Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Ny afgørelse fra EU-Domstolen vedrørende fællesdataansvar for brug af digitale medier

TVC Advokatfirma
18/06/2018
Ny afgørelse fra EU-Domstolen vedrørende fællesdataansvar for brug af digitale medier

EU-Domstolen traf den 5. juni 2018 afgørelse i en sag, der bl.a. vedrørte, hvorvidt en tysk uddannelsesinstitution, der har en side på Facebook, er dataansvarlig for de personoplysninger, som Facebook indsamler fra besøgende på siden, også selvom uddannelsesinstitutionen selv kun modtager bearbejdede oplysninger fra Facebook i anonymiseret form. EU-Domstolen slog fast, at uddannelsesinstitutionen og Facebook var fælles dataansvarlige. Få indblik i den konkrete sag og afgørelsens betydning.



Sagens omdrejningspunkt

Uddannelsesinstitutionen udbød uddannelse via en fanside på Facebook, og i den forbindelse havde uddannelsesinstitutionen gratis adgang til anonyme statistiske oplysninger om brugerne af siden. Der blev hverken af uddannelsesinstitutionen eller Facebook givet oplysninger om, hvordan der skete lagring af en cookie, eller om måden som cookien fungerer på, og ej heller om den efterfølgende behandling af personoplysningerne.

Datatilsynsmyndigheden i Schleswig-Holstein traf den 3. november 2011 en afgørelse, der påbød uddannelsesinstitutionen at deaktivere sin fanside på Facebook. Afgørelsen blev påklaget i det tyske forvaltningsretlige domstolssystem, og Forbundsdomstolen i forvaltningsretlige sager forelagde sagen for EU-Domstolen.

EU-Domstolen blev blandt andet spurgt, om direktiv 95/46 EF giver mulighed for at holde et organ (i dette tilfælde uddannelsesinstitutionen), der administrerer en fanside på et socialt netværk, ansvarligt i tilfælde af overtrædelse af bestemmelserne om beskyttelse af personoplysninger som følge af dette organs beslutning om at anvende det sociale netværk til sit informationsudbud.

EU-Domstolen anførte, at direktivet har til formål at sikre et højt beskyttelsesniveau af fysiske personers grundlæggende rettigheder og frihedsrettigheder. Det blev også slået fast, at det primært er Facebook, der afgør formål og hjælpemidler til behandling af personoplysninger om besøgende på fansiden. Domstolen anførte videre, at uddannelsesinstitutionen som administrator af fansiden ved hjælp filtre kunne definere kriterier, som skulle danne grundlag for statistikker samt angive kategorier af personer, som Facebook skulle indsamle personoplysninger om. På den måde bidrog uddannelsesinstitutionen til behandling af personoplysninger om brugere af fansiden.

Domstolen fastslog endvidere, at der i tilfælde af et fælles dataansvar ikke er krav om, at alle dataansvarlige har adgang til de behandlede personoplysninger. Endelig fastslog Domstolen, at et fælles dataansvar ikke nødvendigvis indebærer, at de enkelte ansvarlige har samme ansvar.

Hvad viser afgørelsen?

Afgørelsen vedrører fortolkning af direktiv 95/46 EF, der frem til den 25. maj 2018 var fundamentet i persondatabeskyttelse i EU. I dag er persondatabeskyttelse baseret på Databeskyttelsesforordningen (GDPR), men efter vores vurdering ville udfaldet blive det samme, hvis afgørelsen var baseret på forordningen.

Afgørelse slår fast, at virksomheder, organisationer og foreninger kan blive (fælles)dataansvarlig, hvis de bidrager til at afgøre, hvilke formål og med hvilke midler personoplysninger skal behandles, også selv om de ikke selv kan se personoplysningerne, men kun får eksempelvis anonymiserede statistikker over alder, køn m.v. Virksomheder kan således ikke undlade at opfylde de pligter, som en dataansvarlig har, når man som bruger af en tjenesteudbyders platform og tjenesteydelser har mulighed for at bidrage til, hvordan personoplysninger skal behandles i form at tilpasning af filtre til bl.a. statistik.

Sagen vedrører brug af Facebook, men det må antages, at dommen ikke kun får betydning for brug af en fanside på Facebook, men også brug af tjenesteydelser fra andre leverandører, der tilbyder serviceydelser i form af statistik m.v. på deres platform i anonymiseret form.

Virksomheder bør derfor i højere grad være opmærksomme på omfanget og karakteren af de persondata, som udbyderen af tjenesteydelsen indsamler, da det ikke kun er de data, som virksomheden selv modtager i behandlet form, som de er ansvarlige for. Virksomheder skal derfor nøje overveje, om de overholder de pligter, som en dataansvarlig har.

Afgørelsen viser endvidere, at et fælles dataansvar ikke nødvendigvis indebærer, at de enkelte aktører har samme ansvar, og det bliver derfor spændende at se, hvordan dette vil udmønte sig i praksis hos datatilsynene og domstolene.

TVC Advokatfirma anbefaler

Er du i tvivl om, hvorvidt I overholder reglerne i Databeskyttelsesforordningen, anbefaler vi altid en professionel vurdering.

Dette gælder især, hvis I er i tvivl om, hvordan I behandler personoplysninger, herunder om I som virksomhed er dataansvarlig eller databehandler – samt om I er ene dataansvarlig, eller om der er flere solidarisk hæftende dataansvarlige.

Vores specialister sidder altid klar til en uforpligtende snak om din virksomheds case.

 






Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
TVC Advokatfirma logo
Aarhus
Søren Frichs Vej 42A
8230 Åbyhøj
70 11 08 01
tvc@tvc.dk
København
Nimbusparken 24, 2
2000 Frederiksberg
Roskilde
Københavnsvej 69, 1
4000 Roskilde
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vær den første til at modtage relevante juridiske nyheder inden for dine interesseområder
Tilmeld dig nu
Artikler, der kunne være relevante for dig
VIRK23 er på gaden
VIRK23 er på gaden
16/04/2024
Kontraktret, IT- og telekommunikation, Persondata
EUs nye AI-forordning (AI Act) vedtages snart
EUs nye AI-forordning (AI Act) vedtages snart
26/04/2024
EU-ret, IT- og telekommunikation, Øvrige
Når klagen ikke er helt på plads
Når klagen ikke er helt på plads
21/05/2024
Udbud, IT- og telekommunikation
AI-forordningen endelig vedtaget i EU
AI-forordningen endelig vedtaget i EU
28/05/2024
EU-ret, Immaterialret, Persondata, IT- og telekommunikation
Hvad betyder den ”risikobaserede tilgang” i AI-forordningen i virkelighedens verden?
Hvad betyder den ”risikobaserede tilgang” i AI-forordningen i virkelighedens verden?
11/07/2024
EU-ret, IT- og telekommunikation, Øvrige
Principiel dom om fortolkning af ansvarsbegrænsningsklausul
Principiel dom om fortolkning af ansvarsbegrænsningsklausul
12/08/2024
IT- og telekommunikation, Kontraktret
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted