EU-dom slår fast: Både Facebook og sideadministratoren er dataansvarlig

Nyhed
19.06.2019

EU-Domstolen har for nyligt afsagt en dom, som bl.a. omhandler, hvilken rolle Facebook har i forhold til databeskyttelsesforordningen. EU-Domstolen slår i afgørelsen fast, at administratoren af en fan-side på Facebook har et fælles dataansvar med Facebook i forhold til indsamling af personoplysninger fra personer, der besøger den pågældende fan-side.

Den konkrete sag er opstået i Tyskland, hvor det tyske datatilsyn tidligere har truffet en afgørelse om, at en uddannelsesinstitution skulle lukke sin fan-side på Facebook. Afgørelsen blev truffet som følge af, at hverken uddannelsesinstitutionen eller Facebook informerede de besøgende om de personoplysninger, der blev indsamlet ved brug af cookies, når personerne besøgte fan-siden. Afgørelsen er baseret på det tidligere gældende persondatadirektiv, men da dette i væsentlig grad er videreført i databeskyttelsesforordningen, må afgørelsen ligeledes få betydning for fortolkningen af forordningens regler.

 

En fanside er en til formålet oprettet side på Facebook, som kan oprettes af både offentlige myndigheder, virksomheder og private personer. Fansiden oprettes ved, at administratoren opretter sig på Facebook, hvorefter administratoren kan anvende siden til at præsentere et bestemt indhold for besøgende på siden. Siden vil typisk være åben, hvilket vil sige, at den kan tilgås af alle.  

 

I den konkrete sag stillede Facebook - uden beregning - anonyme statistiske data om de besøgende til rådighed for uddannelsesinstitutionen. Oplysningerne blev indsamlet via cookies med en unik brugerkode placeret af Facebook på brugernes enheder, som blev brugt til at besøge fanside, f.eks. en mobiltelefon, tablet eller computer. Facebook placerede cookies hos brugerne uanset, om den pågældende bruger havde en Facebook-konto eller ej. De anvendte cookies var aktive i to år efter besøget på fansiden, medmindre brugeren aktivt slettede dem. Facebook kunne efterfølgende koble den unikke brugerkode sammen med de oplysninger, som Facebook var i besiddelse af om brugerne og dermed identificere dem.

 

Administratoren af fansiden havde ved oprettelsen af siden defineret en målgruppe for indholdet af siden. Administratoren kunne endvidere ved hjælp af filtre, som Facebook stiller til rådighed, definere de kriterier, som statistikkerne skulle udarbejdes på grundlag af, samt angive kategorier af personer, som Facebook skulle indsamle oplysninger om.

 

EU-Domstolen slår fast, at både Facebook og administratoren er dataansvarlig

EU-Domstolen slår i afgørelsen fast, at Facebooks irske selskab er dataansvarlig, når de behandler personoplysninger om alle de brugere, som besøger de fan-sider, der er hostet af Facebook. Dette begrundes af EU-Domstolen med, at Facebook har adgang til ikke-anonymiserede, identificerbare personoplysninger, som Facebook bruger til målrettet reklame på de pågældende brugeres egen Facebook-startside.  

 

Derudover fastslår EU-Domstolen, at administratoren af en fanside på Facebook også skal anses som dataansvarlig i forhold til behandlingen af personoplysninger på den konkrete fan-side. Dette begrundes af EU-Domstolen med, at administratoren bidrager til at afgøre, hvilket formål og med hvilke hjælpemidler der foretages behandling af personoplysninger om brugerne på fansiden. Der opstår dermed det, der i databeskyttelsesforordningen betagnes som et ”fælles dataansvar” mellem administratoren og Facebook. Dette på trods af, at uddannelsesinstitutionen, som administrerer fan-siden – alene modtager anonymiserede, statistiske oplysninger fra Facebook.

 

Et fælles dataansvar opstår når to eller flere dataansvarlige er fælles om ansvaret for behandling af en række personoplysninger og dermed også de forpligtelser, der følger med et dataansvar.

 

Grundlaget for EU-Domstolens statuering af fælles dataansvar er, at administratoren af fan-siden også er med til at afgøre, hvad formålet er med behandlingen af de personoplysninger, der sker via fan-siden, og hvilke hjælpemidler der skal anvendes hertil. Domstolen lægger særligt vægt på, at administratoren kan efterspørge demografiske data i anonymiseret form om sidens målgruppe, herunder information om livsstil, hovedinteresser og geografiske oplysninger. Administratoren bliver således i stand til at målrette information om events og tilbud mod bestemte grupper.

 

Datatilsynets bemærkninger til afgørelsen

Datatilsynet er efter afsigelsen af dommen kommet med en udtalelse om dommens betydning. Datatilsynet synes generelt at være enige i de fortolkninger og tanker, som EU-Domstolen har lagt vægt på ved udfaldet af afgørelsen. Man kan ikke sige, at Datatilsynet direkte advarer myndigheder og virksomheder mod at oprette en Facebook-side, men Datatilsynet udtaler, at enhver enhed, som ønsker at oprette en fan-side på Facebook, nøje bør overveje, hvorvidt man kan påtage sig et fælles dataansvar med Facebook.

 

HjulmandKaptain udtaler

EU-Domstolens afgørelse får således betydning for de virksomheder og offentlige myndigheder, som benytter Facebooks fan-sider og dermed tillader Facebook at indsamle oplysninger, som i hvert fald for Facebooks vedkommende ikke er anonymiseret data.

 

Konsekvenserne af det fælles dataansvar er bl.a., at den enkelte virksomhed eller myndighed er forpligtet til at overholde reglerne om de registreredes rettigheder i databeskyttelsesforordningen og den supplerende danske lov (databeskyttelsesloven), herunder retten til indsigt, sletning, berigtigelse, mv. Derudover skal der være en klar aftale mellem myndigheden/virksomheden og Facebook om fordelingen af ansvaret, og elementerne heri skal være tilgængelige for de registrerede. Med andre ord kommer myndigheden/virksomheden derfor i et eller andet omfang til at stå på mål for, om Facebook overholder reglerne i databeskyttelsesforordningen.

 

Det er HjulmandKaptains opfattelse, at en myndighed/virksomhed, som benytter en lignende fan-side på Facebook, som den sagen i Tyskland handler om, ikke overholder samtlige krav i persondataforordningen, idet der blandt andet ikke i de nuværende vilkår, som en administrator accepterer ved oprettelsen af siden, på tilstrækkeligvis er taget stilling til, hvordan det fælles dataansvar mellem Facebook og administratoren er fordelt. Dette er naturligvis meget problematisk, fordi rigtige mange offentlige myndigheder og private virksomheder benytter Facebook som platform. Datatilsynet har i deres udtalelse oplyst, at de pt. arbejder på en løsning i samarbejde med Facebook og det irske Datatilsyn, og man kan kun håbe, at EU-afgørelsen kan være med til at fremskynde denne proces.

 

Har du spørgsmål i forbindelse med ovenstående, er du naturligvis velkommen til at kontakte os.

Tilmeld dig
HjulmandKaptains
nyhedsbrev

Få nyheder, invitationer til arrangementer, gode råd og viden om jura inden for de fagområder, der interesserer dig.

 

Tilmeld nyhedsbrev