Facebook-dom: Tilläggsavtal för Fanpage-operatören

Efter att det hade blivit tyst i flera veckor kring Facebook Fanpage-problemet, hände nu några saker inom några dagar. I sin dom i juni 2018 fann EG-domstolen att förutom Facebook själv, var fans av fans-sidor också ansvariga för att behandla uppgifterna från besökare på fansidan. Enligt artikel 26 GDPR är de ansvariga gemensamt skyldiga att nå en överenskommelse i transparent form om vem som uppfyller vilka skyldigheter enligt GDPR (så kallade Joint-Controllership Agreement). De skyldigheter som regleras av GDPR inkluderar särskilt skyddet av rättigheterna för personer som är föremål för behandling, t.ex. rätten till information och information i den mening som avses i artiklarna 13 till 15 GDPR.

Bara några dagar efter beslutet kommenterade konferensen för oberoende dataskyddsmyndigheter i de tyska federala och statliga regeringarna (DSK) problemet och krävde ett motsvarande avtal från Facebook och webbplatsoperatörerna. Facebook talade också upp och tillkännagav en anpassning av användarvillkoren för fan-sidoperatörer.

display

Orden följde emellertid inledningsvis ingen åtgärd, varför DSK tog den 05.09.2018 för andra gången ställning till den mycket diskuterade ”Fanpage” -domstolen. I det nya beslutet nu – i motsats till det ganska vaga första uttalandet – ställde konkreta krav för Fanpage-operatören. I synnerhet behandlar DSK avtalet om gemensamt ansvar enligt artikel 26 GDPR. I avsaknad av ett sådant avtal är driften av Facebook-fansidan olaglig.

Facebook ger erforderligt avtal

EG-domstolens dom, DSK: s uttalanden och Facebooks brist på svar orsakade stor osäkerhet bland fanpagets operatörer. Nu har emellertid Facebook svarat några dagar efter DSK: s andra beslut och tillhandahållit ett dokument med titeln ”Page Insights Supplement beträffande det ansvariga”. Även om titeln inte indikerar att detta är det avtal som krävs av GDPR, är detta inte nödvändigt enligt artikel 26 GDPR, dokumentets innehåll är avgörande.

De ändrade villkoren anger att webbplatsoperatörerna och Facebook ansvarar gemensamt för behandlingen av Insights data. Med hjälp av denna information som tillhandahålls av Facebook kan webbplatsoperatörer göra en statistisk utvärdering av besökare på deras webbplats. Möjligheten att använda dessa uppgifter var den avgörande punkten i EG-domstolens beslut att ålägga webbplatsoperatörer enligt lagen om dataskydd.

Dessutom garanterar Facebook tillhandahållandet av de ”väsentliga aspekterna” av dokumentet för alla registrerade, alltså också kriteriet ”i en transparent form” i.S.d. Artikel 26 GDPR ska uppfyllas. Omvänt innebär detta också att tillägget till användarvillkoren inte gäller för någon databehandling på fansidan, utan endast för behandling av Insights-data.

Det främsta ansvaret för dataskydd ligger hos Facebook

För behandlingen av Insights-data tar Facebook över huvudansvaret. Detta gäller särskilt de registrerades rättigheter som regleras i artiklarna 12 till 22 i GDPR och datasäkerheten och anmälan om dataintrång som regleras i artiklarna 32-34 GDPR.

Dessutom enas det om att datakontrollanten kommer att vara Facebook Irland (Facebook: s huvudkontor i EU). Detta har pärla. Som ett resultat av artikel 56 GDPR kommer de irländska dataskyddsmyndigheterna i hela Europa att ansvara för alla relevanta frågor. Domstol och rättstvist kommer också att vara Irland. Förfrågningar från nationella dataskyddsmyndigheter och registrerade måste vidarebefordras till Facebook Irland inom sju dagar via ett formulär.

Vad Fanpage-operatörer bör överväga nu

Även om det primära ansvaret för behandlingen av Insights-uppgifterna nu ligger på Facebook Irland, medför de nya användarvillkoren fortfarande vissa skyldigheter för webbplatsoperatörerna.

Först kräver avtalet att operatörerna för webbplatsen ska utse controller. Enligt en engelsk anteckning från Facebook kan informationen om det ansvariga företaget och dess dataskyddsombud, inklusive deras kontaktuppgifter, matas in i avsnittet ”Om” via ”Redigera sidinformation”.

Dessutom måste platsoperatörer se till att behandlingen av Insights-uppgifterna är baserad på en rättslig grund enligt artikel 6, punkt 1, GDPR. Ett tillstånd enligt artikel 6 punkt 1 meningen 1 lit. Kom DSGVO. Detta legitimerar behandlingen av personuppgifter om den behandlande personen har ett övervägande intresse av behandlingen av den registrerade – t.ex. Direktreklam.

Dessutom har webbplatsoperatören också skyldigheten att informera de registrerade om behandlingen av uppgifterna genom att ange en länk till sin egen integritetspolicy på fansidan i informationsområdet under Datapolicy och visa dem för användarna. Därför måste den egna integritetspolicyn kompletteras med en textmodul för gemensamt ansvar för driften av fansidan inklusive rättslig grund.

DSK har ytterligare krav

Dessutom bör det noteras att ovannämnda nya beslut från DSK i bilagan innehåller ett frågeformulär, som alla webbplatsoperatörer (och Facebook) bör kunna svara. Detta går delvis utöver avtalet enligt artikel 26 GDPR. Till exempel vill DSK svara på frågor som:

  • I vilka syften och på vilken rättslig grund görs poster i den så kallade lokala lagringsenheten vid den första samlingen på en fansida även för icke-medlemmar?
  • I vilka syften och på vilken rättslig grund lagras en sessionskaka och tre kakor med livslängd mellan fyra månader och två år efter att ha ringt till en undersida inom erbjudandet om fan?

Detta är givetvis information som inte är tillgänglig för webbplatsoperatören, men endast Facebook ensam. Återigen måste det sociala nätverket flytta igen och ge nödvändig information.

slutsats

Efter de senaste månadernas osäkerhet minskar detta avtal från Facebook risken för att driva fan-sidan enormt, eftersom de befintliga ”kryphålen” till stor del kan stängas.

De tyska dataskyddsmyndigheternas reaktion väntar dock på. En slutlig bedömning kommer inte att vara möjlig förrän de första domstolsbesluten har fattats i denna fråga.

Kathrin Schuermann 10X15 300Dpi
Kathrin Schürmann (Foto: Schürmann Rosenthal Dreyer)

Kathrin Schürmann, advokat för den digitala verksamheten

Kathrin Schürmann är advokat och partner på SCHÜRMANN ROSENTHAL DREYER. Förutom upphovsrätt och medielag, dataskydd och konkurrenslagstiftning, är Schürmann specialiserad på hela marknadsföringsområdet, särskilt vid tröskeln mellan konkurrens- och dataskyddslagstiftningen. Ett särskilt fokus i hennes arbete är att ge råd till företag inom områdena digital affär, teknik och media.

Lämna ett svar

E-postadressen publiceras inte. Obligatoriska fält är märkta *