Skip to content

Facebooks ”gilla”-knapp granskad av EU-domstolen

Tänk till innan du installerar Facebooks "gilla"-knapp och andra plugins på din webbplats. Ansvaret vid behandling av personuppgifterna kan nämligen bli din huvudvärk. Detta slår ett förhandsavgörande i EU-domstolen fast. Läs mer i dagens artikel av advokat Erik Ullberg och biträdande jurist Gunilla Karlsson på Wistrand Advokatbyrå.

Erik Ullberg
13 september 2019

I som­ras läm­na­de EU-dom­sto­len ett för­hands­av­gö­ran­de i målet Fashion ID mot Facebook Ireland. Ett besked som har lett till en het debatt bland data­skydds­in­tres­se­ra­de.

Målet hand­lar om ansva­ret för en plu­gin som nät­bu­ti­ken Fashion ID bäd­da­de in på sin hem­si­da. Plugin-funk­tio­nen sam­la­de in per­son­upp­gif­ter som för­des över till Facebook Ireland för fort­satt behand­ling. Förhandsavgörandet slår till viss del fast det ansvar som lig­ger på före­ta­get som använ­der plu­gin-funk­tio­nen samt vem som är per­son­upp­gifts­an­sva­rig för behand­ling­en.

I den här arti­keln tit­tar advo­ka­ten Erik Ullberg och biträ­dan­de juris­ten Gunilla Karlsson när­ma­re på vad som gäl­ler för per­son­upp­gifts­an­sva­ri­ga och per­son­upp­gifts­bi­trä­den. De för­kla­rar ock­så inne­bör­den av Fashion ID-domen och tit­tar när­ma­re på möj­li­ga kon­se­kven­ser.

Personuppgiftsansvarig eller personuppgiftsbiträde?

Personuppgiftsbehandling regle­ras av Dataskyddsförordningen, GDPR. Om du bestäm­mer för vil­ka ända­mål per­son­upp­gif­ter­na ska behand­las och hur behand­ling­en ska gå till, är du per­son­upp­gifts­an­sva­rig i GDPR:s mening. Med det­ta föl­jer vis­sa skyl­dig­he­ter och ansvar, som mås­te efter­le­vas vid behand­ling av per­son­upp­gif­ter.

När du som per­son­upp­gifts­an­sva­rig sedan ger någon annan i upp­drag, att för din räk­ning behand­la per­son­upp­gif­ter, blir den­na aktör ett så kal­lat per­son­upp­gifts­bi­trä­de. Förhållandet mel­lan er ska enligt GDPR regle­ras i ett per­son­upp­gifts­bi­trä­des­av­tal.

Gemensamt bestämmande = gemensamt ansvar

Om två eller fle­ra par­ter gemen­samt bestäm­mer för vil­ka ända­mål per­son­upp­gif­ter­na ska behand­las och hur – då kan de vara gemen­samt ansva­ri­ga för behand­ling­en av per­son­upp­gif­ter. I det­ta fall slår GDPR fast att par­ter­na sinse­mel­lan ska bestäm­ma vem som är ansva­rig att full­gö­ra de oli­ka skyl­dig­he­ter­na i Dataskyddsförordningen.

Gränsdragningen mel­lan enskil­da och gemen­samt per­son­upp­gifts­an­sva­ri­ga, respek­ti­ve biträ­den, har visat sig svår att göra. Inte minst vad gäl­ler onli­ne-mil­jö­er där ofta fle­ra aktö­rer med oli­ka intres­sen är inblan­da­de.

I lju­set av det­ta är Fashion ID-målet myc­ket intres­sant.

Fashion ID:s ”gilla”-knapp under lupp

Fashion ID är ett tyskt bolag inom mode­in­du­strin. Företaget mark­nads­för och säl­jer sina pro­duk­ter via sin webb­plats. Fashion ID vil­le gene­re­ra fler ”likes” till bola­gets Facebooksida och bäd­da­de där­för in en ”gilla”-knapp, en så kal­lad plu­gin, på hem­si­dan.

