En fersk EU-dom innebærer at virksomheter, både offentlige og private, må inngå en skriftlig avtale om ansvarsfordeling for databehandling, dersom de har Facebook-sider, ifølge det danske datatilsynet.
Årsaken er innføringen av GDPR (general data protection regulation), den nye personvernforordningen som EU-landene innførte fra 25. mai.
Uten en slik avtale på plass risikerer man sanksjoner. Det går frem av en klar uttalse fra tilsynet etter forrige ukes avgjørelse i EU-domstolen slo ned som en bombe. Blant annet ble det konkludert med at sideadministratorer på det sosiale nettverket er å regne som dataansvarlige, noe som inkluderer den amerikanske nettgigantens databehandling.
Selv om dommen ikke direkte uttaler seg om ansvarsfordelingen, så «fremgår det klart at en administrator av en Facebook-side ikke er ansvarsfri», skriver datatilsynet.
Ansvarsfordeling
Dermed bør «en hver som har eller ønsker å opprette en fanside på Facebook nøye overveie hvorvidt man kan påta et slikt felles ansvar med Facebook for den behandlingen av personopplysninger, som finner sted på siden».
– Du må sørge for å inngå en avtale med Facebook om felles dataansvar, og i denne avtalen må det reguleres hvem som har ansvaret for hva, og de som dere behandler opplysninger om, må ha adgang til innsyn i det vesentlige innholdet av ansvarsfordelingen mellom Facebook og deg, skriver tilsynet i en uttalelse rettet til virksomheter og myndigheter.
- Les også: Nå må IT-gigantene kunne bevise sin uskyld (Version2.dk)
Sporing
Vilkårene for Facebook-sidene innebærer nemlig at alle som besøker å besøke disse får lagt inn en sporingskapsel (cookie) på datamaskinen, som Facebook bruker til å samle inn personopplysninger «som gjør det mulig for Facebook å forbedre sitt annonsesystem».
_logo.svg.png){kind=logo}
Sideadministratoren får til gjengjeld tilbud om statistikk om personer som for eksempel «liker» sidene deres.
Dette gjelder også personer som ikke har Facebook-konto, og «i slike tilfeller er administratorens ansvar for behandlingen av disse personers opplysninger enda viktigere, da et rent besøk på siden utløser en behandling av deres personopplysninger», uttaler tilsynet.
Prinsippavgjørelse
Hittil har Facebook vært alene om ansvaret for denne innsamlingen og behandlingen av personopplysninger. Sist uke ble en syv år gammel sak om ansvarsforholdet avgjort.
Saken gjaldt en tysk fagskole som ble beordret av personvernkommissæren i delstaten Schleswig-Holstein om enten å informere sine besøkende om Facebooks databehandling, eller å stenge ned den aktuelle Facebook-siden.
Skolen valgte å anke påbudet. Etter tre runder i tyske rettsinstanser endte spørsmålet til slutt hos EU-domstolen, som dømte til fordel for myndighetene i Schleswig-Holstein og dermed etablerte helt nye prinsipper som nå gjelder i alle EU-landene.
Rollen som felles dataansvarlig med Facebook stiller nå en rekke krav til sideadministratorer, skriver det danske datatilsynet og ramser opp:
- Du har sammen med Facebook et felles ansvar for å overholde reglene i personvernforordningen (for den gjeldende Facebook-siden).
- Du må sikre at besøkende på siden (uansett om de er Facebook-brukere eller ikke) får informasjon om persondatapolitikken og, i det omfanget det kreves, også gir sitt samtykke til behandlingen.
- Personer som blir registert som følge av besøk på siden din kan utøve sine rettigheter overfor deg. Det gjelder eksempelvis rettet til innsikt, retten til å motsette seg eller rettet til å få opplysninger slettet.
- Ved et eventuelt erstatningsansvar knyttet til behandlingen av personopplysningene er både du og Facebook å regne som solidarisk like ansvarlige.
Ettersom dette også krever medbestemmelse fra Facebook forventer personvernmyndighetene at blant annet at det irske datatilsynet vil følge opp hva Facebook gjør.
– I den grad reglene ikke etterleves så risikerer begge parter å bli utsatt for sanksjoner, skriver de.
Artikkelen er levert av Version2.dk
