarvoor zij persoonsgegevens verwerken. Aanbieders van sociale netwerkdiensten dienen bijzondere zorgvuldigheid in acht te nemen ten aanzien van de verwerking van persoonsgegevens van minderjarigen. In het advies wordt gebruikers aanbevolen afbeeldingen van of informatie over andere personen slechts te uploaden met toestemming van de betrokkenen. De aanbieders van sociale netwerkdiensten hebben bovendien de plicht gebruikers voor te lichten over de privacyrechten van anderen.
3
DE GROEP VOOR DE BESCHERMING VAN PERSONEN IN VERBAND MET DE VERWERKING VAN PERSOONSGEGEVENS, Opgericht bij Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 19951, Gelet op artikel 29 en artikel 30, lid 1, onder a), en lid 3, van die richtlijn en artikel 15, lid 3, van Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002, Gelet op artikel 255 van het Verdrag tot oprichting van de Europese Gemeenschap en op Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie, Gelet op het reglement van orde van de Groep, HEEFT HET VOLGENDE DOCUMENT GOEDGEKEURD:
1.
Inleiding
De ontwikkeling van webgemeenschappen en hosted services zoals sociale netwerkdiensten is een relatief recent fenomeen. Het aantal gebruikers van dergelijke sites neemt nog steeds exponentieel toe. Met de persoonlijke informatie die gebruikers op de site plaatsen, in combinatie met gegevens over de handelingen van de gebruikers en hun interactie met anderen, kan een uitgebreid profiel worden opgesteld van de belangstelling en de activiteiten van de betrokken personen. Op sociale netwerksites gepubliceerde persoonsgegevens kunnen door derden worden gebruikt voor allerlei doelen, ook voor commerciële doeleinden. Dit kan tot grote risico’s leiden, zoals identiteitsdiefstal, financieel verlies, verlies van zakelijke kansen of arbeidsmogelijkheden en fysieke schade. De Internationale Werkgroep van Berlijn voor gegevensbescherming in de telecommunicatie heeft in maart 2008 het Memorandum van Rome2 aangenomen. In dat memorandum worden de privacy- en veiligheidsrisico’s van sociale netwerken geanalyseerd en richtsnoeren gegeven voor regelgevers, aanbieders en gebruikers. Ook in de pas aangenomen resolutie over de bescherming van de persoonlijke levenssfeer bij sociale netwerkdiensten3 worden de problemen aangekaart die door sociale netwerkdiensten ontstaan. De groep heeft ook rekening gehouden met het beleidsstuk van het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) Security Issues and Recommendations for Online Social Networks4 van oktober 2007, gericht op regelgevende instanties en aanbieders van sociale netwerkdiensten.
1
2 3
4
Publicatieblad van de Europese Unie L 281 van 23.11.1995, blz. 31. http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm http://www.datenschutz-berlin.de/attachments/461/WP_social_network_services.pdf Goedgekeurd op de 30e internationale conferentie van commissarissen voor de bescherming van gegevens en de persoonlijke levenssfeer, Straatsburg 17 oktober 2008: http://www.privacyconference2008.org/adopted_resolutions/STRASBOURG2008/resolution_social_ne tworks_en.pdf http://www.enisa.europa.eu/doc/pdf/deliverables/enisa_pp_social_networks.pdf
4
2.
Definitie en businessmodel van sociale netwerkdiensten
Sociale netwerkdiensten kunnen ruwweg worden omschreven als online communicatieplatforms waarop personen kunnen deelnemen aan netwerken van gelijkgezinde gebruikers of dergelijke netwerken kunnen opzetten. Uit juridisch oogpunt zijn sociale netwerken diensten van de informatiemaatschappij, zoals gedefinieerd in artikel 1, lid 2, van Richtlijn 98/34/EG, gewijzigd bij richtlijn 98/48/EG. Sociale netwerkdiensten hebben bepaalde gemeenschappelijk kenmerken: – gebruikers worden uitgenodigd persoonsgegevens te verstrekken om een beschrijving van henzelf, een zogeheten profiel, samen te stellen; – sociale netwerkdiensten bieden ook gereedschappen aan waarmee gebruikers hun eigen materiaal kunnen plaatsen (door gebruikers vervaardigde inhoud zoals foto’s of dagboeknotities, muziek, videoclips of links naar andere sites)5; – “sociaal netwerken” wordt mogelijk gemaakt door middel van gereedschappen die voor elke gebruiker een lijst van contactpersonen genereren waarmee gebruikers kunnen communiceren. Sociale netwerkdiensten genereren een groot deel van hun inkomsten door middel van advertenties die worden getoond naast de webpagina’s die door gebruikers zijn opgezet en worden opgevraagd. Gebruikers die in hun profiel veel informatie over hun interesses plaatsen, vormen een doelgroep bij uitstek voor adverteerders die op basis van die informatie doelgerichte advertenties genereren. Het is daarom van belang dat sociale netwerkdiensten zodanig functioneren dat de rechten en vrijheden worden gerespecteerd van de gebruikers, die legitiem mogen verwachten dat de persoonsgegevens die zij verstrekken worden verwerkt overeenkomstig de Europese en de nationale wetgeving inzake gegevensbescherming en bescherming van de persoonlijke levenssfeer.
3.
Toepasselijkheid van de richtlijn gegevensbescherming
De richtlijn gegevensbescherming is in de meeste gevallen van toepassing op aanbieders van sociale netwerkdiensten, ook als hun hoofdkantoor buiten de EER is gevestigd. Voor nadere richtsnoeren inzake de vestigingsplaats en het gebruik van apparatuur als zaken die voor de toepasselijkheid van de richtlijn bepalend zijn, en de regels die dan gelden voor de verwerking van IP-adressen en het gebruik van cookies, verwijst de Groep Artikel 29 naar haar eerdere advies over zoekmachines6.
3.1.
Wie is de voor de verwerking verantwoordelijke?
Aanbieders van sociale netwerkdiensten Aanbieders van sociale netwerkdiensten zijn voor de verwerking verantwoordelijken in de zin van de richtlijn gegevensbescherming. Zij verstrekken de middelen voor de verwerking van gebruikersgegevens en bieden alle fundamentele diensten betreffende gebruikersbeheer aan (bijvoorbeeld het openen en verwijderen van accounts). Aanbieders van sociale 5
6
In gevallen als deze, waarin sociale netwerkdiensten elektronische communicatiediensten aanbieden, is ook Richtlijn 2002/58/EG (richtlijn betreffende privacy en elektronische communicatie) van toepassing. Advies 1/2008 over gegevensbescherming en zoekmachines (WP 148).
5
netwerkdiensten bepalen ook welk gebruik kan worden gemaakt van gebruikersgegevens voor reclame- en marketingdoeleinden, waaronder advertenties van derden. Aanbieders van applicaties Aanbieders van applicaties kunnen eveneens voor de verwerking verantwoordelijken zijn, indien zij applicaties ontwikkelen die als aanvulling op de applicaties van de sociale netwerkdienst functioneren, en gebruikers besluiten een dergelijke applicatie te gebruiken. Gebruikers In de meeste gevallen worden de gebruikers beschouwd als “betrokkenen”. De richtlijn legt aan natuurlijke personen die persoonsgegevens verwerken in het kader van “activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden” niet de verplichtingen van een voor de verwerking verantwoordelijke op (de vrijstelling voor huishoudelijk gebruik). In bepaalde omstandigheden kan het voorkomen dat de activiteiten van de gebruiker van een sociale netwerkdienst niet onder deze vrijstelling vallen, en kan de gebruiker worden geacht bepaalde verantwoordelijkheden van een voor de verwerking verantwoordelijke op zich te hebben genomen. Enkele van deze omstandigheden worden hieronder besproken. 3.1.1.
Doel en aard
Een groeiende trend bij sociale netwerkdiensten is de verschuiving van Web 2.0 voor amusement naar Web 2.0 voor productiviteit en diensten7. Daarvan is sprake wanneer de activiteiten van gebruikers van sociale netwerkdiensten niet meer alleen persoonlijke of huishoudelijke doeleinden dienen, maar zich uitstrekken tot gebruik van deze diensten als samenwerkingsplatform voor een organisatie of bedrijf. De vrijstelling geldt niet wanneer een gebruiker van sociale netwerkdiensten namens een bedrijf of organisatie optreedt of de diensten gebruikt voor commerciële, politieke of charitatieve doeleinden. De gebruiker geldt in zo’n geval wel degelijk ten volle als de “voor de verwerking verantwoordelijke”, die persoonsgegevens verstrekt aan een andere voor de verwerking verantwoordelijke (de sociale netwerkdienst) en aan derden (andere gebruikers en mogelijk nog andere voor de verwerking verantwoordelijken die tot de gegevens toegang hebben). De gebruiker moet in zulke omstandigheden de toestemming hebben van de betrokkenen, of een van de rechtsgrondslagen die de richtlijn gegevensbescherming biedt, moet van toepassing zijn. De toegang tot gegevens (profielgegevens, berichtjes, verhalen e.d.) van een gebruiker is doorgaans beperkt tot door de gebruiker zelf gekozen contactpersonen. In sommige gevallen verzamelen gebruikers echter een groot aantal contactpersonen, die ze misschien niet allemaal echt kennen. Een groot aantal contactpersonen kan een aanwijzing vormen dat de vrijstelling voor huishoudelijk gebruik niet geldt en de gebruiker dus als “voor de verwerking verantwoordelijke” moet worden beschouwd. 3.1.2.