När använ­da­re besök­te Fashion ID:s hem­si­da sam­la­des deras per­son­upp­gif­ter in via ”gilla”-knappen. Personuppgifterna över­för­des till Facebook Ireland – oav­sett om besö­kar­na var Facebookanvändare eller fak­tiskt klic­ka­de på ”gilla”-knappen.

En tysk för­e­ning väck­te talan mot Fashion ID. Föreningen mena­de att före­ta­get hade bru­tit mot data­skydds­lag­stift­ning­en. Medlemmarna anmärk­te bland annat på att Fashion ID var­ken hade häm­tat in sam­tyc­ke för per­son­upp­gifts­be­hand­ling­en, och inte hel­ler läm­nat lämp­lig infor­ma­tion till den som var regi­stre­rad om att per­son­upp­gif­ter sam­la­des in och över­för­des genom ”gil­la-knap­pen”.

Begäran om förhandsavgörande för vägledning

För att få väg­led­ning tog den tys­ka dom­sto­len beslu­tet att begä­ra ett för­hands­av­gö­ran­de från EU-dom­sto­len i målet. (Ett för­hands­av­gö­ran­de är ett bin­dan­de beslut av EU-dom­sto­len som utfär­das på begä­ran av en natio­nell dom­stol i ett av euro­pe­is­ka uni­o­nens med­lems­län­der.)

Den tys­ka dom­sto­len ställ­de frå­gan: Är äga­ren av en webb­plats per­son­upp­gifts­an­sva­rig när den­ne bäd­dar in en tred­je­parts-plu­gin som sam­lar in och över­för per­son­upp­gif­ter? Och om så är fal­let: Vilka skyl­dig­he­ter har webb­plat­sä­ga­ren att se till att det finns en rätts­lig grund för behand­ling­en? Och vil­ka skyl­dig­he­ter har webb­plat­sä­ga­ren när det gäl­ler att infor­me­ra besö­ka­ren om att en sådan plu­gin används?

Delat ansvar på goda grunder

EU-dom­sto­len kon­sta­te­ra­de att Fashion ID och Facebook var gemen­samt per­son­upp­gifts­an­sva­ri­ga. Dels för insam­ling­en av per­son­upp­gif­ter­na, dels för över­fö­ring­en av per­son­upp­gif­ter­na till Facebook Ireland.

Enligt dom­sto­len var syf­tet med Fashion ID:s behand­ling att nå kom­mer­si­el­la för­de­lar. Företaget vil­le få bola­gets pro­duk­ter mer syn­li­ga på Facebook när en slu­tan­vän­da­re klic­ka­de på ”gilla”-knappen. På mot­sva­ran­de sätt ansågs Facebook Ireland dra kom­mer­si­ell nyt­ta av de per­son­upp­gif­ter som gene­re­ra­des och använ­des via ”gil­la-knap­pen.

Fashion ID ansågs dess­utom ha ett avgö­ran­de infly­tan­de över både insam­ling­en och över­fö­ring­en till Facebook Ireland – eftersom de som före­tag tog ini­ti­a­ti­vet att bäd­da in Facebook Irelands plu­gin på hem­si­dan. Facebook Ireland avgjor­de vil­ka per­son­upp­gif­ter som sam­la­des in och över­för­des.

EU-dom­sto­len utred­de även frå­gan om den lag­li­ga grun­den för behand­ling­en. Primärt var det sam­tyc­ke eller berät­ti­gat intres­se efter en intres­se­av­väg­ning som kun­de kom­ma i frå­ga. Här poäng­te­ra­de EU-dom­sto­len att båda per­son­upp­gifts­an­sva­ri­ga mås­te kun­na visa på ett berät­ti­gat intres­se, om de ska grun­da behand­ling­en på sådan lag­lig grund.

