EU-Domstolen har netop afsagt en vidtgående dom vedr. dataansvar for fan-sider på Facebook. EU-Domstolen er kommet frem til, at indehavere af fan-sider på Facebook (fx www.facebook.com/organisationsnavn) har fælles dataansvar med Facebook i forhold til indsamling af oplysninger om de personer, som besøger den pågældende side.
Baggrunden for dommen er en sag fra datatilsynet i Schleswig-Holstein, som traf en afgørelse om, at en uddannelsesinstitution skulle lukke sin fan-side på Facebook, fordi hverken uddannelsesinstitutionen eller Facebook informerede brugerne om de personoplysninger, som via anvendelse af cookies, blev indsamlet og behandlet via den pågældende fan-side.
Oplysningerne blev indsamlet via funktionen ”Facebook Insights”. Ejeren af siden fik uden betaling stillet anonyme statistiske data om de besøgende på fan-siden til rådighed på vilkår ensidigt fastsat af Facebook (konkret var der tale om Facebooks selskab i Irland). Oplysningerne blev indsamlet via cookies med en unik brugerkode placeret af Facebook på brugernes mobiltelefoner, tablets og computere. De pågældende cookies var aktive i to år efter besøget på siden. Facebook kan efterfølgende koble den unikke brugerkode sammen med de oplysninger, som Facebook er i besiddelse af om brugerne og dermed identificere dem.
EU-Domstolen indleder med at fastslå, at det er uomtvistet, at Facebook’s irske selskab er dataansvarlig i relation til behandling af personoplysninger om Facebooks brugere og de brugere, som besøger de fan-sider, som er hostet af Facebook.
Administrator anses som fælles dataansvarlig med Facebook
Efterfølgende fastslår EU-Domstolen, at en administrator af en fanside på Facebook skal anses som fælles dataansvarlig med Facebook i relation til behandlingen af oplysninger på en given fan-side. Fælles dataansvar er i modsætning til dataansvar med én dataansvarlig, når to eller flere dataansvarlige er fælles om ansvaret for behandling af personoplysninger og dermed også de forpligtelser, som følger heraf, og evt. bøder for manglende overholdelse af reglerne. Normalt etableres fælles dataansvar ved indgåelse af en aftale mellem de organisationer, som er omfattet af det fælles ansvar.
Grundlaget for EU-Domstolens statuering af fælles dataansvar er, at administratoren af fan-siden tager del i afgørelsen vedrørende formål og hjælpemidler med behandling af personoplysninger på de personer, der besøger den pågældende fan-side på Facebook, fordi administratoren er med til at definere de kriterier, som anvendes til indsamling af oplysninger på fan-siden. Domstolen lægger især vægt på, at administratoren kan efterspørge demografiske data i anonymiseret form om sidens målgruppe, herunder information om livsstil, hovedinteresser og geografiske oplysninger, så administratoren bliver i stand til at målrette information om events og tilbud mod bestemte grupper. Det forhold, at administratoren af en fan-side anvender en platform stillet til rådighed af Facebook til at drage fordel af associerede services ikke kan undtage administratoren fra at overholde sine forpligtelser i relation til behandling af personoplysninger.
Fastlæggelsen af fælles dataansvar mellem administratoren af fan-siden og Facebook bidrager – i overensstemmelsen med kravene i persondatadirektivet – til at sikre en mere komplet beskyttelse af rettigheder for de personer, som besøger en fan-side.
Bech-Bruuns kommentarer
Indledningsvist er det væsentligt at understrege, at på trods af, at dommen vedrører fortolkning af persondatadirektivet, kan EU-Domstolens fortolkning også anvendes i forhold til fortolkning af databeskyttelsesforordningen.
Den seneste afgørelse fra EU-Domstolen vedrørende fortolkning af de persondataretlige regler er som tidligere nævnt meget vidtgående i forhold til at fastslå fælles dataansvar mellem Facebook og administratorer af fan-sider på Facebook og andre sociale medier.
Det fælles dataansvar bliver statueret til trods for, at administratoren kun modtager anonymiserede statistiske oplysninger – og altså ikke personoplysninger omfattet af den persondataretlige definition – om de brugere, som har besøgt den pågældendes hjemmeside. Konkret kommer dommen til at få betydning, når organisationer på baggrund af kriterier fastsat af den pågældende organisation tillader ejere af platforme som fx Facebook og andre sociale medier at indsamle oplysninger, som ejeren af platformen kan henføre til identificerbare fysiske personer.
Konsekvensen af fælles dataansvar er, at den enkelte organisation er forpligtet til at opfylde de registreredes rettigheder i henhold til databeskyttelsesloven og -forordningen, herunder retten til indsigt, sletning, berigtigelse, mv. – men altså uden at organisationen/virksomheden på noget tidspunkt har adgang til personoplysningerne. Med andre ord kommer organisationen til at stå på mål for Facebooks overholdelse af de strenge persondataretlige regler.
Dommen medfører, at organisationer, som har oprettet eller overvejer at oprette fan-sider på platforme som Facebook, bør foretage en meget nøje vurdering af, om der er balance mellem den risiko, som et fælles dataansvar – på ensidigt fastsatte vilkår – medfører i forhold til værdien af de gratis anonymiserede oplysninger, som organisationen modtager som ”betaling” for fastsættelse af formål og hjælpemidler med behandlingen af oplysninger, som organisationen aldrig får adgang til.
Organisationer, som outsourcer etablering og administration af fan-sider på sociale platforme til eksterne medie- og reklamebureauer, skal endvidere være omhyggelige relation til at ge få reguleret forhold vedr. instruks til indsamling af oplysninger om brugerne i samarbejdsaftalen med det pågældende reklame- eller mediebureau, så det sikres, at organisationen ikke kommer juridisk i klemme mellem mediebureauet på den ene side og Facebook/lignende sociale platforme på den anden side.
-medium.jpg)
-medium.jpg)
-(2)-(1)-medium.jpg)
-medium.jpg)