Toegang tot profielgegevens
Sociale netwerkdiensten moeten zorgen voor privacyvriendelijke en standaardinstellingen die de toegang beperken tot zelf gekozen contactpersonen.
7
kosteloze
“Internet of the future: Europe must be a key player” – redevoering van Viviane Reding, Europees commissaris voor informatiemaatschappij en media, uitgesproken tijdens de bijeenkomst Toekomst van internet (een initiatief van de Europese Raad van Lissabon), Brussel, 2 februari 2009.
6
Wanneer profielinformatie ook toegankelijk is voor anderen dan zelfgekozen contactpersonen, zoals wanneer een profiel voor alle leden van een sociale netwerkdienst toegankelijk is8 of de gegevens kunnen worden geïndexeerd door zoekmachines, is er sprake van toegang buiten de persoonlijke of huishoudelijke sfeer. Ook wanneer een gebruiker er weloverwogen voor kiest toegang te verlenen aan personen buiten de kring van zelfgekozen “vrienden”, is er sprake van de status van voor de verwerking verantwoordelijke. In dat geval gelden in feite dezelfde wettelijke regels als wanneer iemand via een ander technologisch platform persoonsgegevens op het web openbaar maakt9. In een aantal lidstaten betekent het ontbreken van toegangsbeperkingen (en daardoor het openbare karakter) dat de richtlijn gegevensbescherming van toepassing is en de internetgebruiker de status van voor de verwerking verantwoordelijke heeft10. Er zij aan herinnerd dat, ook als de ontheffing voor huishoudelijk gebruik niet van toepassing is, een gebruiker van sociale netwerkdiensten voor andere ontheffingen in aanmerking kan komen, zoals de ontheffing voor journalistieke of voor artistieke of literaire doeleinden. In dergelijke gevallen dient een afweging te worden gemaakt tussen de vrijheid van meningsuiting en het recht op bescherming van de persoonlijke levenssfeer. 3.1.3.
Verwerking van gegevens van derden door gebruikers
De geldigheid van de ontheffing voor huishoudelijk gebruik wordt ook beperkt doordat de rechten van derden moeten worden gewaarborgd, met name wanneer het om gevoelige gegevens gaat. Ook wanneer de ontheffing voor huishoudelijk gebruik van toepassing is, kan een gebruiker bovendien algemeen civiel- of strafrechtelijk aansprakelijk zijn (bijvoorbeeld in het geval van smaad, aansprakelijkheid uit onrechtmatige daad wegens schending van persoonlijkheidsrechten, strafrechtelijke aansprakelijkheid).
3.2.
Veiligheid en standaardinstellingen op het gebied van privacy
De veilige verwerking van informatie is bij sociale netwerkdiensten een wezenlijke voorwaarde voor het vertrouwen. De voor de verwerking verantwoordelijken moeten “zowel bij het ontwerpen als bij de uitvoering van de verwerking” passende technische en organisatorische maatregelen treffen om de veiligheid te waarborgen en ongeoorloofde verwerking te verhinderen, rekening houdend met de risico’s die de verwerking en de aard van de gegevens met zich meebrengen11. Een belangrijk onderdeel van de privacyinstellingen betreft de toegang tot persoonsgegevens die in een profiel zijn opgenomen. Indien er geen beperkingen zijn op de toegang tot dergelijke gegevens, kunnen derden koppelingen maken naar allerlei intieme details betreffende de gebruikers, hetzij als gebruikers van de sociale netwerkdiensten of via zoekmachines. Slechts een minderheid van de gebruikers die zich voor een sociale netwerkdienst registreren, zal de standaardinstellingen echter wijzigen. Sociale netwerkdiensten moeten er dan ook voor zorgen dat de standaardinstellingen de privacy van
8
9 10
11
Of wanneer kan worden gesteld dat bij het aanvaarden van contactpersonen geen werkelijke keuze wordt gemaakt, bijvoorbeeld wanneer gebruikers contactpersonen aanvaarden ongeacht de relatie die tussen hen bestaat. Bijvoorbeeld via publicatiemiddelen die geen sociale netwerkdiensten zijn of met zelf gehoste software. Het Europees Hof van Justitie oordeelt in het Satamedia-arrest in rechtsoverweging 44 daarentegen: “Deze tweede uitzondering moet dus in die zin worden uitgelegd dat zij uitsluitend betrekking heeft op activiteiten die tot het persoonlijk of gezinsleven van particulieren behoren (zie arrest Lindqvist, punt 47). Dit is duidelijk niet het geval met betrekking tot de activiteiten van Markkinapörssi en Satamedia, die tot doel hebben, de verzamelde gegevens ter kennis te brengen van een onbestemd aantal personen.” Artikel 17 en overweging 46 van de richtlijn gegevensbescherming.
