Akta er för Facebook-pixlar | JP Infonet

Akta er för Facebook-pixlar

I det kommande Fashion ID-målet har generaladvokaten lämnat ett yttrande – något som berör varje dataskyddsexpert. Domstolen ska komma fram till om en webbsideägare som installerat tredjepartspixlar kan hållas som gemensamt ansvarig för personuppgiftsbehandlingen som uppstår när personuppgifter genom denna teknik samlas in om webbsidans besökare.

dataskydd_Akta_er_for_Facebook-pixlar_16x9.jpg

Bakgrund


Fashion ID är ett tyskt bolag inom E-handel som verkar i modebranschen. Företaget har inkorporerat en plugin på sin hemsida, detta i form av en Facebook ”Like” -knapp som innebär att information om besökares IP-adress och besökshistorik skickas automatiskt till företaget varje gång besökare surfar på hemsidan. Den tyska konsumentskyddsorganisationen stämde företaget för denna personuppgiftsbehandling eftersom de menar att det företaget gör är olagligt. Tysk domstol bad EU-domstolen om ett förhandsavgörande gällande vissa specifika frågeställningar och generaladvokaten har gett sin syn på saken.

Generaladvokatens slutsatser


Med hänvisning till tidigare praxis, Wirtschaftsakademie Schleswig-Holstein (C-210/16) och Jehovan todistajat-målet (C-25/17), som båda behandlar frågan om gemensamt personuppgiftsansvar och omständigheterna i det aktuella fallet kom generaladvokaten fram till följande slutsatser: 

i) Det verkar till synes som att Fashion ID har möjliggjort för Facebook att samla in personuppgifter genom att inkorporera Facebooks plugin på sin hemsida. 
ii) Denna plugin har tillåtit Fashion ID att optimera sin marknadsföring genom synliggörande på Facebook.
iii) Det faktum att Fashion ID inte utfört den relevanta personuppgiftsbehandlingen eller haft tillgång till de aktuella personuppgifterna utesluter inte ett gemensamt personuppgiftsansvar.

Ansvar och skyldigheter


Något som hittills lämnats obesvarat av EU-domstolen är frågan hur ansvar ska fördelas mellan gemensamt personuppgiftsansvariga. I Wirtschaftsakademie Schleswig-Holstein målet fastslog domstolen att gemensamt personuppgiftsansvar inte per automatik innebär lika delat ansvar angående ansvar och skyldigheter. I Generaladvokatens yttrande ges mer konkret vägledning gällande vardera parts respektive ansvar inom det gemensamma personuppgiftsansvaret.

Angående skyldigheten att inhämta samtycke ansåg generaladvokaten under rådande omständigheter att denna skyldighet bör falla på hemsideägaren (Fashion ID). I och med att insamlingen av personuppgifter genom Facebooks plugin startar i samband med att besökaren surfar in på hemsidan krävs för laglig insamling att ett samtycke inhämtas innan insamling startar. Att lägga det ansvaret på tredje part som då kommer att behöva inhämta samtycket i efterhand ansågs inte rimligt (och inte heller lagligt). Angående skyldigheten att lämna information kom generaladvokaten till samma slutsats byggt på i stort sett samma resonemang.

Slutord


Detta rättsfall kommer innebära vidare utveckling rörande praxis för det gemensamma personuppgiftsansvaret. Innehållet i generaladvokatens yttrande innebär inte något avsteg från vad insatta yrkesmänniskor förutspått. Effekten för samhället (om EU-domstolen väljer att följa generaladvokatens yttrande) ska dock inte underskattas. Fashion ID sysslar inte med något unikt eller banbrytande. Omständigheterna i det här fallet kan appliceras på många företag inom EU idag. Det är därför välkommet att rättsläget klargörs.

Vill du ta del av Didrik Värmons analys i sin helhet?

Läs då mer om informationstjänsten JP ITnet.

Senast uppdaterad 29 jan 2019

Mer om IT och dataskydd
Utbildningar
  • Denna utbildning riktar sig främst till dig som som är DSO eller GDPR-samordnare för kommun eller myndighet. Utbildningen är i workshopformat och går på djupet inom några typiska ”problemområden” som återkommer för kommun/myndighet.

    Stockholm 1-dagskurs Kursledare: Didrik Värmon
  • Kursen riktar sig till dig som arbetar som personuppgiftsombud, IT-chef eller jurist, m.fl. inom kommun.  Den behandlar kommunens ansvar för personuppgifter i allmänhet och vilken påverkan dataskyddsförordningens införande har på skyldigheterna.

    Stockholm 1-dagskurs Kursledare: Sören Öman
  • Under en dag riktar vi in oss på praktiskt dataskyddsarbete i förvaltningen och för den egna personalen, med avstamp i GDPR, dataskyddslagen, förvaltningslagen och övrig relevant lagstiftning.

    Stockholm 1-dagskurs Kursledare: Didrik Värmon

Om JP Infonet


JP Infonet erbjuder tjänster och vägledning för dig som berörs av juridik i din yrkesroll. Vår vision är att tillgängliggöra juridiken, så att du som kund ska få all information, beslutsstöd och kompetens du behöver – på det sätt som du föredrar.

Mer om oss

Prenumerera på vårt fokusbrev dataskydd

Se vår integritetspolicy

Webbtjänster inom området