Gå til Hovedinnhold Gå til Navigasjon

Tommelen ned for Fashion ID i EU-domstolen: Ansvar for Facebooks liker-knapper

Hvem har ansvaret for behandling av personopplysninger som sendes over til tredjeparter ved besøk på nettsider? En ny dom fra EU-domstolen fastslår at nettsideeiere er medansvarlige.
Offentlig sektor Arbeidsrett/personvern

Den som bestemmer formål (hvorfor) og hjelpemidler (hvordan) ved behandling av personopplysninger, vil være behandlingsansvarlig etter EUs personvernforordning («GDPR») artikkel 4 nr. 7. Denne aktøren har hovedansvaret for at behandlingen skjer på lovlig vis, noe som er ekstra viktig med de nye, høye gebyrene etter GDPR.

De siste årene har det kommet flere avgjørelser fra EU-domstolen om behandlingsansvar for personopplysninger der flere aktører er involvert. Senest forrige uke kom det en dom om ansvarsfordeling, den såkalte Fashion ID-saken.

Under vil jeg gå inn på dette ferskeste tilskuddet i domsrekken, og se denne i lys av tidligere dommer – for så å oppsummere hva vi kan få ut av disse.

Fashion ID-saken og ansvar

Mandag 29. juli avsa EU-domstolen en dom (Sak C-40/17) i Fashion ID-saken som kan kaste lys over ansvaret for behandling av personopplysninger.

Fashion ID er et tysk selskap som selger motetøy gjennom nettsider. Bakgrunnen for saken, var at Fashion ID hadde satt inn en liker-knapp fra Facebook på sine nettsider. Slike «plugins» er svært vanlige, og gjør at tredjeparter kan få adgang til opplysninger. Liker-modulen sørget for å samle inn og overføre personopplysninger om besøkende på Fashion IDs sider til Facebook Ireland, uavhengig av om besøkende var bevisst dette eller hadde trykket på knappen. Det var heller ikke nødvendig at den besøkende var bruker av Facebook. Informasjonen som ble samlet inn, var tekniske data fra nettleseren, IP-adresse og informasjon om ønsket innhold:

«...IP address of that visitor's computer, as well as the browser's technical data, so that the server can establish the format in which the content is to be delivered to that address. In addition, the browser transmits information relating to the desired content.»

Det fremkommer av dommen at Fashion ID ikke hadde innflytelse på hva Facebook bruker informasjonen til:

«The operator of a website embedding third-party content onto that website cannot control what data the browser transmits or what the third-party provider does with those data, in particular whether it decides to save and use them.»

Denne situasjonen med innsamling og manglende informasjon ble kritisert av en tysk forbrukerbeskyttelsesorganisasjon (Verbraucherzentrale NRW e.V.), som anla søksmål for å få stanset behandlingen av opplysninger.

Dommen er basert på det gamle personverndirektivet, som nå er avløst av EUs personvernforordning (GDPR) – som er gjort til norsk rett gjennom personopplysningsloven av 2018. Selv om det kan diskuteres om ordlyden den nye artikkelen i GDPR vedrørende felles behandlingsansvar (artikkel 26) avviker fra tidligere praksis, må det antas at den nye reguleringen neppe medfører noen prinsipielle endringer i rettstilstanden.

EU-domstolen tok stilling til en rekke spørsmål, som er av betydning for personverninteresserte:
EU-domstolen slo for det første fast at det gamle direktivet ikke var til hinder for at organisasjoner kunne anlegge søksmål om rettslige problemstillinger. I GDPR er dette eksplisitt åpnet for (artikkel 80).

Det mest interessante i saken er imidlertid ansvarsforholdene vedrørende behandling av personopplysninger.

Selv om Fashion ID ikke hadde noen innflytelse på behandlingen av personopplysningene Facebook mottok, mente EU-domstolen at det forelå et felles behandlingsansvar for de operasjoner som knyttet seg til innsamling og overføring til Facebook. Retten påpekte at begrepet «den behandlingsansvarlig» må forstås vidt. Ved å integrere like-knappen på sine nettsider, og gi Facebook mulighet til å motta opplysninger, hadde Fashion ID på avgjørende vis innflytelse på hjelpemidlene for behandlingen. Som domstolen skriver:

«... it is apparent ... that Fashion ID appears to have embedded on its website the Facebook 'Like' button made available to website operators by Facebook Ireland while fully aware of the fact that it serves as a tool for the collection and disclosure by transmission of the personal data of visitors to that website, regardless of whether or not the visitors are members of the social network Facebook. ... Moreover, by embedding that social plugin on its website, Fashion ID exerts a decisive influence over the collection and transmission of the personal data of visitors to that website to the provider of that plugin, Facebook Ireland, which would not have occurred without that plugin.»

Behandlingen gjør det mulig å optimalisere markedsføringen av Fashion IDs varer, gjennom økt omtale/eksponering av varer. Å innsette knappen innebar at Fashion ID samtykket til behandlingen for å oppnå en kommersiell fordel. Behandlingen fant sted i både nettbutikkens og Facebooks økonomiske interesser. Det ble således ansett at begge aktører bestemte formålet.

