Google er ikke et norsk selskap, og EU har ønsket å se på hva slags regelverk Google skal forholde seg til i de forskjellige land de opererer i.
Artikkel 29-gruppen er et EU-oppnevnt, rådgivende organ som skal følge med på hvordan personvernregelverket etterleves i EU og EØS-området.
Rådet har sagt at EØS-regelverket kommer til anvendelse, hvilket vil si at nasjonale regelverk vil gjelde for Google.
- Det betyr at Google må forholde seg til norske regler, forteller seniorrådgiver Guro Slettemark i Datatilsynet til digi.no.
Bestemmelsen gjelder når man bruker «utstyr» som fysisk er plassert i et EØS-land i databehandlingen. Som et eksempel trekker Artikkel 29-gruppen frem brukerens datamaskin og bruk av lokale cookies.
Artikkel 29-gruppen mener på den annen side at datalagringsdirektivet med bestemmelser om kommunikasjonskontroll av trafikkdata, ikke skal gjelde for søkemotorer. Det synes Slettemark er oppsiktvekkende.
Gruppen viser til at dette fører med seg en rekke plikter for søkemotorene:
- De kan bare bruke personopplysninger til legitime årsaker, og ikke samle inn mer enn det de trenger for å oppnå sitt formål.
- De må slette eller anonymisere personopplysninger de ikke lenger trenger
Artikkel 29-gruppen kan ikke se at det er grunner for å lagre personopplysninger lenger enn i seks måneder, men påpeker at nasjonal lovgivningn kan kreve en enda kortere lagringstid.
- Cookies skal ikke ha lenger levetid enn det som er nødvendig
- Søkemotorene må gi brukere klar og forståelig informasjon om hvor de holder til, og hvem som står bak. De må også informeres om hvilke personopplysninger som innhentes, lagres eller videresendes, og hvilket formål man behandler opplysningene for.
- Dersom man lager brukerprofiler ved å legge til personopplysninger hentet fra andre kilder enn den opplysningene gjelder, man ha samtykke fra den enkelte.
- Dersom man skal lagre indviduell søkehistorikk, må man ha samtykke fra den enkelte.
Søkemotorene bør respektere webstedenes redaktører når de ber om at nettstedet ikke blir indeksert eller mellomlagret.
- Når søkemotorene mellomlagrer, må de respektere den enkeltes rett til å få overskuddsinformasjon og uriktig informasjon slettet.
- Søkemotorer som lager profiler av personer eller bruker ansiktsgjenkjenning må ha et rettslig grunnlag for å behandle opplysningene, for eksempel samtykke fra den det gjelder. De må også imøtekomme alle andre krav i personverndirektivet, som blant annet krav til opplysningenes kvalitet.
- Når personverndirektivet gjelder for søkemotorenes bruk av personopplysninger, får den enkelte en del rettigheter, blant annet en rett til å få innsyn, og rette om nødvendig, personopplysninger om dem selv, inkludert egen profil og egen søkehistorikk.
De vil også få en rett til at søkemotorene ikke skal kunne samkjøre personopplysninger hentet fra forskjellige tjenester hos søkemotor-firmaet uten samtykke fra den enkelte.
