Det är vanligt att företag, myndigheter, kommuner och andra privata och offentliga verksamheter använder sociala medier som Facebook, Twitter, LinkedIn, Instagram och YouTube. De vanligaste användningsområdena är (riktad) marknadsföring, tillhandahållande av information och kommunikation. Eftersom användning av sociala medier vanligtvis innebär en behandling av personuppgifter omfattas denna av reglerna i dataskyddsförordningen (”GDPR”). En viktig fråga som aktualiseras är vem som blir ansvarig för denna behandling av personuppgifter och, i förlängningen, att säkerställa efterlevnad av GDPR.
Facebook fanpages och statistik
Denna fråga togs upp i EU-domstolens mål C-210/16 (Wirtschaftsakademie-målet) som handlade om ett privat utbildningsföretag som skapat en speciell Facebook-sida (en så kallad fanpage) i syfte att presentera sin verksamhet på Facebook och kommunicera med sina medlemmar. Facebook tillhandahöll fanpage-administratören statistik om sidans besökare som togs fram med hjälp av personuppgifter som samlats in via cookies som placerats på besökarnas digitala enheter när de besökte sidan. Statistikfunktionen gjorde det möjligt för administratören att, inom de ramar som fastställdes av Facebook, konfigurera kategorier av uppgifter som skulle samlas in och kategorier av personer som skulle omfattas av insamlingen.
Därutöver kunde administratören använda statistikfunktionen för att genomföra demografiska analyser av fanpage-sidans besökare och använda resultaten för riktade reklam- och informationskampanjer. Administratören fick dock inte tillgång till de personuppgifter som använts för att skapa statistiken, utan endast till anonyma analysresultat. Personuppgifterna samlades in oavsett om besökarna var Facebook-medlemmar eller inte, och utbildningsföretaget kunde inte påverka användningsvillkoren av statistikfunktionen. Därutöver använde Facebook uppgifterna för egna ändamål som att förbättra sitt reklamsystem och delade även uppgifterna med tredje parter. Facebooks personuppgiftsansvar för behandlingen bestreds inte vilket innebär att Facebook inte ansågs vara personuppgiftsbiträde för denna behandling.
Gemensamt personuppgiftsansvar
En av frågorna i målet var huruvida även fanpage-administratören kunde anses vara personuppgiftsansvarig. EU-domstolen ansåg att administratören medverkade till att fastställa ändamålen och medlen genom att skapa och konfigurera fanpage-sidan i syfte att styra marknadsföringen av sin verksamhet. EU-domstolen konstaterade att administratören och Facebook tillsammans var personuppgiftsansvariga för behandlingen men att de inte nödvändigtvis hade samma ansvar. Tvärtom måste personuppgiftsansvaret i en sådan situation, när olika aktörer är involverade i olika skeden och i olika utsträckning av en behandling, bedömas med beaktande av alla relevanta omständigheter i fråga. EU-domstolen förtydligade även att denna bedömning inte påverkades av omständigheten att företaget inte hade tillgång till personuppgifterna. Därutöver ansåg EU-domstolen att företaget hade ett större ansvar gällande de besökarna som inte var medlemmar i Facebook.
Målet förtydligar att ansvarsförhållandena i komplexa miljöer som sociala medier och andra typer av plattformstjänster kan bli krångliga. Personuppgiftsansvaret ska då inte analyseras utifrån behandlingen i sin helhet utan behandlingen ska istället brytas ned i olika skeden och aktörer kan ha olika stora ansvar beroende på hur involverade de är i dessa olika skeden. EU-domstolen förtydligar även att fysiska personer som är Facebook-medlemmar, dvs. privatpersoner, kan bli personuppgiftsansvariga. Samtidigt anser EU-domstolen att enbart den omständigheten att någon använder sig av ett socialt nätverk som Facebook inte innebär att en användare blir ansvarig för tjänstens behandling av personuppgifter.
Konsekvenser
Domen innebär att företag, myndigheter, kommuner och andra privata och offentliga verksamheter som använder sociala medier, plattformstjänster och molntjänster kan bli gemensamt personuppgiftsansvariga med tjänsteleverantören för olika typer av behandlingar. Tröskeln för att ett gemensamt personuppgiftsansvar aktualiseras är relativt låg. För att en aktör ska omfattas av ett gemensamt personuppgiftsansvar för en behandling krävs inte ens att aktören har tillgång till personuppgifterna som behandlas. Det krävs inte heller att aktören utformar behandlingen för att ett gemensamt personuppgiftsansvar ska aktualiseras, utan det är tillräckligt om aktören skapar förutsättningarna för att en behandling av personuppgifter som exempelvis demografiska analyser för direktmarknadsföring ska kunna äga rum.
Domen påverkar inte bara fördelning av personuppgiftsansvaret vid användning av sociala medier utan ger även vägledning vid användning av andra typer av tjänster som exempelvis plattformstjänster och molntjänster. Slutsatserna är exempelvis tillämpliga vid användning av en molntjänstleverantör för kontorsstöd som samlar in användarnas personuppgifter i syfte att utveckla sina egna produkter och tjänster. Detsamma gäller vid användning av internet of things, exempelvis när en vårdgivare använder uppkopplad medicinskteknisk utrustning för att tillhandahålla patienter vård eller egenvård, och leverantören använder patienternas data som samlas in av utrustningen för utveckling av sina egna produkter och tjänster.
Den som är (gemensamt) personuppgiftsansvarig för en behandling av personuppgifter är också ansvarig för att säkerställa att reglerna i GDPR efterlevs. Detta innebär exempelvis ett ansvar för att säkerställa att det finns en rättslig grund för personuppgiftsbehandlingen och att de registrerade informeras om personuppgiftsbehandlingen. En aktör som samlar in personuppgifter för att dela dessa med en annan aktör, ansvarar således för att det finns en giltig rättslig grund för att samla in och dela personuppgifterna, och att alla registrerade blir informerade på ett adekvat sätt.
Vill du lära dig mer om GDPR och individers rättigheter kan du läsa om våra aktuella kurser här.
Vill du ha hjälp med rådgivning i frågor om dataskydd och informationssäkerhet kan du läsa mer här.