GROEP GEGEVENSBESCHERMING ARTIKEL 29
10972/03/NL/def. WP 76
Advies 2/2003 over de toepassing van de gegevensbeschermingsbeginselen op de Whois directories
Goedgekeurd op 13 juni 2003
De Groep is opgericht op grond van artikel 29 van Richtlijn 95/46/EG. Zij is het onafhankelijke Europese adviesorgaan inzake gegevensbescherming en de persoonlijke levenssfeer. De taken van de Groep zijn omschreven in artikel 30 van Richtlijn 95/46/EG en in artikel 14 van Richtlijn 97/66/EG. Het secretariaat wordt verzorgd door de Europese Commissie, DG Interne markt, directoraat E “Diensten, intellectuele en industriële eigendom, media en gegevensbescherming” - B-1049 Brussel - België - Kamer: C100-6/136. Internetadres: www.europa.eu.int/comm/privacy
Advies over de toepassing van de gegevensbeschermingsbeginselen op de Whois directories DE GROEP VOOR DE BESCHERMING VAN PERSONEN IN VERBAND MET DE VERWERKING VAN PERSOONSGEGEVENS Opgericht bij Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 19951, Gelet op artikel 29 en artikel 30, lid 1, onder a), en lid 3, van deze richtlijn, en op artikel 14, lid 3, van Richtlijn 97/66/EG van het Europees Parlement en van de Raad van 15 december 1997, Gelet op haar reglement en met name op de artikelen 12 en 14 daarvan, heeft het volgende advies goedgekeurd: 1. Inleiding: De Whois directories geven aanleiding tot heel wat discussie vanuit het oogpunt van de gegevensbescherming. Whois gegevens heeft betrekking op degenen die een domeinnaam hebben geregistreerd en bevat met name informatie over de naam van het contactpunt voor de domeinennaam, met telefoonnummer, e-mailadres en andere persoonlijke gegevens. Deze gegevens werden oorspronkelijk openbaar gemaakt om mensen die voor netwerken werken de mogelijkheid te bieden bij problemen contact op te nemen met de persoon die technisch verantwoordelijk is voor een ander netwerk, een ander domein. Het doel is als zodanig gerechtvaardigd. De Groep is zich bewust van het toenemende belang van de Whois discussie nu steeds meer individuele personen (particulieren) hun eigen domeinnamen registreren en er in verschillende landen klachten zijn geweest over verkeerd gebruik van de Whois gegevens. Met de registratie van domeinnamen door individuele personen zijn andere juridische aspecten gemoeid dan met registratie door bedrijven of andere rechtspersonen, hetgeen verder in dit advies uitvoeriger aan bod zal komen. De Groep heeft daarom met belangstelling de werkzaamheden van de ICANN Whois Task Force over de Whois directories gevolgd alsmede de activiteiten van de International Working Group on Data Protection in Telecommunications op dit gebied2. De Groep is zich ervan bewust dat er een Whois discussie zal plaatsvinden in het kader van de ICANN/GAC conferentie die eind juni in Montreal zal worden gehouden. De Groep wil met dit advies aan deze discussie een bijdrage leveren. Zij behandelt hierin een aantal fundamentele vraagstukken die voortvloeien uit de toepassing van de gegevensbeschermingsbeginselen op de Whois directories. Dit advies is gericht op de Whois directories, maar, in de mate waarin dezelfde of soortgelijke omstandigheden
1
2
PB L 281 van 23.11.1995, blz. 31, beschikbaar op: http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm. Gemeenschappelijk standpunt over privacy- en gegevensbeschermingaspecten van de registratie van domeinnamen op internet, goedgekeurd tijdens de 27e vergadering van de Groep op 4/5 mei 2000 in Rethymnon / Kreta, beschikbaar op http://www.datenschutz-berlin.de/doc/int/iwgdpt/dns_en.htm ) 2
gelden, kunnen dezelfde overwegingen worden toegepast op andere registers van domeinnamen en IP-adressen op regionaal niveau, zoals RIPE voor Europa, AP-NIC voor Azië, enz. 2. Toepassing van de gegevensbeschermingsbeginselen op de Whois directories: • Uit het oogpunt van de gegevensbescherming is het van zeer groot belang in duidelijke bewoordingen vast te stellen wat het doel is van de Whois directories en welke doelstellingen als rechtmatig en in overeenstemming met het oorspronkelijke doel kunnen worden beschouwd. In de verslagen van de Whois Task Force is hierover niets terug te vinden. Dit is een zeer delicate aangelegenheid omdat het doel van de Whois directories niet kan worden uitgebreid tot andere doelstellingen alleen maar omdat dit door sommige potentiële gebruikers van de bestanden wenselijk wordt geacht. Sommige doelstellingen die problemen kunnen opleveren uit het oogpunt van gegevensbescherming (compatibiliteit) zijn bijvoorbeeld het gebruik van de gegevens door spelers in de particuliere sector die zelf voor politieagent spelen in verband met vermeende inbreuken op hun rechten, bv. op het gebied van digitaal rechtenbeheer. • In artikel 6c van de richtlijn worden duidelijke beperkingen opgelegd aan het verzamelen en verwerken van persoonsgegevens. De gegevens moeten relevant zijn en niet bovenmatig ten opzichte van het specifieke doel. In het licht hiervan is het van belang om de hoeveelheid persoonsgegevens die moet worden verzameld en verwerkt, te beperken. Hier moet met name rekening mee worden gehouden wanneer gepraat worden over de wensen van sommige partijen om de uniformiteit van de verschillende Whois