De færreste virksomheder har formentlig tænkt over, at der kunne opstå et persondataretligt problem ved at have en firmaprofil på f.eks. Facebook og ved at have følgere som liker virksomheden.
For langt de fleste har nok den klare opfattelse, at det er det pågældende sociale medie, der er dataansvarlig i relation til disse følgere – og for øvrigt også i forhold alle andre personer, der måtte besøge en virksomheds fanpage på det pågældende sociale medie.
Virksomheden modtager nemlig ikke personhenførbare data fra Facebook, LinkedIn el. lign. platforme, men alene anonymiserede statistiske oplysninger genereret af cookier.
Det er da også korrekt, at platforme som Facebook ér dataansvarlig. MEN i en ny afgørelse fastslog EU-Domstolen, at også virksomheden har et medansvar og dermed et fælles ansvar med Facebook for en korrekt håndtering af persondatareglerne.
Du har et medansvar for dataindsamlingen på sociale medier
Kort fortalt siger EU-Domstolen, at den kendsgerning, at virksomheden (administratoren) har indflydelse på, hvilke persondata der skal indhentes, for at virksomheden kan modtage de ønskede anonymiserede data, betyder, at man bliver medansvarlig.
Sagen vil få stor betydning – ikke kun for social media marketing – men for hele online markedsføringen i form af retargeting etc.
Et fælles dataansvar har den konsekvens, at virksomheden og Facebook (eller andre tilsvarende platforme og værktøjer) skal fortælle de registrerede hvilke opgaver og ansvarsområder, som de to parter hver især har i relation til datahåndteringen.
Du kan læse mere om dommen og få gode råd til, hvordan du skal forholde dig til sagen i en artikel fra Datatilsynet.
Datatilsynet skriver bl.a.: Har du som f.eks. virksomhed eller myndighed en Facebook-side, eller overvejer du at få det, betyder dommen, at du skal være opmærksom på følgende:
- Du er sammen med Facebook fælles ansvarlig for at overholde reglerne i databeskyttelsesforordningen (i forhold til den pågældende Facebook-side)
- Du skal sikre, at besøgende på siden (uanset om de er Facebook-brugere eller ej) får information om persondatapolitikken og, i det omfang det er krævet, også giver samtykke til behandlingen
- Du skal sørge for at indgå en aftale med Facebook om fælles dataansvar, og i denne aftale skal
- Det reguleres, hvem der har ansvar for hvad, og dem I behandler oplysninger om, skal have adgang til at se det væsentligste indhold af ansvarsfordelingen mellem Facebook og dig
- Personer, der bliver registreret som følge af besøg på din side, kan udøve deres rettigheder over for dig. Det gælder f.eks. retten til indsigt, retten til at gøre indsigelse eller retten til sletning
- I forhold til et eventuelt erstatningsansvar i forbindelse med behandlingen af personoplysningerne hæfter du og Facebook solidarisk
En kæp i hjulet på Danmarks digitalisering
Med udmeldingen fra Datatilsynet og de krav som nu udstikkes, skabes der en stor usikkerhed i forbindelse med danske virksomheders brug af sociale medier.
Flere af kravene vil ikke bare være svære at håndtere – men helt umulige.
Yderste konsekvens vil være, at flere virksomheder fravælger brugen af de sociale medier, til stor skade for den digitale vækst og udvikling i Danmark.
”Vi savner en klar rådgivning fra Datatilsynet her, da deres nævnte vejledning reelt ikke kan lade sig gøre i praksis. Skal vi afvente yderligere information eller skal vi slette vores Facebook side for ikke at risikere repressalier? Hvis ikke der bliver anvist en mulig vej til at overholde denne dom, ender vi med at stille danske virksomheder i den ubehagelige situation, at de skal vælge mellem at anvende sociale medier eller GDPR-compliance. Det tror jeg ingen ønsker,” udtaler Rasmus Theede, medlem af IT-Branchens it-sikkerhedsudvalg.
Respons fra Facebook
Facebook har naturligvis også forholdt sig til den noget overraskende dom.
Hovedbudskabet fra dem er, at de snarest vil opdatere deres politik, så det mere klart fremgår, hvad ansvarsfordelingen er mellem Facebook og admins af f.eks. fansider.
Ind til da anbefaler de alle at fortsætte med at bruge deres sider som hidtil.