Datatilsynet: Du og Facebook har sammen ansvaret for databeskyttelse

EU-dom fastslår, at virksomheder, myndigheder og organisationer med egen Facebook-side deler ansvar med Facebook om at sikre privatlivets fred - ellers vanker der bøder, fastslår Datatilsynet.

Foto: LOIC VENANCE. Alle, der har en Facebook-side, skal - i samarbejde med Facebook - sikre, at der ikke samles oplysninger ind om de besøgende, uden at de har godkendt det, fastslår EU-dom. Arkivfoto: Loic Venance, AFP/Scanpix
Læs mere
Fold sammen

»Du er sammen med Facebook fælles ansvarlig for at overholde reglerne i databeskyttelsesordningen.«

Det fastslår Datatilsynet over for virksomheder, myndigheder og organisationer, der driver en egen side på det børsnoterede, amerikanske sociale netværk, efter at EU-Domstolen 5. juni afsagde en dom, som fastslår, at Facebook og administratoren af en såkaldt fanside i fællesskab er ansvarlige for, at folk, der besøger siden, får klar besked om, hvilke data Facebook samler ind om dem, hvad de bruges til, og hvem de deles med.

Kræver aftale med Facebook

»Du skal sikre, at besøgende på siden (uanset om de er Facebook-brugere eller ej) får information om persondatapolitikken og, i det omfang det er krævet, også giver samtykke til behandlingen. Du skal sørge for at indgå en aftale med Facebook om fælles dataansvar, og i denne aftale skal det reguleres, hvem der har ansvar for hvad, og dem I behandler oplysninger om, skal have adgang til at se det væsentligste indhold af ansvarsfordelingen mellem Facebook og dig,« skriver Datatilsynet i sin vurdering af dommens praktiske betydning for danskere.

Dommen handler om en tysk uddannelsesinstitution, der havde oprettet en Facebook-side og brugte Facebook-Insights (Facebook-Indblik) til at få anonyme statistiske oplysninger om de besøgende. Facebook samler massevis af oplysninger ind om brugere og besøgende - sågar også om folk, der slet ikke har en Facebook-konto - og bruger dem til at kortlægge folks færden og interesser, så oplysningerne kan sælges til dem, der vil foretage særdeles målrettet annoncering.

Blandt andet placerer Facebook cookier - små tekstbidder - på brugerens computer, mobiltelefon eller tablet. Disse cookier gemmes i typisk to år, og Facebook-partnere kan bruge cookierne til at levere tjenester gennem Facebook og således målrette sig mod de brugere, som er særligt interessante.

Datatilsynet: Ellers vanker der bøder

Men det er alvorlige sager at behandle data, efter at EU-landene 25. maj indførte nye og skrappe databeskyttelsesregler.

»I forhold til et eventuelt erstatningsansvar i forbindelse med behandlingen af personoplysningerne hæfter du og Facebook solidarisk,« fastslår Datatilsynet.

Datatilsynet i Irland, som har hovedopsynet med Facebook, fordi det europæiske hovedkontor ligger i Dublin, er i gang med at følge op på, at Facebook medvirker til en løsning, som lever op til dommen fra EU-Domstolen, der er Europas højeste, juridiske myndighed.

»I det omfang, reglerne ikke efterleves, risikerer begge parter (Facebook og Facebook-sidens administrator, red.) imidlertid at blive pålagt sanktioner,« understreges det.

Gælder ikke private Facebook-profiler

Virksomheder, organisationer og myndigheder, som ikke overholder de nye databeskyttelsesregler, står til bøder på op til fire procent af deres årsomsætning på verdensplan eller op til 148 millioner kroner, hvad der nu måtte være størst.

Datatilsynet har lavet en skabelon til en aftale om fælles ansvar, som tilsynet mener, at man med fordel kan bruge over for Facebook, hvis man har en Facebook-side for virksomheden, myndigheden eller organisationen.

Datatilsynet understreger, at EU-dommen handler om Facebook-sider, ikke privatpersoners Facebook-profiler.

Læs mere: Datatilsynets vurdering af »EU-Domstolens afgørelse om dataansvar for fansider på Facebook« (i PDF-format)