directories te versterken. Met de registratie van domeinnamen door individuele personen zijn andere juridische aspecten gemoeid dan met registratie door bedrijven of andere rechtspersonen. - In het eerste geval is de publicatie van bepaalde informatie over het bedrijf of de organisatie (zoals hun identificatiegegevens en hun fysieke adres) vaak een wettelijke eis in het kader van de commerciële of professionele activiteiten die zij uitoefenen. Er zij echter op gewezen dat ook in de gevallen waarin bedrijven of organisaties domeinnamen registreren, individuele personen er niet toe gedwongen kunnen worden hun naam als contactpunt te laten publiceren, en dit als gevolg van het recht op verzet. - In het tweede geval, wanneer een individu een domeinnamen registreert, is de situatie anders. Aangezien het duidelijk is dat de identiteit en de contactformatie bij zijn of haar dienstenaanbieder bekend is, is er geen enkele wettelijke grond om de verplichte publicatie van persoonsgegevens over de desbetreffende persoon te rechtvaardigen. Een dergelijke publicatie van de persoonsgegevens van individuen, bv. hun adres en telefoonnummer, zou in strijd zijn met hun recht om zelf te bepalen of zij hun persoonsgegevens in een openbaar bestand willen laten opnemen en zo ja, in welk bestand3. De oorspronkelijke doelstelling van de Whois directories kan echter worden gehandhaafd aangezien de gegevens van de desbetreffende persoon bij de internetdienstenaanbieder bekend zijn die, in geval van probleem in verband met de site, met de persoon contact kan opnemen4. 3
Artikel 12, lid 2, van Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie).
4
Een dergelijk systeem bestaat in verschillende Europese landen zoals in Frankrijk (via AFNIC) en het Verenigd Koninkrijk. In het VK bv. kunnen individuele registranten van domeinnamen ('tag-holders') 3
•
•
•
•
Op grond van het evenredigheidsbeginsel moet naar methoden worden gezocht die minder inbreuk maken op de privacy en toch in overeenstemming zijn met de doelstellingen van de Whois directories, zonder dat alle gegevens meteen online voor iedereen toegankelijk zijn. Zoals in de inleiding reeds is vermeld, kunnen de internetdienstenaanbieders op dit gebied een belangrijke rol spelen, hetgeen zij trouwens in sommige landen al doen. In ieder geval zouden filtermechanismen moeten worden ontwikkeld om beperking van de doelstellingen te garanderen in de interfaces die toegang geven tot de bestanden. Het feit dat persoonsgegevens openbaar beschikbaar zijn betekent niet dat de bepalingen van de gegevensbeschermingsrichtlijn niet meer op die gegevens van toepassing zijn. Integendeel, zoals in vorige adviezen van de Groep reeds is aangegeven5, blijkt uit de formulering van de gegevensbeschermingswetgeving dat deze ook van toepassing is op persoonsgegevens die openbaar zijn gemaakt: zelfs nadat persoonsgegevens openbaar zijn, zijn het nog steeds persoonlijke gegevens met het gevolg dat de betrokkenen nog steeds recht hebben op bescherming m.b.t. de verwerking van hun gegevens. De Groep is met name bezorgd over de voorstellen voor meer doorzoekbare Whois-faciliteiten. In dit verband wil zij wijzen op de conclusies in haar advies 5/2000 over Het gebruik van openbare abonneelijsten voor omgekeerd zoeken of zoeken met meervoudige criteria (Omgekeerde abonneelijsten)6: de verwerking van persoonsgegevens in de vorm van omgekeerd zoeken of zoeken met meervoudige criteria zonder eenduidige en geïnformeerde toestemming van de abonnee, is oneerlijk en onrechtmatig. De Groep wil uiting geven aan haar steun voor de voorstellen betreffende de nauwkeurigheid van de gegevens (hetgeen ook een van de beginselen is van de Europese gegevensbeschermingsrichtlijn7) en een beperking van massale toegang voor direct marketing. Massaal gebruik van Whois gegevens voor direct marketing is geenszins in overeenstemming met de doelstellingen waarvoor de directories zijn opgezet en worden onderhouden. Op grond van de bepalingen van de elektronische-communicatierichtlijn8 moet elk gebruik van e-mailadressen voor direct marketing uitsluitend gebaseerd zijn op een opt-in keuze.
De Groep doet een beroep op ICANN en Whois om privacybevorderende methoden te hanteren bij het beheer van de Whois directories, op een manier die zowel recht doet aan de oorspronkelijke doelstellingen van de directories als aan de bescherming van de rechten van individuele personen. Laatstgenoemden moeten in ieder geval de mogelijkheid hebben om domeinnamen te registreren zonder dat hun persoonsgegevens in een openbare registers terechtkomen.
5
een entry in Whois “per adres”van hun internetdienstenaanbieder hebben, hetgeen betekent dat iemand die een probleem heeft met een website, contact kan opnemen met de eigenaar ervan via de internetdienstenaanbieder, zonder dat het adres enz. van de registrant in een openbare gegevensbank verschijnt. Advies 3/99 betreffende overheidsinformatie en de bescherming van persoonsgegevens, goedgekeurd op 3 mei 1999: WP 20
6
http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wpdocs_2k.htm
7
Zie artikel 6d van de richtlijn.
8
Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie). 4
Voor de Groep De Voorzitter Stefano RODOTA
5