“Synes godt om” på din hjemmeside gør dig til fælles data­ansvarlig med Facebook

Den 29. juli 2019 traf EU-Domstolen en principiel afgørelse, som vil få betydning for mange hjemmesiders brug af plugins ‒ især brugen af Facebooks “synes godt om”-funktion. I denne nyhed kan du læse nærmere om afgørelsen og dens konsekvenser for danske virksomheder.


Kort om sagen

Den tyske webshop, Fashion ID, havde integreret Facebooks “synes-godt-om”-knap på sin hjemmeside, for at give besøgende på hjemmesiden mulighed for at “synes godt om” Fashion ID’s Facebook-side.

Denne “synes godt om”-funktion på hjemmesiden medførte dog, at de besøgendes personoplysninger (f.eks. IP-adresser) blev videregivet til Facebook ‒ uanset om den besøgende på hjemmesiden klikkede på knappen eller ej, og uanset om den besøgende havde en Facebook-konto. Overførslen til Facebook skete i øvrigt uden, at den besøgende blev informeret om det.

Den tyske forbrugerbeskyttelsesorganisation, NRW, anlagde en sag mod Fashion ID for de regionale tyske domstole med påstand om, at Fashion ID skulle fjerne “synes godt om”-knappen fra deres hjemmeside. Retten gav forbrugerbeskyttelsesorganisationen NRW delvis medhold. Retten fandt blandt andet, at Fashion ID var dataansvarlig for de personoplysninger, der blev indsamlet og behandlet som led i den besøgendes færden på Fashion ID’s hjemmeside. Fashion ID ankede afgørelsen til appeldomstolen i Düsseldorf.

Appeldomstolen var i tvivl om, hvorvidt Fashion ID kunne anses som dataansvarlig, hvis Fashion ID ikke havde nogen indflydelse på behandlingen af de personoplysninger, der blev videregivet til Facebook. Endvidere var appeldomstolen i tvivl om, hvorvidt oplysningspligten gjaldt i disse situationer. Appeldomstolen valgte at forelægge disse præjudicielle spørgsmål for EU-Domstolen, som traf afgørelse i sagen den 29. juli 2019 efter persondatadirektivet (afløst af GDPR 25. maj 2018).


EU-Domstolens afgørelse

Indledningsvist bemærkede EU-Domstolen, at formålet med det dagældende persondatadirektiv var at sikre et højt beskyttelsesniveau af fysiske personers grundlæggende rettigheder og frihedsrettigheder. Desuden at formålet med art. 2 litra d i persondatadirektivet ‒ som definerede “den dataansvarlige” ‒ var at sikre en effektiv og fuldstændig beskyttelse af de berørte personer. Derfor måtte begrebet “dataansvarlig” fortolkes bredt. EU-Domstolen fandt derfor, at en virksomhed, der på sin hjemmeside havde en “synes godt om”-knap, var dataansvarlig i fællesskab med Facebook i forhold til de personoplysninger, der blev indsamlet og videregivet til Facebook.

EU-Domstolen lagde i sin vurdering især vægt på, at Fashion ID ved at integrere “synes godt om”-knappen på sin hjemmeside muliggjorde Facebooks indsamling af personoplysninger om de besøgende, uanset om de besøgende havde klikket på knappen, og uanset om de havde en Facebook-konto. Dermed havde Fashion ID afgørende indflydelse på indsamlingen og overførslen af de besøgendes personoplysninger[ANMJ1]  (pr. 77).

EU-Domstolen lagde desuden vægt på, at Fashion ID ved at integrere “synes godt om”-knappen på sin hjemmeside gjorde sig mere synlig på Facebook og dermed optimerede sin markedsføring. EU-Domstolen fandt, at Fashion ID ved at udnytte den kommercielle fordel, som “synes godt om”-knappen gav, havde givet Facebook samtykke til indsamlingen og videregivelsen af de besøgendes personoplysninger (pr. 80).

EU-Domstolen fastlog dog også, at man som virksomhed ikke er ansvarlig for Facebooks videre behandling af personoplysningerne efter overførslen, men at det fælles dataansvar alene omfatter indsamlingen og overførslen af personoplysninger til Facebook.

Herudover fandt EU-Domstolen, at såfremt behandlingen af personoplysninger i forbindelse med “synes god om”-funktionen blev baseret på et samtykke, er det Fashion ID, der som indehaver af hjemmesiden skal sikre det fornødne samtykke fra de besøgende. Hvis behandlingen derimod blev baseret på den såkaldte interesseafvejningsregel, er det et krav, at Fashion ID og Facebook hver især forfølger en legitim interesse, der vejer tungere end hensynet til den registreredes grundlæggende rettigheder og frihedsrettigheder.

EU-Domstolen fandt endelig, at Fashion ID som indehaver af hjemmesiden havde en oplysningspligt overfor de besøgende på hjemmesiden. Fashion ID havde dermed pligt til at oplyse de besøgende om blandt andet behandlingen af deres personoplysninger og formålet hermed.


Kromann Reumerts bemærkninger

Sagen vedrører forhold, der fandt sted forud for anvendelsen af reglerne i databeskyttelsesforordningen den 25. maj 2018. EU-Domstolens afgørelse er derfor truffet på baggrund af det nu ophævede persondatadirektiv. Databeskyttelsesforordningen viderefører dog i vidt omfang de samme regler og definitioner af betydning for den konkrete sag, som det tidligere persondatadirektiv. Artikel 26 i databeskyttelsesforordningen om fælles dataansvar er også i vidt omfang udtryk for, hvad der tidligere har været gældende ret. Se mere herom i Justitsministeriets Betænkning, 1. del, side 424. Dommen må derfor forventes også at få betydning fremover.

EU-Domstolens afgørelse i sagen giver ganske god mening ud fra en juridisk betragtning og er i tråd med EU-Domstolens afgørelse i sagen vedrørende Facebook-fansider. Afgørelsen indebærer dog, at indehavere af hjemmesider kan blive fælles dataansvarlige med Facebook blot ved at installere “synes godt om”-funktionen på deres hjemmesider, og uden at den besøgende i øvrigt benytter funktionen eller besøger den pågældende virksomhed eller myndigheds Facebook-side. Indehavere af hjemmesider med en “synes godt om”-funktion skal derfor forholde sig til et muligt fælles dataansvar med Facebook, herunder eventuelle krav om etablering af en skriftlig aftale med Facebook om fordelingen af fælles dataansvar m.v.

Kromann Reumert vil følge op på eventuelle yderligere bidrag til fortolkningen af dommens betydning, ligesom vi følger eventuelle udtalelser fra Facebook og Datatilsynet om sagen.

Læs EU-Domstolens afgørelse

Læs EU-Domstolens pressemeddelelse

 

 

Læs flere nyheder her

Artiklen er forfattet af: