Facebooks ”gilla”-knapp granskad av EU-domstolen

Tänk till innan du installerar Facebooks "gilla"-knapp och andra plugins på din webbplats. Ansvaret vid behandling av personuppgifterna kan nämligen bli din huvudvärk. Detta slår ett förhandsavgörande i EU-domstolen fast. Läs mer i dagens artikel av advokat Erik Ullberg och biträdande jurist Gunilla Karlsson på Wistrand Advokatbyrå.

Erik Ullberg
13 september 2019

I som­ras läm­na­de EU-dom­sto­len ett för­hands­av­gö­ran­de i målet Fashion ID mot Face­book Ire­land. Ett besked som har lett till en het debatt bland dataskyddsintresserade.

Målet hand­lar om ansva­ret för en plu­gin som nät­bu­ti­ken Fashion ID bäd­da­de in på sin hem­si­da. Plu­gin-funk­tio­nen sam­la­de in per­son­upp­gif­ter som för­des över till Face­book Ire­land för fort­satt behand­ling. För­hands­av­gö­ran­det slår till viss del fast det ansvar som lig­ger på före­ta­get som använ­der plu­gin-funk­tio­nen samt vem som är per­son­upp­gifts­an­sva­rig för behandlingen.

I den här arti­keln tit­tar advo­ka­ten Erik Ull­berg och biträ­dan­de juris­ten Gunil­la Karls­son när­ma­re på vad som gäl­ler för per­son­upp­gifts­an­sva­ri­ga och per­son­upp­gifts­bi­trä­den. De för­kla­rar ock­så inne­bör­den av Fashion ID-domen och tit­tar när­ma­re på möj­li­ga konsekvenser.

Personuppgiftsansvarig eller personuppgiftsbiträde?

Per­son­upp­gifts­be­hand­ling regle­ras av Data­skydds­för­ord­ning­en, GDPR. Om du bestäm­mer för vil­ka ända­mål per­son­upp­gif­ter­na ska behand­las och hur behand­ling­en ska gå till, är du per­son­upp­gifts­an­sva­rig i GDPR:s mening. Med det­ta föl­jer vis­sa skyl­dig­he­ter och ansvar, som mås­te efter­le­vas vid behand­ling av personuppgifter.

När du som per­son­upp­gifts­an­sva­rig sedan ger någon annan i upp­drag, att för din räk­ning behand­la per­son­upp­gif­ter, blir den­na aktör ett så kal­lat per­son­upp­gifts­bi­trä­de. För­hål­lan­det mel­lan er ska enligt GDPR regle­ras i ett personuppgiftsbiträdesavtal.

Gemensamt bestämmande = gemensamt ansvar

Om två eller fle­ra par­ter gemen­samt bestäm­mer för vil­ka ända­mål per­son­upp­gif­ter­na ska behand­las och hur – då kan de vara gemen­samt ansva­ri­ga för behand­ling­en av per­son­upp­gif­ter. I det­ta fall slår GDPR fast att par­ter­na sinse­mel­lan ska bestäm­ma vem som är ansva­rig att full­gö­ra de oli­ka skyl­dig­he­ter­na i Dataskyddsförordningen.

Gräns­drag­ning­en mel­lan enskil­da och gemen­samt per­son­upp­gifts­an­sva­ri­ga, respek­ti­ve biträ­den, har visat sig svår att göra. Inte minst vad gäl­ler onli­ne-mil­jö­er där ofta fle­ra aktö­rer med oli­ka intres­sen är inblandade.

I lju­set av det­ta är Fashion ID-målet myc­ket intressant.

Fashion ID:s ”gilla”-knapp under lupp

Fashion ID är ett tyskt bolag inom mode­in­du­strin. Före­ta­get mark­nads­för och säl­jer sina pro­duk­ter via sin webb­plats. Fashion ID vil­le gene­re­ra fler ”likes” till bola­gets Face­book­si­da och bäd­da­de där­för in en ”gilla”-knapp, en så kal­lad plu­gin, på hemsidan.

