Webbplatsinnehavare är personuppgiftsansvariga för tredje parts plugins

Den som bedriver en webbplats använder sig ofta av så kallade tredje parts plugins, en liten mjukvara som erbjuds av en leverantör och som kan utföra en viss uppgift. En mycket populär sådan plugin är Facebooks like button som gör det enkelt för Facebookanvändare att gilla innehåll runt om på nätet. Det finns dock även andra leverantörer som erbjuder tredje parts plugins för alla möjliga typer av uppgifter, från att samla in e-postadresser till att ta fram besöksstatistik.

En ny dom från EU-domstolen ställer nu hårdare krav på webbplatsinnehavare som använder sig av tredje parts plugins. Enligt målet C-40/17 som publicerades den 29 juli 2019 är webbplatsinnehavare som använder sig av tredje parts plugins på webbsidor gemensamt personuppgiftsansvariga med plugin-leverantören. Detta innebär exempelvis att en webbplatsinnehavare som använder sig av Facebooks like-knappar är gemensamt personuppgiftsansvarig med Facebook för den personuppgiftsbehandling som utförs i samband med detta. Ansvaret är dock begränsat till webbplatsinnehavarens del i behandlingen.

Beslutet innebär bland annat att webbplatsinnehavare måste teckna ett överenskommelse som på lämpligt sätt återspeglar de gemensamt personuppgiftsansvarigas respektive roller och förhållanden gentemot de registrerade. Det väsentliga innehållet i överenskommelsen ska göras tillgänglig för de registrerade.

Därutöver konstaterar EU-domstolen att en användning av sociala plugins och andra tredje parts plugins kan kräva ett samtycke från webbplatsbesökaren.

Ta del av EU-domstolens mål här.

Söker du en expert inom IT, teknik och digitalisering?