Datatilsynet ger bostadsplattformen Boligportal en reprimand och ett föreläggande att inom en månad se till att behandlingen av personuppgifter överensstämmer med bestämmelserna i dataskyddsförordningen (GDPR).
Av beslutet framgår att Boligportal är en bostadsplattform på nätet som använt Facebook Connect-verktyg, inklusive Facebook Login och Facebook Pixel. Enligt den registrerade överfördes personuppgifter till USA i samband med att den registrerade besökte Boligportals webbplats. Enligt den registrerade var överföringen av uppgifter olaglig eftersom den inte byggde på någon rättslig grund, efter att EU-domstolen ogiltigförklarat EU-kommissionens beslut om adekvat skyddsnivå i Schrems II-domen (C-311/18). Den registrerade medgav att hen inte hade de tekniska resurserna för att visa att personuppgifter faktiskt överfördes till Meta Platforms Inc. i USA snarare än enbart till Meta Ireland Ldt. Med tanke på Metas villkor (som innehåller bestämmelser om överföring av uppgifter), dess affärsmetoder och principen om ansvarsskyldighet i artikel 5.2 GDPR, var det dock upp till Boligportal att visa att uppgifterna inte överfördes till tredjeländer i det aktuella fallet.
Boligportal hävdade att personuppgifter inte överförts till USA utan endast till Meta Ireland, och att all behandling som äger rum mellan Meta Ireland och Meta Platforms Inc. i USA inte berörde Boligportal och låg utanför bolagets kontroll.
Datatilsynet uppgav inledningsvis att myndigheten inte har möjlighet att kontrollera om överföringen av uppgifter till USA verkligen ägt rum. Datatilsynet kunde därför inte ge ett tydligt svar på denna del av klagomålet och menade att en domstol har bättre förutsättningar att avgöra frågan.
Genom att bädda in Meta-plugins på sin webbplats bidrog Boligportal dock till att fastställa ändamålen och medlen för behandlingen och blev därmed gemensamt personuppgiftsansvarig med Meta Irland. Enligt Datatilsynet innebär artikel 26 GDPR att gemensamt personuppgiftsansvariga måste samarbeta för att säkerställa efterlevnad av dataskyddsförordningen och gemensamt måste kunna visa detta. En sådan efterlevnad gäller även artikel 44 GDPR, även om endast en av de personuppgiftsansvariga utför överföringen av personuppgifter till ett tredjeland.
Enligt Datatilsynets uppfattning innebär principen om ansvarsskyldighet i artiklarna 5.2 och 24 GDPR att den personuppgiftsansvarige har en skyldighet att visa att utbytet av personuppgifter med Meta Ireland är förenlig med GDPR. Med andra ord visar det faktum att Boligportal inte har någon kännedom om huruvida uppgifter överförs till USA av Meta Ireland att Boligportal åsidosatt sitt ansvar enligt dataskyddsförordningen.
Mot bakgrund av ovanstående beslutade Datatilsynet att ge Boligportal en reprimand och ett föreläggande att inom en månad se till att behandlingen av personuppgifter överensstämmer med artikel 5, 24 och 25 GDPR. Boligportal ska i synnerhet se till att kunna visa att bolaget uppfyller sina skyldigheter enligt dataskyddsförordningen.