Facebooks ”gilla”-knapp granskad av EU-domstolen

Tänk till innan du installerar Facebooks "gilla"-knapp och andra plugins på din webbplats. Ansvaret vid behandling av personuppgifterna kan nämligen bli din huvudvärk. Detta slår ett förhandsavgörande i EU-domstolen fast. Läs mer i dagens artikel av advokat Erik Ullberg och biträdande jurist Gunilla Karlsson på Wistrand Advokatbyrå.

Erik Ullberg
13 september 2019

I som­ras läm­na­de EU-dom­sto­len ett för­hands­av­gö­ran­de i målet Fashion ID mot Facebook Ireland. Ett besked som har lett till en het debatt bland data­skydds­in­tres­se­ra­de.

Målet hand­lar om ansva­ret för en plu­gin som nät­bu­ti­ken Fashion ID bäd­da­de in på sin hem­si­da. Plugin-funk­tio­nen sam­la­de in per­son­upp­gif­ter som för­des över till Facebook Ireland för fort­satt behand­ling. Förhandsavgörandet slår till viss del fast det ansvar som lig­ger på före­ta­get som använ­der plu­gin-funk­tio­nen samt vem som är per­son­upp­gifts­an­sva­rig för behand­ling­en.

I den här arti­keln tit­tar advo­ka­ten Erik Ullberg och biträ­dan­de juris­ten Gunilla Karlsson när­ma­re på vad som gäl­ler för per­son­upp­gifts­an­sva­ri­ga och per­son­upp­gifts­bi­trä­den. De för­kla­rar ock­så inne­bör­den av Fashion ID-domen och tit­tar när­ma­re på möj­li­ga kon­se­kven­ser.

Personuppgiftsansvarig eller personuppgiftsbiträde?

Personuppgiftsbehandling regle­ras av Dataskyddsförordningen, GDPR. Om du bestäm­mer för vil­ka ända­mål per­son­upp­gif­ter­na ska behand­las och hur behand­ling­en ska gå till, är du per­son­upp­gifts­an­sva­rig i GDPR:s mening. Med det­ta föl­jer vis­sa skyl­dig­he­ter och ansvar, som mås­te efter­le­vas vid behand­ling av per­son­upp­gif­ter.

När du som per­son­upp­gifts­an­sva­rig sedan ger någon annan i upp­drag, att för din räk­ning behand­la per­son­upp­gif­ter, blir den­na aktör ett så kal­lat per­son­upp­gifts­bi­trä­de. Förhållandet mel­lan er ska enligt GDPR regle­ras i ett per­son­upp­gifts­bi­trä­des­av­tal.

Gemensamt bestämmande = gemensamt ansvar

Om två eller fle­ra par­ter gemen­samt bestäm­mer för vil­ka ända­mål per­son­upp­gif­ter­na ska behand­las och hur – då kan de vara gemen­samt ansva­ri­ga för behand­ling­en av per­son­upp­gif­ter. I det­ta fall slår GDPR fast att par­ter­na sinse­mel­lan ska bestäm­ma vem som är ansva­rig att full­gö­ra de oli­ka skyl­dig­he­ter­na i Dataskyddsförordningen.

Gränsdragningen mel­lan enskil­da och gemen­samt per­son­upp­gifts­an­sva­ri­ga, respek­ti­ve biträ­den, har visat sig svår att göra. Inte minst vad gäl­ler onli­ne-mil­jö­er där ofta fle­ra aktö­rer med oli­ka intres­sen är inblan­da­de.

I lju­set av det­ta är Fashion ID-målet myc­ket intres­sant.

Fashion ID:s ”gilla”-knapp under lupp

Fashion ID är ett tyskt bolag inom mode­in­du­strin. Företaget mark­nads­för och säl­jer sina pro­duk­ter via sin webb­plats. Fashion ID vil­le gene­re­ra fler ”likes” till bola­gets Facebooksida och bäd­da­de där­för in en ”gilla”-knapp, en så kal­lad plu­gin, på hem­si­dan.

