EU-dom gør virksomheder medansvarlige for Facebooks persondatabehandling, hvis de har integreret Facebooks »synes godt om«-knap på deres hjemmeside.
Læs advokat Hans Sønderby Christensens artikel bragt mandag den 10. februar 2020 på Jyllands-Postens hjemmeside her eller hent den som pdf her.
Sagen omhandlede en tysk online tøjforhandler, Fashion ID GmbH & Co. KG (herefter Fashion ID). På sin hjemmeside havde virksomheden integreret Facebooks »synes godt om«-knap. Når en internetbruger besøgte hjemmesiden, blev den besøgendes personoplysninger (f.eks. IP-adresse) overført til Facebook. Overførslen skete automatisk ved brugerens indlæsning af hjemmesiden, uden at den besøgende var opmærksom på det, og uanset om den pågældende var medlem af Facebook eller havde klikket på »synes godt om«-knappen.
Den tyske forbrugerbeskyttelsesorganisation, Verbraucherzentrale NRW eV (herefter NRW), kritiserede Fashion ID for at overføre oplysninger om hjemmesidens besøgende til Facebook i strid med EU’s persondataregler. For det første fordi overførslen skete uden samtykke fra brugerne. For det andet fordi det stred imod de oplysningskrav, som følger af persondatareglerne.
NRW anlagde på den baggrund sag ved Landgericht Düsseldorf (den regionale ret i første instans i Düsseldorf, Tyskland). Retten gav NRW delvis medhold. Fashion ID appellerede afgørelsen til Oberlandesgericht Düsseldorf (den regionale appeldomstol i Düsseldorf, Tyskland). Appeldomstolen var bl.a. i tvivl om, hvorvidt Fashion ID kunne anses som dataansvarlig i henhold til persondatareglerne, når Fashion ID ikke havde indflydelse på behandlingen af de personoplysninger, der blev overført til Facebook. I den forbindelse var der også tvivl om, hvem det i givet fald påhviler at indhente samtykke og give oplysning til de personer, hvis personoplysninger behandles. Appeldomstolen besluttede på den baggrund at udsætte sagen og forelægge spørgsmålene for EU-Domstolen.
EU-Domstolen besvarede spørgsmålene i henhold til EU’s persondatadirektiv, som den 25. maj 2018 blev afløst af EU’s persondataforordning. Eftersom de grundlæggende bestemmelser om dataansvarlige i direktivet er videreført i forordningen, har dommen også betydning for den fremtidige anvendelse af persondatareglerne.
EU-Domstolen indledte med, at formålet med det tidligere gældende persondatadirektiv var at sikre et højt beskyttelsesniveau af fysiske personers grundlæggende rettigheder og frihedsrettigheder. I overensstemmelse med dette formål skal definitionen af begrebet »den dataansvarlige« forstås bredt. Begrebet omfatter således både fysiske og juridiske personer, offentlige myndigheder, institutioner eller ethvert andet organ.
Den dataansvarlige er ikke nødvendigvis en enkelt aktør, men kan også være flere aktører, der har et fælles ansvar for den samme behandling af personoplysninger. Tilstedeværelsen af et fælles ansvar forudsætter ikke, at alle aktørerne har adgang til de omhandlede personoplysninger. Det indebærer heller ikke, at de har det samme ansvar for behandlingen. De forskellige aktører kan tværtimod være ansvarlige på forskellige niveauer og i forskelligt omfang. Derfor skal den enkelte aktørs ansvarsniveau vurderes under hensyntagen til de konkrete omstændigheder. Behandlingen af personoplysninger kan nemlig omfatte en eller flere behandlingsoperationer, som personoplysningerne gøres til genstand for, f.eks. indsamling, registrering, opbevaring, sammenstilling, brug eller videregivelse.
Flere aktører har et fælles ansvar, når de sammen fastlægger, til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger. En aktør vil således kun være dataansvarlig sammen med andre, hvis den pågældende aktør er medbestemmende angående formålet og hjælpemidlerne for behandlingen. Derimod kan aktøren ikke anses for at være den dataansvarlige for behandlingsoperationer, der indtræder før eller efter rækken af behandlinger, og for hvilke den pågældende hverken fastlægger formålet eller hjælpemidlerne.
I forhold til Fashion ID konstaterede EU-Domstolen, at virksomheden, ved at have integreret Facebooks »synes godt om«-knap på sin hjemmeside, havde givet Facebook mulighed for automatisk at indhente personoplysninger vedrørende de besøgende på hjemmesiden. For så vidt angår de behandlingsoperationer, der i den forbindelse består i at indsamle og videregive personoplysningerne, er det både Fashion ID og Facebook, der sammen fastlægger formålet og hjælpemidlerne for behandlingen. Integrationen af »synes godt om«-knappen gør det nemlig muligt for Fashion ID at optimere markedsføringen af virksomhedens varer ved at gøre dem mere synlige på Facebook. Desuden ville behandlingen af de pågældende personoplysninger ikke have fundet sted, hvis ikke Fashion ID havde integreret »synes godt om«-knappen på sin hjemmeside. Både Fashion ID og Facebook har derfor en økonomisk og kommerciel interesse i behandlingen. Begge er derfor også dataansvarlige vedrørende de behandlingsoperationer, der vedrører indsamling og videregivelse af personoplysningerne. Derimod kan det umiddelbart udelukkes, at Fashion ID fastlægger formålet og hjælpemidlerne for de efterfølgende behandlingsoperationer, som foretages af Facebook, og som Fashion ID derfor ikke kan anses for at være dataansvarlig for.
Hernæst bemærkede EU-Domstolen, at Fashion ID som følge heraf både har en oplysningspligt samt en pligt til at indhente samtykke fra de besøgende på hjemmesiden. Den forpligtelse, der påhviler Fashion ID til at indhente samtykke og give oplysning, gælder dog kun for så vidt angår de behandlingsoperationer, der består i indsamling og videregivelse af personoplysningerne. Derimod omfatter forpligtelsen ikke de efterfølgende behandlingsoperationer, som foretages af Facebook. Det er en selvfølge at både samtykke og oplysning skal gives, inden personoplysningerne indsamles og videregives. Forpligtelsen er den samme overfor alle besøgende, uanset om de er indehaver af en Facebook-konto eller ej. Det vil nemlig ikke være i overensstemmelse med en effektiv og rettidig beskyttelse af de pågældendes rettigheder, hvis samtykket alene blev givet til Facebook, som først involveres i de efterfølgende behandlingsoperationer.
Med dommen har EU-Domstolen således fastslået, at den automatiske overførsel af hjemmesidebrugeres personoplysninger, som sker via et socialt modul såsom Facebooks »synes godt om«-knap, og uden at der er indhentet samtykke eller givet den pågældende bruger oplysning om behandlingen af personoplysningerne, er i strid med EU’s persondataregler.
Dommen er relevant for virksomheder, som på deres hjemmeside har integreret et socialt modul som f.eks. Facebooks »synes godt om«-knap, hvis denne integration indebærer, at der sker en automatisk overførsel af hjemmesidebrugernes personoplysninger, uden at der først er indhentet samtykke fra brugerne eller givet oplysning om behandlingen af personoplysninger. Virksomhederne vil nemlig være dataansvarlig for indsamlingen og videregivelsen af personoplysningerne, og derfor vil de også have en forpligtelse til at indhente samtykke og give oplysning om behandlingen.