7
de gebruikers respecteren, waarbij de gebruikers vrijelijk en bewust kunnen instemmen met toegang tot de inhoud van hun profiel door anderen dan de zelfgekozen contactpersonen, zodat het risico van onwettige verwerking door derden wordt verminderd. Profielen met beperkte toegang moeten niet opspoorbaar zijn voor interne zoekmachines; dit geldt ook voor de mogelijkheid om te zoeken op gegevens als leeftijd of locatie. De beslissing om de toegang uit te breiden mag niet impliciet zijn12, bijvoorbeeld door een “opt-out” die door de beheerder van de sociale netwerkdienst wordt aangeboden.
3.3.
Door sociale netwerkdiensten te verstrekken gegevens
Artikel 10 van de richtlijn gegevensbescherming bepaalt dat aanbieders van sociale netwerkdiensten gebruikers moeten informeren over de identiteit van de aanbieder en de verschillende doeleinden waarvoor deze persoonsgegevens verwerkt, zoals onder meer: – gebruik van gegevens ten behoeve van direct marketing; – mogelijke verstrekking van gegevens aan gespecificeerde categorieën derden; – een overzicht van profielen, hoe deze worden gecreëerd en wat de belangrijkste gegevensbronnen zijn; – gebruik van gevoelige gegevens. De Groep doet de volgende aanbevelingen: – aanbieders van sociale netwerkdiensten zouden gebruikers op passende wijze moeten waarschuwen voor de privacyrisico’s voor henzelf en anderen bij het uploaden van gegevens naar de sociale netwerkdienst; – gebruikers van sociale netwerkdiensten moet erop worden gewezen dat het uploaden van informatie over anderen een inbreuk kan zijn op de privacy- en gegevensbeschermingsrechten van die personen; – gebruikers van sociale netwerkdiensten moet worden meegedeeld dat zij afbeeldingen of informatie over anderen slechts met toestemming van de betrokkenen mogen uploaden13.
3.4.
Gevoelige gegevens
Gegevens waaruit iemands raciale of etnische afkomst, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuiging of vakbondslidmaatschap blijkt of betreffende iemands gezondheid of seksleven worden als gevoelig beschouwd. Gevoelige gegevens mogen alleen
12
13
In het Report and Guidance on Privacy in Social Network Services (“Rome Memorandum”) worden risico’s aangegeven zoals het “misleidende gemeenschapsgevoel” (blz. 2) en het “prijsgeven van meer informatie dan je denkt” (blz. 3). Een computerbeveiligingsbedrijf heeft een grote sociale netwerkdienst gewaarschuwd voor het standaard toegang verlenen aan leden in dezelfde geografische locatie: http://www.sophos.com/pressoffice/news/articles/2007/10/facebook-network.html Dit kan gemakkelijker worden gemaakt met hulpmiddelen om tags te beheren op de website van de sociale netwerkdienst. In het persoonlijke profiel van een gebruiker kan bijvoorbeeld worden aangegeven dat zijn of haar naam voorkomt bij getagde afbeeldingen of video’s die op toestemming wachten. Ook zouden tags waarvoor de betrokkene geen toestemming heeft gegeven na een bepaalde tijd automatisch kunnen vervallen.
8
op internet worden gezet met de uitdrukkelijke toestemming van de betrokkene, of als de betrokkene zelf de gegevens kennelijk openbaar heeft gemaakt14. In sommige lidstaten van de EU worden afbeeldingen van personen als een speciale categorie persoonsgegevens beschouwd, aangezien deze gebruikt kunnen worden om raciale of etnische afkomst te onderscheiden of om religieuze overtuiging of gezondheidstoestand eruit af te leiden. De Groep beschouwt afbeeldingen op internet in het algemeen niet als gevoelige gegevens15, tenzij die afbeeldingen duidelijk worden gebruikt om gevoelige gegevens over personen te doen blijken. Sociale netwerkdiensten mogen, als voor de verwerking verantwoordelijken, geen gevoelige gegevens over hun leden of andere personen verwerken zonder de uitdrukkelijke toestemming van de betrokkene16. Indien een sociale netwerkdienst in het formulier voor het opstellen van een profiel vragen stelt betreffende gevoelige gegevens, moet zeer duidelijk worden aangegeven dat het beantwoorden van die vragen volstrekt vrijwillig is.
3.5.
