Virksomheder, myndigheder og privatpersoner kan blive ansvarlige for overtrædelser af Persondatadirektivet, når de anvender Facebook som led i deres markedsføring
Den 5. juni 2018 afsagde EU Domstolen dom, i en sag vedrørende fysiske og juridiske personers ansvar efter Persondatadirektivet, ved oprettelse af såkaldte ’fansider’ på det sociale medie Facebook.
Mange virksomheder, myndigheder og tilmed private personer, benytter sig af muligheden for at oprette en såkaldt ’fanside’, på det sociale medie Facebook. En fanside er en særlig brugerkonto, hvorpå den pågældende ’administrator’ kan markedsføre sig, først og fremmest i forhold til Facebooks brugere, men også personer som ikke er brugere, da fansiden er offentligt tilgængelig.
Fansiden oprettes ved, at den pågældende virksomhed, myndighed eller privatperson registrerer sig hos Facebook, og herefter bliver administrator af en fanside. I den forbindelse underskriver administratoren Facebooks vilkår, og accepterer herved Facebooks brug af cookies. Udover at administratoren herefter kan dele billeder og skrive opslag via fansiden, kan denne vederlagsfrit benytte sig af funktionen: ’Facebook Insights’.
Facebook placerer ovennævnte cookies på brugernes computere, tablets mv., og indsamler herefter oplysninger om dem og deres adfærd på nettet. Der er tale om oplysninger om f.eks. køn, forholdsstatus og købsadfærd online. Via funktionen ’Facebook Insights’, kan administratoren få de indsamlede oplysninger stillet til rådighed i anonymiserede udgaver. Både Facebook og administratoren får således et kendskab til de personer, som klikker sig ind på fansiden, og kan dermed målrette deres markedsføring til dem.
Ifølge EU Domstolen bidrager administratoren, ved sin accept af Facebooks vilkår, til at afgøre med hvilket formål, og med hvilke hjælpemidler, behandlingen af de indsamlede oplysningerne skal foretages. Herved bliver denne dataansvarlig efter Persondatadirektivet, i fællesskab med Facebook.
Som administrator af en fanside på Facebook, er man således i fællesskab med Facebook, ansvarlig for at sikre, at de persondataretlige regler overholdes, selvom administratoren alene modtager anonymiserede personoplysninger, hvilket ikke er omfattet af Databeskyttelsesforordningen.
EU Domstolen understregede dog, at flere aktører kan være ansvarlige i fællesskab, uden at ansvarsgrundlagene nødvendigvis er ens. Den enkelte aktørs ansvarsniveau, skal vurderes under hensyntagen til samtlige relevante omstændigheder i sagen.
Dommen vedrører fortolkning af Persondatadirektivet, men da reglerne heri i vidt omfang er videreført i Databeskyttelsesforordningen, ville udfaldet, ifølge Datatilsynet, formentlig være det samme, såfremt det var Databeskyttelsesforordningen som var under lup.
Datatilsynet udtaler imidlertid følgende om dommen:
“I Datatilsynet er vi naturligvis opmærksomme på, at ovennævnte kræver, at Facebook medvirker til en løsning, hvilket vi forventer og i europæisk sammenhæng sammen med bl.a. Datatilsynet i Irland vil følge op på, at Facebook gør. I det omfang reglerne ikke efterleves, risikerer begge parter imidlertid at blive pålagt sanktioner.”
Hvad betyder dommen konkret for dig, der har en fanside på Facebook?
- Du er – sammen med Facebook – ansvarlig for at overholde reglerne i Databeskyttelsesforordningen i forhold til fansiden.
- Du skal sikre, at besøgende på siden – uanset om de er Facebook-brugere eller ej – modtager information om persondatapolitikken og, i det omfang det er krævet, også giver samtykke til behandlingen.
- Du skal indgå en aftale med Facebook om fælles dataansvar.
- Besøgende kan udøve deres rettigheder over for dig, såsom ret til indsigt.
- Du hæfter solidarisk med Facebook i forhold til et eventuelt erstatningsansvar.