Gemt

Datatilsynet: Alvorlig kritik og påbud til onlineportal for brug af Facebook Business Tools

28. juni 2023

En onlineportal brugte Facebook login på sin side. Ved at implementere Facebook Business Tools fik portalen fælles dataansvar med Meta. Datatilsynet vurderede, at Metas standardaftale om fælles dataansvar ikke lever op til kravene i GDPR. Onlineportalen har nu droppet værktøjet.

Klagen fra None of Your Business

Datatilsynet indledte en sag mod en online platform på baggrund af en klage fra organisationen 'None of Your Business' (NOYB). I 2020 sendte NOYB 101 klager over forskellige virksomheders brug af Google Analytics og Facebook Business Tools til flere europæiske datatilsyn.

Klageren oplyste til det danske datatilsyn, at hendes personoplysninger efter et besøg på portalen den 12. august 2020 var blevet overført til USA i strid med GDPR og EU-domstolens dom i Screms II sagen.

Ifølge Onlineportalen var der ikke blevet overført personoplysninger til Metas hovedkontor i USA, men til Facebook i Irland.

Da Datatilsynet ikke kunne afgøre, om den konkrete klagers oplysninger var blevet overført til USA, besluttede Datatilsynet at undersøge, om onlineportalen kunne dokumentere, at den overholdt GDPR.

Fælles dataansvar med Meta Ireland

Onlineportalen havde integreret værktøjer fra Meta på sin hjemmeside, som gjorde det muligt for Meta, at indhente oplysninger om de besøgende på platformen. Ved at indsamle og transmittere personoplysninger til Meta Ireland var onlineportalen og Meta Ireland fælles dataansvarlige for denne behandling og skulle derfor have en aftale om delt dataansvar.

Datatilsynet mente, at aftalen om delt dataansvar var mangelfuld, da der på tidspunktet for klagerens besøg på onlineplatformen, ikke var en tilstrækkelig rolle- og ansvarsfordeling mellem onlineportalen og Meta Ireland henset til de behandlingsaktiviteter og formål, som onlineportalen havde behandlet klagerens personoplysninger til.

Meta havde efterfølgende ændret sine vilkår den 31. august 2020, herunder af standardaftalen om fælles dataansvar. Datatilsynet udtalte, at det ikke fremgik af denne aftale, om oplysninger om hjemmesidebesøgende blev behandlet med hjælpemidler eller af databehandlere, der befinder sig udenfor EU/EØS, og hvem der i givet fald er ansvarlig for at sikre, at reglerne om overførsler til usikre tredjelande bliver overholdt. I den forbindelse bemærkede Datatilsynet, at onlineportalen burde have interesseret sig for dette, da det er offentlig kendt, at Meta Platforms i USA leverer teknisk infrastruktur til Meta Ireland.

Påbuddet

Datatilsynet udstedte derfor et påbud til onlineplatformen om at bringe behandlingen af personoplysninger i overensstemmelse med GDPR ved at afklare rolle- og ansvarsfordelingen samt at sikre overholdelse af reglerne om overførsler til tredjelande. Alternativt måtte behandlingen standses. Overtrædelse af påbuddet kan straffes med bøde.

Da onlineportalen ikke har indflydelse på Metas brugervilkår, har platformen ifølge netmediet, Version2, valgt at droppe brug af Facebook Business Tools.

Hvorfor skal man have en aftale om fælles dataansvar?

Når flere dataansvarlige behandler personoplysninger sammen, at det vigtig at have styr på, hvem der er ansvarlig for hvilken del af behandlingen, således at alle kravene i GDPR bliver overholdt. Det er også vigtigt for de registrerede at få oplyst, hvem de fx skal henvende sig til, hvis de ønsker at udøve deres rettigheder om indsigt, sletning osv.

Ny aftale om overførsel af personoplysninger til USA

Dansk Erhverv forventer stadig, at en ny aftale om overførsel af personoplysninger til USA falder på plads inden sommeren er slut. Herefter skal man formentlig påregne, at der går noget tid inden aftalen er fuldt implementeret og klar til at blive anvendt.

Det vil løse ét problem, men det ændrer ikke på, at der skal laves en aftale om fælles dataansvar i beskrevne situation, og at virksomhederne og Meta skal være opmærksomme på, om der overføres personoplysninger til andre usikre 3. lande.

Læs Datatilsynets afgørelse

Læs også: GDPR: "Like"-knapper gør dig dataansvarlig (danskerhverv.dk)

{{title}}

{{name}}

{{title}}

{{subCard.title}}

{{title}}

{{newsletter.name}}

{{title}}

{{Headline}}

{{fetchFailed}}

{{title}}

Generer URL til avanceret søgefiltrering her

Resultat:

Anchor

Søgetekst

Fra & Til

Filtrer

{{filterGrp.label}}

{{title}}

{{filter.label}}

{{data.labels.headline}}

{{data.labels.headline}}

Generer URL til søgefiltrering her

Resultat:

Anchor

Filter

Segmenter

{{CategoryTitle(segmentGroup[0])}}

{{SelectedSpeaker.name}}

{{SelectedPerson.name}}

{{labels.error}}

{{labels.noResults}}

{{labels.error}}

{{labels.noResults}}

{{subCard.title}}

{{title}}

{{data.labels.title}}

{{data.affiliation.title}}

{{ProfileSection.title}}

{{CompanyUnionTitle}}

{{memberType.receiptTitle}}

{{headline}}

{{textLabels.title}}

{{textLabels.errorLabel}}

{{textLabels.successTitle}}

{{item.headLine}}

{{data.headline}}

{{data.card.title}}

{{data.card.name}}

{{title}}

{{data.title}}

{{data.title}}

{{data.successHeadline}}

{{item.title}}

{{item.title}}

{{item.text}}

{{item.text}}

{{submitErrorLabel}}

{{textLabels.successLabel}}

{{textLabels.newsletterCheckboxesErrorLabel}}

{{textLabels.title}}

{{textLabels.errorLabel}}

{{textLabels.partialErrorLabel}}

{{textLabels.successLabel}}

{{data.title}}

{{title}}

{{item.title}}

{{speaker.name}}

{{item.title}}

{{speaker.name}}

{{data.title}}

{{data.headline}}

{{errorTitle}}

{{noResultsTitle}}

{{title}}

{{item.title}}

{{item.title}}

{{data.headline}}

{{data.headline}}

{{data.headline}}

{{data.labels.noEvents}}