Verwerking van gegevens betreffende niet-leden
Veel sociale netwerkdiensten laten hun leden gegevens over anderen bijdragen, zoals een naam toevoegen aan een afbeelding, een waardering toekennen aan personen, lijsten opstellen van personen die leden willen ontmoeten of hebben ontmoet. Door middel van deze tags kunnen ook niet-leden worden geïdentificeerd. Het verwerken van dergelijke gegevens over niet-leden door een sociale netwerkdienst is echter alleen toegestaan als aan een van de criteria van artikel 7 van de richtlijn gegevensbescherming is voldaan. Voor het creëren van kant-en-klare profielen van niet-leden door gegevens te verzamelen die onafhankelijk door leden zijn aangeleverd, waaronder relatiegegevens die zijn afgeleid uit geüploade adresboeken, bestaat geen rechtsgrondslag17. Zelfs al zou de sociale netwerkdienst in staat zijn de niet-gebruiker in te lichten over het bestaan van persoonsgegevens met betrekking tot hem, dan zou een eventuele uitnodiging per e-mail om lid te worden, om zo toegang te krijgen tot die persoonsgegevens, in strijd zijn met het verbod in artikel 13, lid 4, van de e-privacyrichtlijn op de verzending van ongevraagde elektronische post met het oog op direct marketing.
3.6.
Toegang voor derden
3.6.1.
Toegang via de sociale netwerkdienst
Naast hun kerndiensten bieden de meeste sociale netwerkdiensten hun gebruikers ook extra applicaties aan, die geleverd worden door derde ontwikkelaars, die eveneens persoonsgegevens verwerken.
14
15
16 17
De lidstaten kunnen uitzonderingen op deze regel toestaan; zie artikel 8, lid 2, onder a), en lid 4, van de richtlijn gegevensbescherming. De publicatie van afbeeldingen op internet geeft echter steeds vaker aanleiding tot bezorgdheid om privacyredenen, naarmate de technieken voor gezichtsherkenning beter worden. Deze toestemming moet een vrije, specifieke en op informatie berustende wilsuiting zijn. Overweging 38 van de richtlijn gegevensbescherming luidt: “Overwegende dat eerlijke verwerking van gegevens veronderstelt dat de betrokkenen van het bestaan van de verwerkingen op de hoogte kunnen zijn en, wanneer van hen gegevens worden verkregen, daadwerkelijk en volledig worden ingelicht over de omstandigheden waaronder deze gegevens worden verkregen.” Voor sommige sociale netwerkdiensten is de publicatie van profielen van niet-leden naar verluidt een belangrijke manier om hun “diensten” op de markt te zetten.
9
Sociale netwerkdiensten moeten ervoor kunnen zorgen dat applicaties van derden aan de richtlijn gegevensbescherming en de e-privacyrichtlijn voldoen. Dit houdt met name in dat gebruikers duidelijke en specifieke informatie moeten krijgen over de verwerking van hun persoonsgegevens en dat de sociale netwerkdienst uitsluitend toegang heeft tot noodzakelijke persoonsgegevens. De sociale netwerkdienst moet derde ontwikkelaars derhalve gelaagde toegang bieden, zodat deze ontwikkelaars een toegangswijze kunnen kiezen die wezenlijk beperkter van aard is. De sociale netwerkdienst moet bovendien zorgen dat gebruikers problemen met applicaties gemakkelijk kunnen melden. 3.6.2.
Toegang voor derden via de gebruiker
Sociale netwerkdiensten staan soms toe dat gebruikers hun gegevens benaderen en bijwerken door middel van andere applicaties. Gebruikers kunnen dan bijvoorbeeld: – berichten op het netwerk lezen en plaatsen met hun mobiele telefoon; – de contactgegevens van hun vrienden in het sociale netwerk synchroniseren met het adresboek op hun computer; – hun staties of locatie in het sociale netwerk actualiseren via een andere website. Sociale netwerkdiensten publiceren hulpmiddelen voor het ontwikkelen van deze software in de vorm van een “application programming interface” of “API”. Derden kunnen met behulp daarvan software schrijven die deze taken uitvoert, zodat gebruikers vrijelijk kunnen kiezen tussen verschillende derde aanbieders van software18. Wanneer een sociale netwerkdienst een API aanbiedt die toegang tot contactgegevens mogelijk maakt, moet worden voorzien in – een mate van verfijning die de gebruiker een toegangsniveau voor de applicatie laat instellen dat precies voldoende is om de gewenste taak uit te voeren. Wanneer diensten van derden namens een gebruiker toegang hebben tot persoonsgegevens met behulp van een API voor derden, mogen – gegevens niet langer worden verwerkt en bewaard dan nodig is voor het uitvoeren van een specifieke taak; – geen andere verrichtingen uitvoeren met de geïmporteerde persoonsgegevens dan voor persoonlijk gebruik door de betrokken gebruiker.
3.7.
