Mange virksomheder har en Facebook-side, som udgør en del af virksomhedens markedsføring, og som fungerer som en kommunikationsvej til kunderne. Men hvilke forpligtigelser følger der egentlig med, når virksomheder anvender denne kanal?

Virksomheders Facebook-sider benævnes ”fan-sider”. Når en virksomhed opretter en ”fanside” på Facebook accepterer virksomheden de aftalevilkår, som Facebook har knyttet til oprettelsen af sådanne Facebooksider. Ifølge aftalebetingelserne må Facebook placere cookies på brugernes computere.

Når der indsamles cookies, er der en række personoplysninger om brugerne, som Facebook primært anvender til at målrette tilbud og reklamer mod bestemte brugere. De indhentede personoplysninger anvendes også til, i anonymiseret form, at give virksomheden som administrerer siden, oplysninger om hvem, der besøger siden. f.eks. oplysninger om køn, alder, demografi, arbejde mv.

En EU-dom fastslår nu, at virksomheder, som opretter en fan-side på Facebook, og som dermed giver Facebook tilladelse til at placere cookies på brugernes computere, pådrager sig et med ansvar for behandlingen af de persondata om brugerne som indhentes via disse cookies.

I den pressemeddelelse, som Datatilsynet har offentliggjort om dommen fremgår det, dette i praksis betyder, at:

- Virksomheden sammen med Facebook er fælles ansvarlig for at overholde reglerne i databeskyttelsesforordningen (i forhold til den pågældende Facebook-side).

- Virksomheden skal sikre, at besøgende på siden (uanset om de er Facebook-brugere eller ej) får information om persondatapolitikken, og i det omfang det er krævet, også giver samtykke til behandlingen.

- Virksomheden skal sørge for at indgå en aftale med Facebook om fælles dataansvar, og i denne aftale skal det reguleres, hvem der har ansvar for hvad, og dem, som virksomheden behandler oplysninger om, skal have adgang til at se det væsentligste indhold af ansvarsfordelingen mellem Facebook og virksomheden.

- Personer, der bliver registreret som følge af besøg på virksomhedens side kan udøve deres rettigheder over for virksomheden. Det gælder f.eks. retten til indsigt, retten til at gøre indsigelse eller retten til sletning.

- I forhold til et eventuelt erstatningsansvar i forbindelse med behandlingen af personoplysningerne hæfter virksomheden og Facebook solidarisk.

Det fremgår af pressemeddelelsen, at Datatilsynet er opmærksom på, at ovennævnte kræver, at Facebook medvirker til en løsning, hvilket Tilsynet forventer. Datatilsynet vil sammen med bl.a. Datatilsynet i Irland vil følge op på, at Facebook følger op på dommen. I det omfang reglerne ikke efterleves, risikerer begge parter imidlertid at blive pålagt sanktioner.

Datatilsynet henviser til, at Tilsynet har udarbejdet en skabelon til en aftale om fælles dataansvar, der med fordel kan anvendes i dialogen med Facebook. Skabelonen er tænkt som en hjælp til de virksomheder, offentlige myndigheder mv., som har et fælles dataansvar med en anden part for en given behandling af personoplysninger.

Det må formodes, at Facebook er bekendt med dommen, og at Facebook vil spille ud med en løsning i forhold til de virksomheder, som i dag har en Facebook-fanside.

Hvis man som virksomhed ønsker at være proaktiv, kan HORESTA foreslå, at man kontakter Facebook og under henvisning til dommen anmoder om, at Facebook tager initiativ til at sikre, at der udarbejdes en fælles databehandleraftale.

Har du spørgsmål til dette er du altid velkommen til at kontakte HORESTA.