Datatilsynet fortolker EU-Domstolens Facebook-dom om fælles dataansvar

06-2018

EU-Domstolen har for nyligt afsagt dom om, at Facebook og administratoren af fansider på Facebook i visse tilfælde har et fælles dataansvar. Datatilsynet har nu givet sit bud på dommens konsekvenser.

Datatilsynet udtaler bl.a. følgende:

  • Dommen fastslår, at Facebook og administratoren af en organisations Facebook-side (en "fanside"), er fælles dataansvarlige for så vidt angår behandling af personoplysninger om registrede, der besøger den pågældende side.
     
  • Alene det at benytte Facebook gør ikke i sig selv en Facebook-bruger medansvarlig for Facebooks behandling af personoplysninger. Ved oprettelsen af fansider giver administrator af fansiden imidlertid Facebook mulighed for at placere cookies på de personer, der besøger fansidens computer eller et andet udstyr, der bruges til at tilgå siden, uanset om denne person har en Facebook-konto.
     
  • Indsamling af personoplysninger via fansiden sker endvidere i det væsentligste ved, at Facebook placerer disse cookies, og oplysningerne bruges blandt andet til at udarbejde statistikker til administrator, jf. nedenfor.
     
  • Facebooks cookies er som udgangspunkt aktive i to år og har til formål at gøre det muligt for Facebook og sine partnere at forbedre deres reklamesystem. Derudover bruges cookies til at lave statistikker, som Facebook udarbejder på baggrund af besøg på fansiden. Disse statistikker får administrator videregivet af Facebook med henblik på at tilpasse indholdet på siden og udvikle funktioner, som brugerne kunne være mere interesserede i.
     
  • Endvidere har administratoren mulighed for at lave en indstilling afhængig af målgruppen og den reklame, man ønsker at vise på siden. Denne indstilling har indflydelse på behandlingen af personoplysninger, der indsamles fra fansiden, idet administrator ved brug af Facebook-Insights kan definere de kriterier, som statistikkerne skal udarbejdes på grundlag af samt angive de kategorier af personer, Facebook skal indsamle personoplysninger om.
     
  • Under disse omstændigheder bidrager administrator til at afgøre til hvilke formål og med hvilke hjælpemidler, der foretages behandling af personoplysninger om brugerne på fansiden. Derfor anses Facebook og administrator for at have et fælles dataansvar for behandlingen.
     
  • Det fælles dataansvar medfører, at der i henhold til GDPR art. 26 skal indgås en skriftlig aftale, der fordeler parternes respektive ansvar for overholdelse af forpligtelserne i GDPR (navnlig oplysningsforpligtelsen samt udøvelse af de registreredes rettigheder). Konsekvensen af det fælles dataansvar er endvidere, at begge parter har ansvaret for at opfylde den dataansvarliges forpligtelser i forhold til den behandling, der foretages i relation til fansiden – og hæfter solidarisk herfor overfor de registrerede.
     
  • Datatilsynet udtaler i den forbindelse, at administratorer af fansider nøje bør overveje, hvorvidt de kan og vil påtage sig et sådant fælles dataansvar med Facebook for denne behandling, og at administrator og Facebook i fællesskab skal kunne opfylde forpligtelserne i forhold til de registrerede.
     
  • Afslutningsvis oplister Datatilsynet en rækker punkter, man skal være opmærksom på, hvis man har eller overvejer at få en fanside på Facebook:
    • Du er sammen med Facebook fælles ansvarlig for at overholde reglerne i GDPR (i forhold til den pågældende Facebook-side),
    • Du skal sikre, at besøgende på siden (uanset om de er Facebook-brugere eller ej) får information om persondatapolitikken og, i det omfang det er krævet, også giver samtykke til behandlingen,
    • Du skal sørge for at indgå en aftale med Facebook om fælles dataansvar, og i denne aftale skal det reguleres, hvem der har ansvar for hvad, og dem I behandler oplysninger om, skal have adgang til at se det væsentligste indhold af ansvarsfordelingen mellem Facebook og dig,
    • Personer, der bliver registreret som følge af besøg på din side kan udøve deres rettigheder over for dig. Det gælder f.eks. retten til indsigt, retten til at gøre indsigelse eller retten til sletning,
    • I forhold til et eventuelt erstatningsansvar i forbindelse med behandlingen af personoplysningerne hæfter du og Facebook solidarisk.

Bird & Birds kommentarer

Selv om dommen vedrører fortolkning af det dagældende persondatadirektiv, er dommen principiel og har væsentlig betydning for vurderingen af et fælles dataansvar i forhold til GDPR.

Dommen fastslår, at administrator og Facebook har et fælles dataansvar, fordi administrator giver Facebook mulighed for at placere cookies på personer, der besøger fansidens computer, at Facebook udarbejder statistikker på grundlag af disse oplysninger, og at de anonymiserede statistikker videregives til administrator.

Selv om administrator altså ikke har adgang til personoplysningerne (kun anonymiseret data, som ikke udgør personoplysninger), medvirker administrator til indsamlingen som følge af at have oprettet Facebook-siden. Det er altså ikke et krav for at statuere et fælles dataansvar, at begge parter har adgang til personoplysningerne.

Konsekvensen af et fælles dataansvar er som nævnt ovenfor, at parterne begge har ansvaret for at opfylde den dataansvarliges forpligtelser, at de skal indgå en skriftlig aftale, der fordeler parternes respektive ansvar for overholdelse af forpligtelserne i GDPR, og at de hæfter solidarisk for manglende overholdelse af GDPR.
De mange virksomheder m.fl., der har en fanside på Facebook vil derfor f.eks. kunne gøres ansvarlig for et sikkerhedsbrud på fansiden eller Facebooks ulovlige videregivelse eller anden ulovlige behandling af oplysninger, der indsamles via fansiden.

Det må dog forventes, at Facebook vil medvirke til at finde en løsning på håndteringen af det fælles dataansvar, og herunder fremkomme med et udspil til en fælles dataansvarsaftale.

Dette vil Datatilsynet sammen med de øvrige europæiske tilsynsmyndigheder følge op på, og i det omfang reglerne i GDPR ikke efterleves, har Datatilsynet udtalt, at begge parter risikerer at blive pålagt sanktioner.

Du kan læse hele Datatilsynets udtalelse her