När använ­da­re besök­te Fashion ID:s hem­si­da sam­la­des deras per­son­upp­gif­ter in via ”gilla”-knappen. Per­son­upp­gif­ter­na över­för­des till Face­book Ire­land – oav­sett om besö­kar­na var Face­boo­kan­vän­da­re eller fak­tiskt klic­ka­de på ”gilla”-knappen.

En tysk för­e­ning väck­te talan mot Fashion ID. För­e­ning­en mena­de att före­ta­get hade bru­tit mot data­skydds­lag­stift­ning­en. Med­lem­mar­na anmärk­te bland annat på att Fashion ID var­ken hade häm­tat in sam­tyc­ke för per­son­upp­gifts­be­hand­ling­en, och inte hel­ler läm­nat lämp­lig infor­ma­tion till den som var regi­stre­rad om att per­son­upp­gif­ter sam­la­des in och över­för­des genom ”gil­la-knap­pen”.

Begäran om förhandsavgörande för vägledning

För att få väg­led­ning tog den tys­ka dom­sto­len beslu­tet att begä­ra ett för­hands­av­gö­ran­de från EU-dom­sto­len i målet. (Ett för­hands­av­gö­ran­de är ett bin­dan­de beslut av EU-dom­sto­len som utfär­das på begä­ran av en natio­nell dom­stol i ett av euro­pe­is­ka uni­o­nens medlemsländer.)

Den tys­ka dom­sto­len ställ­de frå­gan: Är äga­ren av en webb­plats per­son­upp­gifts­an­sva­rig när den­ne bäd­dar in en tred­je­parts-plu­gin som sam­lar in och över­för per­son­upp­gif­ter? Och om så är fal­let: Vil­ka skyl­dig­he­ter har webb­plat­sä­ga­ren att se till att det finns en rätts­lig grund för behand­ling­en? Och vil­ka skyl­dig­he­ter har webb­plat­sä­ga­ren när det gäl­ler att infor­me­ra besö­ka­ren om att en sådan plu­gin används?

Delat ansvar på goda grunder

EU-dom­sto­len kon­sta­te­ra­de att Fashion ID och Face­book var gemen­samt per­son­upp­gifts­an­sva­ri­ga. Dels för insam­ling­en av per­son­upp­gif­ter­na, dels för över­fö­ring­en av per­son­upp­gif­ter­na till Face­book Ireland.

Enligt dom­sto­len var syf­tet med Fashion ID:s behand­ling att nå kom­mer­si­el­la för­de­lar. Före­ta­get vil­le få bola­gets pro­duk­ter mer syn­li­ga på Face­book när en slu­tan­vän­da­re klic­ka­de på ”gilla”-knappen. På mot­sva­ran­de sätt ansågs Face­book Ire­land dra kom­mer­si­ell nyt­ta av de per­son­upp­gif­ter som gene­re­ra­des och använ­des via ”gil­la-knap­pen.

Fashion ID ansågs dess­utom ha ett avgö­ran­de infly­tan­de över både insam­ling­en och över­fö­ring­en till Face­book Ire­land – eftersom de som före­tag tog ini­ti­a­ti­vet att bäd­da in Face­book Ire­lands plu­gin på hem­si­dan. Face­book Ire­land avgjor­de vil­ka per­son­upp­gif­ter som sam­la­des in och överfördes.

EU-dom­sto­len utred­de även frå­gan om den lag­li­ga grun­den för behand­ling­en. Pri­märt var det sam­tyc­ke eller berät­ti­gat intres­se efter en intres­se­av­väg­ning som kun­de kom­ma i frå­ga. Här poäng­te­ra­de EU-dom­sto­len att båda per­son­upp­gifts­an­sva­ri­ga mås­te kun­na visa på ett berät­ti­gat intres­se, om de ska grun­da behand­ling­en på sådan lag­lig grund.

