Fælles dataansvar for Facebook-sider

EU-Domstolen har fastslået, at en administrator af en Facebook-side og Facebook selv har et fælles dataansvar for behandlingen af personoplysninger, der indsamles ved besøg på Facebook-siden.

Norrbom_Sara_127_WEB.jpg

Noget af det, der i disse GDPR-tider påkalder sig interesse, er spørgsmålet om placeringen af dataansvaret i forbindelse med behandling af personoplysninger. Man sondrer her mellem dataansvarlige og databehandlere – og typisk er der kun én dataansvarlig. Men der kan dog også være tilfælde, hvor flere parter i fællesskab må anses for dataansvarlige, fordi begge parter er med til at afgøre, til hvilke formål og med hvilke hjælpemidler der foretages behandling af personoplysninger.

Når en virksomhed, sportsstjerne mv. har en Facebook-side, giver Facebook mulighed for, at den, der har oprettet siden (administratoren), kan modtage anonyme statistiske oplysninger om de brugere, der benytter sig af Facebook-siden. Oplysningerne indsamles ved hjælp af cookies, som kan kædes sammen med de ”forbindelsesdata”, brugerne benytter sig af. Herefter kan administratoren blandt andet benytte oplysningerne til at målrette sine reklamer mv. Oplysningerne lagres af Facebook i op til 2 år.

En tysk uddannelsesinstitution gjorde brug af disse funktioner – dog uden at oplyse brugerne af institutionens Facebook-side herom. Dette mente den tyske tilsynsmyndighed ikke var i orden, hvorfor tilsynsmyndigheden udstedte et påbud til institutionen om at deaktivere Facebook-siden.

Fælles dataansvar
Sagen endte hos EU-Domstolen, der slog fast, at der med brugernes besøg på Facebook-sider og den indsamling af oplysninger, der fulgte heraf, var tale om behandling af personoplysninger i databeskyttelsesretlig forstand. Domstolen fandt videre, at administratoren og Facebook i disse situationer må anses for fælles dataansvarlige.

EU-Domstolen begrundede afgørelsen med, at administrator i forbindelse med oprettelsen af siden dels indgår en aftale med Facebook, dels foretager en indstilling på siden, således at administratoren ved hjælp af de filtre, som Facebook stiller til rådighed, selv kan tilpasse, hvilke statistiske oplysninger administrator ønsker at modtage, og hvordan administrator ønsker at anvende de pågældende oplysninger. Herudover tillagde domstolen det betydning, at sådanne Facebook-sider også kan besøges af personer, der ikke har en Facebook-konto, og at der også indsamles oplysninger om disse brugere.

Det danske datatilsyn har udtalt sig om dommens konsekvenser her. Datatilsynet kommer i den forbindelse med en række gode råd til dem, der har en Facebook-side. Datatilsynet fremhæver blandt andet, at man skal være opmærksom på

  • at få indgået en aftale med Facebook om fælles dataansvar, hvori det skal reguleres, hvem der har ansvar for hvad,
  • at brugerne af Facebook-siden skal have adgang til at se det væsentligste indhold af ansvarsfordelingen mellem virksomheden og Facebook,
  • at brugerne af Facebook-siden kan udøve deres rettigheder over for virksomheden, herunder retten til indsigt, til at gøre indsigelse og til sletning, og
  • at såfremt der opstår et erstatningsansvar i forbindelse med behandlingen af personoplysningerne, da vil man hæfte solidarisk med Facebook.

Datatilsynet har i øvrigt udarbejdet en skabelon til en aftale vedrørende fælles dataansvar, der kan findes her.

Norrbom Vinding bemærker

  • at dommen indebærer, at virksomheder, myndigheder eller andre, der administrerer en Facebook-side, og som modtager statistiske oplysninger om brugerne af Facebook-siden, sammen med Facebook vil være ansvarlig for overholdelsen af databeskyttelseslovgivningen, hvilket blandt andet indebærer, at man på klar og tydelig måde skal sørge for at informere brugerne om indsamlingen og behandlingen af oplysningerne,
  • at dette ansvar efter omstændighederne kan være ganske vidtrækkende, særligt fordi Facebook-sidens administrator bærer ansvaret og hæfter solidarisk med Facebook, der – på samme måde som administratoren – som dataansvarlig har selvstændig mulighed for at behandle personoplysningerne til egne formål, og
  • at dommen derfor bør give anledning til nærmere overvejelser om virksomheders og myndigheders brug af Facebook-sider – og særligt brugen af cookies på sådanne sider.

Indholdet i ovenstående nyhedstekst er ikke og kan ikke erstatte juridisk rådgivning.

Mere om emnet