När använ­da­re besök­te Fashion ID:s hem­si­da sam­la­des deras per­son­upp­gif­ter in via ”gilla”-knappen. Personuppgifterna över­för­des till Facebook Ireland – oav­sett om besö­kar­na var Facebookanvändare eller fak­tiskt klic­ka­de på ”gilla”-knappen.

En tysk för­e­ning väck­te talan mot Fashion ID. Föreningen mena­de att före­ta­get hade bru­tit mot data­skydds­lag­stift­ning­en. Medlemmarna anmärk­te bland annat på att Fashion ID var­ken hade häm­tat in sam­tyc­ke för per­son­upp­gifts­be­hand­ling­en, och inte hel­ler läm­nat lämp­lig infor­ma­tion till den som var regi­stre­rad om att per­son­upp­gif­ter sam­la­des in och över­för­des genom ”gil­la-knap­pen”.

Begäran om förhandsavgörande för vägledning

För att få väg­led­ning tog den tys­ka dom­sto­len beslu­tet att begä­ra ett för­hands­av­gö­ran­de från EU-dom­sto­len i målet. (Ett för­hands­av­gö­ran­de är ett bin­dan­de beslut av EU-dom­sto­len som utfär­das på begä­ran av en natio­nell dom­stol i ett av euro­pe­is­ka uni­o­nens med­lems­län­der.)

Den tys­ka dom­sto­len ställ­de frå­gan: Är äga­ren av en webb­plats per­son­upp­gifts­an­sva­rig när den­ne bäd­dar in en tred­je­parts-plu­gin som sam­lar in och över­för per­son­upp­gif­ter? Och om så är fal­let: Vilka skyl­dig­he­ter har webb­plat­sä­ga­ren att se till att det finns en rätts­lig grund för behand­ling­en? Och vil­ka skyl­dig­he­ter har webb­plat­sä­ga­ren när det gäl­ler att infor­me­ra besö­ka­ren om att en sådan plu­gin används?

Delat ansvar på goda grunder

EU-dom­sto­len kon­sta­te­ra­de att Fashion ID och Facebook var gemen­samt per­son­upp­gifts­an­sva­ri­ga. Dels för insam­ling­en av per­son­upp­gif­ter­na, dels för över­fö­ring­en av per­son­upp­gif­ter­na till Facebook Ireland.

Enligt dom­sto­len var syf­tet med Fashion ID:s behand­ling att nå kom­mer­si­el­la för­de­lar. Företaget vil­le få bola­gets pro­duk­ter mer syn­li­ga på Facebook när en slu­tan­vän­da­re klic­ka­de på ”gilla”-knappen. På mot­sva­ran­de sätt ansågs Facebook Ireland dra kom­mer­si­ell nyt­ta av de per­son­upp­gif­ter som gene­re­ra­des och använ­des via ”gil­la-knap­pen.

Fashion ID ansågs dess­utom ha ett avgö­ran­de infly­tan­de över både insam­ling­en och över­fö­ring­en till Facebook Ireland – eftersom de som före­tag tog ini­ti­a­ti­vet att bäd­da in Facebook Irelands plu­gin på hem­si­dan. Facebook Ireland avgjor­de vil­ka per­son­upp­gif­ter som sam­la­des in och över­för­des.

EU-dom­sto­len utred­de även frå­gan om den lag­li­ga grun­den för behand­ling­en. Primärt var det sam­tyc­ke eller berät­ti­gat intres­se efter en intres­se­av­väg­ning som kun­de kom­ma i frå­ga. Här poäng­te­ra­de EU-dom­sto­len att båda per­son­upp­gifts­an­sva­ri­ga mås­te kun­na visa på ett berät­ti­gat intres­se, om de ska grun­da behand­ling­en på sådan lag­lig grund.

Den mest pragmatiska lösningen

EU-dom­sto­len lät den tys­ka dom­sto­len avgö­ra om det skul­le vara nöd­vän­dig att häm­ta in sam­tyc­ke från de regi­stre­ra­de använ­dar­na. Om de gemen­samt per­son­upp­gifts­an­sva­ri­ga ska behand­la per­son­upp­gif­ter med sam­tyc­ke som lag­lig grund, krävs det att sam­tyc­ket häm­tas in innan per­son­upp­gif­ter­na sam­las in och över­förs genom en plu­gin.

