Search
Close this search box.

Danmark: Boligportal får reprimand och föreläggande efter olaglig användning av Facebook Connect-verktyg

Datatilsynet ger bostadsplattformen Boligportal en reprimand och ett föreläggande att inom en månad se till att behandlingen av personuppgifter överensstämmer med bestämmelserna i dataskyddsförordningen (GDPR).

Av beslutet framgår att Boligportal är en bostadsplattform på nätet som använt Facebook Connect-verktyg, inklusive Facebook Login och Facebook Pixel. Enligt den registrerade överfördes personuppgifter till USA i samband med att den registrerade besökte Boligportals webbplats. Enligt den registrerade var överföringen av uppgifter olaglig eftersom den inte byggde på någon rättslig grund, efter att EU-domstolen ogiltigförklarat EU-kommissionens beslut om adekvat skyddsnivå i Schrems II-domen (C-311/18). Den registrerade medgav att hen inte hade de tekniska resurserna för att visa att personuppgifter faktiskt överfördes till Meta Platforms Inc. i USA snarare än enbart till Meta Ireland Ldt. Med tanke på Metas villkor (som innehåller bestämmelser om överföring av uppgifter), dess affärsmetoder och principen om ansvarsskyldighet i artikel 5.2 GDPR, var det dock upp till Boligportal att visa att uppgifterna inte överfördes till tredjeländer i det aktuella fallet.

Boligportal hävdade att personuppgifter inte överförts till USA utan endast till Meta Ireland, och att all behandling som äger rum mellan Meta Ireland och Meta Platforms Inc. i USA inte berörde Boligportal och låg utanför bolagets kontroll.

Datatilsynet uppgav inledningsvis att myndigheten inte har möjlighet att kontrollera om överföringen av uppgifter till USA verkligen ägt rum. Datatilsynet kunde därför inte ge ett tydligt svar på denna del av klagomålet och menade att en domstol har bättre förutsättningar att avgöra frågan.

Genom att bädda in Meta-plugins på sin webbplats bidrog Boligportal dock till att fastställa ändamålen och medlen för behandlingen och blev därmed gemensamt personuppgiftsansvarig med Meta Irland. Enligt Datatilsynet innebär artikel 26 GDPR att gemensamt personuppgiftsansvariga måste samarbeta för att säkerställa efterlevnad av dataskyddsförordningen och gemensamt måste kunna visa detta. En sådan efterlevnad gäller även artikel 44 GDPR, även om endast en av de personuppgiftsansvariga utför överföringen av personuppgifter till ett tredjeland.

Enligt Datatilsynets uppfattning innebär principen om ansvarsskyldighet i artiklarna 5.2 och 24 GDPR att den personuppgiftsansvarige har en skyldighet att visa att utbytet av personuppgifter med Meta Ireland är förenlig med GDPR. Med andra ord visar det faktum att Boligportal inte har någon kännedom om huruvida uppgifter överförs till USA av Meta Ireland att Boligportal åsidosatt sitt ansvar enligt dataskyddsförordningen.

Mot bakgrund av ovanstående beslutade Datatilsynet att ge Boligportal en reprimand och ett föreläggande att inom en månad se till att behandlingen av personuppgifter överensstämmer med artikel 5, 24 och 25 GDPR. Boligportal ska i synnerhet se till att kunna visa att bolaget uppfyller sina skyldigheter enligt dataskyddsförordningen.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 5 GDPR, art. 24 GDPR, art. 26 GDPR, art. 44 GDPR, art. 58 GDPR

Sanktionsavgift: N/A

Mottagare: Boligportal

Beslutsnummer: 2021-7329-0052

Beslutsdatum: 2023-04-20

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

07 MAR

AI – Introduktion till artificiell intelligens

Kursen ger dig de rättsliga förutsättningarna för utveckling, upphandling och användning av AI.

14 MAR

Cybersäkerhet - Introduktion till NIS2-direktviet

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

AI - Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.