EU-Domstolen traf den 5. juni 2018 afgørelse i en sag, der bl.a. vedrørte, hvorvidt en tysk uddannelsesinstitution, der har en side på Facebook, er dataansvarlig for de personoplysninger, som Facebook indsamler fra besøgende på siden, også selvom uddannelsesinstitutionen selv kun modtager bearbejdede oplysninger fra Facebook i anonymiseret form. EU-Domstolen slog fast, at uddannelsesinstitutionen og Facebook var fælles dataansvarlige. Få indblik i den konkrete sag og afgørelsens betydning.
Sagens omdrejningspunkt
Uddannelsesinstitutionen udbød uddannelse via en fanside på Facebook, og i den forbindelse havde uddannelsesinstitutionen gratis adgang til anonyme statistiske oplysninger om brugerne af siden. Der blev hverken af uddannelsesinstitutionen eller Facebook givet oplysninger om, hvordan der skete lagring af en cookie, eller om måden som cookien fungerer på, og ej heller om den efterfølgende behandling af personoplysningerne.
Datatilsynsmyndigheden i Schleswig-Holstein traf den 3. november 2011 en afgørelse, der påbød uddannelsesinstitutionen at deaktivere sin fanside på Facebook. Afgørelsen blev påklaget i det tyske forvaltningsretlige domstolssystem, og Forbundsdomstolen i forvaltningsretlige sager forelagde sagen for EU-Domstolen.
EU-Domstolen blev blandt andet spurgt, om direktiv 95/46 EF giver mulighed for at holde et organ (i dette tilfælde uddannelsesinstitutionen), der administrerer en fanside på et socialt netværk, ansvarligt i tilfælde af overtrædelse af bestemmelserne om beskyttelse af personoplysninger som følge af dette organs beslutning om at anvende det sociale netværk til sit informationsudbud.
EU-Domstolen anførte, at direktivet har til formål at sikre et højt beskyttelsesniveau af fysiske personers grundlæggende rettigheder og frihedsrettigheder. Det blev også slået fast, at det primært er Facebook, der afgør formål og hjælpemidler til behandling af personoplysninger om besøgende på fansiden. Domstolen anførte videre, at uddannelsesinstitutionen som administrator af fansiden ved hjælp filtre kunne definere kriterier, som skulle danne grundlag for statistikker samt angive kategorier af personer, som Facebook skulle indsamle personoplysninger om. På den måde bidrog uddannelsesinstitutionen til behandling af personoplysninger om brugere af fansiden.
Domstolen fastslog endvidere, at der i tilfælde af et fælles dataansvar ikke er krav om, at alle dataansvarlige har adgang til de behandlede personoplysninger. Endelig fastslog Domstolen, at et fælles dataansvar ikke nødvendigvis indebærer, at de enkelte ansvarlige har samme ansvar.
Hvad viser afgørelsen?
Afgørelsen vedrører fortolkning af direktiv 95/46 EF, der frem til den 25. maj 2018 var fundamentet i persondatabeskyttelse i EU. I dag er persondatabeskyttelse baseret på Databeskyttelsesforordningen (GDPR), men efter vores vurdering ville udfaldet blive det samme, hvis afgørelsen var baseret på forordningen.
Afgørelse slår fast, at virksomheder, organisationer og foreninger kan blive (fælles)dataansvarlig, hvis de bidrager til at afgøre, hvilke formål og med hvilke midler personoplysninger skal behandles, også selv om de ikke selv kan se personoplysningerne, men kun får eksempelvis anonymiserede statistikker over alder, køn m.v. Virksomheder kan således ikke undlade at opfylde de pligter, som en dataansvarlig har, når man som bruger af en tjenesteudbyders platform og tjenesteydelser har mulighed for at bidrage til, hvordan personoplysninger skal behandles i form at tilpasning af filtre til bl.a. statistik.
Sagen vedrører brug af Facebook, men det må antages, at dommen ikke kun får betydning for brug af en fanside på Facebook, men også brug af tjenesteydelser fra andre leverandører, der tilbyder serviceydelser i form af statistik m.v. på deres platform i anonymiseret form.
Virksomheder bør derfor i højere grad være opmærksomme på omfanget og karakteren af de persondata, som udbyderen af tjenesteydelsen indsamler, da det ikke kun er de data, som virksomheden selv modtager i behandlet form, som de er ansvarlige for. Virksomheder skal derfor nøje overveje, om de overholder de pligter, som en dataansvarlig har.
Afgørelsen viser endvidere, at et fælles dataansvar ikke nødvendigvis indebærer, at de enkelte aktører har samme ansvar, og det bliver derfor spændende at se, hvordan dette vil udmønte sig i praksis hos datatilsynene og domstolene.
TVC Advokatfirma anbefaler
Er du i tvivl om, hvorvidt I overholder reglerne i Databeskyttelsesforordningen, anbefaler vi altid en professionel vurdering.
Dette gælder især, hvis I er i tvivl om, hvordan I behandler personoplysninger, herunder om I som virksomhed er dataansvarlig eller databehandler – samt om I er ene dataansvarlig, eller om der er flere solidarisk hæftende dataansvarlige.
Vores specialister sidder altid klar til en uforpligtende snak om din virksomheds case.