Den mest pragmatiska lösningen

EU-dom­sto­len lät den tys­ka dom­sto­len avgö­ra om det skul­le vara nöd­vän­dig att häm­ta in sam­tyc­ke från de regi­stre­ra­de använ­dar­na. Om de gemen­samt per­son­upp­gifts­an­sva­ri­ga ska behand­la per­son­upp­gif­ter med sam­tyc­ke som lag­lig grund, krävs det att sam­tyc­ket häm­tas in innan per­son­upp­gif­ter­na sam­las in och över­förs genom en plugin.

EU-dom­sto­len ansåg att det är webb­plat­sens äga­re, sna­ra­re än den som till­han­da­hål­ler plu­gin-funk­tio­nen, som ska se till att ett sådant sam­tyc­ke häm­tas in av slu­tan­vän­da­ren – det vill säga innan per­son­upp­gif­ter­na behand­las och över­förs. Argu­men­tet för det­ta är att behand­ling­en bör­jar så snart någon besö­ker webb­si­dan. Men det mås­te även anses vara den mest prag­ma­tis­ka lösningen.

Detta ska du tänka på

Använ­dan­det av plu­gins som sam­lar in per­son­upp­gif­ter, kan inne­bä­ra att webb­plat­sä­ga­ren är gemen­samt per­son­upp­gifts­an­sva­rig med par­ter som till­han­da­hål­ler plu­gin-funk­tio­ner. Båda par­ter­na mås­te i såda­na fall kom­ma över­ens om och bestäm­ma vem som är ansva­rig för att full­gö­ra de oli­ka skyl­dig­he­ter­na i Data­skydds­för­ord­ning­en GDPR.

Om det skul­le vara nöd­vän­digt att häm­ta in sam­tyc­ke för behand­ling­en, kom­mer san­no­likt ansva­ret lig­ga på webbplatsägaren.

Om du och ditt före­tag över­vä­ger att bäd­da in plu­gin-funk­tio­ner från soci­a­la medi­er eller lik­nan­de, bör du där­för över­vä­ga hur per­son­upp­gif­ter­na kom­mer att behand­las och hur det ska regle­ras med den part som till­han­da­hål­ler funk­tio­nen. Dess­utom mås­te ditt före­tag iden­ti­fi­e­ra en lag­lig grund för behand­ling­en – och säker­stäl­la att webb­plats­be­sö­ka­ren får infor­ma­tion om per­son­upp­gifts­be­hand­ling­en på lämp­ligt vis (exem­pel­vis genom att upp­da­te­ra integritetspolicyn).

Dela artikeln om du gillade den!

Förslag på mer läsning

Matrix

Content marketing v/​s redaktionell kommunikation – sex krav du skall ställa på din contentbyrå

Står du i begrepp att ta hjälp av en byrå i din con­tent mar­ke­ting? Då har du säkert upp­täckt att var och varan­nan byrå i kom­mu­ni­ka­tions­bran­schen nume­ra påstår sig vara exper­ter på ämnet. Begrep­pet används fli­tigt av många, vil­ket gör det svå­ra­re för dig som köpa­re att veta vem eller vil­ka du ska vän­da dig till. I den­na arti­kel hjäl­per Lars Wir­tén dig på traven!

Läs artikel »
Hänglås

Så skyddar du företagets hemligheter och viktiga kundrelationer

Den höga rör­lig­he­ten på arbets­mark­na­den leder till att många byter jobb. För att hind­ra att före­tags­hem­lig­he­ter och vik­ti­ga kund­re­la­tio­ner föl­jer med till kon­kur­ren­ten behö­ver arbets­gi­va­ren kän­na till juri­di­ken. Om det­ta hand­lar dagens arti­kel för­fat­tad av advo­kat Gus­tav Sand­berg och biträ­dan­de jurist Vik­to­ria Hyb­bi­net­te på Wistrand Advokatbyrå.

