Loading…

Personvern & GDPR

Vi bistår virksomheter med etterlevelse av personvernregelverket til svært konkurransedyktige priser
Kontakt oss
Felles behandlingsansvar for nettsider med Facebook like knapp

Felles behandlingsansvar for nettsider med Facebook like-knapp

Felles behandlingsansvar for nettsider med Facebook like-knapp

EU-domstolen har nylig slått fast at eiere av nettsider som bruker like-knappen til Facebook er å anse som felles behandlingsansvarlig med Facebook for behandlingen av personopplysninger om besøkende på nettsiden.

Mange virksomheter bruker Facebooks like-knapp og tilsvarende sosiale plugins på sine nettsider. Slike funksjoner gjør det enkelt for brukere å like og dele innhold i sosiale medier, og gir store fordeler for bedriften i form av økt eksponering og omtale. Det mange imidlertid ikke er klar over, er at man ved å sette inn slike plugins ofte gir tredjeparter tilgang til å samle inn personopplysninger om brukere av nettsiden.

Den 29. juli kom EU-domstolen til at eiere av nettsider som bruker like-knappen til Facebook er å anse som felles behandlingsansvarlig med Facebook for behandlingen av personopplysninger som skjer via denne funksjonen. Dommen bidrar til å klargjøre ansvaret for behandlingen av personopplysninger, og hvor langt dette ansvaret strekker seg for eiere av nettsider som bruker like-knappen og tilsvarende sosiale plugins.

 

Sakens bakgrunn

Saken omhandler den tyske nettbutikken Fashion ID, som hadde installert Facebook sin like-knapp på nettsiden. Funksjonen gjorde det mulig for besøkende å «like» innhold på nettsiden, og bidro til økt eksponering av butikkens varer på Facebook. Like-knappen er imidlertid kontroversiell fordi den automatisk samler inn og sender personopplysninger (bl.a. IP-adresse, hvilken side som er besøkt, dato/tidspunkt for besøket og annen nettleserinformasjon) om alle besøkende på nettsiden tilbake til Facebook. Dette skjer uten at brukeren er informert om det, og uavhengig av om brukeren er medlem i Facebook eller har klikket på like-knappen.

Som følge av dette ble Fashion ID saksøkt av forbrukerorganisasjonen, Verbraucherzentrale NRW som kritiserte nettbutikken for å ha utlevert opplysninger om besøkende på nettsiden til Facebook, uten at det var innhentet samtykke til det eller gitt informasjon om behandlingen til brukerne av nettsiden.

Hovedspørsmålet i saken var hvilket ansvar Fashion ID hadde for behandlingen av personopplysninger.

 

Felles behandlingsansvar

Selv om Fashion ID ikke hadde noen innflytelse over behandlingen av personopplysninger eller tilgang til opplysningene, kom EU-domstolen til at Fashion ID er å anse som felles behandlingsansvarlig med Facebook for behandlingen av personopplysninger som skjer via like-knappen. Ansvaret er imidlertid begrenset til innsamlingen og utleveringen av opplysninger til Facebook. Den etterfølgende behandlingen som gjøres av Facebook (etter at opplysningene er utlevert) er Facebook alene behandlingsansvarlig for.

Domstolen uttaler at Fashion ID, ved å installere like-knappen på nettsiden, og dermed gi Facebook mulighet til å samle inn opplysninger om besøkende, på avgjørende vis hadde innflytelse over hjelpemidlene (plugin-en) som ble brukt til å samle inn og sende opplysningene til Facebook. Domstolen la også vekt på at dette ikke ville ha skjedd hvis ikke Fashion ID hadde installert den aktuelle funksjonen på nettsiden.

Når det gjelder formålet, uttaler domstolen at Fashion ID hadde installert like-knappen for å optimalisere markedsføringen av selskapets varer ved å gjøre dem mer synlige på Facebook når en bruker klikker på knappen. Siden både Fashion ID og Facebook hadde en økonomisk interesse i å behandle de aktuelle opplysningene, ble det lagt til grunn at de sammen hadde fastlagt formål (hva opplysningene skulle brukes til) og hjelpemidler (like-knappen) med behandlingen, og derfor var å anse som felles behandlingsansvarlige.

Domstolen begrunner avgjørelsen med at definisjonen «den behandlingsansvarlige» må tolkes bredt for å sikre en effektiv og komplett beskyttelse av personopplysningsvernet. Dommen bygger på tidligere avgjørelser fra EU-domstolen om felles behandlingsansvar, Wirtschaftsakademie-dommen og Jehovas vitner-dommen. Denne saken viser imidlertid at det ikke skal så mye til før man kan bli å anse som (felles) behandlingsansvarlig.

 

Hva betyr dette for din virksomhet?

Mange nettsider bruker sosiale plugins fra ulike leverandører, som Facebook, Twitter, LinkedIn og Instagram. Felles for mange av disse er at de også samler inn informasjon om besøkende på nettsiden. Dette gjelder både ved bruk av like-, følge-, dele-, og sende-knapper, men også ved bruk av flere andre funksjoner, som for eksempel innlogging via sosiale medier. Ifølge Facebook og LinkedIn vil bruken av deres plugins gi selskapene adgang til å hente ut personopplysninger om brukerne, som deretter benyttes til målrettet markedsføring. I lys av denne dommen er det svært sannsynlig at også bruken av disse vil medføre at det foreligger felles behandlingsansvar, men dette må vurderes konkret.

Felles behandlingsansvar innebærer at både eiere av nettsider og sosiale medier sammen er ansvarlige for å oppfylle forpliktelsene i personvernforordningen og de registrertes rettigheter. Partene må inngå avtale om felles behandlingsansvar som regulerer fordelingen av ansvaret og forpliktelsene for behandlingen. Informasjon om ansvarsforholdene må også kommuniseres til brukerne av nettsiden.

Virksomheten må også sørge for å etablere et gyldig behandlingsgrunnlag. Domstolen tar ikke stilling til hvilket behandlingsgrunnlag som gjelder, men uttaler at dersom samtykke er behandlingsgrunnlaget må samtykket innhentes før opplysningene sendes til Facebook – noe Facebooks plugin foreløpig ikke støtter.

Opplysningene kan imidlertid behandles dersom det er nødvendig for å ivareta berettiget interesse (interesseavveining). Domstolen uttaler at siden nettsideeier og Facebook er felles behandlingsansvarlige for innsamlingen og utleveringen av opplysningene, må begge parter ha en berettiget interesse for at behandlingen skal kunne rettferdiggjøres overfor de registrerte.

Virksomheten må også informere om behandlingen av personopplysninger til brukerne av nettsiden, for eksempel i en personvernerklæring på virksomhetens nettsider. Informasjonen må dekke de delene av behandlingen som nettsideeier er felles behandlingsansvarlig for, dvs. innsamlingen og utleveringen til Facebook. I tillegg må informasjonen oppfylle de øvrige kravene i personvernforordningen artikkel 13 og 14.

 

Har du behov for bistand til å vurdere bruken av plugins på nettsiden din? Kontakt oss gjerne for et uforpliktende tilbud.