I en nylig avsagt dom fra EU-domstolen, ble det fastslått at den som oppretter en Facebook-side, vil være ansvarlig – sammen med Facebook – som behandlingsansvarlig for siden. Dette betyr at den som oppretter Facebook-sider kan være ansvarlig for at personvernlovgivningen, herunder GDPR, overholdes ved bruk av Facebook-siden.
Bakgrunnen for saken
Saken – som har vært i rettssystemet siden 2011 – gikk ut på at en undervisningsorganisasjon i Tyskland opprettet en Facebook-side. På denne tiden ble det ikke gitt informasjon om bruk av informasjonskapsler (cookies) som ble benyttet på siden, verken fra Facebook (i motsetning til det som gjøres i dag) eller fra undervisningsorganisasjonen. Det var imidlertid Facebook som hadde lagt til rette for bruk av cookies, men undervisningsorganisasjonen brukte informasjonen fra cookiene (uten å være klar over at den kom fra cookies trolig) til å administrere siden og få informasjon om brukerne (selv om informasjonen var anonymisert fra Facebooks side overfor undervisningsorganisasjonen).
Ett av de delstatlige datatilsynene i Tyskland (Tyskland har ett sentralt datatilsyn og 15 delstatelige) påla å informere om bruken av cookies, men undervisningsorganisasjonen mente at de ikke hadde oppfordret eller pålagt Facebook til å samle inn informasjon, så de kunne ikke være ansvarlig. Datatilsynet nedla så forbud mot å bruke Facebook-siden pga. manglende informasjon. Etter dette har saken versert for domstolene i Tyskland, inntil tysk høyesterett nå ba om uttalelse fra EU-domstolen om hvem som var behandlingsansvarlig for siden, og som da er ansvarlig for at pliktene etter personvernreglene overholdes.
Avsagt etter reglene før GDPR, men får betydning under GDPR
Merk at dommen er avsagt etter reglene som gjaldt før GDPR, altså personverndirektivet. Men reguleringen, og definisjonene, av behandlingsansvarlig og databehandler er de samme som under GDPR, så dommen får betydning også for forståelsen av GDPR. Det som er nytt i GDPR, er at det er etablert såkalt «felles behandlingsansvar». Den modellen som domstolen altså finner skal gjelde etter tidligere regler, er altså allerede etablert i GDPR. Dette betyr at den som etablerer en Facebook-side er å anse som felles behandlingsansvarlig med Facebook, som medfører at reglene i GDPR artikkel 26, bl.a. ved at det skal inngås en avtale mellom de behandlingsansvarlige.
Hva er så konsekvensene av dommen?
Dommen bryter med vilkårene til Facebook, siden Facebook har til en stor grad definert seg som behandlingsansvarlig for sine tjenester. Konsekvensene av dommen vil derfor bli at Facebook vil komme til å endre sine vilkår (som de nylig gjorde pga. GDPR), slik at kravene etter bl.a. artikkel 26 om felles behandlingsansvarlige blir dekket.
Videre vil trolig Facebook sørge for at informasjonsplikten etter artikkel 13 og 14 dekkes for informasjon som samles inn via sidene – her vil ikke de som oppretter Facebook-sider ha større muligheter til å informere (spesielt hva gjelder cookies, som det i dag informeres om). Men den som oppretter Facebook-sider må overholde informasjonsplikten hva gjelder sin virksomhet, som omfatter å opplyse om:
- identiteten og kontaktopplysningene til den behandlingsansvarlige og eventuelt den behandlingsansvarliges representant, og kontaktopplysningene til personvernombudet, dersom dette finnes i virksomheten, og
- om det samles inn opplysninger via sidene, hva som er grunnlaget for behandlingen av opplysningene, og eventuelt om opplysningene vil bli overført til en annen behandlingsansvarlig
I tillegg vil det være en konsekvens av dommen at den som oppretter Facebook-sider har en del av ansvaret for det som behandles av personopplysninger her. Men dette ansvaret bør ikke trekkes for langt. I dommen presiseres det at felles behandlingsansvarlig betyr ikke at den som oppretter Facebook-sider blir ansvarlig for hva Facebook gjør, siden Facebook vil være ansvarlig for personvernet på plattformen. Den som oppretter en Facebook-side kan derfor også rette ansvaret mot Facebook, som den som er ansvarlig, for som det heter i dommen:
The fact that an administrator of a fan page uses the platform provided by Facebook in order to benefit from the associated services cannot exempt it from compliance with its obligations concerning the protection of personal data
Men det at det er felles behandlingsansvar gjør ikke at ansvaret er likt for den som oppretter Facebook-siden og Facebook. I dommen presiseres det at de ulike behandlingsansvarlige er involvert i ulike stadier av behandlingen av personopplysninger og behandling i ulik grad, så hvilket ansvar hver av dem har må vurderes i det enkelte tilfelle.
Dommen finnes her (punktene 25 til 44 er de mest interessante).