Läs artikel »
Virvlande Löv

Så får du kontroll på arbetsflödet i din content marketing – del 2

Spar på tid och kraf­ter – effek­ti­vi­se­ra arbets­flö­det i din con­tent mar­ke­ting! Lars Wir­tén och Jör­gen Ols­son – två erfar­na jour­na­lis­ter, redak­tö­rer och senio­ra skri­ben­ter, delar med sig av sina bäs­ta tips i två artik­lar i Knt­nt Maga­sin. Det­ta är en and­ra. Trev­lig läsning! 

Läs artikel »
Hitesh Choudhary T1paibmtjim Unsplash

Vad är artificiell intelligens?

Fun­de­rar du på vad AI är och hur du skall för­hål­la dig till den revo­lu­tion inom områ­det som vi med säker­het bara sett bör­jan på? Det­ta är något som vår krö­ni­kör Mar­tin Modigh Karls­son ägnar myc­ket tan­ke­mö­da. Läs hans intres­san­ta ana­lys i dagens artikel. 

Läs artikel »
Höstväg

Så får du koll på arbetsflödet i din content marketing – del 1

Effek­ti­vi­se­ra arbets­flö­det i din con­tent mar­ke­ting. Det finns fle­ra anled­ning­ar. Inte minst spar du tid. Lars Wir­tén och Jör­gen Ols­son – två erfar­na jour­na­lis­ter, redak­tö­rer och senio­ra skri­ben­ter, delar med sig av sina bäs­ta tips i två artik­lar. Den förs­ta hit­tar du här!

Läs artikel »
Röstsök

Så SEO-optimerar du webbplatsen för röstsök

2020 kom­mer 50% av alla sök­ning­ar ske med rös­ten visar stu­die och Goog­les ”voice search”-tjänst väx­er så det kna­kar. Det­ta gör att du bör SEO-opti­me­ra din webb­plats för röst­sök­ning­ar redan nu. I dagens gäst­krö­ni­ka för­kla­rar Alex­an­dra Jung hur du gör!

Läs artikel »
Bebisarisimring 130121019

Inbound marketing sneglar mot content marketing

I den­na gäst­krö­ni­ka reflek­te­rar Niloo Lopez över vart inbound mar­ke­ting är på väg efter att ha besökt mega­kon­fe­ren­sen Inbound 2019. 

Läs artikel »
Niloolopez

Överraskande slutsats från INBOUND 2019

Knt­nt Radio är till­ba­ka! I avsnitt 209 dis­ku­te­rar Pia Teg­borg, Tho­mas Bar­re­gren och Niloo Loo­pez uti­från Niloos ”take aways” från 2019 års upp­la­ga av mega­kon­fe­ren­sen INBOUND. Sam­ta­let lan­dar i en ovän­tad kon­klu­sion. Pia och Tho­mas ger ock­så en för­kla­ring till den lång­va­ri­ga tyst­na­den. Efter 208 avsnitt under näs­tan lika många vec­kor blev det helt plöts­ligt tyst. Vad hände?

Läs artikel »
Dirigent

Därför är redaktörens roll så viktig

Digi­ta­la platt­for­mar har öpp­nat upp fan­tas­tis­ka möj­lig­he­ter för före­tag att dela med sig av vär­deska­pan­de inne­håll till kun­der och and­ra intres­sen­ter. Men intryc­ket kan bli spre­tigt i den digi­ta­la mil­jön. Där­för är redak­tö­rens roll cen­tral i all inne­hålls­mark­nads­fö­ring. Läs dagens arti­kel skri­ven av Lars Wir­tén och Jör­gen Olsson.

Läs artikel »
Tjej Som Jobbar Med Design

Utveckla din story med rätt design

Har du en inre bild av hur din arti­kel skul­le se ut när den kom­mer i tryck? Med design kan du utveck­la din sto­ry och ska­pa ett nytt per­spek­tiv. Bil­der, färg och form kan bli verk­tyg även i din kre­a­ti­va verktygslåda.

Läs artikel »