Σάββατο 20 Σεπτεμβρίου 2008

Μηχανές αναζήτησης και προστασία δεδομένων

Στις 4.4.2008 η επιτροπή του άρθρου 29 της οδηγίας 95/46 εξέδωσε γνωμοδότηση (opinion) για ζητήματα προστασίας προσωπικών δεδομένων στις μηχανές αναζήτησης του Διαδικτύου.

Οι τελευταίες έχουν καταστεί απαραίτητο βοήθημα στους χρήστες του Διαδικτύου, καθώς προσφέρουν καθοδήγηση στο πλήθος των πληροφοριών του Διαδικτύου. Η λειτουργικότητά τους, έτσι, είναι πολύ σημαντική κατά την περιήγηση στο Διαδίκτυο, ενδεικτικό είναι ιδίως ότι ενσωματώνονται ως εργαλειοθήκη στους φυλλομετρητές, ενώ ο φυλλομετρητής Google Chrome ενσωματώνει τις λειτουργίες τους στη γραμμή διευθύνσεων.

Είναι γεγονός, όμως, ότι οι μηχανές αναζήτησης μπορεί να λειτουργήσουν και ως "κερκόπορτα" για την παραβίαση προσωπικών δεδομένων. Αυτός είναι ο λόγος που τίθενται στο επίκεντρο της έρευνας της ομάδας εργασίας του άρθρου 29 της οδηγίας 95/46/ΕΚ.

Η επιτροπή επισημαίνει ότι η οδηγία 95/46 για την προστασία των προσωπικών δεδομένων εφαρμόζεται και στην επεξεργασία δεδομένων που διενεργείται από τους παρόχους μηχανών αναζήτησης, όταν συλλέγουν τα δεδομένα αναζήτησης ή ειδικότερα, όταν παρέχουν υπηρεσίες προσωρινής αποθήκευσης (caching) ή δημιουργίας προφίλ χρηστών του Διαδικτύου.

Ωστόσο, δεν εφαρμόζεται η οδηγία 2006/24 περί διατήρησης δεδομένων (data retention) στις μηχανές αναζήτησης.

Το σχετικό έγγραφο προβαίνει σε εκτενή ανάλυση των υπηρεσιών των μηχανών αναζήτησης και του νομικού πλαισίου της προστασίας δεδομένων, καταλήγει δε σε ορισμένα συμπεράσματα. Κατά πρώτον, τα προσωπικά δεδομένα πρέπει να συλλέγονται και να επεξεργάζονται για νόμιμους λόγους, ενώ, όταν δεν είναι πλέον αναγκαία πρέπει να διαγράφονται ή να ανωνυμοποιούνται.

Οι περίοδοι διατήρησης των δεδομένων πρέπει να είναι σύντομοι και να τελούν σε αναλογία με τον επιδιωκόμενο σκοπό. Αυτό ισχύει και για τα cookies και flash cookies, για τα οποία πρέπει οι χρήστες να ενημερώνονται. Προσοχή συνίσταται ιδίως στη συλλογή πρόσθετων στοιχείων για τους χρήστες, με σκοπό τη δημιουργία προφίλ. Θα πρέπει για αυτό, να ζητείται η συγκατάθεση των χρηστών στην επεξεργασία δεδομένων.

Τέλος, επισημαίνεται ότι θα πρέπει να παρέχονται στους χρήστεςτα δικαιώματα που προβλέπει η οδηγία (πληροφόρησης, πρόσβασης, διόρθωσης κλπ).

Ειδικότερα, τα συμπεράσματα της γνωμοδότησης έχουν ως εξής:

Applicability of EC Directives
1. The Data Protection Directive (95/46/EC) generally applies to the processing of personal data by search engines, even when their headquarters are outside of the EEA.
2. Non-EEA based search engine providers should inform their users about the conditions in which they must comply with the Data Protection Directive, whether by establishment or by the use of equipment.
3. The Data Retention Directive (2006/24/EC) does not apply to internet search engines.

Obligations on search engine providers
4. Search engines may only process personal data for legitimate purposes and the amount of data has to be relevant and not excessive in respect of the various purposes to be achieved.
5. Search engine providers must delete or anonymise (in an irreversible and efficient way) personal data once they are no longer necessary for the purpose for which they were collected. The Working Party calls for the development of appropriate anonymisation schemes by search engine providers.
6. Retention periods should be minimised and be proportionate to each purpose put forward by search engine providers. In view of the initial explanations given by search engine providers on the possible purposes for collecting personal data, the Working Party does not see a basis for a retention period beyond 6 months. However, national legislation may require earlier deletion of personal data. In case search engine providers retain personal data longer than 6 months, they must demonstrate comprehensively that it is strictly necessary for the service. In any case, the information about the data retention period chosen by search engine providers should be easily accessible from their homepage.
7. While search engine providers inevitably collect some personal data about the users of their services, such as their IP address, resulting from standard HTTP traffic, it is not necessary to collect additional personal data from individual users in order to be able to perform the service of delivering search results and advertisements.
8. If search engine providers use cookies, their lifetime should be no longer than demonstrably necessary. Similarly to web cookies, flash cookies should only be installed if transparent information is provided about the purpose for which they are installed and how to access, edit and delete this information.
9. Search engine providers must give users clear and intelligible information about their identity and location and about the data they intend to collect, store or transmit, as well as the purpose for which they are collected.
10. Enrichment of user profiles with data not provided by the users themselves is to be based on the consent of the users.
11. If search engine providers provide means to retain the individual search history, they should make sure they have the consent of the user.
12. Search engines should respect website editor opt-outs indicating that the website should not be crawled and indexed or included in the search engines’ caches.
13. When search engine providers provide a cache, in which personal data are being made available for longer than the original publication, they must respect the right of data subjects to have excessive and inaccurate data removed from their cache.
27 The Working Party recommends a layered model for privacy policy as described in the WP Opinion on More Harmonised Information Provisions
14. Search engine providers that specialise in the creation of value added operations, such as profiles of natural persons (so called ‘people search engines’) and facial recognition software on images must have a legitimate ground for processing, such as consent, and meet all other requirements of the Data Protection Directive, such as the obligation to guarantee the quality of data and fairness of processing.

Rights of users
15. Users of search engine services have the right to access, inspect and correct if necessary, according to Article 12 of the Data Protection Directive (95/46/EC), all their personal data, including their profiles and search history.
16. Cross-correlation of data originating from different services belonging to the search engine provider may only be performed if consent has been granted by the user for that specific service.

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου