Hva betyr Facebook-administrator-dommen for norske virksomheter?

13.06.2018

EU-domstolen bestemte 5. juni 2018 at en administrator av Facebooks fansider skal anses som en såkalt behandlingsansvarlig, sammen med Facebook. Det vil bety at den som oppretter en Facebook-side for markedsføring av sine produkter, vil være ansvarlig for å etterleve Personopplysningsloven (inkl GDPR) i sin behandling av personopplysninger via Facebook. Dommen vil ha størst betydning for kravet til informasjonen som må gis til brukerne.

Videre bestemte retten at datatilsyn i ett land har myndighet til å gripe inn overfor  virksomheter i et annet land, noe som gikk lenger enn det tyske domstoler hadde trodd var mulig.


Av Kristian Foss, Kristin Haram Førde og Jenny Hovda, advokater og partnere i Bull & Co advokatfirma.

Hvordan kunne dette skje?


Saken, som omhandler det tyske akademiet Wirtschaftsakademie Schleswig-Holsteins bruk av Facebook, har versert i rettssystemet siden 2011. Akademiet tok i bruk Facebook for å opprette en fanside, der brukerne kunne få informasjon om produkter og tilbud. Ved bruk av Facebook Insight, mottok virksomheten anonyme analyser av brukerne på fansiden. Analysene fortalte om brukernes preferanser og valg. Facebook benyttet såkalte behavioural tracking cookies for dette, og slik kunne virksomheten få nyttig informasjon om brukerne sine. Hverken Facebook eller virksomheten gav brukerne informasjon om at dette skjedde.

Tysk datatilsyn gav akademiet pålegg om å informere om denne bruken, men akademiet mente at det ikke var ansvarlig for å gi denne informasjonen, siden akademiet ikke kunne være behandlingsansvarlig.

Spørsmålet var om en administrator av en Facebook-fanside kunne være å anse som behandlingsansvarlig for den behandlingen som pågår på fansiden. Det er allerede slått fast, og igjen understreket i denne saken, at Facebook er å anse som behandlingsansvarlig for det som skjer på Facebook. EU-domstolen kom etter en lang og konkret begrunnet vurdering til at en administrator av fansider ved bruk av Facebook Insight, skal være å anses som en felles behandlingsansvarlig sammen med Facebook.

Hovedgrunnen var at akademiet selv valgte Facebook som plattform og kunne påvirke hvordan behandlingen skjedde. Blant annet satt administrator selv en rekke parametere. Slik kunne administrator bestemme kategorier av personer hvis data skulle brukes av Facebook, og slik bidra til behandlingen. Administrator kunne herunder be om demografiske data for sitt målpublikum, som kjønn, alder, forhold, yrke, livsstil, interesser og kjøpshistorikk.

Bakgrunnen for vurderingen til domstolen var direktivets krav til høyt beskyttelsesnivå. Kravet gjør at begrepet "behandlingsansvarlig" må tolkes vidt, slik at målsetning om å besørge effektiv og komplett beskyttelse oppnås. Domstolen viste her til saken mot Google Spania.

Domstolen gjorde det også klart at administratoren kunne bli ansett som behandlingsansvarlig selv om den selv ikke behandlet personopplysninger direkte (siden dataene var aggregert, og kun Facebook kan koble til fysiske personer). 

Hva betyr dette for norske virksomheter?

Mange norske virksomheter bruker fansider på Facebook som del av sin markedsføring. Anses du som behandlingsansvarlig, må du besørge såkalt behandlingsgrunnlag og øvrige krav til behandling må oppfylles. Behandlingsgrunnlag kan være samtykke eller lovgrunnlag. Andre krav omfatter krav til åpenhet, minst og kortest mulig behandling og visse andre krav.

Som du kanskje har fått med deg, baserer dommen seg på reglene som gjaldt eller gjelder før GDPR trer i kraft. Det vil si personopplysningsdirektivet av 1995 og vår implementering i personopplysningsloven av 2000. Vurderingen blir ganske lik under GDPR, fordi definisjonen av behandlingsansvarlig skal forstås likt under GDPR og under direktivet. GDPR innfører imidlertid en ny definisjon og regulering av "felles behandlingsansvar". Grunnen er den økende kompleksiteten ved moderne behandling av personopplysninger.

Dommen kommenterer at selv om administrator av en Facebook-side vil være å anse som behandlingsansvarlig, vil det ikke være slik at den deler ansvaret likt med Facebook. De to partene vil være involvert i forskjellige behandlinger på forskjellige stadier og med forskjellig påvirkningsmulighet. Ansvaret må derfor vurderes fra sak til sak. Facebook vil være "hoved-behandlingsansvarlig". Administrator vil ikke nødvendigvis kunne påvirke hvordan Facebook innhenter og behandler alle data, og da kan utfallet bli et annet enn i denne saken. Facebook vil uansett være den som er ansvarlig for Facebook som plattform.

Dette må du passe på:


Forstå plattformen. Dommen innebærer at man ikke ukritisk kan ta i bruk sosiale mediers plattformer uten å sette seg inn i hvordan de fungerer og hvordan de bruker dine kunders og kontakters data. Les derfor vilkårene og personvernerklæringene, slik at du forstå hva det vil bety for dine kunder og kontakter å følge deg via det sosiale mediet. Det trenger du å vite for å kunne informere.

Informér tydelig. EU-domstolen påpekte i dommen at hverken Facebook eller akademiet hadde informert brukerne om bruken av informasjonskapsler (cookies). Dette betyr at du som administrator må besørge tilstrekkelig informasjon. GDPR fastsetter en klar plikt til å informere, herunder om felles behandlingsansvarliges respektive roller og forhold til de registrerte. Se GDPR art. 13, 14 og 26. Slik informasjon kan for eksempel legges i en personvernerklæring eller direkte på Facebook-siden.

Skaff deg behandlingsgrunnlag. Domstolen peker på at selv om to virksomheter er felles behandlingsansvarlige, behøver ikke pliktene å være like. Det betyr at kravene til behandlingsgrunnlag kan være ulike. Men som administrator må du likevel sørge for at du har behandlingsgrunnlag for den behandlingen du står for. Kravet er særlig strengt for brukere som ikke er medlemmer i Facebook. Trolig vil samtykke eller berettiget interesse være det mest praktiske grunnlaget.

Vurder om du omfattes. Som nevnt var vurderingen til retten konkret bestemt. Om du bruker en annen facebook-tjeneste, eller annen leverandør, er det ikke sikkert at du blir behandlingsansvarlig. Spørsmålet er hvor stor konkret innflytelse du har på behandlingen. Men gitt at du faktisk vil være den som velger tjeneste, skal det trolig lite til før du anses som (felles) behandlingsansvarlig.

Fordel ansvar. For å forhindre pulverisering av ansvaret mellom to behandlingsansvarlige plikter disse å formalisere samarbeidet seg imellom. GDPR oppstiller ikke et eksplisitt krav til avtale, men det er mest praktisk. I avtalen må særlig kravet til informasjon ivaretas. For virksomheter som har opprettet Facebook-sider, vil det være avgjørende å legge det ansvaret på Facebook, som har faktisk kontroll over hoveddelen av tjenesten.


Artikkelen detaljerer temaet tatt opp i Dagens Næringsliv. Se avisen fra 13.06.2018 eller denne lenken.


Ta gjerne kontakt med oss om du trenger hjelp med noe av dette. 

Kristin Haram Førde (khf@bull.no) - tlf 951 01 307

Kristian Foss (kf@bull.no) - tlf 970 62 655

Jenny Hovda (jsh@bull.no) - tlf 936 91 555