Søkemotorers plikter - Artikkel 29-gruppen

Personverndirektivet gjelder for søkemotorer som tilbyr tjenester til brukere i EØS-land.

Artikkel 29-gruppen er et EU-oppnevnt, rådgivende organ som skal følge med på hvordan personvernregelverket etterleves i EU og EØS-området.

Personverndirektivet gjelder for søkemotorer, selv om hovedkvarteret til virksomheten ligger utenfor EØS-området. Normalt vil personverndirektivet også gjelde for søkemotorer som ikke er etablert i EØS-området. Her vises det blant annet til at man bruker ”utstyr” som fysisk er plassert i et EØS-land,  i databehandlingen. Som et eksempel trekker Artikkel 29-gruppen frem brukerens datamaskin, bruk av lokale cookies, etc.

Imidlertid mener artikkel 29-gruppen at datalagringsdirektivet ikke gjelder for søkemotorer.

Gruppen viser til at dette fører med seg en rekke plikter for søkemotorene:

  1. De kan bare bruke personopplysninger til legitime årsaker, og ikke samle inn mer enn det de trenger for å oppnå sitt formål. 
  2. De må slette eller anonymisere personopplysninger de ikke lenger trenger
  3. Artikkel 29-gruppen kan ikke se at det er grunner for å lagre personopplysninger lenger enn i seks måneder, men påpeker at nasjonal lovgivningen kan kreve en enda kortere lagringstid.
  4. Cookies skal ikke ha lenger levetid enn det som er nødvendig
  5. Søkemotorene må gi brukere klar og forståelig informasjon om hvor de holder til, og hvem som står bak. De må også informeres om hvilke personopplysninger som innhentes, lagres eller videresendes, og hvilket formål man behandler opplysningene for.
  6. Dersom man lager brukerprofiler ved å legge til personopplysninger hentet fra andre kilder enn den opplysningene gjelder, man ha samtykke fra den enkelte.
  7. Dersom man skal lagre indviduell søkehistorikk, må man ha samtykke fra den enkelte.
  8. Søkemotorene bør respektere webstedenes redaktører når de ber om at nettstedet ikke blir indeksert eller mellomlagret.
  9. Når søkemotorene mellomlagrer, må de respektere den enkeltes rett til å få overskuddsinformasjon og uriktig informasjon slettet.
  10. Søkemotorer som lager profiler av personer eller bruker ansiktsgjenkjenning må ha et rettslig grunnlag for å behandle opplysningene, for eksempel samtykke fra den det gjelder. De må også imøtekomme alle andre krav i personverndirektivet, som blant annet krav til opplysningenes kvalitet.

Når personverndirektivet gjelder for søkemotorenes bruk av personopplysninger, får den enkelte en del rettigheter, blant annet en rett til å få innsyn, og rette om nødvendig, personopplysninger om dem selv, inkludert egen profil og egen søkehistorikk. 

De vil også få en rett til at søkemotorene ikke skal kunne samkjøre personopplysninger hentet fra forskjellige tjenester hos søkemotor-firmaet uten samtykke fra den enkelte.