EU-domstolen: Administrator af Facebook-fanside er i fællesskab med Facebook ansvarlig for behandling af brugernes persondata

EU-domstolens dom af 5. juni 2018 må forventes at have vidtgående betydning for eksempelvis virksomheder, der opererer en såkaldt fanside på Facebook (virksomhedens hjemmeside på Facebook), hvor virksomheden promoveres. Dommen betyder, at virksomheder, der administrerer en Facebook fanside, potentielt kan straffes med bøde, hvis virksomheden ikke overholder reglerne for behandling af persondata.
Nyhed

Sagen kort

Dommen er afsagt på baggrund af en sag fra Schleswig-Holstein, hvor en tysk virksomhed ved navn Wirtschaftsakademie drev en fanside med adressen www.facebook.com/wirtschaftsakademie. Datatilsynet i Schleswig-Holstein havde i 2011 truffet en beslutning om, at virksomheden skulle deaktivere sin Facebook-fanside, da hverken virksomheden eller Facebook informerede brugerne af fansiden om, at der ved hjælp af cookies blev indsamlet og behandlet data om dem.

Den tyske virksomhed gjorde gældende, at den ikke kunne være ansvarlig for Facebooks behandling af personoplysninger, og at den ikke havde bedt Facebook om at behandle de data, som Facebook måtte være i besiddelse af.

De pågældende personoplysninger i sagen blev indsamlet via en funktion kaldet `Facebook Insights´. Denne funktion benytter cookies, som lagres på computere hos fansidens følgere.

Domstolen slog indledende fast, at Facebook utvivlsomt er dataansvarlig for behandlingen af de personoplysninger, som stammer fra brugerne af Facebook og de fansider, som Facebook stiller til rådighed for virksomheder som Wirtschaftsakademie.

Dernæst konkluderede EU-domstolen, at Wirtschaftsakademie som administrator af fansiden er fælles dataansvarlig med Facebook.

Begrundelsen for fælles dataansvar er, at administrator af en fanside medvirker i fastlæggelsen af behandlingsformål og i forhold til de metoder, som tages i brug ved behandlingen af de besøgendes persondata. Der blev særligt lagt vægt på, at administratoren kan bede om demografiske data med en unik brugerkode og dermed anmode om personoplysninger relatereret til virksomhedens målgruppe, hvor personoplysninger om alder, køn, beskæftigelse, livsstilsinformation og lignende medtages. Disse personoplysninger kan virksomheden herefter benytte til at målrette sin markedsføring, da de unikke brugerkoder kan kobles sammen med de oplysninger, som Facebook er i besiddelse af.  

EU-domstolen konkluderede, at det faktum, at en virksomhed vælger at være administrator for en fanside, og dermed bruge den platform som Facebook tilbyder, medfører, at virksomheden ikke kan være undtaget fra at skulle overholde sine forpligtelser vedrørende beskyttelse af persondata.

Fælles dataansvar kommer på tale, hvis flere parter sammen har ansvaret for en behandling og hver part kan bruge personoplysningerne til egne formål. Som fælles dataansvarlig er man ansvarlig for at overholde databeskyttelsesforordningens bestemmelser. De personer, der behandles personoplysninger om, kan rette henvendelse til enhver af de fælles dataansvarlige og udøve deres rettigheder, herunder anmodning om indsigt, indgive klage mm. Som fælles dataansvarlig hæfter parterne solidarisk for eventuelle bøder eller for betaling af erstatning til de personer, der er berørt af en eventuel overtrædelse.   

Lund Elmer Sandagers kommentar

Virksomheders brug af sociale medier som fx Facebook til at interagere med omverdenen, herunder særligt kunder, er i de senere år blevet meget udbredt. EU-domstolen pålægger nu virksomheder, organisationer eller tilsvarende et fælles ansvar med Facebook.

Det er endvidere værd at bemærke, at EU-domstolens afgørelse er afsagt efter persondatadirektivet. Det må dog forventes, at den samme fortolkning også vil gælde, når EU-domstolen skal fortolke bestemmelserne i databeskyttelsesforordningen, der trådte i kraft den 25. maj 2018, idet de grundlæggende bestemmelser i direktivet om dataansvarlige er videreført i databeskyttelsesforordningen.

Som indehaver af en fanside på Facebook bør du blandt andet være opmærksom på følgende:

  • Du er sammen med Facebook ansvarlig for overholdelse databeskyttelsesforordningen
  • Du skal sikre, at de besøgende får information om, hvordan du via Facebook behandler de pågældendes personoplysninger, fx via en persondatapolitik
  • Der skal indgås aftale om fælles dataansvar med Facebook
  • Ved et eventuelt erstatningsansvar hæfter du og Facebook solidarisk.

Hvis du har spørgsmål til denne artikel eller spørgsmål i forbindelse med behandling af persondata i din organisation, er du velkommen til at kontakte advokat Torsten Hylleberg eller advokatfuldmægtig Oliver Valcelli.

Kontakt
Torsten Hylleberg
partner
advokat