Den mest pragmatiska lösningen

EU-dom­sto­len lät den tys­ka dom­sto­len avgö­ra om det skul­le vara nöd­vän­dig att häm­ta in sam­tyc­ke från de regi­stre­ra­de använ­dar­na. Om de gemen­samt per­son­upp­gifts­an­sva­ri­ga ska behand­la per­son­upp­gif­ter med sam­tyc­ke som lag­lig grund, krävs det att sam­tyc­ket häm­tas in innan per­son­upp­gif­ter­na sam­las in och över­förs genom en plu­gin.

EU-dom­sto­len ansåg att det är webb­plat­sens äga­re, sna­ra­re än den som till­han­da­hål­ler plu­gin-funk­tio­nen, som ska se till att ett sådant sam­tyc­ke häm­tas in av slu­tan­vän­da­ren – det vill säga innan per­son­upp­gif­ter­na behand­las och över­förs. Argumentet för det­ta är att behand­ling­en bör­jar så snart någon besö­ker webb­si­dan. Men det mås­te även anses vara den mest prag­ma­tis­ka lös­ning­en.

Detta ska du tänka på

Användandet av plu­gins som sam­lar in per­son­upp­gif­ter, kan inne­bä­ra att webb­plat­sä­ga­ren är gemen­samt per­son­upp­gifts­an­sva­rig med par­ter som till­han­da­hål­ler plu­gin-funk­tio­ner. Båda par­ter­na mås­te i såda­na fall kom­ma över­ens om och bestäm­ma vem som är ansva­rig för att full­gö­ra de oli­ka skyl­dig­he­ter­na i Dataskyddsförordningen GDPR.

Om det skul­le vara nöd­vän­digt att häm­ta in sam­tyc­ke för behand­ling­en, kom­mer san­no­likt ansva­ret lig­ga på webb­plat­sä­ga­ren.

Om du och ditt före­tag över­vä­ger att bäd­da in plu­gin-funk­tio­ner från soci­a­la medi­er eller lik­nan­de, bör du där­för över­vä­ga hur per­son­upp­gif­ter­na kom­mer att behand­las och hur det ska regle­ras med den part som till­han­da­hål­ler funk­tio­nen. Dessutom mås­te ditt före­tag iden­ti­fi­e­ra en lag­lig grund för behand­ling­en – och säker­stäl­la att webb­plats­be­sö­ka­ren får infor­ma­tion om per­son­upp­gifts­be­hand­ling­en på lämp­ligt vis (exem­pel­vis genom att upp­da­te­ra integri­tets­po­li­cyn).

Dela artikeln om du gillade den!

Förslag på mer läsning

Så får du kontroll på arbetsflödet i din content marketing – del 2

Spar på tid och kraf­ter – effek­ti­vi­se­ra arbets­flö­det i din con­tent mar­ke­ting! Lars Wirtén och Jörgen Olsson – två erfar­na jour­na­lis­ter, redak­tö­rer och senio­ra skri­ben­ter, delar med sig av sina bäs­ta tips i två artik­lar i Kntnt Magasin. Detta är en and­ra. Trevlig läs­ning!

Läs artikel »

Vad är artificiell intelligens?

Funderar du på vad AI är och hur du skall för­hål­la dig till den revo­lu­tion inom områ­det som vi med säker­het bara sett bör­jan på? Detta är något som vår krö­ni­kör Martin Modigh Karlsson ägnar myc­ket tan­ke­mö­da. Läs hans intres­san­ta ana­lys i dagens arti­kel.

Läs artikel »

Så får du koll på arbetsflödet i din content marketing – del 1

Effektivisera arbets­flö­det i din con­tent mar­ke­ting. Det finns fle­ra anled­ning­ar. Inte minst spar du tid. Lars Wirtén och Jörgen Olsson – två erfar­na jour­na­lis­ter, redak­tö­rer och senio­ra skri­ben­ter, delar med sig av sina bäs­ta tips i två artik­lar. Den förs­ta hit­tar du här!

