Tänk till innan du installerar Facebooks "gilla"-knapp och andra plugins på din webbplats. Ansvaret vid behandling av personuppgifterna kan nämligen bli din huvudvärk. Detta slår ett förhandsavgörande i EU-domstolen fast. Läs mer i dagens artikel av advokat Erik Ullberg och biträdande jurist Gunilla Karlsson på Wistrand Advokatbyrå.
I somras lämnade EU-domstolen ett förhandsavgörande i målet Fashion ID mot Facebook Ireland. Ett besked som har lett till en het debatt bland dataskyddsintresserade.
Målet handlar om ansvaret för en plugin som nätbutiken Fashion ID bäddade in på sin hemsida. Plugin-funktionen samlade in personuppgifter som fördes över till Facebook Ireland för fortsatt behandling. Förhandsavgörandet slår till viss del fast det ansvar som ligger på företaget som använder plugin-funktionen samt vem som är personuppgiftsansvarig för behandlingen.
I den här artikeln tittar advokaten Erik Ullberg och biträdande juristen Gunilla Karlsson närmare på vad som gäller för personuppgiftsansvariga och personuppgiftsbiträden. De förklarar också innebörden av Fashion ID-domen och tittar närmare på möjliga konsekvenser.
Personuppgiftsansvarig eller personuppgiftsbiträde?
Personuppgiftsbehandling regleras av Dataskyddsförordningen, GDPR. Om du bestämmer för vilka ändamål personuppgifterna ska behandlas och hur behandlingen ska gå till, är du personuppgiftsansvarig i GDPR:s mening. Med detta följer vissa skyldigheter och ansvar, som måste efterlevas vid behandling av personuppgifter.
När du som personuppgiftsansvarig sedan ger någon annan i uppdrag, att för din räkning behandla personuppgifter, blir denna aktör ett så kallat personuppgiftsbiträde. Förhållandet mellan er ska enligt GDPR regleras i ett personuppgiftsbiträdesavtal.
Gemensamt bestämmande = gemensamt ansvar
Om två eller flera parter gemensamt bestämmer för vilka ändamål personuppgifterna ska behandlas och hur – då kan de vara gemensamt ansvariga för behandlingen av personuppgifter. I detta fall slår GDPR fast att parterna sinsemellan ska bestämma vem som är ansvarig att fullgöra de olika skyldigheterna i Dataskyddsförordningen.
Gränsdragningen mellan enskilda och gemensamt personuppgiftsansvariga, respektive biträden, har visat sig svår att göra. Inte minst vad gäller online-miljöer där ofta flera aktörer med olika intressen är inblandade.
I ljuset av detta är Fashion ID-målet mycket intressant.
Fashion ID:s ”gilla”-knapp under lupp
Fashion ID är ett tyskt bolag inom modeindustrin. Företaget marknadsför och säljer sina produkter via sin webbplats. Fashion ID ville generera fler ”likes” till bolagets Facebooksida och bäddade därför in en ”gilla”-knapp, en så kallad plugin, på hemsidan.
När användare besökte Fashion ID:s hemsida samlades deras personuppgifter in via ”gilla”-knappen. Personuppgifterna överfördes till Facebook Ireland – oavsett om besökarna var Facebookanvändare eller faktiskt klickade på ”gilla”-knappen.
En tysk förening väckte talan mot Fashion ID. Föreningen menade att företaget hade brutit mot dataskyddslagstiftningen. Medlemmarna anmärkte bland annat på att Fashion ID varken hade hämtat in samtycke för personuppgiftsbehandlingen, och inte heller lämnat lämplig information till den som var registrerad om att personuppgifter samlades in och överfördes genom ”gilla-knappen”.
Begäran om förhandsavgörande för vägledning
För att få vägledning tog den tyska domstolen beslutet att begära ett förhandsavgörande från EU-domstolen i målet. (Ett förhandsavgörande är ett bindande beslut av EU-domstolen som utfärdas på begäran av en nationell domstol i ett av europeiska unionens medlemsländer.)
Den tyska domstolen ställde frågan: Är ägaren av en webbplats personuppgiftsansvarig när denne bäddar in en tredjeparts-plugin som samlar in och överför personuppgifter? Och om så är fallet: Vilka skyldigheter har webbplatsägaren att se till att det finns en rättslig grund för behandlingen? Och vilka skyldigheter har webbplatsägaren när det gäller att informera besökaren om att en sådan plugin används?
Delat ansvar på goda grunder
EU-domstolen konstaterade att Fashion ID och Facebook var gemensamt personuppgiftsansvariga. Dels för insamlingen av personuppgifterna, dels för överföringen av personuppgifterna till Facebook Ireland.
Enligt domstolen var syftet med Fashion ID:s behandling att nå kommersiella fördelar. Företaget ville få bolagets produkter mer synliga på Facebook när en slutanvändare klickade på ”gilla”-knappen. På motsvarande sätt ansågs Facebook Ireland dra kommersiell nytta av de personuppgifter som genererades och användes via ”gilla-knappen.
Fashion ID ansågs dessutom ha ett avgörande inflytande över både insamlingen och överföringen till Facebook Ireland – eftersom de som företag tog initiativet att bädda in Facebook Irelands plugin på hemsidan. Facebook Ireland avgjorde vilka personuppgifter som samlades in och överfördes.
EU-domstolen utredde även frågan om den lagliga grunden för behandlingen. Primärt var det samtycke eller berättigat intresse efter en intresseavvägning som kunde komma i fråga. Här poängterade EU-domstolen att båda personuppgiftsansvariga måste kunna visa på ett berättigat intresse, om de ska grunda behandlingen på sådan laglig grund.
