18/06/2018
Tirsdag d. 5. Juni blev det fastslået, at virksomheder, organisationer og myndigheder med Facebooksider nu har delt ansvar med Facebook for den persondata, som Facebook indsamler om brugere der interagerer med deres virksomhedssider. Sagen blev afgjort 11 dage efter at GDPR trådte i kraft, og afgørelsen betyder, at din virksomhed nu kan blive straffet på lige fod med Facebook, hvis sidstnævnte (igen) kommer i problemer med behandling af brugernes persondata. Men er det kun Facebook den nye dom gælder for? Hvad kan du gøre? Hvad har det med persondataloven 2018 at gøre? Og hvad betyder det helt konkret for din virksomhed? Få alle svarene her.
Sagen startede i 2011, året før at forslaget til GDPR blev fremlagt i Europa Parlamentet. Et lokalt datatilsyn i den tyske delstat Schleswig-Holstein hev uddannelses-selskabet Wirtschaftsakademie i retten. Datatilsynet havde beordret Wirtschaftsakademie til at deaktivere skolens Facebookside, da uddannelsesinstitutionen ikke havde oplyst brugerne - og endda personer som bare havde interageret med et enkelt opslag fra deres Facebookside - om, at de indsamlede anonym persondata gennem Facebooks analyseværktøj Facebook Insights.
Stævningen af Wirtschaftsakademie skulle senere hen vise sig at få stor betydning for alle virksomheder, organisationer osv. som er indehavere af en Facebookside, LinkedIn Company Page, Google Analytics og andre analyseværktøjer.
Siden 2011, hvor sagen startede, har virksomheder som Facebook og Google udsendt kontrakter til Facebookside-ejere og brugere af Google Analytics. Disse kontrakter indeholdte paragraffer om, at ejerne af siderne var dataansvarlige og Facebook og Google var databehandlere. Kontrakterne betød med andre ord, at brugerne (virksomheder, selskaber, myndigheder osv.) havde det overordnede ansvar for beskyttelse af den persondata som Facebook og Google tilbyder dem. Det er der nu lavet om på med dommen fra Schleswig-Holstein.
I fremtidens aftaler er begge parter dataansvarlige. Det betyder, at de aftaler som virksomheder der anvender Facebooks, Googles og andres sociale mediers analyseværktøjer fremover er ugyldige. Dommens afgørelse har derfor en omfattende betydning for online-marketing branchen. Desværre for de fleste virksomheder med online tilstedeværelse betyder det, at de nu skal revurdere de standardkontrakter, som de lige har lavet, endnu en gang.
Men det er på nuværende tidspunkt svært at komme med et klart svar på, hvad der stå skal stå i disse kontrakter.
Formentlig ikke. Hvis Facebook har haft lemfældig omgang med en virksomheds persondata på det sociale medie, så vil Facebookside-ejeren kunne vende sig mod Facebook og sige, at ansvaret hovedsageligt ligger hos dem. Men - hvis du har givet mulighed for at Facebook kan indsamle oplysningerne - gennem cookies, tracking mv. eller måske endda har kundedata på Facebook, så er du altså også ansvarlig i en eller anden udstrækning. Så tænk dig om, og vurdér om du vil være tryg, hvis det var dine persondata. Hvis du ikke er tryg ved det, så bør du nok overveje en gang til, hvordan du bruger Facebook.
Nej - andre sociale medier som fx LinkedIn, og analyseværktøjer som Google Analytics tilbyder også brugere analyseværktøjer, og dermed gælder det samme som for Facebook. Derfor er det vigtigt, at du sætter dig ned og får et overblik over hvilke persondata din virksomhed indsamler gennem alle de sociale medier og analyseværktøjer den anvender til at interagere med nye og eksisterende brugere og kunder.
Vi har haft mange snakke med kunder omkring, hvordan de kortlægger de persondata som især ligger hos Facebook, men også hos andre sociale medier som fx LinkedIn og Google. Med den nye dom og persondataloven vil disse data skulle være en integreret del af virksomhedens kortlægning af persondata, og dermed også tages i betragtning i persondatapolitikkerne. Derfor skal du prøve at få et overblik over de data fra Facebook, LinkedIn og Google, som du er ansvarlig for. Så er du klar til at tage yderligere action, når der kommer opdaterede dokumenter fra Facebook og de andre dataudbydere. ComplyTo GDPR wizard hjælper dig med denne kortlægning af persondata på en overskuelig og nem måde, og vi har 14 dages gratis prøveperiode, hvor du kan prøve vores GDPR værktøj af.
For at opsummere, så betyder dommen helt konkret for din virksomhed, at hvis den har en Facebookside, eller overvejer at få det, skal I være opmærksomme på de følgende fem punkter:
Som Datatilsynet gør opmærksom på, kræver det formentlig at Facebook medvirker til en løsning, hvilket de forventer at der følges op på af bl.a. Datatilsynet i Irland, hvor Facebook har deres europæiske afdeling. Dette må være den letteste løsning for Facebook, da de formentlig ikke ønsker at alle virksomheder i EU sender dem en kontrakt for at de opfylder persondataforordningen. Derfor må vi vente og se hvad Facebook gør, men indtil reglerne bliver efterlevet, risikerer både du, som ejer af en Facebookside, og Facebook at blive pålagt sanktioner.
ComplyTo følger med i alle sager om persondataforordningen, for at vi kan hjælpe virksomheder med at overholde GDPR. Derfor kan du følge os på LinkedIn og Facebook og tilmelde dig vores nyhedsbrev. Så modtager du guides og nyheder, der hjælper dig og din virksomhed til at (for)blive compliant af GDPR.
Læs Datatilsynets fortolkning af dommen her