Den 5. juni 2018 afsagde EU-domstolen en dom om dataansvar for fansider på Facebook. I dommen fastslår EU-domstolen, at virksomheder bag fansider, altså administratorer, er fælles dataansvarlige med Facebook, når det kommer til behandlingen af personoplysninger.
Sagens omdrejningspunkt var, om en virksomhed ved at administrere en Facebook fanside fik et selvstændigt ansvar for at sikre, at persondatareglerne blev overholdt.
Selvom EU-domstolens afgørelse vedrører de gamle persondataregler, er dommen stadig højaktuel og har også fremadrettet betydning ved fortolkningen af den nye Persondataforordnings regler.
EU-domstolens dom
Sagen vedrørte en tysk uddannelsesinstitution, der havde en fanside på Facebook. Ved hjælp af værktøjet Facebook-Insights modtog uddannelsesinstitutionen anonyme statistiske oplysninger om fansidens besøgende, der kunne bruges til målretning af markedsføringen. Oplysningerne blev indhentet af Facebook med det primære formål at forbedre Facebooks eget reklamesystem, og de omfattede blandt andet de besøgenes aldre, køn og forholdsstatus. Indsamlingen af oplysningerne skete via cookies, som Facebook placerede på de besøgendes computere, uanset om de besøgende havde en Facebookprofil eller ej. Hverken Facebook eller uddannelsesinstitutionen oplyste om indsamlingen af personoplysningerne eller den efterfølgende behandling, og de tyske tilsynsmyndigheder pålagde derfor uddannelsesinstitutionen at deaktivere fansiden.
Sagen endte ved de tyske domstole og sidenhen ved EU-domstolen. Den tyske tilsynsmyndighed argumenterede for, at uddannelsesinstitutionen aktivt og frivilligt bidrog til Facebooks indsamling af personoplysninger, når de administrerede fansiden. Samtidig fik de også selv gavn af oplysningerne. Da både Facebook og uddannelsesinstitutionen fik værdi af de indhentede oplysninger, vurderede tilsynsmyndigheden, at de hver især var ansvarlige for fansiden og behandlingen af personoplysningerne.
I sin afgørelse udtalte EU-domstolen, helt i tråd med den tyske tilsynsmyndighed, at både Facebook og administratorerne drog nytte af personoplysningerne, og at administratorerne ved at oprette en fanside gav Facebook mulighed for at placere cookies på de besøgendes computere.
EU-domstolen fandt altså, at når virksomhederne bag fansiderne fik et output fra deres fanside, måtte de også være fælles dataansvarlige med Facebook.
Datatilsynets reaktion
Datatilsynet har i sin vejledende udtalelse om dommen opfordret til, at virksomheder der har en Facebook fanside er særlig opmærksomme på følgende forhold:
- At virksomheder bag fansider er fælles ansvarlige med Facebook for overholdelsen af gældende persondataregler
- At der gives tilstrækkelig information til de besøgende om behandlingen af deres personoplysninger, herunder at der indhentes samtykke, hvis det er nødvendigt
- At der indgås en aftale med Facebook om fælles dataansvar
- At det sikres, at de besøgende kan udøve deres rettigheder, herunder f.eks. retten til sletning
- At man som følge af det fælles dataansvar hæfter solidarisk for eventuelle erstatningskrav
Det fremgår af Datatilsynets udtalelse, at virksomhedernes overholdelse af persondatareglerne, forudsætter Facebooks samarbejde. Dommen har været omtalt mange steder, og Facebook har meldt ud, at de vil arbejde på at sikre, at virksomhederne bag fansiderne nemt kan overholde Forordningens krav. Derudover har Facebook udtalt, at de godt er klar over at en lige ansvarsfordeling mellem Facebook og virksomhederne ikke giver mening, hvorfor Facebook hurtigst mulig vil opdatere deres betingelser og vilkår, så der tages hensyn til virksomhederne.
De europæiske datatilsyn følger op på, at der bliver fundet en løsning med Facebook.
SIRIUS bemærker
Det står med EU-domstolens dom klart, at virksomheder, der administrerer Facebook fansider, er ansvarlige for overholdelsen af persondatareglerne på lige fod med Facebook. Det er dog endnu usikkert, hvordan den interne ansvarsfordeling mellem Facebook og virksomhederne vil falde ud. Facebook arbejder nu på at finde en løsning i fællesskab med de europæiske datatilsyn.
For virksomheder, der administrerer en Facebook fanside, anbefaler vi på nuværende tidspunkt at afvente resultatet af Facebooks og de europæiske datatilsyns drøftelser, før der tages beslutninger om eventuelt at lukke fansider eller andre drastiske tiltag.
Har du spørgsmål eller kommentarer til artiklen eller til persondataret generelt, er du velkommen til at kontakte advokat og partner Mette Vestergaard Huss eller advokatfuldmægtig Lisbeth Vadt Gabrielsen.
EU-domstolens dom kan læses hér.
Datatilsynets fortolkning af dommen og vejledende udtalelse kan findes hér:
Facebooks udtalelse kan findes hér:
For yderligere information kontakt advokat Mette Vestergaard Huss og advokatfuldmægtig Lisbeth Vadt Gabrielsen
Indholdet af ovenstående artikel er ikke og kan ikke erstatte juridisk rådgivning. SIRIUS advokater påtager sig intet ansvar for skader eller tab, der følger af hverken direkte eller indirekte brug af artiklens indhold.