Nyhet / 06.06.2018

«Fanpage-dommen» – EU-domstolen med ny avgjørelse for når bedrifter er felles behandlingsansvarlige

Skrevet av Andreas Gard Meyer & Isak Mendoza

EU-domstolen har besluttet at en administrator av en «Facebook Page» er felles behandlingsansvarlig med Facebook for den opprettede siden. Den såkalte "Fanpage-dommen" gir retningslinjer for når en bedrift er behandlingsansvarlig og felles behandlingsansvarlig.

Saken ble reist under direktiv 95/46/EF (Personverndirektivet, implementert i Norge gjennom dagens personopplysningslov), men legaldefinisjonen av behandlingsansvarlig videreføres i GDPR. Dommen er derfor relevant også for ny personopplysningslov. Vi gjennomgår i denne artikkelen hovedpunktene i avgjørelsen.

Kort om begrepsbruken

Behandlingsansvarlig er rettssubjektet som har hovedansvaret for å overholde forpliktelsene etter GDPR. Den som alene eller sammen med andre bestemmer formålet med behandlingen, og hvilke midler som skal benyttes, blir regnet som behandlingsansvarlig. Behandling av persondata er forstått som enhver bruk av personopplysninger, som f.eks. innhenting, lagring, deling, analyse og sletting. Dersom flere rettssubjekter sammen bestemmer formål og midler, er partene sammen ansvarlige for etterlevelse av enkeltpersoners rettigheter etter GDPR.

Oppsummering av Fanpage-dommen

Når enkeltpersoner besøker en «Facebook Page» (I 2011 benyttet Facebook begrepet «Fan Page» om slike sider), lagrer Facebook informasjonskapsler (cookies) på brukerens enhet, for eksempel mobiltelefon, laptop eller nettbrett. Informasjonskapslene benyttes blant annet for at administratorer av Facebook-sider skal kunne motta statistikk og profiler om besøkende. Facebook vil samle inn data som kan knyttes til enkeltindivider, men dette vil ikke administratorene motta.

Et tysk selskap som administrerer en Facebook-side (Wirtschaftsakademie Schleswig-Holstein) ble i 2011 pålagt å deaktivere siden fordi besøkende verken var informert om bruken av informasjonskapsler eller den etterfølgende behandlingen av sine personopplysninger. Det tyske selskapet nektet å etterkomme pålegget, fordi selskapet hevdet at det ikke var behandlingsansvarlig. Etter rettslige prosesser ble spørsmålet til slutt forelagt EU-domstolen.

EU-domstolen kom til at Facebook var å anse som behandlingsansvarlig for innsamlingen og bruken av personopplysninger gjennom Facebook-siden. Hovedspørsmålet i saken var imidlertid om det tyske selskapet var felles behandlingsansvarlig med Facebook, fordi selskapet bidro til at opplysninger om besøkende ble samlet inn. Domstolen besvarte spørsmålet bekreftende, og kom med interessante tolkningsmomenter for når et selskap er behandlingsansvarlig:

  • Det å ha tilgang til personopplysninger er ikke et vilkår for å være behandlingsansvarlig
  • Behandlingsansvarlig skal tolkes bredt, fordi man skal ta hensyn til en effektiv beskyttelse av individene
  • Bestemmelsesrett over at behandling av personopplysninger i det hele tatt skal skje, er et sterkt moment i favør av behandlingsansvar
  • Å bestemme hvilke enkeltpersoner det skal behandles personopplysninger om, i tillegg til hvilke personopplysninger som samles inn, taler for behandlingsansvar

Nærmere om begrunnelsen

Dommen tar hovedsakelig for seg administratorens innflytelse over behandlingen, og bruker liten plass på tolkning av begrepet «felles behandlingsansvar». Dette er imidlertid i tråd med en festet oppfatning om at vurderingen av felles behandlingsansvar skal speile vurderingen av om én part er behandlingsansvarlig (WP 169 Opinion 01/2010 s. 18).

EU-domstolen presiserte innledningsvis at definisjonen må tolkes bredt for å gi personene det behandles opplysninger om effektiv og fullstendig beskyttelse.

Det å alene benytte seg av Facebook gjør ikke alminnelige brukere ansvarlig for personopplysningene som innhentes av Facebook. Domstolen bemerket imidlertid at en administrator ved å opprette en Facebook-side, i større grad medvirker til at Facebook har muligheten til å behandle persondata om de besøkende. Behandlingen ville ikke ha skjedd i samme omfang, dersom administratoren ikke hadde opprettet Facebook-siden.

Domstolen uttalte videre at en administrator gjennom innstillinger tilbudt av Facebook kan påvirke behandlingen av personopplysninger. Administratoren har blant annet muligheten til å definere hvilken statistikk som genereres, herunder fastsettelse av kategorier av brukere som skal omfattes av behandlingen. Videre er det administratoren som spør om personopplysningene kan innhentes. Ved å motta statistikk knyttet til alder, livsstil, kjøpsvaner og geografisk data, kan administratoren foreta spesifikke salgsfremstøt, publisere arrangementer, og gi annen målrettet informasjon.

Ved å benytte seg av innstillingene Facebook tilbyr administratorer, kom EU-domstolen til at slike administratorer er behandlingsansvarlig sammen med Facebook.

At statistikken ble overført i anonymisert form til administratoren kunne ikke være avgjørende. Domstolen bemerket at tilgang til personopplysninger ikke er et vilkår for behandlingsansvar.

Aksept av standardvilkårene til Facebook kunne ikke frita administratoren for ansvar etter personvernregelverket. At man er den svake parten i et kontraktsforhold har derfor liten vekt i vurderingen av behandlingsansvar.

Som et tillegg påpekte Domstolen at felles behandlingsansvar ikke nødvendigvis innebærer likestilt ansvar for felles behandlingsansvarlige. Hvilket ansvar de forskjellige aktørene har må vurderes ut ifra de konkrete omstendighetene. Samtidig er det viktig å presisere at enkeltindivider etter GDPR kan utøve sine rettigheter mot begge behandlingsansvarlige når de har felles ansvar. Etter artikkel 26 kan nemlig enkeltpersoner:

«utøve sine rettigheter i henhold til [GDPR] med hensyn til og overfor hver av de behandlingsansvarlige.»

Oppsummering

Hvis du er i tvil om din bedrift er behandlingsansvarlig bør du alltid vurdere om bedriften bestemmer formålet med en behandling, og hvilke midler som benyttes. Du bør også vurdere muligheten for at formål og midler bestemmes i fellesskap med en annen part.

Dersom bedriften har mulighet til å bestemme om det skal behandles personopplysninger eller ikke, vil bedriften din som hovedregel være behandlingsansvarlig. Ved å bestemme at det skal behandles personopplysninger, for eksempel for å tilby kunder en digital arkivløsning for privat bruk, er bedriften behandlingsansvarlig. Det gjelder uansett om bedriften ikke har tilgang til opplysningene fordi driften er satt bort til en tredjepart som databehandler.

Det samme gjelder hvis bedriften bestemmer eller påvirker hvilke enkeltpersoner det skal behandles personopplysninger om, og hvilke personopplysninger som skal benyttes. Bedriften vil da påvirke behandlingen av personopplysninger, enten alene eller sammen med en tredjepart.

Les dommen på dansk her, og på engelsk her.