Firmaer kan straffes for Facebooks overtrædelser

JURA Som flere organisationer har omtalt indenfor den seneste uge, har EU-domstolen afsagt en opsigtsvækkende afgørelse omkring brugen af såkaldte fan-sider på Facebook. Ordet fan-side leder tankerne hen på fodboldklubber, berømtheder og kendisser, men i Facebook-sammenhænge er der tale om et vidt begreb, som omfatter alle de Facebook-sider, hvor en virksomhed, en forening eller en administrator benytter Facebook til at præsentere sig selv eller andre for brugerne af Facebook.

En fan-side er derfor også din virksomheds Facebookside.

I sagen havde en virksomhed, der udbød uddannelser, etableret en særlig side hertil på Facebook. Virksomheden benyttede sig af et særligt værktøj kaldet Facebook Insights, hvor Facebook med jævne mellemrum - og gratis - fremsendte anonymiserede data til virksomheden baseret på de brugere, der havde besøgt siden.

De oplysninger, som Facebook anonymiserede, var indsamlet via en række cookies, som Facebook som udgangspunkt gemte på brugerens egen harddisk. Virksomheden havde aktivt tilvalgt brugen af værktøjet Facebook Insights - og kunne derfor også have fravalgt det.

Brugerne blev ikke orienteret
I retten var der enighed om, at hverken Facebook eller virksomheden havde orienteret brugerne om, at der blev indsamlet oplysninger eller gemt cookies, og på det grundlag havde Datatilsynet i Schleswig-Holstein udstedt et påbud til virksomheden om at nedlægge fan-siden på Facebook. Virksomheden havde anfægtet påbuddet og gjort gældende, at den ikke var ansvarlig for, hvad Facebook foretog sig med de data, der blev indsamlet om brugerne.

EU-domstolen kom frem til, at både Facebook og virksomheden havde et dataansvar for de data, som Facebook indsamlede på fan-siden, anonymiserede og sendte til virksomheden. Virksomhedens dataansvar blev statueret, da det var virksomheden, der var med til at opstille de kriterier, som Facebook skulle indhente data på baggrund af.

Selvom EU-domstolen altså statuerede et fælles ansvar, blev det præciseret, at ansvaret kunne gradueres, og at en eventuel bøde eller et erstatningsansvar godt kunne deles skævt mellem flere ansvarlige.

Kan også påtales i Danmark
EU-domstolen blev også bedt om at tage stilling til, om de nationale datatilsyn kunne påtale brud over for Facebooks nationale enheder, selvom Facebooks hovedsæde lå i et andet land. Dette blev bekræftet - endda med et rungende ja, så Datatilsynet i Danmark vil derfor også kunne påtale brud fra Facebook Danmark. Tilsvarende vil Datatilsynet i Danmark ikke være forpligtet af en afgørelse, som eksempelvis et tysk datatilsyn har afsagt - heller ikke selvom problemstillingen er identisk.

Afgørelsen er afsagt efter den hidtidige databeskyttelseslovgivning, der ganske vidst var bygget lidt anderledes op end den nuværende, men som også havde beskyttelse af data og orientering af den registrerede som omdrejningspunkt.

Afgørelsen efterlader ét stort spørgsmål: Hvad skal man gøre som virksomhed, forening eller administrator af en "markedsførings"-side på Facebook fremadrettet?

Allerede nu har rådgivere delt sig i to lejre: I den ene lejr står de, der mener, at det fremadrettet er for farligt for en virksomhed at være repræsenteret på Facebook. I den anden står de, der vurderer, at afgørelsen er så konkret, at den ikke vil få nogen betydning for helt almindelige "visit-kort"-sider på Facebook.

Farvel til Facebook?
Det rigtige svar ligger formentlig i midten: Selvfølgelig kan det lade sig gøre at benytte Facebook som platform til at få kontakt til sine kunder, men man skal vurdere de forskellige analyseredskaber, som Facebook tilbyder - inden man gør brug af dem, vel at mærke. Hvis man som virksomhed vurderer, at redskabet er brugbart, så er det ens eget ansvar at sikre, at brugerne får kendskab til, hvad der sker med deres data, når de har besøgt Facebook-siden. Den almindelige oplysningspligt (udmøntet i privatlivspolitikken) indtræder altså overfor brugerne straks ved deres besøg på Facebook-siden.

Som virksomhed bør man derfor gøre op med sig selv, om man vil bruge lidt ekstra energi på Facebook for at sikre, at lovgivningen overholdes. Vil man ikke det, så er den for tiden mest sikre løsning at fjerne sig fra Facebook og hvem ved - måske er virksomhedsdrift via Snapchat det nye sort?