Facebooks ”gilla”-knapp granskad av EU-domstolen

I som­ras läm­na­de EU-dom­sto­len ett för­hands­av­gö­ran­de i målet Fashion ID mot Face­book Ire­land. Ett besked som har lett till en het debatt bland dataskyddsintresserade.

Målet hand­lar om ansva­ret för en plu­gin som nät­bu­ti­ken Fashion ID bäd­da­de in på sin hem­si­da. Plu­gin-funk­tio­nen sam­la­de in per­son­upp­gif­ter som för­des över till Face­book Ire­land för fort­satt behand­ling. För­hands­av­gö­ran­det slår till viss del fast det ansvar som lig­ger på före­ta­get som använ­der plu­gin-funk­tio­nen samt vem som är per­son­upp­gifts­an­sva­rig för behandlingen.

I den här arti­keln tit­tar advo­ka­ten Erik Ull­berg och biträ­dan­de juris­ten Gunil­la Karls­son när­ma­re på vad som gäl­ler för per­son­upp­gifts­an­sva­ri­ga och per­son­upp­gifts­bi­trä­den. De för­kla­rar ock­så inne­bör­den av Fashion ID-domen och tit­tar när­ma­re på möj­li­ga konsekvenser.

Personuppgiftsansvarig eller personuppgiftsbiträde?

Per­son­upp­gifts­be­hand­ling regle­ras av Data­skydds­för­ord­ning­en, GDPR. Om du bestäm­mer för vil­ka ända­mål per­son­upp­gif­ter­na ska behand­las och hur behand­ling­en ska gå till, är du per­son­upp­gifts­an­sva­rig i GDPR:s mening. Med det­ta föl­jer vis­sa skyl­dig­he­ter och ansvar, som mås­te efter­le­vas vid behand­ling av personuppgifter.

När du som per­son­upp­gifts­an­sva­rig sedan ger någon annan i upp­drag, att för din räk­ning behand­la per­son­upp­gif­ter, blir den­na aktör ett så kal­lat per­son­upp­gifts­bi­trä­de. För­hål­lan­det mel­lan er ska enligt GDPR regle­ras i ett personuppgiftsbiträdesavtal.

Gemensamt bestämmande = gemensamt ansvar

Om två eller fle­ra par­ter gemen­samt bestäm­mer för vil­ka ända­mål per­son­upp­gif­ter­na ska behand­las och hur – då kan de vara gemen­samt ansva­ri­ga för behand­ling­en av per­son­upp­gif­ter. I det­ta fall slår GDPR fast att par­ter­na sinse­mel­lan ska bestäm­ma vem som är ansva­rig att full­gö­ra de oli­ka skyl­dig­he­ter­na i Dataskyddsförordningen.

Gräns­drag­ning­en mel­lan enskil­da och gemen­samt per­son­upp­gifts­an­sva­ri­ga, respek­ti­ve biträ­den, har visat sig svår att göra. Inte minst vad gäl­ler onli­ne-mil­jö­er där ofta fle­ra aktö­rer med oli­ka intres­sen är inblandade.

I lju­set av det­ta är Fashion ID-målet myc­ket intressant.

Fashion ID:s ”gilla”-knapp under lupp

Fashion ID är ett tyskt bolag inom mode­in­du­strin. Före­ta­get mark­nads­för och säl­jer sina pro­duk­ter via sin webb­plats. Fashion ID vil­le gene­re­ra fler ”likes” till bola­gets Face­book­si­da och bäd­da­de där­för in en ”gilla”-knapp, en så kal­lad plu­gin, på hemsidan.

När använ­da­re besök­te Fashion ID:s hem­si­da sam­la­des deras per­son­upp­gif­ter in via ”gilla”-knappen. Per­son­upp­gif­ter­na över­för­des till Face­book Ire­land – oav­sett om besö­kar­na var Face­boo­kan­vän­da­re eller fak­tiskt klic­ka­de på ”gilla”-knappen.

En tysk för­e­ning väck­te talan mot Fashion ID. För­e­ning­en mena­de att före­ta­get hade bru­tit mot data­skydds­lag­stift­ning­en. Med­lem­mar­na anmärk­te bland annat på att Fashion ID var­ken hade häm­tat in sam­tyc­ke för per­son­upp­gifts­be­hand­ling­en, och inte hel­ler läm­nat lämp­lig infor­ma­tion till den som var regi­stre­rad om att per­son­upp­gif­ter sam­la­des in och över­för­des genom ”gil­la-knap­pen”.

Begäran om förhandsavgörande för vägledning

För att få väg­led­ning tog den tys­ka dom­sto­len beslu­tet att begä­ra ett för­hands­av­gö­ran­de från EU-dom­sto­len i målet. (Ett för­hands­av­gö­ran­de är ett bin­dan­de beslut av EU-dom­sto­len som utfär­das på begä­ran av en natio­nell dom­stol i ett av euro­pe­is­ka uni­o­nens medlemsländer.)

Den tys­ka dom­sto­len ställ­de frå­gan: Är äga­ren av en webb­plats per­son­upp­gifts­an­sva­rig när den­ne bäd­dar in en tred­je­parts-plu­gin som sam­lar in och över­för per­son­upp­gif­ter? Och om så är fal­let: Vil­ka skyl­dig­he­ter har webb­plat­sä­ga­ren att se till att det finns en rätts­lig grund för behand­ling­en? Och vil­ka skyl­dig­he­ter har webb­plat­sä­ga­ren när det gäl­ler att infor­me­ra besö­ka­ren om att en sådan plu­gin används?

Delat ansvar på goda grunder

EU-dom­sto­len kon­sta­te­ra­de att Fashion ID och Face­book var gemen­samt per­son­upp­gifts­an­sva­ri­ga. Dels för insam­ling­en av per­son­upp­gif­ter­na, dels för över­fö­ring­en av per­son­upp­gif­ter­na till Face­book Ireland.

Enligt dom­sto­len var syf­tet med Fashion ID:s behand­ling att nå kom­mer­si­el­la för­de­lar. Före­ta­get vil­le få bola­gets pro­duk­ter mer syn­li­ga på Face­book när en slu­tan­vän­da­re klic­ka­de på ”gilla”-knappen. På mot­sva­ran­de sätt ansågs Face­book Ire­land dra kom­mer­si­ell nyt­ta av de per­son­upp­gif­ter som gene­re­ra­des och använ­des via ”gil­la-knap­pen.

Fashion ID ansågs dess­utom ha ett avgö­ran­de infly­tan­de över både insam­ling­en och över­fö­ring­en till Face­book Ire­land – eftersom de som före­tag tog ini­ti­a­ti­vet att bäd­da in Face­book Ire­lands plu­gin på hem­si­dan. Face­book Ire­land avgjor­de vil­ka per­son­upp­gif­ter som sam­la­des in och överfördes.

EU-dom­sto­len utred­de även frå­gan om den lag­li­ga grun­den för behand­ling­en. Pri­märt var det sam­tyc­ke eller berät­ti­gat intres­se efter en intres­se­av­väg­ning som kun­de kom­ma i frå­ga. Här poäng­te­ra­de EU-dom­sto­len att båda per­son­upp­gifts­an­sva­ri­ga mås­te kun­na visa på ett berät­ti­gat intres­se, om de ska grun­da behand­ling­en på sådan lag­lig grund.

Den mest pragmatiska lösningen

EU-dom­sto­len lät den tys­ka dom­sto­len avgö­ra om det skul­le vara nöd­vän­dig att häm­ta in sam­tyc­ke från de regi­stre­ra­de använ­dar­na. Om de gemen­samt per­son­upp­gifts­an­sva­ri­ga ska behand­la per­son­upp­gif­ter med sam­tyc­ke som lag­lig grund, krävs det att sam­tyc­ket häm­tas in innan per­son­upp­gif­ter­na sam­las in och över­förs genom en plugin.

EU-dom­sto­len ansåg att det är webb­plat­sens äga­re, sna­ra­re än den som till­han­da­hål­ler plu­gin-funk­tio­nen, som ska se till att ett sådant sam­tyc­ke häm­tas in av slu­tan­vän­da­ren – det vill säga innan per­son­upp­gif­ter­na behand­las och över­förs. Argu­men­tet för det­ta är att behand­ling­en bör­jar så snart någon besö­ker webb­si­dan. Men det mås­te även anses vara den mest prag­ma­tis­ka lösningen.

Detta ska du tänka på

Använ­dan­det av plu­gins som sam­lar in per­son­upp­gif­ter, kan inne­bä­ra att webb­plat­sä­ga­ren är gemen­samt per­son­upp­gifts­an­sva­rig med par­ter som till­han­da­hål­ler plu­gin-funk­tio­ner. Båda par­ter­na mås­te i såda­na fall kom­ma över­ens om och bestäm­ma vem som är ansva­rig för att full­gö­ra de oli­ka skyl­dig­he­ter­na i Data­skydds­för­ord­ning­en GDPR.

Om det skul­le vara nöd­vän­digt att häm­ta in sam­tyc­ke för behand­ling­en, kom­mer san­no­likt ansva­ret lig­ga på webbplatsägaren.

Om du och ditt före­tag över­vä­ger att bäd­da in plu­gin-funk­tio­ner från soci­a­la medi­er eller lik­nan­de, bör du där­för över­vä­ga hur per­son­upp­gif­ter­na kom­mer att behand­las och hur det ska regle­ras med den part som till­han­da­hål­ler funk­tio­nen. Dess­utom mås­te ditt före­tag iden­ti­fi­e­ra en lag­lig grund för behand­ling­en – och säker­stäl­la att webb­plats­be­sö­ka­ren får infor­ma­tion om per­son­upp­gifts­be­hand­ling­en på lämp­ligt vis (exem­pel­vis genom att upp­da­te­ra integritetspolicyn).