Rechtsgrondslagen voor direct marketing
Direct marketing is een wezenlijk onderdeel van het bedrijfsmodel van sociale netwerkdiensten, hoewel deze andere marketingmodellen kunnen gebruiken. Marketing waarbij gebruik wordt gemaakt van persoonsgegevens van gebruikers moet echter voldoen aan de desbetreffende bepalingen van de richtlijn gegevensbescherming en de e-privacyrichtlijn19.
18
19
“API” is een brede technische term, maar hier wordt ermee gedoeld op toegang namens een gebruiker, dat wil zeggen dat de gebruiker zijn inloggegevens aan de software opgeeft, zodat die namens hem kan optreden. De Groep Artikel 29 heeft het voornemen binnenkort een afzonderlijk document uit te brengen over de verschillende aspecten van online-reclame.
10
Contextuele marketing is afgestemd op de inhoud die de gebruiker op een bepaald moment bekijkt of benadert20. Bij gesegmenteerde marketing worden advertenties gericht op bepaalde groepen gebruikers21; gebruikers worden in een groep ingedeeld aan de hand van de informatie die zij rechtstreeks aan de sociale netwerkdienst hebben verstrekt22. Bij gedragsmarketing worden advertenties geselecteerd aan de hand van observatie en analyse van de activiteiten van de gebruikers in de loop van de tijd. Voor deze technieken kunnen verschillende wettelijke vereisten gelden, afhankelijk van de toepasselijke rechtsgrondslag en kenmerken van de gebruikte technieken. De Groep beveelt aan bij op het gedrag gebaseerde reclame geen gebruik te maken van gevoelige gegevens, tenzij aan alle juridische vereisten is voldaan. Welk model of combinatie van modellen ook wordt gekozen, advertenties kunnen ofwel direct door de sociale netwerkdienst worden aangeleverd (de aanbieder van de sociale netwerkdienst treedt dan op als makelaar) of door een derde. In het eerste geval hoeven de persoonsgegevens niet aan derden te worden verstrekt. In het tweede geval kan het echter zijn dat de derde die de advertenties plaatst, persoonsgegevens van de gebruikers verwerkt, bijvoorbeeld het IP-adres van de gebruiker of een cookie op de computer van de gebruiker.
3.8.
Bewaren van gegevens
Sociale netwerkdiensten vallen buiten de definitie van “elektronische-communicatiedienst” in artikel 2, onder c), van de kaderrichtlijn 2002/21/EG. Aanbieders van sociale netwerkdiensten kunnen echter ook aanvullende diensten aanbieden die wel onder de definitie van elektronische-communicatiedienst vallen, zoals openbaar toegankelijke e-mail. Voor zo’n dienst gelden de bepalingen van de e-privacyrichtlijn en de richtlijn betreffende de bewaring van gegevens. Sommige sociale netwerkdiensten laten hun gebruikers uitnodigingen sturen aan derden. Het verbod op het gebruik van e-mail voor direct marketing is niet van toepassing op persoonlijke communicatie. De ontheffing voor persoonlijke communicatie is uitsluitend van toepassing wanneer de sociale netwerkdienst aan de volgende criteria voldoet: – er mag geen druk worden uitgeoefend op zender of ontvanger; – de aanbieder mag de geadresseerden van het bericht niet kiezen23; – de identiteit van de gebruiker die het bericht verzendt, moet duidelijk zijn aangegeven; – de gebruiker die het bericht verzendt moet op de hoogte zijn van de volledige inhoud van het namens hem te verzenden bericht. Sommige sociale netwerkdiensten bewaren identificatiegegevens van gebruikers die van de dienst zijn verwijderd, zodat ze zich niet opnieuw kunnen inschrijven. Deze gebruikers moet dan worden meegedeeld dat hun gegevens met dit doel worden verwerkt. Bovendien mogen
20
21 22 23
Als op de bekeken pagina bijvoorbeeld het woord “Parijs” voorkomt, zou een advertentie bijvoorbeeld een restaurant in Parijs kunnen aanprijzen. Groepen worden gedefinieerd op grond van criteria. Bijvoorbeeld wanneer een gebruiker zich bij de dienst inschrijft. Dat wil zeggen dat de methode die sommige sociale netwerkdiensten toepassen, waarbij uitnodigingen zonder onderscheid aan het hele adresboek van een gebruiker worden verstuurd, niet is toegestaan.
11
alleen identificatiegegevens worden bewaard, en niet de redenen waarom deze personen zijn verwijderd. Deze informatie mag niet langer dan één jaar worden bewaard. Persoonsgegevens die een gebruiker heeft verstrekt bij de inschrijving voor een sociale netwerkdienst moeten worden gewist zodra de gebruiker of de sociale netwerkdienst het account opzegt24. Ook mag informatie die een gebruiker verwijdert wanneer hij zijn account bijwerkt, niet worden bewaard. Sociale netwerkdiensten moeten hun gebruikers van tevoren over deze bewaringstermijnen inlichten met de middelen die hun ter beschikking staan. Om juridische en veiligheidsredenen kan het in bepaalde gevallen aanvaardbaar zijn om bijgewerkte of verwijderde gegevens en accounts enige tijd te bewaren, namelijk om malicieuze activiteiten in verband met identiteitsdiefstal en andere strafbare feiten te helpen tegengaan. Wanneer een gebruiker de dienst een bepaalde tijd niet gebruikt, moet zijn profiel op nonactief worden gesteld, dat wil zeggen dat het voor de buitenwereld niet langer zichtbaar mag zijn; na verloop van nog een termijn moeten de gegevens in het opgegeven account worden gewist. Sociale netwerkdiensten moeten hun gebruikers van tevoren hierover inlichten met de middelen die hun ter beschikking staan.
3.9.
Rechten van gebruikers
Sociale netwerkdiensten moeten de rechten van de gebruikers van wie zij de gegevens verwerken respecteren, overeenkomstig de artikelen 12 en 14 van de richtlijn gegevensbescherming. Het recht op toegang en rectificatie mag niet beperkt zijn tot gebruikers van de dienst, maar moet ook gelden voor elke andere natuurlijke persoon van wie gegevens worden verwerkt25. Zowel leden als niet-leden van een sociale netwerkdienst moeten de gelegenheid krijgen hun recht op toegang, correctie en verwijdering uit te oefenen. Op de homepage van de sociale netwerkdienst moet duidelijk worden aangegeven dat deze beschikt over een afdeling voor de afhandeling van klachten, die zich bezighoudt met problemen op het gebied van gegevensbescherming en privacy en klachten van zowel leden als niet-leden in behandeling neemt. Overeenkomstig artikel 6, lid 1, onder c), van de richtlijn gegevensbescherming moeten de persoonsgegevens “toereikend, ter zake dienend en niet bovenmatig […] zijn, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt”. In dit verband kan worden opgemerkt dat sociale netwerkdiensten bepaalde identificatiegegevens over hun leden moeten registreren, maar dat er geen reden is om de werkelijke naam van deze leden op internet te publiceren. Sociale netwerkdiensten moeten dus zorgvuldig overwegen of zij zich kunnen veroorloven om hun gebruikers te dwingen onder hun werkelijke naam actief te zijn in plaats van met een pseudoniem. Er zijn goede argumenten om gebruikers wat dit betreft een keuze te bieden; bovendien is dat in ten minste één lidstaat wettelijk verplicht. Dit geldt des te meer voor sociale netwerkdiensten met een groot aantal leden.
24
25
Overeenkomstig artikel 6, lid 1, onder e), van de richtlijn gegevensbescherming mogen persoonsgegevens “in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer […]worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, noodzakelijk is”. Bijvoorbeeld wanneer iemands e-mailadres door de sociale netwerkdienst is gebruikt om hem een uitnodiging te sturen.
12
Overeenkomstig artikel 17 van de richtlijn gegevensbescherming moet de voor de verwerking verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer leggen om persoonsgegevens te beveiligen. Deze beveiligingsmaatregelen moeten met name toegangscontrole- en authenticatiemechanismen omvatten die ook kunnen worden toegepast wanneer een pseudoniem wordt gebruikt.
4.
Kinderen en minderjarigen
Veel sociale netwerkdiensten worden gebruikt door kinderen en minderjarigen. In advies WP 16026 van de Groep wordt speciaal de toepassing van de beginselen van gegevensbescherming op school en in het onderwijs behandeld. In dat advies wordt benadrukt dat rekening moet worden gehouden met het belang van het kind, zoals ook in het VN-Verdrag inzake de rechten van het kind is opgenomen. De Groep onderstreept het grote belang van dit beginsel, ook in de context van sociale netwerkdiensten. Gegevensbeschermingsautoriteiten overal ter wereld hebben een aantal interessante initiatieven27 genomen, die zich met name richten op voorlichting over sociale netwerkdiensten en de mogelijke risico’s ervan. De Groep dringt aan op verder onderzoek naar de moeilijkheden rond toereikende leeftijdscontrole en bewijs van op informatie berustende toestemming. Dit onderzoek moet het mogelijk maken deze kwesties beter aan te pakken. Op basis van de genoemde overwegingen is de Groep van oordeel dat een veelzijdige strategie nodig is voor de bescherming van de gegevens van kinderen in verband met sociale netwerkdiensten. Zo’n strategie kan bestaan uit: – voorlichtingsinitiatieven, een noodzakelijk middel om de actieve betrokkenheid van kinderen te waarborgen (d.m.v. betrokkenheid van scholen, opneming van de beginselen van gegevensbescherming in het lesprogramma, ontwikkeling van speciale leermiddelen, medewerking van de nationale bevoegde instanties); – eerlijke en rechtmatige verwerking van gegevens van minderjarigen, bijvoorbeeld door op inschrijfformulieren niet te vragen naar gevoelige gegevens, geen direct marketing speciaal op minderjarigen te richten, voor inschrijving eerst om de toestemming van de ouders te vragen en de gemeenschap voor kinderen in voldoende mate af te schermen van die voor volwassenen; – toepassing van technologieën ter bevordering van de persoonlijke levenssfeer, zoals privacyvriendelijke standaardinstellingen, waarschuwingsschermen in de fasen waar dat nodig is, software voor leeftijdscontrole; – zelfregulering door de aanbieders om te bevorderen dat gedragscodes tot stand komen met effectieve handhavingsmaatregelen, ook van disciplinaire aard; – waar nodig invoering van speciale wetgeving om oneerlijke en/of misleidende praktijken op het gebied van sociale netwerkdiensten te ontmoedigen.
