Den banebrydende sag udspringer af en afgørelse truffet af datatilsynet i Schleswig-Holstein, som handler om en uddannelsesinstitution, der fik et påbud om at lukke sin fanside på Facebook. Afgørelsen afstedkom af, at hverken uddannelsesinstitutionen eller Facebook informerede de besøgende brugere om, at der skete en indsamling af deres personoplysninger gennem anvendelsen af cookies, når de tilgik den pågældende fanside.
Oplysningerne blev indsamlet gennem en af Facebooks funktioner: ”Facebook-Insight”.
Facebook-Insight er et værktøj, hvorved administratorer af fansider kan modtage anonyme statistiske oplysninger om brugerne. Oplysningerne indsamles ved hjælp af cookies, der indeholder en brugerkode, som Facebook gemmer på brugerens telefon, tablet eller computer. Den unikke brugerkode kan efterfølgende kobles sammen med de oplysninger, som Facebook i forvejen er i besiddelse af om brugeren, og brugeren kan herigennem blive identificeret.
Datatilsynets afgørelse blev forelagt EU-Domstolen, som skulle tage stilling til den dataansvarlige personkreds i forhold til indsamlingen af oplysningerne om brugerne på Facebookfansiden.
EU-Domstolen: Administratorer deler dataansvaret med Facebook
EU-Domstolen bestemte, at en administrator af en fanside på Facebook skal anses som fælles dataansvarlig med Facebook i relation til indsamling og behandling af persondata om de brugere, der tilgår den pågældende fanside.
EU-Domstolens statuering af fælles dataansvar hviler på, at administratoren af en fanside er medbestemmende i forhold til formålet med og hjælpemidlerne til indsamling af persondata. Dette sker ved, at administratoren kan definere de kriterier, som anvendes til indsamling af oplysninger på fansiden gennem de filtre, som Facebook stiller til rådighed. Administratoren af fansiden bidrager dermed til behandlingen af de besøgendes persondata, og må derfor anses som fælles dataansvarlig med Facebook.
Ved sin afgørelse lagde EU-Domstolen særligt vægt på, at administratoren kan anmode om at modtage en række demografiske oplysninger om en målgruppe med henblik på at målrette information om events og tilbud mod den bestemte gruppe, herunder oplysninger om alder, køn, forholdsstatus, arbejde, livsstil og interesser.
EU-Domstolen bemærkede, at et fælles dataansvar ikke indebærer, at alle dataansvarlige operatører har det samme ansvar, men at den enkelte operatørs ansvarsniveau skal vurderes under hensyntagen til samtlige omstændigheder i sagen.
Afgørelsen viser, at …
Afgørelsen viser, at virksomheder, organisationer mv., som anvender Facebookplatformen, kan stå til ansvar for Facebooks manglende overholdelse af de persondataretlige regler.
Det skal særligt fremhæves, at det fælles dataansvar gælder på trods af at administratoren af fansiden alene får adgang til brugernes demografiske data i anonymiseret form og altså ikke noget på tidspunkt får adgang til de oprindelige personoplysninger.
Det fælles dataansvar indebærer, at den medansvarlige administrator er forpligtet til at opfylde registreredes rettigheder i henhold til databeskyttelsesforordningen, herunder retten til indsigt, sletning, berigtigelse mv.
For organisationer og virksomheder, der allerede anvender eller overvejer at anvende Facebook som platform til at oprette fansider, er det derfor væsentligt først at vurdere den risiko, det fælles dataansvar medfører for den pågældende organisation, herunder særligt om organisationen er i stand til at opfylde de forpligtelser, der følger af databeskyttelsesforordningen.