Läs artikel »

Så SEO-optimerar du webbplatsen för röstsök

2020 kom­mer 50% av alla sök­ning­ar ske med rös­ten visar stu­die och Googles ”voice search”-tjänst väx­er så det kna­kar. Detta gör att du bör SEO-opti­me­ra din webb­plats för röst­sök­ning­ar redan nu. I dagens gäst­krö­ni­ka för­kla­rar Alexandra Jung hur du gör!

Läs artikel »

Inbound marketing sneglar mot content marketing

I den­na gäst­krö­ni­ka reflek­te­rar Niloo Lopez över vart inbound mar­ke­ting är på väg efter att ha besökt mega­kon­fe­ren­sen Inbound 2019.

Läs artikel »

Överraskande slutsats från INBOUND 2019

Kntnt Radio är till­ba­ka! I avsnitt 209 dis­ku­te­rar Pia Tegborg, Thomas Barregren och Niloo Loopez uti­från Niloos ”take aways” från 2019 års upp­la­ga av mega­kon­fe­ren­sen INBOUND. Samtalet lan­dar i en ovän­tad kon­klu­sion. Pia och Thomas ger ock­så en för­kla­ring till den lång­va­ri­ga tyst­na­den. Efter 208 avsnitt under näs­tan lika många vec­kor blev det helt plöts­ligt tyst. Vad hän­de?

Läs artikel »

Därför är redaktörens roll så viktig

Digitala platt­for­mar har öpp­nat upp fan­tas­tis­ka möj­lig­he­ter för före­tag att dela med sig av vär­deska­pan­de inne­håll till kun­der och and­ra intres­sen­ter. Men intryc­ket kan bli spre­tigt i den digi­ta­la mil­jön. Därför är redak­tö­rens roll cen­tral i all inne­hålls­mark­nads­fö­ring. Läs dagens arti­kel skri­ven av Lars Wirtén och Jörgen Olsson.

Läs artikel »

Utveckla din story med rätt design

Har du en inre bild av hur din arti­kel skul­le se ut när den kom­mer i tryck? Med design kan du utveck­la din sto­ry och ska­pa ett nytt per­spek­tiv. Bilder, färg och form kan bli verk­tyg även i din kre­a­ti­va verk­tygs­lå­da.

Läs artikel »

Om jag var i Almedalen …

Att Almedalen blir allt vik­ti­ga­re för kom­mu­nik­tions­bran­schen är de fles­ta över­ens om. Men i en djung­el av pro­gram­punk­ter kan det vara svårt att sål­la agnar­na från vetet. Här kom­mer hjälp på vägen! Martin Modigh Karlsson har gjort grov­job­bet och lis­tar sina bäs­ta tips i dagens krö­ni­ka. För dig som ska dit och för dig som tar del av pro­gram­met i efter­hand.

Läs artikel »

Ursäkta röran. Vi har byggt om.

För ovan­lig­he­tens skull pra­tar vi om oss själ­va. Vi vill berät­ta att vi från och med nu är en con­tent­by­rå som gör con­tent. Men vi gör det på ett annorlun­da sätt än and­ra con­tent­by­rå­er. Vi har ock­så en ny digi­tal platt­form som ska slå Hubspot på fing­rar­na. Och vi har gjort lego av vårt stra­te­gi-erbju­dan­de. Dessutom har vi en mas­sa nya med­ar­be­ta­re, och söker ännu fler. I den­na krö­ni­ka berät­tar Thomas Barregren om allt det­ta och lite till.

Läs artikel »
Donec amet, elementum pulvinar ipsum lectus id dapibus consequat. dolor. libero massa

Missa inte nästa artikel!

Få gratis nyhetsbrev varannan vecka

i din inkorg – med senaste artiklarna

Dina personuppgifter hanteras enligt vår integritetspolicy.

Pin It on Pinterest