Dét betyder GDPR for din virksomheds Facebookside

Hvordan startede sagen, der nu betyder at din virksomhed dele ansvaret for persondata med Facebook? Hvad er konsekvenserne af den? Og hvordan tolker Datatilsynet den nyligt afsagte dom? Få svar på det hele her.

GDPR for Facebook

Facebook og GDPR - Du deler dataansvaret med Facebook - hvad nu?

18/06/2018

Tirsdag d. 5. Juni blev det fastslået, at virksomheder, organisationer og myndigheder med Facebooksider nu har delt ansvar med Facebook for den persondata, som Facebook indsamler om brugere der interagerer med deres virksomhedssider. Sagen blev afgjort 11 dage efter at GDPR trådte i kraft, og afgørelsen betyder, at din virksomhed nu kan blive straffet på lige fod med Facebook, hvis sidstnævnte (igen) kommer i problemer med behandling af brugernes persondata. Men er det kun Facebook den nye dom gælder for? Hvad kan du gøre? Hvad har det med persondataloven 2018 at gøre? Og hvad betyder det helt konkret for din virksomhed? Få alle svarene her.


Tilbage til begyndelsen

Sagen startede i 2011, året før at forslaget til GDPR blev fremlagt i Europa Parlamentet. Et lokalt datatilsyn i den tyske delstat Schleswig-Holstein hev uddannelses-selskabet Wirtschaftsakademie i retten. Datatilsynet havde beordret Wirtschaftsakademie til at deaktivere skolens Facebookside, da uddannelsesinstitutionen ikke havde oplyst brugerne - og endda personer som bare havde interageret med et enkelt opslag fra deres Facebookside - om, at de indsamlede anonym persondata gennem Facebooks analyseværktøj Facebook Insights.

Stævningen af Wirtschaftsakademie skulle senere hen vise sig at få stor betydning for alle virksomheder, organisationer osv. som er indehavere af en Facebookside, LinkedIn Company Page, Google Analytics og andre analyseværktøjer.

Dommens betydning

Siden 2011, hvor sagen startede, har virksomheder som Facebook og Google udsendt kontrakter til Facebookside-ejere og brugere af Google Analytics. Disse kontrakter indeholdte paragraffer om, at ejerne af siderne var dataansvarlige og Facebook og Google var databehandlere. Kontrakterne betød med andre ord, at brugerne (virksomheder, selskaber, myndigheder osv.) havde det overordnede ansvar for beskyttelse af den persondata som Facebook og Google tilbyder dem. Det er der nu lavet om på med dommen fra Schleswig-Holstein.

I fremtidens aftaler er begge parter dataansvarlige. Det betyder, at de aftaler som virksomheder der anvender Facebooks, Googles og andres sociale mediers analyseværktøjer fremover er ugyldige. Dommens afgørelse har derfor en omfattende betydning for online-marketing branchen. Desværre for de fleste virksomheder med online tilstedeværelse betyder det, at de nu skal revurdere de standardkontrakter, som de lige har lavet, endnu en gang.
Men det er på nuværende tidspunkt svært at komme med et klart svar på, hvad der stå skal stå i disse kontrakter.

Straffes virksomheder så på lige fod med Facebook?

Formentlig ikke. Hvis Facebook har haft lemfældig omgang med en virksomheds persondata på det sociale medie, så vil Facebookside-ejeren kunne vende sig mod Facebook og sige, at ansvaret hovedsageligt ligger hos dem. Men - hvis du har givet mulighed for at Facebook kan indsamle oplysningerne - gennem cookies, tracking mv. eller måske endda har kundedata på Facebook, så er du altså også ansvarlig i en eller anden udstrækning. Så tænk dig om, og vurdér om du vil være tryg, hvis det var dine persondata. Hvis du ikke er tryg ved det, så bør du nok overveje en gang til, hvordan du bruger Facebook.

Men er det så kun på Facebook dette gælder?

