Kan en dataansvarlig blive ansvarlig for de handlinger, som Facebook foretager sig?

Svaret er ja!

5. juni 2018 bestemte EU-domstolen, at Det tyske Wirtschaftsakademie Schleswig-Holstein var fælles ansvarlig med Facebook mht. Personoplysninger indsamlet på en side, som Det tyske Wirtschaftsakademie Schleswig-Holstein havde på Facebook.

Domstolen anså begge parter for dataansvarlige – og for ikke at have overholdt de registrerede personers rettigheder, bl.a. var oplysningspligten ikke opfyldt.

Facebook/dets irske datterselskab er dataansvarlig, fordi de selv bestemmer formål og behandling af de på Wirftschaftsakademies hjemmeside via cookies indsamlede personoplysninger, herunder salg af personoplysninger til andre virksomheder.

Wirftschaftsakademie er dataansvarlig, fordi de bruger Facebooks platform til at udnytte Facebooks tilknyttede ydelser. Wirftschaftsakademie bestemmer formålene og midlerne til behandling af de personlige data for de besøgende til deres hjemmeside. Især kan Wirftschaftsakademie få demografiske data (i anonymiseret form) og få behandlet data mht. alder, køn, relationer, beskæftigelse, livsstil, interesser, indkøb og købsvaner for besøgende på siden og kategorier af varer og tjenesteydelser, som besøgende er mest interesserede, så de kan skræddersy tilbud til besøgende.

Afgørelsen er truffet på grundlag af det nu ophævede direktiv. Men den nu gældende Persondataforordning ville næppe have medført en anden afgørelse, da meningen med Persondataforordningen netop er, at der skal ske en opstramning af beskyttelsen.

Vær opmærksom på oplysningspligt og samtykkereglerne 

Konsekvensen må være, at begge parter (Facebook og virksomheden) skal sikre sig, at de overholder de registrerede personers rettigheder, især nu med den nye Persondataforordning, bl.a. oplysningspligten og samtykkereglerne, så de registrerede personer ved, hvad der sker med deres persondata.

Endvidere må Facebook formentlig indstille sig på at skulle erklære, at de skadesløsholder virksomheder for de omkostninger, de måtte få, såfremt det viser sig, at Facebook ikke overholder Persondatabeskyttelsesreglerne. Gør Facebook ikke det, må det forudses, at mange virksomheder trækker sig fra Facebook.

Har du spørgsmål til artiklen eller brug for hjælp? Kontakt din Ret&Råd advokat idag.