En ny avgjørelse fra EU-domstolen falt mandag 29. juli, og for tredje gang det siste året ble spørsmålet om felles ansvar vurdert. Sakene har betydning for norske virksomheter som samarbeider om databehandling (som innsamling, analyse og annen bruk) etter personvernforordningen (GDPR). EU-domstolen konkluderte nok en gang med at en virksomhet var felles behandlingsansvarlig med en tredjepart, uten at selskapet var klar over det.

I denne artikkelen oppsummerer vi den nyeste forhåndsavgjørelsen, men du kan lese om en av de tidligere sakene her.

Den behandlingsansvarlige har hovedansvaret for etterlevelse av personvernregelverket. To eller flere virksomheter kan være «felles behandlingsansvarlige», og har da i prinsippet ansvar sammen for å overholde forpliktelsene.

FashionID er en tysk nettbutikk som selger moteklær. Nettbutikken hadde, som mange andre, implementert Facebook sin “Like-knapp” på nettsiden slik at brukere kunne «Like» butikkens Facebook-side. Det besøkende ikke visste var at denne integrasjonen automatisk samlet inn brukerens persondata, og videresendte informasjonen til Facebook.

Overføringen skjedde uavhengig av om brukeren trykket på knappen. En tysk forbrukervernorganisasjon var skeptisk til at dette ble gjort uten at besøkende ble informert, og tok saken til retten for stanse praksisen. Der hevdet FashionID at de ikke var behandlingsansvarlig, og at de således ikke kunne pålegges å informere brukerne. Nettbutikken bestemte verken hvilke personopplysninger som ble sendt til Facebook, eller hva de ble brukt til etter overføringen.

Spørsmålet om behandlingsansvar ble forelagt EU-domstolen, som konkluderte med at FashionID og Facebook var felles behandlingsansvarlige for datainnhentingen. Innledningsvis fulgte domstolen opp de tidligere avgjørelsene og fastslo at begrepet «behandlingsansvarlig» må tolkes bredt, og at faktisk tilgang til persondata ikke er et vilkår for å være felles behandlingsansvarlig.

Ved å benytte «Like-knappen» på nettsiden sin utøvde FasionID avgjørende innflytelse over innsamling og overføring av persondata til Facebook, fordi overføringen ikke ville ha skjedd uten koden. Formålet var å øke synligheten til FashionID ved å gi besøkende muligheten til å «Like» siden på Facebook, og dette ble ansett å være i både Facebook og nettbutikkens interesse.

EU-domstolen trekker imidlertid opp et viktig skille; felles behandlingsansvar kan bare foreligge i tilknytning til de konkrete behandlingsoperasjonene hvor partene sammen bestemmer formål og virkemidler. En «behandling» er en handling som gjøres med persondata, f.eks. innsamling, sammenstilling, modifisering eller tilgjengeliggjøring.

FasionID var derfor ikke felles behandlingsansvarlig for Facebooks etterfølgende bruk av personopplysningene for egne formål. FashionIDs behandlingsansvar gjaldt bare innsamling av brukernes persondata på nettsiden, og den etterfølgende overføringen til Facebook.

Oppsummering

EU-domstolens avgjørelse illustrerer at ansvarsforholdene etter GDPR kan variere i en lang kjede av behandlingsoperasjoner. Virksomheter som samler inn og overfører persondata til tredjeparter bør se på de konkrete behandlingsaktivitetene som utføres og vurdere hvilket formål operasjonene gjøres for. Først da kan det tas stilling til hvem som bestemmer formålet og virkemidlene og er behandlingsansvarlig.

En tenkt ansvarsmodell kan illustreres på følgende måte:

Dersom din virksomhet bruker «Like-knapp» eller andre programtillegg som overfører persondata til tredjeparter på nettsiden, kan det foreligge felles behandlingsansvar. Virksomhetene har i så fall et felles ansvar for å overholde GDPR, herunder å informere brukerne og etablerere et behandlingsgrunnlag for overføringen (f.eks. innhente samtykke).

Etter GDPR artikkel 26 skal felles behandlingsansvarlige «fastsette sitt respektive ansvar for å overholde forpliktelsene». Uavhengig av den interne ansvarsfordelingen kan enkeltpersoner utøve sine rettigheter overfor hver felles behandlingsansvarlig.

Manglende overholdelse av forpliktelsene, f.eks. manglende avtalefesting av partenes respektive forpliktelser, utgjør et brudd på GDPR. Dersom du samarbeider med tredjeparter om dataprosessering er det derfor viktig å ta stilling til om det foreligger felles behandlingsansvar, eller om partene deler personopplysninger som selvstendig behandlingsansvarlige.

Hvis du benytter tredjeparts programtillegg på nettsiden din, kan det være lurt å:

• Vurdere bruksvilkårene for å se om forpliktelsene etter GDPR er regulert, og hvem som har ansvar ved brudd på regelverket;
• Hvis det overføres persondata til tredjeparten, sørge for at du gir informasjon om dette på nettsiden; og
• Sørge for at du har behandlingsgrunnlag for overføring av data (f.eks. en berettiget interesse eller samtykke).

 Les dommen på dansk her, og på engelsk her.