Akta er för Facebook-pixlar

I det kommande Fashion ID-målet har generaladvokaten lämnat ett yttrande – något som berör varje dataskyddsexpert. Domstolen ska komma fram till om en webbsideägare som installerat tredjepartspixlar kan hållas som gemensamt ansvarig för personuppgiftsbehandlingen som uppstår när personuppgifter genom denna teknik samlas in om webbsidans besökare.

Bakgrund

Fashion ID är ett tyskt bolag inom E-handel som verkar i modebranschen. Företaget har inkorporerat en plugin på sin hemsida, detta i form av en Facebook ”Like” -knapp som innebär att information om besökares IP-adress och besökshistorik skickas automatiskt till företaget varje gång besökare surfar på hemsidan. Den tyska konsumentskyddsorganisationen stämde företaget för denna personuppgiftsbehandling eftersom de menar att det företaget gör är olagligt. Tysk domstol bad EU-domstolen om ett förhandsavgörande gällande vissa specifika frågeställningar och generaladvokaten har gett sin syn på saken.

Generaladvokatens slutsatser

Med hänvisning till tidigare praxis, Wirtschaftsakademie Schleswig-Holstein (C-210/16) och Jehovan todistajat-målet (C-25/17), som båda behandlar frågan om gemensamt personuppgiftsansvar och omständigheterna i det aktuella fallet kom generaladvokaten fram till följande slutsatser: 

i) Det verkar till synes som att Fashion ID har möjliggjort för Facebook att samla in personuppgifter genom att inkorporera Facebooks plugin på sin hemsida. 
ii) Denna plugin har tillåtit Fashion ID att optimera sin marknadsföring genom synliggörande på Facebook.
iii) Det faktum att Fashion ID inte utfört den relevanta personuppgiftsbehandlingen eller haft tillgång till de aktuella personuppgifterna utesluter inte ett gemensamt personuppgiftsansvar.

Ansvar och skyldigheter

Något som hittills lämnats obesvarat av EU-domstolen är frågan hur ansvar ska fördelas mellan gemensamt personuppgiftsansvariga. I Wirtschaftsakademie Schleswig-Holstein målet fastslog domstolen att gemensamt personuppgiftsansvar inte per automatik innebär lika delat ansvar angående ansvar och skyldigheter. I Generaladvokatens yttrande ges mer konkret vägledning gällande vardera parts respektive ansvar inom det gemensamma personuppgiftsansvaret.

Angående skyldigheten att inhämta samtycke ansåg generaladvokaten under rådande omständigheter att denna skyldighet bör falla på hemsideägaren (Fashion ID). I och med att insamlingen av personuppgifter genom Facebooks plugin startar i samband med att besökaren surfar in på hemsidan krävs för laglig insamling att ett samtycke inhämtas innan insamling startar. Att lägga det ansvaret på tredje part som då kommer att behöva inhämta samtycket i efterhand ansågs inte rimligt (och inte heller lagligt). Angående skyldigheten att lämna information kom generaladvokaten till samma slutsats byggt på i stort sett samma resonemang.

Slutord

Detta rättsfall kommer innebära vidare utveckling rörande praxis för det gemensamma personuppgiftsansvaret. Innehållet i generaladvokatens yttrande innebär inte något avsteg från vad insatta yrkesmänniskor förutspått. Effekten för samhället (om EU-domstolen väljer att följa generaladvokatens yttrande) ska dock inte underskattas. Fashion ID sysslar inte med något unikt eller banbrytande. Omständigheterna i det här fallet kan appliceras på många företag inom EU idag. Det är därför välkommet att rättsläget klargörs.

Vill du ta del av Didrik Värmons analys i sin helhet?

Läs då mer om informationstjänsten JP ITnet.

Publicerad 29 jan 2019