Pas på "likes" på din hjemmeside

Af Sven Petersen, Erhvervsjuridisk fagchef, Dansk Erhverv.

”Like”-knapper gør dig til dataansvarlig
I stil med mange andre virksomheder havde den tyske online virksomhed Fashion ID inkorporeret en ”Like”-knap fra Facebook på sin hjemmeside. Virksomheden kunne ikke se, hvem der havde klikket på knappen, idet man ikke havde adgang til de indsamlede persondata. Disse data blev automatisk videregivet til Facebook som dataaansvarlig. Men hvad med Fashion ID?

Selv om Fashion ID ikke havde adgang til persondata, men alene anonymiserede statistikker, besøgsdata etc., fastslog EU domstolen, at Fashion ID også var dataansvarlig, fordi man indsamlede disse data.

Sidste års afgørelse fra EU om samme emne
Afgørelsen er i tråd med sidste års afgørelse fra EU-domstolen, hvor Wirtschaftsakademie Schleswig Holstein blev anset som værende dataansvarlig sammen med Facebook i kraft af, at akademiet havde en profilside på Facebook.

Akademiet abonnerede på produktet ”Indblik i” og modtog forskellige besøgsdata i anonymiseret form. Gennem dette produkt havde akademiet mulighed for at påvirke Facebooks indsamling af persondata ved at præcisere, hvilke kriterier statistikkerne skulle udarbejdes på. Derved var de ifølge EU- domstolen omfattet af begrebet ”dataansvarlig”, som er det organ, ”der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger.”

Facebook har sidenhen præciseret sine vilkår og påtaget sig størstedelen af dataansvaret, når virksomheden gør brug af disse ”Indblik i”-produkter.

Forskellen til den nye sag
Så selv om Fashion ID i den nye sag ikke kunne få samme indflydelse på, hvilke statistikker de modtog fra Facebook, som Wirtschaftsakademie havde haft på ”Indblik i”-produkterne, udtalte EU-domstolen alligevel følgende:

”Ved at integrere et sådant socialt modul på sit websted har Fashion ID desuden på afgørende vis indflydelse på indsamlingen og transmissionen af webstedets besøgendes personoplysninger til udbyderen af nævnte modul, i den foreliggende sag Facebook Ireland, der ikke ville have fundet sted, såfremt nævnte modul ikke var blevet integreret på webstedet.”

På den baggrund kan man argumentere for, at dommen udvider begrebet ”dataansvarlig” yderligere.

Hvad betyder afgørelsen for min virksomhed
Ønsker man at fortsætte med SoMe-knapper på hjemmesiden, kan man derfor enten indarbejde dette i virksomhedens persondatapolitik - forudsat, at man har en legitim begrundelse for indsamling af disse data - eller man kan etablere en samtykkefunktion på hjemmesiden, der aktiverer SoMe-funktionen. Sidstnævnte løsning har Fashion ID valgt. Se nederst på siden
https://www.fashionid.de/