Frontkæmper i persondatakampen: Nu skal IT-giganter kunne bevise deres uskyld

Illustration: Markus Hansen, ULD
Ny EU-dom giver myndigheder, virksomheder og organisationer med sider på Facebook del i ansvaret for virksomhedens behandling af persondata. Det kan presse det sociale netværk til at gøre noget ved deres »skræmmende« mangel på kontrol over brugernes data, mener tysk databeskyttelseskommisær.

Selvom Facebook ikke var at finde på anklagebænken, endte den amerikanske virksomhed som taber, da en syv år lang sag i sidste uge blev ført til ende ved EU-domstolen.

Den endelige dom betyder, at virksomheder, myndigheder, organisationer og andre, der har sider på det sociale netværk, nu også deler ansvaret for Facebook’s behandling af europæernes persondata.

Dermed har europæiske myndigheder fået et nyt våben i kampen mod misbrug af borgernes data. Version2 har talt med personen i spidsen for det seneste slag, den tyske databeskyttelseskommisær Marit Hansen.

Læs også: EU-dom gør organisationer ansvarlige for deres Facebook-sider

Hun mener, at det samlede pres fra de nyligt ansvarlige virksomheder og organisationers side endelig kan tvinge mastodonten til at gøre op med deres ‘skræmmende’ mangel på kontrol over brugernes data.

»Vi ser næsten hver måned endnu et eksempel på misbrug af data fra Facebook, og de ved ikke, hvordan de stopper det. De kender ikke reglerne, og har ikke styr på, hvad der sker i deres databehandling. Det er virkelig skræmmende,« siger hun.

»Nu skal millioner af organisationer og virksomheder sige til Facebook: »Bevis for os, at i overholder GDPR, for hvis ikke i gør, så risikerer vi at få lukket vores sider.« Hvis det blev gjort af én eller selv tusind schleswig-holsteinere, så ville intet ske. Men hvis nu hele Tyskland, Danmark og alle de andre europæiske lande siger det på samme tid, så bliver Facebook selvfølgelig nødt til at svare, »Ja, det bliver vi nødt til at se på,« fortsætter hun.

Afgørelsen vil dog også runge langt ud over Facebook's grænser. De lette eksempler er platforme som Youtube og Twitter, men konsekvenserne stopper formentlig ikke der.

»Det begrænser sig ikke nødvendigvis til medier. Alle der sporer og bruger analyseværktøjer vil i de fleste tilfælde blive påvirket af afgørelsen,« siger Marit Hansen.

Brugte uvidenhed som argument

Sagen begyndte i 2011, da Marit Hansens forgænger på chefposten for 'Uafhængigt Center for Databeskyttelse i Schleswig-Holstein' (ULD) udstedte et påbud til erhvervsskolen Wirtschaftsakademie. De skulle oplyse besøgende på deres Facebook-side om, hvordan den amerikanske virksomhed behandlede persondata på skolens vegne. Hvis ikke blev de nødt til at deaktivere siden.

Læs også: Facebook tillader "særligt udvalgte" firmaer adgang til brugerdata

Gennem cookies indsamler Facebook nemlig dagligt oplysninger om tusindvis af besøgende på de utallige af Facebook-sider, der ligger på det sociale netværk. Det benytter virksomheden til at lave statistik og målretning af reklamer, mens sidernes administratorer ligeledes kan tilgå en lang række informationer om deres besøgende som for eksempel alder, køn, forholdsstatus, interesser, forbrugsvaner osv.

Læs også: Facebooks skræmmende metoder: Sådan snager de i dine data

Da hverken Facebook eller Wirtschaftsakademie oplyste om dette, overtrådte de ifølge ULD de gældende databeskyttelsesregler. Erhvervsskolen var langt fra enig.

»De sagde, nej. De ville ikke gå med til det. De vidste ikke, hvad der skete med brugernes data, og derfor mente de hverken, at de kunne eller skulle oplyse om det,« siger Marit Hansen.

Læs også: Trods GDPR: Dine data er stadig til salg

Dét argument vandt støtte ved en lokal domstol, der gav erhvervsskolen medhold. Næste retsinstans sendte sagen videre til den føderale administrative domstol i Leipzig, og da de også sad tilbage med flere spørgsmål end svar blev syv af disse sendt videre til EU-domstolen, der nu to år senere kan sætte noget, der ligner et punktum i sagen.

»Brugere skal informeres, når der foregår professionel databehandling, og hvis en virksomhed eller andre får gavn af Facebook’s databehandling, så deler de ansvaret. Også, hvis de ikke direkte benytter Facebook's analysetjenester,« siger Marit Hansen.

Overholder Facebook GDPR?

Sidste kapitel er dog langt fra skrevet. For det første er der det helt centrale spørgsmål, om Facebook lever op til GDPR-lovgivningen. Den trådte i kraft den 25. maj i år og indeholder strammere krav til oplysning og samtykke i forbindelse med behandling af persondata.

Flere europæiske klagesager er allerede blevet indledt mod den amerikanske virksomhed, og ifølge Marit Hansen er det tvivlsomt om Facebook befinder sig på den rette side af loven.

