EU-dom: Hjemmesider med en Facebook Like-knap gør sig til dataansvarlige

Illustration: TeroVesalainen/Bigstock
En EU-domstol har afsagt dom i et sagsanlæg mod virksomheden Fashion ID om brugen af Facebooks Like-knap, som ifølge dommen gør dem dataansvarlige for dataindsamling og -videresending.

Ejeren af en hjemmeside, som bruger en Like-knap fra Facebook kan ifølge en ny EU-dom betragtes som dataansvarlig i forbindelse med indsamling og videresending af data.

Det skriver The Register.

EU-domstolen gør det dog klart i en pressemeddelelse at Fashion ID ikke er ansvarlig for Facebooks videre behandling af dataene, efter de er blevet overført.

Læs også: Offentlige hjemmesider sladrer til Google og Facebook

At ejere af hjemmesider med Like-knapper får rollen som dataansvarlig, kan få alvorlige juridiske implikationer.

At være dataansvarlig er et af kernebegreberne i GDPR og betyder, som navnet antyder, at man er ansvarlig for at overholde en række regler i forbindelse med behandling af data, inklusive at indhente samtykke fra de registrerede (brugerne).

Sultne Like-knapper

Facebooks Like-knap er kontroversiel, fordi den giver virksomheden mulighed for at spore brugere på tværs af internettet, selv hvis de er logget ud.

Læs også: Snedigt Firefox-plugin skal begrænse Facebook-tracking

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (21)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Per Larsen

Det er da helt perfekt, at der nu bliver sat en eller forhåbenlig flere juridiske streger i sandet i forbindelse med det sociale netværks informations tyveri som foregår, - og som angiveligt kun en nano minoritet har check på.
De der angiveligt anvender disse medier, "betaler med værdier", som de pågældende formentlig heller ikke selv har check på.

Mvh

  • 26
  • 0
Maciej Szeliga

Det skal dog lige tilføjes at FB's knapper tracker ALLE uanset om man har konto hos FB eller ej da de, hvis du ikke er logget ind, bare fingerprinter browser/maskine - når man så logger ind så bliver fingerprintet matchet med dit login - hvis du aldrig logger på så er du fortsat identificeret bare uden den information som FB brugere selv opgiver til FB.

  • 14
  • 0
Hans Nielsen

Som Googles Analytics, og alt andet som gemmer eller indsamler oplysninger på en hjemmeside ?

Så alle som bruger sådan værktøj, skal sikker sig, at alle som besøger siden har givet samtykke ?

Maciej Szeliga, Det er ikke stort. Det er MEGA stort.

Tak EU

Det kan vel også blive rigtigt dyr med GDPR børder, eller bare arbejdet med at sikker sig at ting er slettet, ved alle de 3 parts som Google og Facebook samarbejder med. Du skal jo sikker dig sletning af brugers data og hanlinger, som software reportere også til google

Nu manger vi bare nogle tilpass store børder, så firmaer og andre retter ind.

Personligt vil jeg ikke længere bruge facebook eller andet software i skyen, som reportere hjem.
Det kunne blive alt for dyrt.

  • 8
  • 0
Hans Nielsen

Nogle med lidt mere Juritisk viden, må gerne kommentere ?

Men fint at der nu kommer domme som angiver hvordan GDPR skal fortolkes.
Her må jeg sige, at Jesper Lund og min fortolkning, nok ligger noget tættere på denne dom.
End hvad mange andre har beskrivet, formodet eller fortolket. Her under Google og Facebook.

https://www.theregister.co.uk/2019/07/29/eu_gdpr_facebook_like_button/

  • 2
  • 0
Claus Bobjerg Juul

Hvor mange I dette forum mener at en dansk domstol ville være kommet frem til samme resultat?

thumbs up for en dansk ret var kommet frem til samme resultat.

Thumbs down for at en dansk ret var kommet frem til et andet resultat.

  • 0
  • 9
Jens Beltofte

Når det kommer til stykket gælder det også lignende like-knapper fra Twitter, Instagram og andre social tjenester.

Min erfaring fra implemtering af websites hos kommunerne siger mig, at mange af dem slet ikke bruger sådanne knapper eller widgets fra sociale tjenester mere. På samme måde som de er gået væk fra "Addthis" og lignede services.

  • 2
  • 0
Jens Beltofte

Burde det ikke gælde embed af tredjeparts widgets / script generalt og ikke kun like-knapper?

Hvis man embedder en Facebook-widget der viser seneste posts fra ens Facebookside eller en widget der viser Instagram billeder eller Twitter posts, så tracker den helt sikkert også. Både når brugeren er logget ind på tjenesten og ikke.