Nej - andre sociale medier som fx LinkedIn, og analyseværktøjer som Google Analytics tilbyder også brugere analyseværktøjer, og dermed gælder det samme som for Facebook. Derfor er det vigtigt, at du sætter dig ned og får et overblik over hvilke persondata din virksomhed indsamler gennem alle de sociale medier og analyseværktøjer den anvender til at interagere med nye og eksisterende brugere og kunder.

Hvad gør jeg nu?

Vi har haft mange snakke med kunder omkring, hvordan de kortlægger de persondata som især ligger hos Facebook, men også hos andre sociale medier som fx LinkedIn og Google. Med den nye dom og persondataloven vil disse data skulle være en integreret del af virksomhedens kortlægning af persondata, og dermed også tages i betragtning i persondatapolitikkerne. Derfor skal du prøve at få et overblik over de data fra Facebook, LinkedIn og Google, som du er ansvarlig for. Så er du klar til at tage yderligere action, når der kommer opdaterede dokumenter fra Facebook og de andre dataudbydere. ComplyTo GDPR wizard hjælper dig med denne kortlægning af persondata på en overskuelig og nem måde, og vi har 14 dages gratis prøveperiode, hvor du kan prøve vores GDPR værktøj af.

Så hvad betyder dommen helt præcist for mig?

For at opsummere, så betyder dommen helt konkret for din virksomhed, at hvis den har en Facebookside, eller overvejer at få det, skal I være opmærksomme på de følgende fem punkter:

  1. Du har sammen med Facebook et fælles ansvar for at overholde reglerne i persondataloven 2018 (i forhold til din Facebookside)
  2. Du skal sikre, at besøgende på din Facebookside (uanset om de er Facebookbrugere eller ej) får information om persondatapolitikken, og kan give samtykke til behandlingen, i det omfang det er krævet.
  3. Du skal indgå en aftale med Facebook om, at I har fælles dataansvar. Det skal fremgå i aftalen hvem der har ansvar for hvad, og dem I behandler oplysninger om, skal have adgang til at se det væsentligste indhold af ansvarsfordelingen mellem dig og Facebook.
  4. De registrerede brugere på jeres Facebookside kan udøve deres rettigheder over for dig, som de har fået gennem persondataloven. De har fx retten til indsigt, retten til at gøre indsigelse eller retten til sletning.
  5. I tilfælde af et eventuelt erstatningsansvar i forbindelse med behandlingen af persondata, så hæfter din virksomhed og Facebook solidarisk.

Facebook må komme med en løsning

Som Datatilsynet gør opmærksom på, kræver det formentlig at Facebook medvirker til en løsning, hvilket de forventer at der følges op på af bl.a. Datatilsynet i Irland, hvor Facebook har deres europæiske afdeling. Dette må være den letteste løsning for Facebook, da de formentlig ikke ønsker at alle virksomheder i EU sender dem en kontrakt for at de opfylder persondataforordningen. Derfor må vi vente og se hvad Facebook gør, men indtil reglerne bliver efterlevet, risikerer både du, som ejer af en Facebookside, og Facebook at blive pålagt sanktioner.

Hvordan følger jeg løbende udviklingen i Facebook-sagen?

ComplyTo følger med i alle sager om persondataforordningen, for at vi kan hjælpe virksomheder med at overholde GDPR. Derfor kan du følge os på LinkedIn og Facebook og tilmelde dig vores nyhedsbrev. Så modtager du guides og nyheder, der hjælper dig og din virksomhed til at (for)blive compliant af GDPR.

Læs Datatilsynets fortolkning af dommen her

 

Vil du have relevante GDPR for din virksomhed?

Ja tak - Send mig nyhedsbreve

GDPR Guide - Sådan laver du nemt dine persondatapolitikker

Læs den her

GDPR for webshops - 8 tips og en tjekliste

Læs den her
Personers GDPR rettigheder

Hvilke rettigheder har personer efter persondataforordningen?

Læs dem her

Sender I lige en databehandleraftale?

Læs den her
gdpr dansk deadline for persondataloven

De tre vigtigste faktorer for at overholde persondataforordningen

Læs den her

Vi bruger kun cookies der er nødvendige for hjemmesidens funktionalitet.