Den 5 juni kom en ny dom från EU-domstolen (mål C-210/16) i vilken rättsläget vad gäller Facebooks cookies förtydligades. Målet rörde ett förhandsavgörande som begärts av Bundesverwaltungsgericht, det vill säga Tysklands federala högsta förvaltningsdomstol. Målet blev aktuellt i och med ett nationellt mål mellan Wirtschaftsakademie, ett privaträttsligt bolag specialiserat på utbildning, och Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (oberoende regional dataskyddsmyndighet i Tyskland).
Wirtschaftsakademie hade skapat en så kallad fanpage på Facebook. Administratörerna av fanpagen kunde med hjälp av funktionen ”Facebook Insights”, vilken tillhandahölls kostnadsfritt av Facebook till fastställda villkor som inte kunde ändras, få anonym statistik om användarna av fanpagen. Uppgifterna samlades in med hjälp av cookies, men varken Facebook eller Wirtschaftsakademie hade hänvisat till sparandet av uppgifter och till användningen av cookies eller till den efterföljande behandlingen. Med anledning av detta utfärdade den tyska tillsynsmyndigheten ett föreläggande om att Wirtschaftsakademie skulle avaktivera fanpagen. Wirtschaftsakademie begärde omprövning av beslutet och menade att de varken var ansvariga för bearbetningen av uppgifter eller för de cookies som Facebook skapat.
En av frågorna som EU-domstolen prövade i målet var huruvida en administratör av en fanpage på ett socialt nätverk kan hållas ansvarig för överträdelser av reglerna till skydd av personuppgifter i direktiv 95/46, på grund av att de valt det sociala nätverket för att sprida information. Domstolen inledde med att poängtera att den vida definition begreppet registeransvarig har syftar till att säkerställa ett effektivt och komplett skydd för registrerade. Den ansåg vidare att Facebook hade bestämt ändamål och medlen för behandlingen av personuppgifter för användare av Facebook och för personer som besöker fanpages. Därför skulle Facebook anses omfattas av begreppet registeransvarig. Nästa fråga domstolen utredde var ifall Wirtschaftsakademie tillsammans med Facebook skulle kunna anses ha bidragit till att bestämma ändamålen och medlem för behandlingen av personuppgifter på fanpagen och därför också var ansvarig för personuppgiftsbehandlingen. Om så var fallet skulle Facebook och Wirtschaftsakademie anses vara gemensamt personuppgiftsansvariga, vilket är ett ansvarsförhållande som föreligger när två eller flera personuppgiftsansvariga gemensamt fastställer ändamålen och medlen för behandlingen.
Den som vill skapa en fanpage på Facebook måste ingå ett särskilt avtal om att öppna en sådan sida. Genom ingåendet av avtalet sker ett godkännande av användarvillkoren och den därtill hörande cookiepolicyn. Cookiebehandlingen gör det möjligt för administratören att ta del av information för att kunna styra marknadsföringen av verksamheten. Administratören kan exempelvis se vilka profiler som gillar fanpagen eller som använder sidans applikationer, så att den kan erbjuda besökarna ett mer relevant innehåll och utveckla fler funktioner som kan vara av större intresse för dem. Administratören kan också, med hjälp av Facebooks filter, fastställa statistikkriterier och bestämma vilka personers personuppgifter som ska kunna användas av Facebook. Domstolen ansåg därför att administratören bidrog till behandlingen av personuppgifter för de personer som besökt sidan.
En administratör av en fanpage får även göra en begäran om att ta del av olika demografiska uppgifter om målgruppen, så som uppgifter om ålder, relationer och livsstil. Facebook skickar sedan tillbaka statistiken i anonymiserad form, men sammanställningen bygger på den föregående cookieinsamlingen och den behandling som sker för statistiska ändamål. I denna del lyfter domstolen fram att det för att ett gemensamt personuppgiftsansvar ska föreligga inte krävs att varje ansvarig har tillgång till de berörda personuppgifterna. Domstolen konstaterar vidare att Wirtschaftsakademie genom sin konfiguration, särskilt mot bakgrund av målgrupp och syftena med styrningen av marknadsföringen av verksamheten, medverkar till att fastställa ändamålen och medlen för behandlingen av personuppgifter från besökarna av fanpagen. I fall där behandling sker av personuppgifter som hänför sig till personer som inte är Facebookanvändare ansågs administratörens ansvar för behandlingen vara än mer betydande, eftersom det då enbart är besöken på fanpagen som genererar personuppgiftsbehandling. Domstolen avslutade med att påpeka att den omständigheten att det finns ett gemensamt ansvar inte nödvändigtvis behöver innebära att de olika aktörer som medverkar till personuppgiftsbehandlingen har ett likvärdigt ansvar. I bedömningen av vem som är ansvarig för vad måste därför alla relevanta omständigheter i samtliga led av behandlingen beaktas.
Avslutande kommentar
Gemensamt personuppgiftsansvar ska enligt artikel 26 regleras mellan parterna under öppna former. Ansvaret för att fullgöra skyldigheterna som följer av förordningen, särskilt vad gäller utövandet av den registrerades rättigheter och informationsplikten som stadgas i artikel 13 och 14, ska fastställas genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter följer av unionsrätten eller en medlemsstat nationella rätt. Arrangemanget ska på ett lämpligt sätt återspegla de personuppgiftsansvarigas respektive roller och förhållande gentemot registrerade. Det väsentliga innehållet i arrangemanget ska göras tillgängligt för den registrerade. Det finns inget uttryckligt krav på att arrangemanget ska ske i form av ett avtal, men det bör dokumenteras skriftligt.
För att gemensamt personuppgiftsansvar ska uppstå krävs inte ett mycket nära förhållande och en likadelad bestämmanderätt vad avser ändamål och medel. Det kan vara tillräckligt att parterna har en delad bestämmanderätt för ändamål eller medel, eller delar av dem. Den innehavare av en fanpage på Facebook som vill undvika gemensamt personuppgiftsansvar bör stänga ned sin företagssida.
Vi jurister inom Digital Law på Knowit Insight kan givetvis bistå med vidare rådgivning i denna fråga och andra frågor som berör gemensamt personuppgiftsansvar.