Hvorfor kan du bli felles behandlingsansvarlig sammen med Meta hvis du oppretter en side på Facebook som administrator?
Photo by Brett Jordan on Unsplash
Da EU-domstolen i C-210/16 bestemte at du som administrator av en Facebook-side ville bli felles behandlingsansvarlig i 2018, fikk det konsekvenser for hvordan norske virksomheter bruker Facebook.
Eller kanskje ikke for hvordan vi faktisk bruker Facebook. Kanskje heller for hvordan vi engster oss over mulige etterlevelsesbrudd.
Dommen var også kanskje en medvirkende årsak til at det norske datatilsynet bestemte seg for å ikke lenger være på Facebook?
I etterkant av dommen har virksomheter desperat prøvd å tolke dommen innsnevrende, og konkludere med at «felles behandlingsansvar» med Facebook umulig kan bety at en liten, norsk bedrift blir felles behandlingsansvarlig sammen med Mark for alle hans personvernbrudd.
La oss se på hva dommen egentlig sier, og hva den betyr for din virksomhet som har en bedriftsside på Facebook.
Jussen i det hele – hvem er behandlingsansvarlig?
La oss først se på jussen.
(Og ja, her kan du som ikke er jurist få et innblikk i juridisk metode. Det er egentlig mye enklere enn vi jurister vil ha det til, men det krever trening.)
Som domstolen ofte gjør når den skal vurdere personvernspørsmål, viser den til at formålet med personvernregelverket er å gi en høy grad av beskyttelse for fundamentale rettigheter og friheter. Dette setter rammene for de videre tolkningene.
Så går domstolen over til å tolke begrepet «behandlingsansvarlig». Begrepet skal tolkes vidt, fordi det er ved å ha en vid definisjon at man best vil ivareta rettighetene og frihetene til de registrerte.
Det fremgår også direkte av definisjonen på «behandlingsansvarlig» at du ikke tenger å være behandlingsansvarlig alene. Du kan være det sammen med en annen virksomhet. Dette heter som kjent «felles behandlingsansvarlig».
Domstolen konkluderer så med at det er Facebook Irland (nå Meta Irland), som er behandlingsansvarlig. Dette fordi det er de som bestemmer formålet med behandlingen, og hvordan personopplysningene til de som besøker Facebook-sider skal behandles.
Men domstolen kan ikke stoppe der. De må så se på om den virksomheten som oppretter en Facebook-side kan bli felles behandlingsansvarlig sammen med Facebook.
Hvorfor felles behandlingsansvarlig
Domstolen legger vekt på en rekke momenter når den konkluderer med at virksomheten som oppretter og administrerer en Facebook-side er felles behandlingsansvarlig sammen med Facebook.
La oss gå igjennom dem:
Domstolen legger vekt på at når en bruker oppretter en Facebook-side, må de inngå en avtale med Facebook Ireland. Denne avtalen regulerer blant annet vilkår for bruk og retningslinjer for cookies.
Facebook samler inn data ved å plassere cookies på enheten til de som besøker Facebook-siden. Dataene brukes for å forbedre Facebooks tjenester og reklamesystem. Men også for å gi administratoren av Facebook-siden statistikk som kan hjelpe i markedsføring og tilpasning av innhold.
Ser du hva domstolen peker på her? Domstolen har nå poengtert at både Facebook og administratoren av Facebook-siden nyter godt av den digitale infrastrukturen som Facebook har laget.
Og det har noe å si for hvorvidt administratoren også er behandlingsansvarlig. For uten administratoren, kunne ikke Facebook ha samlet inn akkurat disse personopplysningene.
Argumentasjonen går oppsummert slik: Ved å opprette en Facebook-side, gir administratoren Facebook muligheten til å plassere cookies på enhetene til de som besøker Facebook-siden.
Facebook kunne ikke samle inn akkurat disse personopplysningene fra akkurat disse registrerte, dersom administratoren ikke hadde opprettet akkurat denne Facebook-siden.
Men administratorens innflytelse er større enn bare dette.
Som en administrator av en Facebook-siden kan du definere hvilken type statistikk du vil samle inn. Med andre ord, kan du som administrator ta et aktivt valgt i hvilke personopplysninger som skal samles inn om de som besøker Facebook-siden din. Dette betyr at du bestemmer hvilke personopplysninger som Facebook får tilgang til.
Og det er på denne bakgrunnen at domstolen konkluderer med at en administrator av en Facebook-side er felles behandlingsansvarlig med Facebook (nå Meta).
Noen nyanser helt til slutt – hva betyr dette for deg?
Domstolen presiserer at selv om du som virksomhet kan bli felles behandlingsansvarlig med Facebook, betyr det ikke at dere har like stort ansvar. Hva som faktisk ligger i behandlingsansvaret ditt må vurderes konkret, basert på den spesifikke rollen og innflytelsen du har i behandlingen av personopplysninger.
Og her ligger det nok en åpning for norske virksomheter. For det betyr at du nok ikke automatisk ansvarlig sammen med Meta for alle personvernbrudd som Meta gjør. Heldigvis.
Men dommen betyr like fullt at du har et ansvar. Og at om du som virksomhet har en bedriftsside på Facebook, må du definere det som en behandling av personopplysninger som du gjør.
Det betyr f.eks. at behandlingen må beskrives i behandlingsprotokollen din, at du må ta et bevist valg om hvilken statistikk du skal skru på for de som besøker Facebook-siden din (tenk dataminimering) og at du har en plikt til å informere de registrerte om hvordan du behandler deres personopplysninger. Og det fordrer at du må forstå hva du faktisk har kontroll over.