  • 4
  • 0
Leif Glering

Flg. har problemet
edbpriser.dk
boliga.dk
version2.dk via fb-connect login?
dmi.dk
tdc.dk
cbb.dk
telenor.dk
telia.dk
3.dk - tilsyneladende samtlige teleselskaber.
im.dk - indenrigsministeriet
forsvaret.dk
cfcs.dk :D

rigtig mange andevender siteimprove

  • 5
  • 0
Jens Beltofte

At im.dk (nu sim.dk), forsvaret.dk og cfcs.dk benytter SiteImprove er vel "FB-like"-sagen udvedkommende.

Med SiteImprove har du som dataansvarlig mere kontrol over dine brugeres data end du har med Google Analytics, og SiteImprove kombinerer ikke deres statistik fra f.eks. cfcs.dk med adfærdsdata fra andre services, som Google nok kunne finde på (og sikkert gør).

Så vidt jeg kan se har hverken sim.dk, forsvaret.dk eller cfcs.dk embedded FB-like knapper og lignende.

  • 0
  • 0
Hans Nielsen

"men reelt burde EU på baggrund af dommen præcisere ansvaret ved embed at tredjeparts widgets / scripts på websites."

Her er link igen. Formoder det også vil gælde meget andet anelyse, værktøj og ligende.

Derfor jeg hørte om nogle med bedre juritiske kompetancer end mine, vill fortolke dommen.

https://www.theregister.co.uk/2019/07/29/eu_gdpr_facebook_like_button/

  • 0
  • 1
Jens Beltofte

Ups..... ser nu at cfcs.dk har embeeded et twitter feed på forsiden med en række cookies fra Twitter selvfølgelig. Dog vises den kun hvis man aktivt tilvælger cookies. Dog nævnes Twitter ikke med et eneste ord på https://fe-ddis.dk/pages/cookieinfo.aspx og den side viser også at man har accepteret cookies selvom man ikke aktivt har gjort det endnu. Det er sgu en ommer.

  • 3
  • 0
Christian Schmidt

Som Googles Analytics, og alt andet som gemmer eller indsamler oplysninger på en hjemmeside ?


Nej, denne afgørelse er ikke relevant i forbindelse med Google Analytics.

For Google Analytics gælder, at websitets ejer er den eneste dataansvarlige, og Google kun er databehandler. Websitets ejer er således fuldt ansvarlig for de indsamlede data, og Google kan ikke uden videre bruge dem til egne formål.

For Like-knapper var det førhen nogens opfattelse, at Facebook var eneste dataansvarlige, og at websitets ejer ikke var hverken dataansvarlig eller databehandler. Med afgørelsen er det slået fast, at websitets ejer og Facebook er fælles dataansvarlige. Det betyder bl.a., at de begge bærer et ansvar for, at der om nødvendigt indhentes samtykke, og de kan begge idømmes bøder for overtrædelser heraf.

Til gengæld har afgørelsen betydning for de websites, der benytter Google Ads (aka DoubleClick) og Google AdSense. For at vise personliserede annoncer, kræves brugerens samtykke. Det er nu slået fast, at det er websiteejerens ansvar at indhente dette samtykke, dvs. man er ikke længere henvist til at klage til det irske datatilsyn (som tilsyneladende har meget “erhvervsvenlige” behandlingstider).

  • 2
  • 0
Jens Beltofte

De nævnte sites bliver blokeret af facebook container.

På im.dk (ny sim.dk) blokerer Facebook Container så vidt jeg kan se kun et Facebook sharelink, hvilket den nok gør ved en fejl. Det share-link henter intet fra Facebook eller tracker på Facebook før brugeren aktivt klikker på linket. Det er ikke lavet med et script fra Facebook, men blot et link til Facebooks share service. Det samme gælder for de andre share-links på det site. Ved klik på disse links gør sitet faktisk opmærksom brugerne opmærksom på at disse services kan sætte cookies hvis man går videre. Så jeg vil våge den påstand and sim.dk har ret meget styr på deres ting og implementeret deres share-links efter "best practice", og at andre fint kunne bruge dem som eksempel.

Hvorfor har du tillid til siteimprove? De deler data med 3. part.

Det er så faktuelt forkert. SiteImprove hverken deler data med tredjepart eller sælger det videre jf. https://siteimprove.com/en/privacy/privacy-policy/. Det fremgår ligeledes at data ikke forlader EU/EEA. Så ja, jeg har væsentlig mere tillid til SiteImprove end så mange andre service providers.

  • 1
  • 0
Jens Beltofte

Du må vist lige læse 3.6 og 3.8 igen.

Pkt. 2 dækker deres behandling af tracking data i "Siteimprove Intelligence Platform", hvilket er det afsnit der er relevant for bruger af f.eks. sim.dk og cfcs.dk.

Pkt. 3 dækker SiteImproves kunders brugere og prospects. Dvs. en medarbejder fra sim.dk / cfcs.dk eller en anden SiteImprove kunde der måtte logge ind i SiteImprove, kontakte SiteImproves support m.m. Så pkt. 3 er ikke relevant når vi snakker alm. brugere af et website som sim.dk.

