En ny EU-dom fastslår, at man har et fælles dataansvar med Facebook, hvis man har en Like-knap på ens hjemmeside.
Det ansvar har man, fordi man fordi man med knappen er med til at indsamle besøgsdata data på vegne af Facebook.
Det har EU slået fast i en dom, hvor den tyske online tøjbutik, Fashion ID, blev dømt til at have et delt dataansvar, selvom de ikke som sådan selv havde adgang til de data, som Facebook indsamlede via knappen.
Dommen gælder i princippet for alle de SoMe-knapper, man har installeret på sin hjemmeside, og som sender besøgsdata videre til de pågældende virksomheder som f.eks. Facebook, LinkedIn og Twitter.
To klik på Like-knappen?
Har man en Like-knap, der indsamler persondata på ens hjemmeside, skal man altså ifølge EU-domstolen oplyse om det retlige grundlag for at behandle disse data.
Det vil sige, at virksomheden skal informere alle brugere om virksomhedens legitime interesse i at videregive disse data til Facebook eller andre sociale medier.
Dette følger af de efterhånden kendte regler om den dataansvarliges oplysningspligt, når man indsamler persondata, og informationen kan derfor indbygges i virksomhedens i forvejen offentliggjorte datapolitik.
Har man lidt svært ved at finde på en legitim begrundelse for SoMe knappen, kan man som alternativ etablere en samtykkefunktion – f.eks. ved at brugeren klikker to gange på Like-knappen, hvor det ene klik så udgør samtykket.
I tråd med tidligere afgørelser
Afgørelsen må siges at være i tråd med en afgørelse fra sidste år fra samme domstol.
Der blev det allerede – omend noget overraskende – slået fast, at Wirtschaftsakademie Schleswig Holstein havde et fælles dataansvar med Facebook.
Det havde de, fordi akademiet havde en profilside på Facebook, og man derfor kunne modtage anonymiserede data om trafik etc.
Så selv om akademiet ikke kunne se hvem, der havde klikket på hvad, og derfor ikke lå inde med persondata som sådan, havde akademiet mulighed for at påvirke Facebooks indsamling af persondata ved at præcisere, hvilke kriterier statistikkerne skulle udarbejdes på.
Derved var de ifølge EU-domstolen omfattet af begrebet ”dataansvarlig”, som er det organ, ”der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.”
Facebook har sidenhen præciseret sine vilkår og påtaget sig størstedelen af ansvaret når virksomheden gør brug af disse ”Indblik i” – produkter.
Hvis du vil vide mere
Du kan altid få hjælp og finde svar på vores temaside om persondataforordningen eller deltage i en af vores arrangementer om emnet.
Er du generelt interesseret Etik, Privacy og sikkerhed, skal du måske være med i IT-Branchens it-sikkerhedsudvalg. Kontakt Martin Jensen Buch, hvis du vil høre mere om, hvad udvalget laver.