Facebook och administratör av Facebooksida är ansvariga för persondata

 In Nyheter

Ett avgörande i EU-domstolen den 5 juni 2018 slår fast att ansvaret för behandlingen av personuppgifter, som samlats in under besök på olika Facebooksidor, är gemensamt mellan Facebook och sidans administratör.

Domen handlar om ett tyskt lärosäte som skapat en Facebooksida. Med hjälp av verktyget ”Facebook Insights”, som FB tillhandhåller utan kostnad, får administratören statistisk information om besökarna av aktuell sida.

Tysk förvaltningsdomstol vände sig till EU-domstolen efter att det privata lärosätet Wirtschaftsakademie Schleswig-Holstein, väckt talan om riktigheten i att dataskyddsmyndigheten beordrat dem att ta ner sidan. Lärosätet gjorde bland annat gällande att behandlingen av personuppgifter inte var något de beställt eller kontrollerade. De menade att dataskyddsmyndigheten istället borde ha vänt sig direkt till Facebook.

I sin dom börjar EU-domstolen med klargörandet att Facebook är att betrakta som ”controller”, d v s personuppgiftsansvarig för behandlingen av personuppgifter av Facebook-användare eftersom det är Facebook som primärt bestämmer syfte och sätt att bearbeta data. Dock har administratören av en Facebooksida ett ansvar gentemot användarna och måste således betraktas som gemensamt ansvarig för behandlingen av dessa uppgifter.

EU-domstolen framhåller att administratören har möjlighet att själv ställa in vissa parametrar beroende på målgrupp och marknadsföring av egna aktiviteter. I synnerhet konstaterar domstolen att administratören kan begära demografiska uppgifter om målgruppen (trender i ålder, kön, relationer och yrken), information om livsstil och intressen (inköp och kategorier av varor eller tjänster som är mest efterfrågade) samt geografisk data. Det faktum att administratören använder Facebooks tjänster vid insamlandet av data befriar inte från skyldigheterna avseende skydd av personuppgifter.

Domstolen konstaterar vidare att en tillsynsmyndighet i en medlemsstat är behörig att självständigt bedöma överträdelser av bestämmelser om skydd av personuppgifter, som begås av tredje part som ansvarar för behandlingen av dessa uppgifter även när parten har säte i en annan medlemsstat (i det aktuella fallet Facebook Irland), utan att först behöva uppmana den andra medlemsstatens tillsynsmyndighet att ingripa.

EU-domstolens dom den 5 juni 2018, C-210/16