Tjuvlyssning i spansk fotboll och databreach i franska fastighetsbolag
14 juni, 2019Ambition, repetition och diskussion är guldbiljetten till värdefull kunskap
9 september, 2019Facebook och tyska modeföretaget Fashion ID har i en dom från EU-domstolen ansetts ha ett gemensamt personuppgiftsansvar för den information som samlas in när webbplatsoperatören (i detta fall Fashion ID) integrerar Facebooks ”gilla”-knapp på webbplatsen. Denna dom kan få konsekvenser på vem som anses vara ansvarig vid insamling av information från tredjepartscookies.
Låt oss först titta på EU-domstolens dom rörande Facebook och Fashion IDs samarbete.
Målet hanterar alltså Facebooks ”gilla”-knapp (ett socialt insticksprogram som Facebook tillhandahåller) och huruvida en webbplatsoperatör (Fashion ID i detta fall), som har integrerat knappen i sin plattform, kan anses vara personuppgiftsansvarig för behandling: insamling och utlämnandet genom översändande av webbplatsbesökarnas personuppgifter. Observera att personuppgifter översänds från webbplatsen oavsett om webbplatsbesökaren har ett Facebook-konto eller inte.
Domstolen slår inte bara fast att Fashion ID är personuppgiftsansvarig för behandlingen, men också att ett gemensamt personuppgiftsansvar föreligger mellan Fashion ID och Facebook, eftersom Fashion ID har gjort det möjligt för Facebook att få tillgång till webbplatsbesökarnas personuppgifter genom att integrera Facebooks ”gilla”-knapp på sin hemsida. På så sätt har Fashion ID ett väsentligt inflytande på Facebooks behandling av samma personuppgifter – som utan ”gilla”-knappen skulle vara omöjlig.
Vad har då Facebooks ”gilla”-knapp med tredjepartscookies att göra? EU-domstolens slutsats är intressant eftersom ”gilla”-knappen definieras av Facebook som en tredjepartscookie då den överför en webbplatsbesökares uppgifter från en webbplatsoperatör som har integrerat ”gilla”-knappen (eller en av Facebooks andra liknande funktioner) på sin hemsida, till Facebook som därefter behandlar på eget bevåg. Alltså precis så en tredjepartscookie fungerar.
Innebär då domen att de webbplatsoperatörer som tillåter användandet av tredjepartscookies är gemensamt personuppgiftsansvarig med den part som får datat skickat till sig t.ex. i syfte att ta reda på hur webbplatsbesökarna surfar mellan en eller flera webbplatser? Ja, så länge den mottagande tredje parten inte behandlar personuppgifterna helt på webbplatsoperatörens vägnar i rollen som ett personuppgiftsbiträde. För argumentationens skull så utgår vi från att den tredje parten inte är ett personuppgiftsbiträde.
Att samla in och översända personuppgifter omfattas av GDPRs definition att behandla personuppgifter. En cookie innehåller en IP-adress, och en IP-adress anses vara en personuppgift (jfr mål C-582/14 Patrick Breyer).
Enligt GDPR är den som ensamt eller tillsammans med andra (gemensamt personuppgiftsansvar) bestämmer ändamål och medel med behandling av personuppgifter personuppgiftsansvarig. Att en fysisk eller juridisk person inte har tillgång till personuppgifterna utgör inget hinder för att kvalificeras som personuppgiftsansvarig. Ett gemensamt personuppgiftsansvar kan alltså föreligga mellan två parter även om det bara är en av dem som har tillgång till, och som vet hur, personuppgifterna, behandlas (jfr mål C-25/17 – Jehovan todistajat, och p. 82 i mål C-40/17 – Fashion ID). Om vi tittar på detta ur tredjepartscookiesperspektivet så skiljer det sig inte så mycket från det ovanstående. Därför anser vi att samtliga involverade parter i ett tredjepartscookieled/förfarande sannolikt kan anses behandla insamling och överföring med ett gemensamt personuppgiftsansvar.
Någonting som inte bör passeras obemärkt är personuppgiftsansvariges skyldighet att informera. Om personuppgifterna samlas in direkt från den registrerade ska personuppgiftsansvarig informera enligt artikel 13 GDPR. Om personuppgifterna inte samlas in direkt från den registrerade, då ska information lämnas enligt artikel 14. Domstolens argumentation kring det gemensamma ansvaret grundar sig dels i insamling och överföring från webbplatsoperatören, dels kring att den mottagande tredje parten inte kan behandla uppgifterna utan webbplatsoperatören. Å ena sidan, om den mottagande parten inte kan behandla personuppgifter utan en webbplatsoperatörs val att ha tredjepartscookies på sin hemsida, så kan det tolkas som att personuppgifterna kommer från annan än den registrerade själv. Å andra sidan, om en aktör är personuppgiftsansvarig för insamling av personuppgifter, kan aktörens informationsskyldighet rimligen inte falla under artikel 14. Slutsatsen blir därmed att den tredje parten ska informera registrerad enligt artikel 13 GDPR. Inom ramen för ett gemensamt personuppgiftsansvar ska ett gemensamt arrangemang upprättas. I ett sådant arrangemang ska respektive personuppgiftsansvarigas skyldigheter fastställas, vilket bland annat innebär att reglera parternas respektive skyldigheter att informera om behandling.
Detta kan bli problematiskt för sådana tredjepartscookies som inte är Facebooks ”gilla”-knapp. Oftast samlar en tredjepartscookie inte in e-postadress eller annan adress till den registrerade, vilket medför en oerhörd svårighet att informera. Personuppgiftsansvarig måste informera innan eller i samband med insamling av personuppgifter, men skyldigheten att lämna information försvåras eller omöjliggörs då säkerställandet av att informationen når den registrerade inte kan garanteras. Då kan en laglig behandling som utgångspunkt inte heller vidtas.
Frågan är i vilken utsträckning parter inom ett tredjepartscookieförfarande, i det gemensamma arrangemanget, kan fastställa att den part som tillhandahåller den webbplats som, rent tekniskt står för placering och insamling av tredjepartscookies och därmed personuppgifter, också informerar den registrerade om hela tredjepartscookieförfarandet. Dvs. att webbplatsoperatören i sin cookie-och/eller privacy notice informerar om förfarandet och vilken den tredje parten är. Fördelaktigt för den tredje parten är då om webbplatsoperatören då också länkar till den tredje partens egen privacy notice, eller detta är åtminstone något som ”tredjepartscookieföretag” bör ställa som krav på sina samarbetspartners efter förevarande dom.
Är du intresserad av att veta mer om tredjepartscookies och personuppgiftsansvar, eller få reda på hur PrivacyWorks kan hjälpa just dig med liknande frågor inom din verksamhet? Kontakta oss här, så kan vi sätta upp ett förutsättningslöst möte.
Av: Axel Tandberg och Rickard Nilsson