15 nov 2019

Brug af Facebook plug-ins på hjemmesider kan være i strid med databeskyttelsesreglerne

EU-Domstolen har i en konkret sag fra Tyskland slået fast, at hjemmesider, der anvender tredjeparts plug-in, såsom eksempelvis Facebooks ”Synes godt om”-knap eller ”dele-knap”, med henblik på sporing og online markedsføring, er fælles dataansvarlig for behandling af brugernes personoplysninger sammen med Facebook.

De faktiske omstændigheder i sagen var relativt simple. En online modeforhandler havde placeret en ”Synes godt om”-knap på deres hjemmeside, som var forbundet med Facebook Ireland.

Hvad anvendes sociale plug-ins til?

Facebooks "Synes godt om"-knap er et socialt plug-in, der giver hjemmesidens brugere mulighed for at klikke på "Synes godt om"-knappen og dermed vise på deres Facebook-profil, at de "synes om" et bestemt produkt eller tjeneste. Webstedet bruger denne plug-in til at optimere deres annoncering på Facebook, så målrettede annoncer kan vises til de personer, der har "synes godt om" de pågældende produkter.

Websteder med en integreret "Synes godt om"-knap indsamler imidlertid personoplysninger (f.eks. IP-adresser og browserdata) om de brugere, der besøger hjemmesiden. Disse oplysninger indsamles ikke kun fra de personer, der klikker på "Synes godt om"-knappen, men også andre hjemmesidebrugere, der ikke klikker på knappen, samt dem der ikke har en Facebook-konto. Disse data overføres derefter til Facebook.

Overførsel af personoplysninger skete uden samtykke fra de besøgende på hjemmesiden

En tysk forbrugersammenslutning kritiserede dette og anlagde sag hos den nationale domstol med påstand om at bringe denne praksis til ophør. Påstanden var begrundet i, at modeforhandleren havde overført personoplysninger om hjemmesidens besøgende til Facebook Ireland, dels uden de besøgendes samtykke og dels i strid med de oplysningskrav, der er fastsat i databeskyttelseslovgivningen.

Hvem er dataansvarlig i forbindelse med sociale plug-ins?

Afgørelsen præciserer forholdet mellem webstedsoperatører og det sociale medie, hvis plug-in er integreret på hjemmesiden med henblik på brugersporing og online markedsføring. Ved at integrere et socialt medie plug-in har hjemmesideudbyderen også haft en aktiv rolle i at indhente og dele (og dermed anvende) de data, der indhentes om den besøgende. Derfor bliver hjemmesideudbyderen fælles dataansvarlig med den operatør, hvis plug-in er integreret på hjemmesiden, f.eks. Facebook.

Sådan bør du forholde dig til anvendelsen af sociale plug-ins

Afgørelsen slår endvidere fast, at hjemmesideudbydere, som overfører data til sociale medieplatforme, skal sørge for at informere de besøgende i overensstemmelse med databeskyttelsesforordningens regler og indhente udtrykkeligt samtykke forud for videregivelsen af personoplysningerne.

Afgørelsen forventes at påvirke de kontraktmæssige vilkår, som virksomhederne skal have på plads, når de integrerer sådanne sociale plug-ins til deres hjemmesider. Databeskyttelsesreglerne stiller nemlig krav til, at hjemmesideudbyderen og den pågældende sociale medieplatform har taget stilling til ansvarsfordelingen mellem dem. Derudover er det vores opfattelse, at rigtig mange hjemmesider anvender de såkaldte plugins, uden at der indhentes samtykke hertil fra den besøgende. Det er derfor vigtigt, at alle hjemmesideudbydere får gennemgået og tilpasset deres cookie- og privatlivspolitik, som oftest er den tekst, der indhentes samtykke til, når den besøgende kommer ind på hjemmesiden.

Har du spørgsmål eller brug for rådgivning i forbindelse med reglerne for implementering af sociale plug-ins på din hjemmeside, eller ønsker du hjælp til udarbejdelse af en cookie- eller privatlivspolitik, så er du altid meget velkommen til at kontakte os.

Tak for din henvendelse

Vi har sendt dig en kvittering via mail og kontakter dig hurtigst muligt.

Har du brug for rådgivning vedrørende cookie- eller privatlivspolitik?

Vores advokater står klar til at hjælpe

Vil du vide mere, eller har du brug for hjælp, så udfyld felterne. Så kontakter vi dig hurtigst muligt.

Vi anbefaler, at du ikke indtaster nogle følsomme personoplysninger (f.eks. helbredsoplysninger) eller cpr. nr. i kontaktformularen.