Læs også: Max Schrems: Facebook bruger falske notifikationer til at skaffe GDPR-samtykke

»Det er det store spørgsmål. De påstår, at de overholder GDPR, men de har ikke vist dokumentation for det endnu, og hvis jeg går ind på deres hjemmeside nu, og forsøger at forstå, hvordan deres databehandling fungerer, så kan jeg ikke. Det betyder, at det er tvivlsomt, om de overholder reglerne, og med den her dom, bliver alle sideadministratorerne nødt til at kræve et svar af Facebook og få en form for bevis for compliance,« siger Marit Hansen.

Det gælder ikke for privatpersoner på Facebook, og formentlig heller ikke for ‘grupper’. Alle ‘professionelle sider’, der bliver tilbudt feedback fra Facebook kan dog potentielt komme i fedtefadet, hvis ikke de får en form for kontrakt med det sociale netværk, der fastlægger ansvarsfordelingen og viser, at GDPR bliver overholdt.

På nuværende tidspunkt kan sideadministratorer nemlig ikke slå Facebook’s sporings-cookies fra, selv hvis de vælger ikke at benytte analysetjenester som ‘Facebook Insight’.

Læs også: Facebook: Brøler deler 14 mio. brugeres private opslag med alle

Dertil kommer, at Facebook ikke begrænser deres sporing til medlemmer, men også indsamler og behandler data fra ikke-medlemmer, der klikker ind på Facebook-sider af interesse for organisationen eller virksomheden, som har oprettet den.

»I de tilfælde bliver man nødt til at informere om det, samt skaffe samtykke, hvis der foregår overordnet sporing. Facebook bliver nødt til at gøre mere her. Sider skal nemlig som udgangspunkt altid beskytte persondata,« siger Marit Hansen.

Andre virksomheder i søgelyset

Nu hvor EU-domstolen endelig har afgjort de basale principper, der skal gælde i alle europæiske lande fremover, pågår en række »interessante måneder« i det Schleswig Holsteinske datatilsyn, fortæller Marit Hansen. Udsigten til det store juridiske arbejde vedrører langt fra udelukkende Facebook.

Listen er nemlig lang med mere eller mindre tilstødende eksempler fra andre kanter af internettet, hvor andre virksomheder bag store sociale platforme også tager det fulde ansvar for databehandling, som gavner ophavsmændene til sider, kanaler og profiler på platformene.

Læs også: Margrethe Vestager kræver gennemskuelige algoritmer: Ikke nok at pege på sort boks

»Billedet står endnu ikke helt tydeligt. Nu hvor vi ved om Facebook-sider, så lyder næste spørgsmål: Hvad med sporings- og analysetjenester, der er integreret i for eksempel Youtube eller Twitter?« siger hun.

Og grænserne kan blive endnu mere slørede.

»En Youtube-kanal minder for eksempel om en fanside på Facebook, og de bruger Youtube Analytics. Men hvad så med Google Analytics? Er det det samme? Hvad vil det betyde med for de millioner af sider, der benytter Google Analytics? Jeg tror, vi vil se tonsvis af vurderinger fra advokater nu, hvor de prøver at besvare, om det her nu er den ene slags sag eller den anden,« siger Marit Hansen.

Stil Facebook to spørgsmål

For de utallige organisationer, virksomheder og myndigheder på Facebook står sagen dog forholdsvist klart, mener Marit Hansen.

»De skal kun stille to spørgsmål til Facebook: ‘Hvem af os er ansvarlige for hvad?«, og »Kan i bevise, at i overholder GDPR-reglerne?«' siger hun.

Og hvis sideadministratorerne var blevet tvunget til at overholde reglerne tilbage i 2011, kunne man have undgået en masse sager, hvor Facebook-brugeres data endte i de forkerte hænder.

»Når Facebook bliver tvunget til at bevise, at de overholder databeskyttelsesreglerne, så skal de jo rent faktisk undersøge, om de så også gør det. Hvis de var blevet tvunget til det tidligere, så er jeg ret sikker på, at de ville have set, 'åh ja, vi har en kontrakt med Cambridge Analytica og de her andre, hvor der ingen garanti er mod datamisbrug.’ Og så ville de være tvunget til at gøre noget ved det,« siger Marit Hansen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bjarne Nielsen

Når man nu gyser eller smiler (afhængigt af udgangspunkt) over, at dommen slår en pæl igennem undskyldningen, at man ikke skulle kunne være ansvarlig for hvad der sker, hvis bare man bruger andres platforme (hvor langt ansvaret går, må tiden vise, dommen siger bare, at erhvervskolens undskyldninger var for tynde), så kan man jo samtidig holde lidt øje med denne sag:

http://curia.europa.eu/juris/document/document.jsf?text=&docid=189748&pa...

Den går vist på, hvor langt ansvaret rækker for ting, som man får fra tredjeparter, som f.eks. "like"-knapper. Forhåbentlig kommer der også en form for afklaring her.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder