Ny dom fra EU-domstolen om felles behandlingsansvar

EU-domstolen avsa i juli en dom som har konsekvenser for alle nettsteder som bruker Facebooks Like-knapp og liknende plugins.

Saken gjaldt nettbutikken Fashion ID, som har implementert Facebooks Like-knapp. Like-knappen er en plugin som sender data til Facebook med én gang du besøker nettstedet, enten du er medlem av Facebook eller ikke og uavhengig av om du faktisk har klikket på knappen. Domstolen tok stilling til hvilket ansvar Fashion ID har for denne behandlingen av personopplysninger etter det nå opphevede personverndirektivet (forløperen til personvernforordningen (GDPR)).

Domstolens uttalelser

EU-domstolen uttaler at Fashion ID og Facebook er felles behandlingsansvarlig, selv om Fashion ID ikke har adgang til dataene. Det felles behandlingsansvaret dekker innsamlingen og overføringen av personopplysninger til Facebook. Når det gjelder hva Facebook senere gjør med dataene, altså de påfølgende fasene av behandlingen, er imidlertid ikke Fashion ID felles behandlingsansvarlig.

Domstolen tar ikke stilling til hvilket behandlingsgrunnlag som kommer til anvendelse i saken, men den kommer med generelle tolkningsuttalelser om anvendelse av behandlingsgrunnlag ved felles behandlingsansvar. Domstolen uttaler at dersom behandlingsgrunnlaget er berettiget interesse/interesseavveiing, må både nettstedet og den sosiale plattformen kunne påberope seg en berettiget interesse. Dersom behandlingsgrunnlaget er samtykke, er det nettstedet som må be om samtykke. Grunnen er at samtykke må avgis før behandlingen av personopplysninger finner sted, og behandlingen finner jo sted ved besøk på nettstedet.

Tilsvarende gjelder informasjonsplikten, siden informasjonen må gis når behandlingen av personopplysninger begynner.

Domstolens avgjørelse bygger på Wirtschaftsakademie-dommen (curia.europa.eu, engelsk) fra i fjor.

Se domstolens pressemelding om avgjørelsen (curia.europa.eu, engelsk). 

Hva betyr dette for norske nettsteder?

Selv om avgjørelsen tok utgangspunkt i det gamle personverndirektivet, er den likevel svært relevant for tolkningen av de tilsvarende reglene etter personvernforordningen (GDPR). Selv om dommen gjelder én bestemt plugin, vil jussen være den samme også for liknende plugins.

Siden domstolen ikke tar stilling til hvilket behandlingsgrunnlag som gjelder, er det vanskelig for virksomheter å vite hva dommen betyr i praksis. Datatilsynets foreløpige vurdering er at i alle fall offentlige nettsteder må be om gyldig samtykke før overføring av personopplysninger gjennom plugins til Facebook og liknende medier. Grunnen er at de neppe vil ha interesseovervekt for behandlingen etter personvernforordningen artikkel 6(1)(f). Siden Like-knappen overfører personopplysninger idet en nettside besøkes, kan det bety i praksis at offentlige nettsteder må fjerne plugin-en inntil videre.

Andre nettsteder må selv vurdere om de kan basere innsamling og overføring av personopplysninger til Facebook og liknende medier på berettiget interesse/interesseavveiing. Det er ikke usannsynlig at også private nettsteder må ha forutgående samtykke.

Uansett må nettsteder som bruker plugin-en gi informasjon om innsamling og overføring av personopplysninger.

Felles behandlingsansvarlige har plikt til å inngå en ordning seg imellom som fordeler det respektive ansvaret for etterlevelse av personvernforordningen. Det følger av personvernforordningen artikkel 26. Dette må også være på plass før plugin-en kan brukes.

12