  • 2
  • 0
Hans Nielsen

Bøder i denne klasse kunne måske hjælpe. Så man enten overholdt regler eller fik indberettet. Nemt eller ej.

Bøder for overtrædelse af Robinson Listen

Men godt det ikke kun i GDPR og ved SPAM mail udeles meget store børder.

Med 7000,- kr. i bæde per opkald, så begynder flere firmaer nok at tænke sig om.

Domstolene er ved at komme op i gear, og jeg tror og håber vi også snart ser ligende børder, for selv små overtrædelse af GDPR.
https://www.dr.dk/nyheder/penge/ulovligt-telefonsalg-selskab-idoemt-boed...

Tag den :-)

  • 1
  • 1
Jesper Lund

Nej, denne afgørelse er ikke relevant i forbindelse med Google Analytics.

For Google Analytics gælder, at websitets ejer er den eneste dataansvarlige, og Google kun er databehandler. Websitets ejer er således fuldt ansvarlig for de indsamlede data, og Google kan ikke uden videre bruge dem til egne formål.

Måske.. Der er to muligheder: 1) Google er databehandler eller 2) Websitet og Google er fælles dataansvarlige.

En dataansvarlig er med til at fastlægge formålet og hjælpemidlerne for behandlingen, mens en databehandler alene handler efter instruks fra den dataansvarlige.

Ud fra disse definitioner vil jeg mene, at Google Analytics skal karakteriseres som delt dataansvar. Hvis du nærlæser den såkaldte "databehandleraftale" for Google Analytics, vil du desuden se (pkt. 5.3) at Google behandler oplysningerne til egne formål eller i andre sammenhænge end webstatisitik til websitet, fx hvis websitet bruger andre Google services.

Til gengæld har afgørelsen betydning for de websites, der benytter Google Ads (aka DoubleClick) og Google AdSense. For at vise personliserede annoncer, kræves brugerens samtykke. Det er nu slået fast, at det er websiteejerens ansvar at indhente dette samtykke, dvs. man er ikke længere henvist til at klage til det irske datatilsyn (som tilsyneladende har meget “erhvervsvenlige” behandlingstider).

Fashion ID dommen fastslår, at websitet er fælles dataansvarlig for indsamling og videregivelsen ved transmission (HTTP GET/POST requests o.lign.) af personoplysninger, når der indlejeres tredjepartsmoduler. Den videre behandling af personoplysningerne efter at de er videregivet til udbyderen af tredjeparts modulet (fx Facebook) er ikke omfattet af det fælles dataansvar.

Hvis samtykke er det relevante retlige grundlag for behandlingen, skal websitet indhente samtykke til disse behandlinger (altså indsamling og videregivelse ved transmission). I praksis vil det retlige grundlag ofte være samtykke, alene af den grund at "indsamling og videregivelse" kan involvere oplysninger fra brugerens terminaludstyr (aka cookies), hvilker bringer cookiebekendtgørelsen (og artikel 5, stk. 3 i ePrivacy-direktivet) i spil. Men principielt er legitim interesse også en mulighed, i hvert fald i visse situationer.

Dette samtykke omfatter ikke Facebook's videre behandling af personoplysningerne, og her vil det formentlig være relevant at skelne mellem Facebook-brugere og ikke-brugere. Facebook skal sikre sig et retligt grundlag for disse behandlinger, hvad de så end er.

DoubleClick, Google Adsense og andre Real-Time Bidding (RTB) services rejser nogle yderligere problemstillinger i forhold til denne dom. Der er tale om indlejrede moduler fra tredjepart, så i forhold til indsamling og videregivelse fra websitet kan Fashion ID dommens præmiser umiddelbart anvendes.

Men den videre behandling af personoplysninger i RTB-processen er noget mere tricky, især for den via RTB-processen kommer til at involvere et meget stort antal tredjeparter, som personoplysninger for besøgende på websitet videregives til. Som en yderligere komplikation kan nogle af disse tredjeparter i RTB-processen få lejlighed til at indlejre moduler på det oprindelige website, lave cookiesync, m.v.

Blandt spørgsmålene: Hvem skal indhente samtykke til hvad? I hvilket omfang kan denne opgave overdrages fra den dataansvarlige til andre via indbyrdes kontrakter? Kan der overhovedet gives samtykke til et "datalæk" (RTB i en nøddeskal), hvor personoplysninger videregives til et ukendt antal tredjeparter, som ikke er navngivne? Og mange andre spørgsmål..

Det kommer vi uden tvivl til at høre mere om, eftersom der hos flere europæiske datatilsyn er igangværende klagesager over RTB.

Jesper Lund
IT-Politisk Forening

  • 5
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize