Ny avgjørelse bidrar til avklaring av felles behandlingsansvar

Det er ikke bare bloggere og brukere av sosiale medier som jakter «likes» på innholdet de presenterer for sine besøkende. Flere nettbutikker, digitale medier og andre nettsider har installert en liten «Liker»-knapp nederst på siden sin, hvor leseren eller den besøkende kan gi uttrykk for sin anerkjennelse. Dette har, som så mye annet i disse tider, reist personvernrettslige spørsmål. Dommen i den såkalte Fashion ID-saken ble offentliggjort av EU-domstolen 29. juli 2019. Avgjørelsen klargjør behandlingsansvaret til nettsteder som bruker Facebooks «Liker»-knapp.

Sakens bakgrunn 

Fashion ID er en tysk nettbutikk som selger klær. For å optimalisere sin markedsføring implementerte Fashion ID Facebook sin «Liker»-knapp som en plug-in på sine nettsider. Funksjonen sørger for at idet en nettside besøkes så sendes opplysninger om brukeren av nettstedet til Facebook. Dette skjer enten man «liker» det eller ikke, og uavhengig av om brukeren er medlem av Facebook. 

EU-domstolen har vurdert hvilket behandlingsansvar Fashion ID har for denne innsamlingen og overføringen av personopplysningene til Facebook. Vurderingen ble gjort etter det tidligere personverndirektivet, men er av stor interesse også for tolkningen av den någjeldende personvernforordningen (GDPR). 

Hva er behandlingsansvar og hvorfor er det interessant hvem som har det? 

En aktør som bestemmer formålene med og midlene for behandling av personopplysninger anses som behandlingsansvarlig. Den behandlingsansvarlige er ansvarlig for å sikre etterlevelse av personvernregelverket. Det innebærer at den behandlingsansvarlige blant annet må sørge for å ha et behandlingsgrunnlag for sin behandling av personopplysningene, og at informasjonsplikten overfor den registrerte ivaretas. Dersom den behandlingsansvarlige ikke sikrer etterlevelse av personvernregelverket, risikerer den å bli møtt med sanksjoner fra tilsynsmyndighetene. Regner man i norske kroner kan dette i praksis innebære bøter i milliardklassen. 

Dersom flere aktører i fellesskap bestemmer formålene med en behandling, og hvordan denne skal gjennomføres, kan det foreligge et felles behandlingsansvar. Det innebærer at hver enkelt aktør har et selvstendig ansvarlig for å sikre etterlevelsen av regelverket. 

EU-domstolens konklusjon og begrunnelse 

Fra EU-domstolens avgjørelse er følgende verdt å merke seg: 

• EU-domstolen konkluderte med at Fashion ID og Facebook er felles behandlingsansvarlige for innsamling og overføring av personopplysningene om Fashion IDs brukere til Facebook

Retten vektla at Fashion ID muliggjorde innsamlingen av besøkendes personopplysninger samt overføringen til Facebook. I tillegg var den aktuelle behandlingen i begge parters økonomiske interesse, hvilket etablerte et felles formål ved behandlingen av personopplysninger. 

• EU-domstolen konkluderte også med at Fashion ID sitt behandlingsansvar var begrenset til innsamlingen av brukernes personopplysninger og overføringen av disse til Facebook. Facebook måtte anses som selvstendig behandlingsansvarlig for den etterfølgende behandlingen av personopplysninger 

Avgjørelsen i Fashion ID-saken bygger videre på tidligere avgjørelser EU-domstolen har kommet med om felles behandlingsansvar, Wirtschaftsakademie-dommen og Jehovas vitner-dommen. Det som fremstår klarere etter denne siste avgjørelsen til EU-domstolen er at to behandlingsansvarlige ikke nødvendigvis er felles behandlingsansvarlig for all behandlingsaktivitet som skjer. Selv om Fashion ID bidrar til Facebooks behandling av personopplysninger ved å muliggjøre overføring av personopplysninger er det urimelig og upraktisk å ilegge Fashion ID ansvar for den etterfølgende behandlingen Facebook gjør.

Felles behandlingsansvar ble introdusert som en selvstendig regel i personvernforordningen art. 26 for å bedre sikre en effektiv beskyttelse av de registrertes rettigheter. Dette skulle oppnås gjennom en klarere ansvarsfordeling. Dommen gjør det imidlertid klart at rettsutviklingen var på vei mot alt annet enn effektiv beskyttelse av de registrertes rettigheter, ettersom omfanget av hva som var omfattet av det felles behandlingsansvaret var for vidt. Som generaladvokat Bobek fremhevet i sitt forslag til avgjørelse til Fashion ID-saken: “Will effective protection be enhanced if everyone is made responsible for ensuring it?”. Derfor ble det nødvendig å begrense aktørenes ansvar til den behandlingen av personopplysninger de rent faktisk har kontroll over. 

Hvilken betydning har dommen for nettsteder som bruker plug-ins?

Dommen pålegger mange nettsteder et ansvar som behandlingsansvarlige, men medfører også en klargjøring av hvor langt det ansvaret strekker seg. Enhver aktør som benytter Facebooks “Liker”-knapp eller andre plug-ins (for eksempel “Dele”-knapper og tilsvarende fra Facebook eller fra andre aktører som Twitter eller LinkedIn) bør vurdere hvorvidt bruken av disse er i tråd med regelverket, herunder at behandlingsgrunnlaget for bruken er gyldig og at informasjonsplikten oppfylles. 

Domstolen vurderer ikke hvilket behandlingsgrunnlag som gjelder for Fashion IDs innsamling og overføring av personopplysninger til Facebook. 

Datatilsynet, i sin kommentar til avgjørelsen, legger til grunn at offentlige nettsteder nok må be om samtykke fra brukere som grunnlag for innsamling og overføring av personopplysninger. Private nettsteder må selv vurdere hvorvidt innsamling og overføring av personopplysninger til Facebook og lignende selskaper kan skje på grunnlag av nettstedets berettigede interesse til å gjøre dette, men ifølge Datatilsynet er det ikke usannsynlig at også private nettsteder må basere seg på forutgående samtykke. 

Et samtykke fra brukeren må innhentes før tredjeparter får mulighet til å plassere cookies på brukerens enhet. Som regel vil dette si før siden lastes opp hos brukeren. 

Aktørene må også overholde informasjonsplikten, som i likhet med plikten til å innhente samtykke avgrenses mot tidligere og etterfølgende behandling.

I tillegg til at krav til behandlingsgrunnlag og oppfyllelse av informasjonsplikten må ivaretas, stiller Personvernforordningen artikkel 26 et krav om at felles behandlingsansvarlige har fastsatt sitt respektive ansvar for overholdelse av kravene i regelverket. Det kan gjøres ved hjelp av en skriftlig avtale, og dette må være på plass før et nettsted implementerer Facebooks «Liker»-knapp eller andre lignende plug-ins. 

Kort oppsummert

Det positive for de aktører som blir pålagt et felles behandlingsansvar, er at de ikke lenger nødvendigvis er ansvarlige for tidligere eller etterfølgende behandling av personopplysninger hos andre behandlingsansvarlige. Konklusjonen blir likevel at jakten på «likes» ikke er uten risiko for de aktørene som installerer en «Liker»-knapp eller annen plug-in på sin nettside. 

Har du spørsmål til dette innlegget eller andre spørsmål knyttet til personvern, kontakt gjerne direktør Christine Ask Ottesen