26 27
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2009/wp160_nl.pdf Bijvoorbeeld het Europese “Dadus”-initiatief http://dadus.cnpd.pt/ of de Deense ChatCheck-badge http://www.fdim.dk/.
13
5.
Samenvatting van rechten en plichten
Toepasselijkheid van EG-richtlijnen 1.
De richtlijn gegevensbescherming is algemeen van toepassing op de verwerking van persoonsgegevens door sociale netwerkdiensten, ook wanneer deze hun hoofdkantoor buiten de EER hebben.
2.
Aanbieders van sociale netwerkdiensten worden beschouwd als voor de verwerking verantwoordelijken in de zin van de richtlijn gegevensbescherming.
3.
Aanbieders van applicaties zouden kunnen worden beschouwd als voor de verwerking verantwoordelijken in de zin van de richtlijn gegevensbescherming.
4.
De gebruikers zijn de betrokkenen waar het gaat om de verwerking van hun gegevens door sociale netwerkdiensten.
5.
De verwerking van persoonsgegevens valt in de meeste gevallen onder de vrijstelling voor huishoudelijk gebruik. Er zijn gevallen waarin de activiteiten van een gebruiker niet onder deze ontheffing vallen.
6.
Sociale netwerkdiensten vallen buiten de definitie van elektronischecommunicatiedienst, wat inhoudt dat de richtlijn gegevensbewaring op sociale netwerkdiensten niet van toepassing is.
Plichten van sociale netwerkdiensten 7.
Sociale netwerkdiensten moeten hun gebruikers informeren over de identiteit van de aanbieder en volledige en duidelijke informatie verstrekken over de doeleinden waarvoor en verschillende methoden waarmee de persoonsgegevens zullen worden verwerkt.
8.
Sociale netwerkdiensten standaardinstellingen.
9.
Aanbieders van sociale netwerkdiensten moeten gebruikers op passende wijze inlichten over en waarschuwen voor de privacyrisico’s bij het uploaden van gegevens naar de sociale netwerkdienst.
11.
Gebruikers van sociale netwerkdiensten moet worden meegedeeld dat zij afbeeldingen of informatie over anderen slechts met toestemming van de betrokkenen mogen uploaden.
12.
Op de homepage van de sociale netwerkdienst moet in ieder geval een koppeling worden geplaatst naar een klachtenafdeling die klachten van zowel leden als niet-leden over gegevensbescherming kan afhandelen.
13.
Marketingactiviteiten moeten voldoen aan de voorschriften van de richtlijn gegevensbescherming en de e-privacyrichtlijn.
14.
Sociale netwerkdiensten moeten een maximale termijn hanteren voor de bewaring van gegevens van niet-actieve gebruikers. Opgegeven accounts moeten worden verwijderd.
moeten
14
zorgen
voor
privacyvriendelijke
15.
Sociale netwerkdiensten moeten passende maatregelen nemen om de risico’s voor minderjarigen te beperken.
Rechten van gebruikers 16.
Zowel leden als niet-leden van sociale netwerkdiensten hebben in voorkomend geval de rechten die betrokkenen genieten overeenkomstig de artikelen 10 tot en met 14 van de richtlijn gegevensbescherming.
17.
Zowel leden als niet-leden moeten toegang hebben tot een door de sociale netwerkdienst opgezette gebruikersvriendelijke procedure voor de behandeling van klachten.
18.
Gebruikers moet in het algemeen worden toegestaan gebruik te maken van een pseudoniem.
Gedaan te Brussel, 12 juni 2009
Voor de Groep De voorzitter Alex Türk
15