Generaladvokat Bobek hadde i sin forutgående uttalelse formulert seg på en måte som syntes å trekke i retning av en mer snever oppfatning av behandlingsansvaret, ved at det presiseres at en «controller's (joint) responsibility is limited to those operations for which it effectively co-decides on the means and purposes of the processing of the personal data.» [Min understrekning og kursivering] Denne formuleringen ble ikke inntatt i dommen.

Dommen påpeker imidlertid at Fashion ID ikke vil være (felles) behandlingsansvarlig for behandling før og etter innsamling og oversending. Dersom Facebook senere benytter personopplysningene til egne formål, vil ikke nettbutikken være ansvarlig for denne behandlingen.

Et annet punkt som berøres er rettsgrunnlaget for behandling av personopplysninger. Behandling er i utgangspunktet forbudt, og må ha nærmere grunnlag, f.eks. samtykke. Ett hyppig brukt grunnlag etter GDPR er såkalte «berettigede interesser», som innebærer at behandling kan skje dersom det foreligger lovlige interesser som er mer tungtveiende enn den registrertes rettigheter og interesser. EU-domstolen påpeker at både nettsideeieren og Facebook må ha berettigede interesser for at behandling kan skje i medhold av dette rettsgrunnlaget. Det er imidlertid noe uklart om det kreves at begge parter må ha samme grunnlag, eller om f.eks. en av dem kan bruke samtykke og den andre benytte berettigede interesser.

EU-domstolen slår videre eksplisitt fast at nettsideeieren i et tilfelle som det foreliggende må sørge for å informere om behandlingen som eieren bestemmer formål og hjelpemidler til. De felles ansvarlige må dessuten etter GDPR artikkel 26 utforme en ordning seg imellom for å overholde plikter etter reguleringen.

Selv om Fashion ID-saken bidrar til å belyse mer av ansvaret etter GDPR, vil vurderingen alltid bli konkret. Det gjør at det fremdeles vil være en rekke grensetilfeller det er vanskelig å avgjøre rollefordelingen for.

Fashion ID i lys av tidligere dommer om felles behandlingsansvar: Hva kan vi lære?

I fjor kom det to dommer fra EU-domstolen som behandlet spørsmål om ansvar for behandling av personopplysninger.

I sak C-210/16 fra juni 2018 ble det slått fast at den som administrerer en Facebook-side vil ha være felles behandlingsansvarlig (den som bestemmer formål og hjelpemidler ved behandlingen) med Facebook for personopplysninger som samles inn om brukere av siden. I den aktuelle saken hadde den tyske privatskolen Wirtschaftsakademie Schleswig-Holstein GmbH blitt pålagt av et tilsynsorgan å deaktivere sin Facebook-side, ettersom verken Facebook eller skolen oppgav informasjon om behandlingen knyttet til bruken av siden. EU-domstolen slo da fast at det forelå et felles behandlingsansvar mellom Facebook og skolen, fordi skolen hadde mulighet til å påvirke hva slags opplysninger som ble samlet inn.

Rundt en måned senere avsa EU-domstolen en ny dom (Sak C-25/17) som knyttet seg til at Jehovas vitner i Finland ble ilagt forbud mot å samle inn eller behandle personopplysninger i forbindelse med sin forkynnelsesvirksomhet. Det religiøse samfunnet måtte behandle opplysninger etter den finske personopplysningsloven for å kunne gjenoppta behandlingen. Jehovas vitner mente at det ikke var underlagt loven – og følgelig EUs personvernregler –, men domstolen kom til det motsatte: Gjennom å organisere, koordinere og oppmuntre til medlemmenes forkynnelsesvirksomhet, deltar Jehovas vitner sammen med sine medlemmer i å bestemme formålet med og midlene for behandlingen av personopplysninger om personer som oppsøkes. Det forelå derfor et felles behandlingsansvar mellom det religiøse samfunnet og dets medlemmer.

Etter å ha lest Fashion ID-saken og de to eldre dommene, kan vi slå fast følgende:

  • Forståelsen av hvem som er behandlingsansvarlig må forstås vidt, slik at de registrerte (de personopplysningene gjelder) sikres et effektivt vern.
  • Terskelen for å konstatere felles behandlingsansvar synes relativt lav.
  • En aktør kan få behandlingsansvar også om vedkommende ikke har umiddelbar adgang til personopplysningene; det sentrale er innflytelse på behandlingen.
  • Det kreves ikke at bestemmelsesadgangen er nedfelt i skriftlige avtaler, instrukser eller lignende. Det viktigste er den faktiske situasjonen.

Hvor ansvaret ligger kan imidlertid være vanskelig å avgjøre, og må fastslås gjennom en sammensatt vurdering. Ekstra krevende er situasjoner med uoversiktlige teknologiske løsninger og intrikate selskapsstrukturer, f.eks. i et konsern – noe jeg har skrevet om i nyeste Nordisk Tidsskrift for Selskabsret.