EU-dom­sto­len ansåg att det är webb­plat­sens äga­re, sna­ra­re än den som till­han­da­hål­ler plu­gin-funk­tio­nen, som ska se till att ett sådant sam­tyc­ke häm­tas in av slu­tan­vän­da­ren – det vill säga innan per­son­upp­gif­ter­na behand­las och över­förs. Argumentet för det­ta är att behand­ling­en bör­jar så snart någon besö­ker webb­si­dan. Men det mås­te även anses vara den mest prag­ma­tis­ka lös­ning­en.

Detta ska du tänka på

Användandet av plu­gins som sam­lar in per­son­upp­gif­ter, kan inne­bä­ra att webb­plat­sä­ga­ren är gemen­samt per­son­upp­gifts­an­sva­rig med par­ter som till­han­da­hål­ler plu­gin-funk­tio­ner. Båda par­ter­na mås­te i såda­na fall kom­ma över­ens om och bestäm­ma vem som är ansva­rig för att full­gö­ra de oli­ka skyl­dig­he­ter­na i Dataskyddsförordningen GDPR.

Om det skul­le vara nöd­vän­digt att häm­ta in sam­tyc­ke för behand­ling­en, kom­mer san­no­likt ansva­ret lig­ga på webb­plat­sä­ga­ren.

Om du och ditt före­tag över­vä­ger att bäd­da in plu­gin-funk­tio­ner från soci­a­la medi­er eller lik­nan­de, bör du där­för över­vä­ga hur per­son­upp­gif­ter­na kom­mer att behand­las och hur det ska regle­ras med den part som till­han­da­hål­ler funk­tio­nen. Dessutom mås­te ditt före­tag iden­ti­fi­e­ra en lag­lig grund för behand­ling­en – och säker­stäl­la att webb­plats­be­sö­ka­ren får infor­ma­tion om per­son­upp­gifts­be­hand­ling­en på lämp­ligt vis (exem­pel­vis genom att upp­da­te­ra integri­tets­po­li­cyn).

Dela artikeln om du gillade den!

Förslag på mer läsning

Därför är redaktörens roll så viktig

Digitala platt­for­mar har öpp­nat upp fan­tas­tis­ka möj­lig­he­ter för före­tag att dela med sig av vär­deska­pan­de inne­håll till kun­der och and­ra intres­sen­ter. Men intryc­ket kan bli spre­tigt i den digi­ta­la mil­jön. Därför är redak­tö­rens roll cen­tral i all inne­hålls­mark­nads­fö­ring. Läs dagens arti­kel skri­ven av Lars Wirtén och Jörgen Olsson.

Läs artikel »

Utveckla din story med rätt design

Har du en inre bild av hur din arti­kel skul­le se ut när den kom­mer i tryck? Med design kan du utveck­la din sto­ry och ska­pa ett nytt per­spek­tiv. Bilder, färg och form kan bli verk­tyg även i din kre­a­ti­va verk­tygs­lå­da.

Läs artikel »

Om jag var i Almedalen …

Att Almedalen blir allt vik­ti­ga­re för kom­mu­nik­tions­bran­schen är de fles­ta över­ens om. Men i en djung­el av pro­gram­punk­ter kan det vara svårt att sål­la agnar­na från vetet. Här kom­mer hjälp på vägen! Martin Modigh Karlsson har gjort grov­job­bet och lis­tar sina bäs­ta tips i dagens krö­ni­ka. För dig som ska dit och för dig som tar del av pro­gram­met i efter­hand.

Läs artikel »

Ursäkta röran. Vi har byggt om.

