En ny afgørelse fra EU-Domstolen slår fast, at administratoren af en Facebook-side (også kaldet fansider) kan stilles juridisk ansvarlig for hvordan Facebook behandler persondata på det sociale medie.

Hermed kan organisationer og virksomheder som har en Facebook-side blive mødt med et ”fælles dataansvar” omhandlende opfyldelse af de registreredes rettigheder (herunder retten til indsigt, sletning, berigtigelse, mv.), samt den registrering, tracking og dataprofilering som Facebook laver på det sociale medie, hvilket betyder at de kan straffes med bødestraf for Facebooks eventuelle overtrædelser eller manglende overholdelse af databeskyttelsesforordningen (datalovgivningen).

Dommen omfatter oprettelse og /eller anvendelse af en fanside på Facebook, som ved hjælp af værktøjet Facebook-Insights (Facebook Indblik – herunder anvendelsen af LIKE funktionen) modtager anonyme statistiske oplysninger om de brugere, der besøgte siden. Dette selvom brugeren ikke selv har en Facebook profil.

Sag tilbage fra 2011:

Selve dommen omhandler en tysk uddannelsesinstitution, hvor Datatilsynet i Schleswig-Holstein tilbage i 2011, beordrede institutionen til at lukke sin Facebook-side.

Begrundelsen var, at brugerne ikke var blevet informeret om, at et klik på siden for både Facebook-medlemmer og ikke-medlemmer betød, at cookies blev lagret i deres udstyr og dermed registrerede deres adfærd på internettet to år herefter.

Uddannelsesinstitutionen argumenterede for i den opfølgende tyske retssag, at denne ikke kunne holdes juridisk ansvarlig for Facebooks overvågning af brugerne, men den påstand er nu blevet underkendt af EU-Domstolen.

Forordning 2016/679:

Selvom dommen omhandler fortolkningen af det nu ophævede persondatadirektiv (direktiv 95/46),

vil dommen få betydning ved fortolkningen af databeskyttelsesforordningen (forordning 2016/679), idet de grundlæggende bestemmelser i direktivet om dataansvarlige er videreført i forordningen oplyser Datatilsynet.

Uddrag af Datatilsynets fortolkning af sagen:

Administratoren bidrager til at afgøre til hvilket formål og med hvilke hjælpemidler, der foretages

behandling af personoplysninger om brugerne på fansiden, og af denne grund skal administratoren

sammen med Facebook Irland anses som dataansvarlig (præmis 39).

Uanset, at dommen ikke udtaler sig om selve fordelingen af ansvaret, fremgår det klart, at en administrator

af en Facebook fanside ikke vil være ansvarsfri, og dommen indebærer efter Datatilsynets

opfattelse derfor, at enhver, der har eller ønsker at oprette en fanside på Facebook nøje bør overveje,

hvorvidt man kan påtage sig et sådant fælles ansvar med Facebook for den behandling af personoplysninger,

der finder sted på siden.

Dommen betyder konkret:

At virksomheden skal være opmærksom på:

  • At der sammen med Facebook er et fælles ansvar for at overholde reglerne i databeskyttelsesforordningen (i forhold til den pågældende Facebook-side)
  • At det skal tilsikres, at besøgende på siden (uanset om de er Facebook-brugere eller ej) får information om persondatapolitikken og, i det omfang det er krævet, også giver samtykke til behandlingen
  • At virksomheden skal sørge for at indgå en aftale med Facebook om fælles dataansvar, og i denne aftale skal det reguleres, hvem der har ansvar for hvad, og dem I behandler oplysninger om, skal have adgang til at se det væsentligste indhold af ansvarsfordelingen mellem Facebook og virksomheden
  • At de personer, der bliver registreret som følge af besøg på virksomhedens side kan udøve deres rettigheder over for virksomheden. Det gælder f.eks. retten til indsigt, retten til at gøre indsigelse eller retten til sletning
  • At tage højde for, at i forhold til et eventuelt erstatningsansvar i forbindelse med behandlingen af personoplysningerne hæftes der solidarisk med Facebook

Læs hele Datatilsynets fortolkning

Anbefalinger:

  1. Sikre at der forelægger en aftale om fælles dataansvar med Facebook – Hent skabelonen

Datatilsynet i Irland har ansvaret for at følge op på at Facebook overholder reglerne. Dog skal virksomheden være opmærksom på, at såfremt reglerne ikke efterleves, så risikerer begge parter imidlertid at blive pålagt sanktioner.

Cookie- og privatlivspolitik – Opdatering af teksten:

Du vil med fordel kunne anvende et af understående tekster som standard tekst på det popup vindue dine besøgende på websiden vil skulle acceptere iht. jeres cookieregler. Dermed skilter du med, at det enkelte sociale medie anvender cookies – Med det fratager ikke virksomheden fra det fælles ansvar.

Tekst 1:

Det enkelte sociale medie heraf Facebook, Twitter, Instagram, LinkedIn mv. anvender cookies til statistik, hjemmesideoptimering og målrettet markedsføring. Klikker du videre fra vores hjemmeside til det enkelte sociale medie, accepterer du, at der sættes cookies til disse formål. Såfremt du ikke ønsker der sættes cookies bør du ikke klikke dig videre. Læs mere om hvordan du fravælger brugen af cookies i vores Cookie- og privatlivspolitik.

Tekst 2:

Vi bruger cookies til at tilpasse vores indhold og annoncer, til at vise dig funktioner til sociale medier og til at analysere vores trafik. Vi deler også oplysninger om din brug af vores website med vores partnere inden for sociale medier heraf Facebook, LinkedIn mv., annonceringspartnere og analysepartnere. Vores partnere kan kombinere disse data med andre oplysninger, du har givet dem, eller som de har indsamlet fra din brug af deres tjenester. Klikker du videre fra vores hjemmeside til det enkelte sociale medie, accepterer du, at der sættes cookies til disse formål. Såfremt du ikke ønsker der sættes cookies bør du ikke klikke dig videre.

Alle sociale medier:

Ovenstående EU-dom omhandler Facebook, men dommen kan relateres til andre sociale medier såsom Twitter, Instagram, LinkedIn mv.

Det er derfor vores anbefaling, at virksomheden tager stilling til brugen af de enkelte sociale medier med udgangspunkt i vores understående anbefaling omkring håndtering af EU-dommen vedrørende Facebook.

Vurdering:

I bør meget nøje vurdering om indtægten på jeres Facebook reklamer/kampagner og andre sociale medier tjener sig hjem, da I fremadrettet vil stå med et ”fælles dataansvar”.

Hvis I benytter et reklame- eller mediebureau for håndtering af jeres reklamer/kampagner bør I sikre jeres rettigheder, så I ikke kommer juridisk i klemme mellem reklame- eller mediebureauet på den ene side og Facebook (det sociale medie) på den anden side.

SEROP påtager sig intet ansvar for direkte og /eller indirekte følgeskader, herunder driftstab og /eller mistet fortjeneste. SEROPs information/rådgivning baseres udelukkende alene efter de enkelte domme og disses retskendelser, hvilket betyder at senere domme eventuelt kan ændre allerede givende domsafsigelser. Da der løbende sker ændringer i love og regler omkring Databeskyttelsesforordningens (GDPR) forhold, har SEROPs konkrete information/rådgivning kun gyldighed på det tidspunkt, hvor den gives.