Ny dom om Facebook - det har den af konsekvenser for dig

Har din virksomhed/organisation en Facebook-side? Så skal du være opmærksom på den seneste afgørelse fra EU-Domstolen. Ifølge denne afgørelse kan du nemlig blive 'delt dataansvarlig' med Facebook. 

Når du er delt dataansvarlig, skal du sørge for at overholde GDPR. Hvis du ikke gør dette, kan du få sendt bøder i din retning, fordi dataansvarlige kan blive sanktioneret efter forordningen.

Vil du vide mere? Så læs med herunder om afgørelsen fra Domstolen og betydningen af den for dig. 

Det går dommen ud på

Den 5. juni 2018 blev der afsagt dom af EU-Domstolen i en interessant afgørelse. Afgørelsen handler om, hvem der er dataansvarlig, når man som virksomhed agerer på sociale medier.

Sagen startede helt tilbage i år 2011 i Tyskland.

Den handler om en uddannelsesvirksomhed, der udbyder uddannelser via en fanside på Facebook. Facebook indhenter oplysninger fra brugerne af en fanside via cookies til brug for statistik til deres markedsføringsværktøj "Facebook Insight".

Men er det uddannelsesvirksomheden eller Facebook, der er dataansvarlige for behandlingen af personoplysninger i forbindelse med at have en sådan fanside?

For den dataansvarlige har ansvaret for at overholde GDPR samt overholde oplysningspligten.

Det tyske datatilsyn (ULD) mente, at det var uddannelsesvirksomhed, der var ansvarlige. Det tyske datatilsyn gav derfor et påbud til uddannelsesvirksomheden om at deaktivere fansiden, fordi hverken Facebook eller uddannelsesvirksomheden underrettede brugerne af fansiden om, at Facebook indsamler og behandler deres personoplysninger via cookies. 

Uddannelsesvirksomheden mente, at de ikke kunne være ansvarlige for Facebooks behandling af personoplysninger.

Det tyske datatilsyn mente, at en administrator af en fanside også er ansvarlig for behandlingen af personoplysninger, fordi fansiden aktivt og frivilligt bidrager til Facebooks indsamling af personoplysninger. 

Inden vi dykker længere ned i dommen, skal det lige siges, at dommen vedrører fortolkning af persondatadirektivet, men EU-Domstolens fortolkning kan også anvendes i forhold til fortolkning af databeskyttelsesforordningen (GDPR) og er derfor også relevant for dig ift. GDPR

Sagen ender i EU-Domstolen

Sagen kommer, efter noget tid i det tyske retssystem, til EU-Domstolen.

EU-Domstolen kommer frem til den afgørelse, at der er et fælles dataansvar mellem den, der driver et socialt netværk (Facebook i denne sag) og administratoren af en fanside på netværket (uddannelsesvirksomheden).

Men hvorfor så det? Statistikkerne, som Facebook indsamler via cookies (som var problemet i sagen), videregives jo til fansidens administrator i anonymiseret form.

Ja! Men ifølge EU-Domstolen er statistikkerne stadig baseret på "forudgående indsamling af brugernes personoplysninger" via cookies, som Facebook har installere hos brugeren. Og direktivet (som sagen omhandler) kræver IKKE, at hver enkelt dataansvarlig har adgang til de pågældende personoplysninger (fremgår af dommens præmis 38).

Det lægger Domstolen vægt på i afgørelsen

Det er interessant af se, hvad EU-Domstolen lægger vægt på. På den måde kan man bedre forstå, hvorfor de er kommet frem til, at en administrator af en Facebook-side er ansvarlige.

Domstolen mener, at administratoren af en fanside bidrager til at afgøre til hvilket formål og med hvilke hjælpemidler, der foretages behandling af personoplysninger:

"Under disse omstændigheder må det antages, at administratoren af en fanside på Facebook, såsom Wirtschaftsakademie, bidrager til at afgøre, til hvilket formål og med hvilke hjælpemidler der foretages behandling af personoplysninger om brugerne af fansiden, ved at foretage indstillinger afhængigt af bl.a. målgruppen samt målene for forvaltning af og reklame for sine aktiviteter. (fremgår af præmis 39 i afgørelsen)

Derfor mener Domstolen, at administratorer af Facebook-sider også er ansvarlige.

At en administrator af en fanside på et socialt netværk anvender de tjenester, der knytter sig til det sociale netværk, fritager ikke administratoren af fansiden. EU-Domstolen tillægger det også betydning, at Facebook kan besøges af personer, som ikke er Facebook-brugere. Domstolen udtaler følgende i præmis 41:

"Det skal endvidere fremhæves, at fansiderne på Facebook ligeledes kan besøges af personer, som ikke er Facebook-brugere, og som dermed ikke har en brugerkonto på dette netværk. I dette tilfælde synes administratoren af en fansides ansvar for behandlingen af disse personers personoplysninger endnu vigtigere, da brugernes blotte konsultation af fansiden automatisk udløser en behandling af deres personoplysninger."

Og så tænker du måske, at så er det fastlagt. Både Facebook og en administrator af en Facebook-side er ansvarlige. Ja, men EU-Domstolen udtaler, at de kan være ansvarlige på forskellige niveauer. Domstolen skriver i præmis 43:

"Som anført af generaladvokaten i punkt 75 og 76 i forslaget til afgørelse, skal det dog præciseres, at tilstedeværelsen af et fælles ansvar ikke nødvendigvis indebærer, at de forskellige operatører, som er omfattet af en behandling af personoplysninger, har samme ansvar. De forskellige operatører kan tværtimod være ansvarlige for behandlingen af personoplysninger på forskellige niveauer og i forskelligt omfang, således at den enkeltes ansvarsniveau skal vurderes under hensyntagen til samtlige relevante omstændigheder i sagen."

Det er derfor en konkret vurdering, om et socialt netværk og en administrator af en fanside på et socialt netværk har samme ansvar. Dog er både det sociale netværk og administratoren af en fanside på det sociale netværk med denne dom ansvarlige. Hvordan den konkrete vurdering kommer til at foregå vil tiden nok vise bl.a. med afgørelser fra de nationale domstole og udtalelser fra tilsynsmyndighederne.

Du kan læse hele afgørelsen her. Men advaret, så kan det være lidt tungt juridisk stof. Hvis du vil have rådgivning om dommens betydning, er du altid velkommen til at kontakte os.

Hvad betydet dommen helt konkret for dig?

Men hvad betyder dommen så for alle dem, der administrerer en Facebook-side?

Datatilsynet har udtalt sig i en offentlig udtalelse fra 13. juni 2018, at de mener, at du fremover skal sikre dig, at:

"Besøgende på siden (uanset om de er Facebook-brugere eller ej) får information om persondatapolitikken og, i det omfang det er krævet, også giver samtykke til behandlingen"

Helt konkret betyder det, at du som administrator af en Facebook-side i højere grad generelt skal sikre sig, at de selv på Facebook overholder GDPR. En virksomhed/organisation, der har en Facebook-side skal fremover sørge for bl.a. at overholde de registreredes rettigheder i henhold til databeskyttelsesloven og GDPR (forordningen). Dette gælder blandt andet om retten til indsigt, sletning, berigtigelse osv.

Dette gælder, selvom ejeren af Facebook-siden ikke på noget tidspunkt har adgang til oplysninger om Facebooks behandling af personoplysninger og derfor i princippet kan være umuligt at overholde. Det er en 'sur pligt' og noget af en byrde for en administrator af en Facebook-side. For hvordan kan en administrator af en Facebook-side vide sig helt sikker på, hvilke personoplysninger Facebook behandler, hvordan de behandler dem osv. og dermed oplyse brugerne af Facebook-siden om dette?

Når ejere af en Facebook-side er dataansvarlige, som de fremover er, vil de også blive sanktioneret efter GDPR, hvis ejerne ikke overholder GDPR. 

Derudover kommer Facebook også oftere frem i søgelyset og vil fremover skulle sikre sig, at de også i højere grad overholder GDPR og "privacy by design" for brugerne af Facebook.

Med denne dom er der ikke længere nogen tvivl om ansvaret.

En administrator af en Facebook-side skal juridisk stå på mål for Facebooks behandling af personoplysninger.

Også selvom oplysningerne, som Facebook indsamler, er i anonymiseret form, og en administrator ikke kan vide sig sikker på, hvordan administratoren skal overholde oplysningspligten.

Flere advokater har udtalt til pressen, at virksomhedsejere og myndigheder fremover skal overveje, om det er nødvendigt med en Facebook-side. Rigspolitiets databeskyttelsesrådgiver, Christian Wiese Svanberg, udtaler til Politiken, at de også holder nøje øje med afgørelsens betydning, og at det bliver interessant hvilke ansvarsordning, der vil skulle etableres med det sociale netværk.

Facebook kommer dog nok også til at foretage en række ændringer, der kan gøre det nemmere for administratorer af Facebook-sider. Det gør de også for at kunne leve op til princippet om "privacy by design". Facebook er allerede nu i gang med at foretage en række ændringer. Vi afventer stadig fremtidige ændringer.

Dommen har derfor opsummeret følgende konsekvens for dig:

• Du skal som administrator tænke mere over, om du overholder GDPR
• Du skal huske at overholde de registreredes rettigheder (indsigt, berigtigelse osv.)
• Du skal overholde oplysningspligten efter GDPR, hvilket kan være svært, når du er delt dataansvarlig med et socialt netværk
• Husk - du har nu også et ansvar og kan derfor også blive sanktioneret efter databeskyttelsesforordningen (GDPR)

Her hos Persondatakonsulenterne følger vi konsekvenserne af dommen tæt.

Brug for hjælp til GDPR?

Har du brug for mere hjælp til GDPR?

Her hos Persondatakonsulenterne hjælper vi med at sørge for, at du/I bliver compliant og overholder GDPR bedst muligt uden, at det skal ødelægge jeres forretning.

Vi holder os løbende opdateret og følger med i afgørelser fra bl.a. EU-Domstolen. Ved at have os på sidelinjen som din samarbejdspartner kan du være sikker på at få kompetent rådgivning og hele tiden være 'compliant'.

Hvis du ikke vil have en krone op ad lommen, kan du tilmelde dig vores nyhedsbrev, hvorefter du løbende vil blive opdateret med afgørelser, tips til at overholde GDPR og meget mere. 

Du kan læse mere om vores nyhedsbrev her.

Hvis du har brug for yderligere hjælp, er du altid velkommen til at kontakte os for at høre nærmere om, hvordan vi kan hjælpe dig.

Kontakt os her

DISCLAIMER: Ovenstående er skrevet ud fra bedste fortolkning af Persondataforordningen/GDPR på nuværende tidspunkt. Ændringer i love, vejledninger, praksis mv. kan have betydning for fortolkningen fremadrettet. Vi anbefaler altid, at du får juridisk rådgivning, hvis du vil være sikker på at overholde reglerne. Kontakt os for at høre nærmere.