För ovan­lig­he­tens skull pra­tar vi om oss själ­va. Vi vill berät­ta att vi från och med nu är en con­tent­by­rå som gör con­tent. Men vi gör det på ett annorlun­da sätt än and­ra con­tent­by­rå­er. Vi har ock­så en ny digi­tal platt­form som ska slå Hubspot på fing­rar­na. Och vi har gjort lego av vårt stra­te­gi-erbju­dan­de. Dessutom har vi en mas­sa nya med­ar­be­ta­re, och söker ännu fler. I den­na krö­ni­ka berät­tar Thomas Barregren om allt det­ta och lite till.

Läs artikel »

Därför ska du ha egen plattform

Det är fres­tan­de att använ­da LinkedIn, Facebook eller någon annan platt­form som din mål­grupp redan använ­der. Med deras annons­lös­ning­ar (”spons­ra­de inlägg”) kan du snabbt nå ut till din mål­grupp. Dessutom är de lät­ta att använ­da. Men det finns pro­blem. Du läg­ger din fram­gång som mark­nads­fö­ra­re och säl­ja­re i hän­der­na på bolag som han en annan agen­da än ditt bäs­ta. Du kon­trol­le­rar inte vem som ser vad och när. Du har inte till­gång till de vär­de­ful­la digi­ta­la fot­spår som din mål­grupp läm­nar efter sig. Därför behö­ver du en egen platt­form.

Läs artikel »

Därför jobbar vi annorlunda

Vi job­bar på ett annorlun­da sätt. Våra kon­sul­ter arbe­tar i ditt team (eller är ditt team) och har sam­ti­digt full upp­back­ning vad gäl­ler kom­pe­tens och resur­ser från våra kon­sul­ter som job­bar “back office”. Men var­för job­bar vi på det sät­tet?

Läs artikel »

Är du redo för robottexterna?

Content och mar­ke­ting – båda delar­na behövs. Men vad hän­der när robo­tar tar över text­pro­duk­tio­nen med fokus på det sist­nämn­da? Med de rät­ta nyc­kelor­den och rubri­ker­na som slår. Finns det fort­fa­ran­de en plats för den enga­ge­ran­de och per­son­li­ga berät­tel­sen? Om det­ta hand­lar Lars Wirténs krö­ni­ka.

Läs artikel »

Varning för gratis wifi när du jobbar på distans

Du vet nog redan att det kan fin­nas säker­hets­hål när du job­bar på distans i öpp­na nät­verk. Men stop­par det dig att mej­la kun­den kam­panj­re­sul­ta­tet eller knap­pa in kre­dit­kor­tets siff­ror via café­ets gra­tisupp­kopp­ling? Det bor­de det! Risken finns näm­li­gen att du ger obe­hö­ri­ga till­gång till din infor­ma­tion. Martin Modigh Karlsson beskri­ver faror­na och ger dig sva­ren på var­för gra­tis (nät­verk) inte all­tid är gott – och där­för bör använ­das med stor för­sik­tig­het – samt tip­sar om tre saker du kan göra för att höja säker­he­ten. 

Läs artikel »

Elva tips som får din intervju att lyfta

Att få till en bra inter­vju hand­lar om väl­digt myc­ket mer än att bara stäl­la frå­gor och anteck­na. Låt Lars Wirtén gui­da dig längs vägen – steg för steg till ett garan­te­rat lyc­kat resul­tat! 

Läs artikel »

Kommunicera effektivare i samband med mässor

Mässorna är stor­slag­na, moder­na hub­bar för kom­mu­ni­ka­tion både digi­talt och IRL. Biljetter scan­nas och rivs, sto­ra bild­skär­mar pum­par ut sitt bud­skap. Samtal förs mel­lan poten­ti­el­la affärs­kon­tak­ter. Men tar du till­va­ra på alla kom­mu­ni­ka­tions­möj­lig­he­ter? Martin Karlsson Modigh gui­dar dig genom för­be­re­del­ser­na, vad du bör tän­ka på under mäs­san och vad du kan göra efteråt.

Läs artikel »
consectetur quis, commodo consequat. efficitur. felis

Missa inte nästa artikel!

Få gratis nyhetsbrev varannan vecka

i din inkorg – med senaste artiklarna

Dina personuppgifter hanteras enligt vår integritetspolicy.

Pin It on Pinterest