Tre måneder efter EU-dom: Facebook stiller GDPR-krav til sideadministratorer

Illustration: eskay lim, BigStock
Facebook stiller i sine opdaterede vilkår nye krav til myndigheder, medier og organisationer med sider på platformen Det sker blot en uge efter heftig kritik fra tysk databeskyttelsesmyndighed.

Myndigheder, medier og organisationer med sider på Facebook skal sikre sig, at de har juridisk grundlag for behandling af besøgendes persondata, der indsamles til værktøjet 'Page Insights.'

Det kræver Facebook nu tre måneder efter EU-dommen, som slog fast, at sideadministratorer på den sociale platform er delt dataansvarlige med den amerikanske virksomhed. Væsentlige spørgsmål er dog stadig ubesvarede.

I en ny tilføjelse til vilkårene for 'Facebook Pages' lyder beskeden nu til sideadministratorerne, at »Facebook Ireland Limited ('Facebook Ireland') og du er delt ansvarlige for behandlingen af Insights Data.«

Læs også: Datatilsynet til virksomheder på Facebook: I skal indgå aftale om fælles dataansvar

'Insights Data' vedrører persondata, som Facebook indsamler via cookies på besøgendes browsere, når de går ind på Facebook-sider.

Det bruges blandt andet til at vise, hvordan besøgende interagerer med siderne gennem statistikværktøjet 'Page Insight', som Facebook stiller til rådighed for alle, der har en side på Facebook - uanset om man benytter funktionen eller ej.

Nye forpligtelser til sideadministratorer

Baggrunden for udviklingen er, at EU-Domstolen i juni fastslog, at sideadministratorer deler ansvaret for denne databehandling med Facebook.

Afgørelsen faldt efter en årelang sag i Tyskland, hvor databeskyttelseskommissæren i Slesvig-Holstein, Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) krævede af en erhvervsskole, at de skulle oplyse besøgende på deres Facebook-side om, hvordan den amerikanske virksomhed behandlede persondata på skolens vegne.

Kort efter kom Datatilsynet i Danmark med en konkret udmelding til de danske sideadministratorer: I skal indgå en aftale med den amerikanske tech-gigant, hvis I vil undgå mulige sanktioner.

Læs også: Facebook-dom rammer danske medier - de må nu vente på IT-giganten

Siden da har de involverede parter måttet vente på Facebook, som i juni lovede opdaterede vilkår. De er nu blevet offentliggjort, og Facebook skriver, at virksomheden vil orientere alle sideadministratorer i næste uge.

Selvom Facebook påtager sig størstedelen af ansvaret for databehandlingen i de nye vilkår, så stiller de også krav til blandt andet de mange danske organisationer, myndigheder og virksomheder på Facebook.

»Du bør sikre, at du har et juridisk grundlag for behandlingen af Insights Data under GDPR, identificere den dataansvarlige for siden og overholde alle andre relevante juridiske forpligtelser,« står der i de nye vilkår.

Læs også: Facebook reagerer på EU-dom - vil sikre sideadministratorer mod bøder

Derudover skal sideadministratorerne forpligte sig til at videresende enhver 'datahenvendelse' fra besøgende til Facebook inden for syv dage. Facebook vil yderligere 'tilføje en sektion' på siderne, hvor de informerer besøgende om dataindsamlingen til 'Page Insights'.

Tysk kritik af Facebook

Udmeldingen fra Facebook kommer blot en uge efter, at ULD - den tyske databeskyttelsesmyndighed, der førte sagen op til EU-Domstolen - udtalte sig kritisk om Facebooks stilhed og manglende handling.

Facebook har ikke gjort nok og sætter stadig overvågningscookies på besøgendes browsere - selv når disse ikke har en Facebook-profil, skrev de i et paper:

»Selvom Facebook har foretaget nogle ændringer i tilbuddet - for eksempel med hensyn til cookies - så bliver cookies med identifikator stadig sat, selv for folk der ikke er Facebook-brugere. I hvert fald hvis de går ind på indhold hinsides startsiden på en fanside.«

Læs også: Frontkæmper i persondatakampen: Nu skal IT-giganter kunne bevise deres uskyld

På grund af den manglende handling fra Facebooks side, skrev ULD, »arbejder de tyske databeskyttelsesmyndigheder mod en koordineret tilgang til Facebook på europæisk niveau«.

Hvorvidt de tyske databeskyttelsesmyndigheder nu er tilfredse, vides ikke. ULD stillede dog i deres paper en række spørgsmål, som de mente, Facebook manglede at besvare.

Nogle af disse - for eksempel hvordan ansvaret fordeles, og hvem der har ansvaret for at informere brugerne - synes at have fået et svar, men om Facebooks tiltag er tilstrækkelige til at beskytte sideadministratorerne mod potentielle GDPR-bøder er uvist.

Andre af ULD's spørgsmål mangler nemlig stadig svar. Blandt andet om Facebook benytter persondata fra ikke-brugere, der besøger siderne, til at bygge profiler om dem, samt hvad det juridiske grundlag for denne dataindsamling er.

Facebook: Tjenesterne er lovlige

Efter Facebooks oprindelige reaktion på dommen, hvor virksomheden lovede at opdatere vilkårene, tvivlede persondatajurist Catrine Søndergaard Byrne på, at sådan et skridt kunne sikre sideadministratorerne.

Hun hæftede sig blandt andet ved informationspligten til besøgende om databehandlingen, som Facebook i hvert fald forsøger at adressere nu.

»Jeg hælder til, at der skal være et konkret banner eller lignende inde på siderne. Du kan ikke bare have en generel privatlivspolitik liggende et eller andet sted,« sagde hun dengang.

Læs også: Jurist: Tvivlsomt om Facebook kan redde sideadministratorer med opdaterede vilkår

Derudover er der behov for at indhente samtykke til databehandling for besøgende, der ikke har en bruger på Facebook.

»Især i sådan et tilfælde bliver du nødt til at have et konkret samtykke til behandlingen, når det drejer sig om markedsføring. Så du bliver næsten nødt til, hvordan end du vender og drejer det, at gøre det her på hver enkelt Facebook-side,« siger Catrine Søndergaard Byrne.

Facebook forsikrer dog sideadministratorerne, at tjenesten fortsat er lovlig.

»Vi vil gerne slå fast, at Facebook Pages og Page Insight fortsat er lovligt og ekstremt brugbare værktøjer for millioner af virksomheder,« skriver Facebook.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder