Menu

Virksomheder skal passe på Facebook

Virksomheder, myndigheder og privatpersoner kan blive ansvarlige for overtrædelser af databeskyttelsesforordningen, når de anvender Facebook som led i deres markedsføring.

Facebook er for alvor kommet i søgelyset efter databeskyttelsesforordningens ikrafttrædelse. Blot få dage efter den 25. maj 2018 anmeldte den østrigske aktivist Max Schrems Facebook for ulovlig dataindsamling, altså overtrædelse af de nye databeskyttelsesregler. Søgsmålet kan give Facebook en bøde på €3,9 milliarder.

Derudover har det britiske datatilsyn (ICO) i juli 2018 pålagt Facebook en bøde på 500.000 britiske pund for sin andel i Cambrigde Analytica-sagen. Bøden var den størst mulige efter de regler, der fandt anvendelse før databeskyttelsesforordningen. Såfremt Facebook var blevet dømt efter de nye regler, ville bøden kunne løbe op i et millardbeløb.

Imidlertid er det ikke kun Facebook, der kan pålægges sanktioner. Det kan samtlige administratorer af Facebook fansider også, hvis de ikke har iagttaget databeskyttelsesforordningens- og markedsføringslovens regler.

Fanside
Mange virksomheder, myndigheder og tilmed private personer, benytter sig af de såkaldte ’fansider’, på det sociale medie Facebook. En fanside er en særlig brugerkonto, hvorpå den pågældende administrator kan markedsføre sig, først og fremmest i forhold til Facebooks brugere, men også personer som ikke er brugere, da fansiden oftest er offentligt tilgængelig.

I den henseende har forbrugerombudsmanden, den 16. august 2018, vurderet at virksomheders brug af Facebook funktionen ”Inviter til side”, som sender en notifikation til Facebook brugere, er omfattet af markedsføringslovens forbud mod uanmodede elektroniske henvendelser. Hvis funktionen skal anvendes lovligt kræver det således indhentelse af et forudgående samtykke fra hver enkelt Facebook bruger.

Endvidere afsagde EU-domstolen, den 5. juni 2018, dom om hvem, der har dataansvaret for fansiderne, når Facebook indsamler personoplysninger om de besøgende på den pågældende fanside via cookies.

Ansvarlig med Facebook
Sædvanligvis oprettes en fanside ved, at den pågældende virksomhed, myndighed eller privatperson registrerer sig hos Facebook, og herefter bliver administrator af en fanside. I den forbindelse underskriver administratoren Facebooks vilkår, og accepterer herved Facebooks brug af cookies. Udover at administratoren herefter kan dele billeder og skrive opslag via fansiden, kan denne vederlagsfrit benytte sig af funktionen: ’Facebook Insights’.

Facebook placerer førnævnte cookies på brugernes computere, tablets mv., og indsamler herefter oplysninger om dem og deres adfærd på nettet. Der er tale om oplysninger om f.eks. køn, forholdsstatus og købsadfærd online. Via funktionen ’Facebook Insights’, kan administratoren få de indsamlede oplysninger stillet til rådighed i anonymiseret form. Både Facebook og administratoren får således et kendskab til de personer, som klikker sig ind på fansiden, og kan dermed målrette deres markedsføring til dem.

Ifølge EU-domstolen bidrager administratoren, ved sin accept af Facebooks vilkår, til at afgøre med hvilket formål, og med hvilke hjælpemidler, behandlingen af de indsamlede oplysningerne skal foretages. Herved bliver administratoren dataansvarlig i fællesskab med Facebook efter de regler, der fandt anvendelse før databeskyttelsesforordningen.

Som administrator af en fanside på Facebook, er man således i fællesskab med Facebook, ansvarlig for at sikre, at de persondataretlige regler overholdes, selvom administratoren alene modtager anonymiserede personoplysninger. Det på trods af at anonymiserede personoplysninger, som det klare udgangspunkt ikke er omfattet af databeskyttelsesforordningen.

EU-domstolen understregede dog, at flere aktører kan være ansvarlige i fællesskab, uden at ansvarsgrundlagene nødvendigvis er ens. Den enkelte aktørs ansvarsniveau, skal vurderes under hensyntagen til samtlige relevante omstændigheder i sagen.

Dommen vedrører fortolkning af Persondatadirektivet (reglerne før databeskyttelsesforordningen), men da reglerne heri i vidt omfang er videreført i databeskyttelsesforordningen, ville udfaldet, ifølge Datatilsynet, formentlig være det samme, såfremt det var databeskyttelsesforordningen som var under luppen.

Datatilsynet udtaler imidlertid følgende om dommen:

I Datatilsynet er vi naturligvis opmærksomme på, at ovennævnte kræver, at Facebook medvirker til en løsning, hvilket vi forventer og i europæisk sammenhæng sammen med bl.a. Datatilsynet i Irland vil følge op på, at Facebook gør. I det omfang reglerne ikke efterleves, risikerer begge parter imidlertid at blive pålagt sanktioner.”

Konsekvenser
Din benyttelse af Facebooks fanside, som fx kommunikations- og markedsføringsmedie over for din målgruppe, kan på baggrund af ovenstående få alvorlige konsekvenser, såfremt de rigtige foranstaltninger ikke iagttages.

Hvad betyder dommen konkret for dig, der har en fanside på Facebook?

  • Du er – sammen med Facebook – ansvarlig for at overholde reglerne i databeskyttelsesforordningen i forhold til fansiden.
  • Du skal sikre, at besøgende på siden – uanset om de er Facebook-brugere eller ej – modtager information om persondatapolitikken og, i det omfang det er krævet, også giver samtykke til behandlingen.
  • Du skal indgå en aftale med Facebook om fælles dataansvar, hvor aftalen blandt andet skal indeholde, hvem der har ansvar for hvilke funktioner/aktiviteter.
  • Du skal sikre, at de besøgende kan udøve deres rettigheder efter databeskyttelsesforordningen, såsom ret til indsigt, ret til at gøre indsigelse eller retten til sletning.
  • Du hæfter solidarisk med Facebook i forhold til et eventuelt erstatningsansvar.

Såfremt du har spørgsmål til artiklen, er du meget velkommen til at kontakte LOU Advokatfirma enten på info@lou.dk eller på tel. 70 300 500.

Har du spørgsmål i relation til persondataret er du velkommen til at kontakte LOU Advokater på telefon 70 300 500 eller personadata@lou.dk.

28. august 2018

Tilbage til publikationer
Tilbage til publikationer