Den mest pragmatiska lösningen
EU-domstolen lät den tyska domstolen avgöra om det skulle vara nödvändig att hämta in samtycke från de registrerade användarna. Om de gemensamt personuppgiftsansvariga ska behandla personuppgifter med samtycke som laglig grund, krävs det att samtycket hämtas in innan personuppgifterna samlas in och överförs genom en plugin.
EU-domstolen ansåg att det är webbplatsens ägare, snarare än den som tillhandahåller plugin-funktionen, som ska se till att ett sådant samtycke hämtas in av slutanvändaren – det vill säga innan personuppgifterna behandlas och överförs. Argumentet för detta är att behandlingen börjar så snart någon besöker webbsidan. Men det måste även anses vara den mest pragmatiska lösningen.
Detta ska du tänka på
Användandet av plugins som samlar in personuppgifter, kan innebära att webbplatsägaren är gemensamt personuppgiftsansvarig med parter som tillhandahåller plugin-funktioner. Båda parterna måste i sådana fall komma överens om och bestämma vem som är ansvarig för att fullgöra de olika skyldigheterna i Dataskyddsförordningen GDPR.
Om det skulle vara nödvändigt att hämta in samtycke för behandlingen, kommer sannolikt ansvaret ligga på webbplatsägaren.
Om du och ditt företag överväger att bädda in plugin-funktioner från sociala medier eller liknande, bör du därför överväga hur personuppgifterna kommer att behandlas och hur det ska regleras med den part som tillhandahåller funktionen. Dessutom måste ditt företag identifiera en laglig grund för behandlingen – och säkerställa att webbplatsbesökaren får information om personuppgiftsbehandlingen på lämpligt vis (exempelvis genom att uppdatera integritetspolicyn).
Dela artikeln om du gillade den!
Förslag på mer läsning
Content marketing v/s redaktionell kommunikation – sex krav du skall ställa på din contentbyrå
Står du i begrepp att ta hjälp av en byrå i din content marketing? Då har du säkert upptäckt att var och varannan byrå i kommunikationsbranschen numera påstår sig vara experter på ämnet. Begreppet används flitigt av många, vilket gör det svårare för dig som köpare att veta vem eller vilka du ska vända dig till. I denna artikel hjälper Lars Wirtén dig på traven!
Läs artikel »Så skyddar du företagets hemligheter och viktiga kundrelationer
Den höga rörligheten på arbetsmarknaden leder till att många byter jobb. För att hindra att företagshemligheter och viktiga kundrelationer följer med till konkurrenten behöver arbetsgivaren känna till juridiken. Om detta handlar dagens artikel författad av advokat Gustav Sandberg och biträdande jurist Viktoria Hybbinette på Wistrand Advokatbyrå.
Läs artikel »Så får du kontroll på arbetsflödet i din content marketing – del 2
Spar på tid och krafter – effektivisera arbetsflödet i din content marketing! Lars Wirtén och Jörgen Olsson – två erfarna journalister, redaktörer och seniora skribenter, delar med sig av sina bästa tips i två artiklar i Kntnt Magasin. Detta är en andra. Trevlig läsning!
Läs artikel »Vad är artificiell intelligens?
Funderar du på vad AI är och hur du skall förhålla dig till den revolution inom området som vi med säkerhet bara sett början på? Detta är något som vår krönikör Martin Modigh Karlsson ägnar mycket tankemöda. Läs hans intressanta analys i dagens artikel.
Läs artikel »Så får du koll på arbetsflödet i din content marketing – del 1
Effektivisera arbetsflödet i din content marketing. Det finns flera anledningar. Inte minst spar du tid. Lars Wirtén och Jörgen Olsson – två erfarna journalister, redaktörer och seniora skribenter, delar med sig av sina bästa tips i två artiklar. Den första hittar du här!
Läs artikel »Så SEO-optimerar du webbplatsen för röstsök
2020 kommer 50% av alla sökningar ske med rösten visar studie och Googles ”voice search”-tjänst växer så det knakar. Detta gör att du bör SEO-optimera din webbplats för röstsökningar redan nu. I dagens gästkrönika förklarar Alexandra Jung hur du gör!
Läs artikel »Inbound marketing sneglar mot content marketing
I denna gästkrönika reflekterar Niloo Lopez över vart inbound marketing är på väg efter att ha besökt megakonferensen Inbound 2019.
Läs artikel »Överraskande slutsats från INBOUND 2019
Kntnt Radio är tillbaka! I avsnitt 209 diskuterar Pia Tegborg, Thomas Barregren och Niloo Loopez utifrån Niloos ”take aways” från 2019 års upplaga av megakonferensen INBOUND. Samtalet landar i en oväntad konklusion. Pia och Thomas ger också en förklaring till den långvariga tystnaden. Efter 208 avsnitt under nästan lika många veckor blev det helt plötsligt tyst. Vad hände?
Läs artikel »Därför är redaktörens roll så viktig
Digitala plattformar har öppnat upp fantastiska möjligheter för företag att dela med sig av värdeskapande innehåll till kunder och andra intressenter. Men intrycket kan bli spretigt i den digitala miljön. Därför är redaktörens roll central i all innehållsmarknadsföring. Läs dagens artikel skriven av Lars Wirtén och Jörgen Olsson.
Läs artikel »Utveckla din story med rätt design
Har du en inre bild av hur din artikel skulle se ut när den kommer i tryck? Med design kan du utveckla din story och skapa ett nytt perspektiv. Bilder, färg och form kan bli verktyg även i din kreativa verktygslåda.
Läs artikel »