Virksomheder og offentlige myndigheder med en fanside på Facebook deler dataansvar med Facebook. Facebooks overtrædelse af EU-persondatareglerne kan risikere også at ramme administratoren af den pågældende side, der kan pålægges sanktioner for overtrædelsen.
Læs advokat Hans Sønderby Christensens artikel bragt onsdagn den 19. september 2018 på Jyllands-Postens hjemmeside her.
EU-Domstolen har for nylig fastslået, at Facebook, virksomheder og offentlige myndigheder, der administrer en fanside på Facebook, har et fælles ansvar for at overholde EU-persondatareglerne i forbindelse med behandling af personoplysninger, som bliver indsamlet i forbindelse med besøg på den pågældende administrators fanside.
Dommen udspringer af en tvist mellem den tyske uddannelsesinstitution Wirtschaftsakademie Schleswig-Holstein GbmH (herefter Wirtschaftsakademie) og Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (herefter ULD), som er den regionale myndighed i Schleswig-Holstein, der fører tilsyn med, at EU-persondatareglerne overholdes.
Wirtschaftsakademie havde oprettet en fanside på Facebook, hvorfra virksomheden udbød uddannelser. Ved hjælp af værktøjet »Facebook-Insights« modtog virksomheden statistiske oplysninger om de brugere, der besøgte fansiden. I 2011 gav ULD Wirtschaftsakademie påbud om at deaktivere sin fanside hos Facebook. Baggrunden var, at hverken Wirtschaftsakademie eller Facebook underrettede de besøgende på fansiden om, at Facebook indsamlede deres personoplysninger ved hjælp af cookies og efterfølgende behandlede oplysningerne. Det mente ULD var i strid med EU-persondatareglerne. Wirtschaftsakademie derimod mente ikke, at virksomheden var ansvarlig for Facebooks indsamling og efterfølgende behandling af oplysningerne.
Bundesverwaltungsgericht (herefter forbundsdomstolen) i Tyskland, hvor sagen nu verserer, besluttede af udsætte sagen og forelægge præjudicielle EU-retlige fortolkningsspørgsmål for EU-Domstolen. Et centralt spørgsmål, som EU-Domstolen i den forbindelse skulle afklare, var, om en administrator af en fanside hos Facebook skal anses som dataansvarlig efter EU-persondatareglerne.
EU-Domstolen bemærkede indledningsvis, at EU-persondatareglerne definerer en dataansvarlig bredt som en fysisk eller juridisk person, offentlig myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. Sætningen »alene eller sammen med andre« indikerer, at der kan være flere dataansvarlige, der er fælles om ansvaret. Betydningen af at være dataansvarlig er, at man har ansvar for, at EU-persondatareglerne overholdes. Det indebærer herunder blandt andet, at man i visse tilfælde skal indhente samtykke til at behandle personoplysninger.
EU-Domstolen fastslog, at Facebook utvivlsomt kan anses for dataansvarlig som omhandlet i EU-persondatareglerne. Det er nemlig primært Facebook, der afgør, til hvilket formål og med hvilke hjælpemidler, der foretages behandling af brugernes personoplysninger.
EU-Domstolen bemærkede, at for at besvare det forelagte spørgsmål skulle det undersøges, om og i hvilket omfang administratoren af en fanside hos Facebook, såsom Wirtschaftsakademie, bidrager til at afgøre, til hvilket formål og med hvilke hjælpemidler, der foretages behandling af brugernes personoplysninger. Og dermed om administratoren af en fanside også skal anses for dataansvarlig som omhandlet i EU-persondatareglerne.
Oprettelsen af en fanside hos Facebook indebærer, at administratoren underskriver vilkårene for brugen af fansiden. Det gælder herunder den hertil knyttede politik om anvendelse af cookies. Når en bruger besøger en fanside, lagrer Facebook nemlig cookies på brugerens pc, tablet, smartphone eller andet medium. Disse cookies er aktive i to år, hvis ikke de slettes. Via cookies er det muligt for Facebook at indsamle personoplysninger om brugerne og observere brugernes vaner online. Dette er også kendt som »webtracking«.
Ved hjælp af værktøjet Facebook-Insights, som Facebook stiller gratis til rådighed, kan administratoren af en fanside modtage statistiske oplysninger om brugerne, der besøger fansiden. Blandt andet om deres alder, køn, forholdsstatus og arbejde. Herudover giver værktøjet også administratoren mulighed for at modtage oplysninger om brugernes tendenser online. For eksempel om deres vaner, livsstil, interesseområder og købsadfærd. Statistikkerne udarbejdes af Facebook, men administratoren af en fanside har mulighed for ved afkrydsning selv at tilpasse hvilke oplysninger og personer, som man vil modtage statistiske oplysninger om. Oplysningerne kan virksomhederne anvende i kommercielt øjemed med henblik på for eksempel at skræddersy deres kommunikation og markedsføring til bestemte målgrupper og foretage bestemte salgsfremstød.
EU-Domstolen konkluderede, at på baggrund af disse omstændigheder bidrager administratoren af en fanside på Facebook til at afgøre, til hvilket formål og med hvilke hjælpemidler, der foretages behandling af personoplysninger om brugerne, som besøger den pågældende virksomheds fanside. Særligt lagde EU-Domstolen vægt på, at administratoren af en fanside ved at anvende Facebook-Insights kan anmode om at modtage – og dermed at der behandles – personoplysninger om brugerne, som besøger fansiden. Ligesom administratoren via afkrydsning specifikt kan definere de personoplysninger, som man ønsker behandlet.
I den konkrete sag fastslog EU-Domstolen på den baggrund, at administratoren, Wirtschaftsakademie, sammen med Facebook skulle anses som dataansvarlig som omhandlet i EU-persondatareglerne. Som følge heraf er Wirtschaftsakademie sammen med Facebook ansvarlig for at sikre, at behandlingen af personoplysninger på brugerne, som besøger virksomhedens side, opfylder betingelserne for at være i overensstemmelse med EU-persondatareglerne. For eksempel må sådanne oplysninger efter reglerne ikke behandles, uden at den pågældende bruger på forhånd underrettes herom og giver samtykke hertil.
Selvom den konkrete sag angår persondatadirektivet, som den 25. maj i år er blevet afløst af persondataforordningen, vil dommen også få betydning for den fremtidige anvendelse af EU-persondatareglerne. De grundlæggende bestemmelser i persondatadirektivet om dataansvarlige er nemlig videreført uændret i persondataforordningen.
Datatilsynet, som er den myndighed i Danmark, der fører tilsyn med, at EU-persondatareglerne overholdes, har i forlængelse af den konkrete dom anbefalet, at virksomheder og offentlige myndigheder, som administrerer en fanside på Facebook, sørger for at indgå en aftale med Facebook om vilkårene for ansvarsfordelingen med Facebook.