GDPR & Sociala medier 

Webinarium från 10 juni 2024

Vilka rättsfall finns som berör GDPR & sociala medier?

C-40/17 Fashion ID

Bakgrund

Fashion ID, ett onlineföretag för kläder, bäddade in en ’Gilla’-knapp (plug-in) från Facebook på sin webbplats. När en besökare besökte webbplatsen, oavsett om de klickade på plug-in eller inte, överfördes deras personuppgifter till Facebook Ireland utan användarens vetskap eller samtycke, oavsett om de hade användarkonton hos Facebook eller inte. En offentlig serviceorganisation, inledde rättsliga åtgärder mot Fashion ID för att ha överfört personuppgifter till Facebook Ireland utan samtycke och i strid med deras skyldighet att informera användarna om denna aktivitet. Regiondomstolen bekräftade begäran från NRW, men Fashion ID överklagade beslutet till högre regionala domstolen och argumenterade att det inte var en personuppgiftsansvarig enligt definitionen i artikel 2(d) direktiv 95/46 och att NRW inte hade rättslig ställning att väcka grupptalan enligt direktiv 95/46. Den högre regionala domstolen avbröt förfarandet och sökte förtydliganden om dessa frågor från CJEU. 

Slutsats

EU-domstolen fann att Fashion ID var gemensam personuppgiftsansvarig med Facebook Ireland. Motiveringen bakom detta var att Fashion ID integrerade plug-in för att optimera publiciteten för sina varor och göra dem mer synliga för besökare. De godkände således villkoren för att använda plug-in för att dra nytta av den kommersiella fördelen med ökad publicitet för sina varor, väl medvetna om att plug-in möjliggjorde överföring av personuppgifter till Facebook Ireland. Facebook Ireland hade också en kommersiell fördel av att behandla insamlade personuppgifter. Det faktum att Fashion ID inte hade tillgång till de insamlade personuppgifterna utesluter inte dem från att vara  personuppgiftsansvarig. Deras ansvar var begränsat till syftet och medlen för behandlingen från deras sida, vilket var överföringen av personuppgifter och bristen på att informera besökarna på deras webbplats om detta.

C-210/16 – Facebook Fanpages

Bakgrund

Företaget erbjöd utbildningstjänster genom en företagspofilsida (fansida) på Facebook. Som administratörer fick de statistisk information om besökare på fansidan via Facebook Insights, som erbjuds av Facebook kostnadsfritt under icke-förhandlingsbara användarvillkor. Informationen erhölls med hjälp av cookies, var och en innehållande en unik användarkod, som lagrades av Facebook på besökarnas enheter och var aktiva i två år. Den unika koden kunde matchas med användare registrerade på Facebook och deras personuppgifter samlades in när fansidan öppnades. Varken företaget eller Facebook meddelade användare/besökare på fansidan om lagring av cookies eller behandling av deras personuppgifter.

Slutsats

EU-domstolen slog fast att själva användningen av ett socialt nätverk inte gör användaren till en personuppgiftsansvarig för behandling av personuppgifter. Däremot har en administratör som skapar en fansida, godkänner användarvillkoren, cookiepolicyn, definierar målen och främjar sina aktivitete,r ett inflytande på behandlingen av personuppgifter i syfte att producera en statistisk rapport, av Facebook, på fansidan, oavsett om den är anonymiserad eller inte. Således är administratören en gemensam personuppgiftsansvarig med Facebook. Domstolen konstaterade också att, som en gemensam personuppgiftsansvarig med Facebook, är administratörens ansvar inte lika med Facebooks eftersom de kan vara involverade i olika stadier av den behandlingen av personuppgifter och i olika grad.

C-683/21 – Nacionalinis visuomenės sveikatos centras

Bakgrund

24 mars 2020 godkände Litauens hälsominister utveckling och implementering av ett IT-system för att registrera och övervaka data från personer som utsatts för COVID-19-viruset, i syfte att bedriva epidemiologisk övervakning. Den 27 mars 2020 informerade en representant för Litauens nationella folkhälsocenter för hälsoministeriet (’CNSP’) IT-företaget ‘IT sprendimai sėkmei’ (’ITSS’) att CNSP hade valt dem för att skapa en mobilapplikation för ovan nämnda syfte. När mobilapplikationen var skapad utvecklades en integritetspolicy där CNSP och ITSS utsågs till gemensamma personuppgiftsansvariga.

Applikationen var tillgänglig för nedladdning och fungerade mellan början av april och slutet av maj 2020, under vilken tid den användes av 3802 personer. Applikationen samlade in följande personuppgifter från registrerade: deras nationella identitetsnummer, geografiska plats, bostadsadress, namn och telefonnummer. Den 10 april 2020 tilldelade hälsoministern CNSP:s direktör uppgiften att organisera uppköp av den aktuella mobilapplikationen från ITSS. Ersättning gavs till ITSS för köpet enligt inhemsk lag, men inget offentligt kontrakt för formell anskaffning av applikationen ingicks mellan CNSP och ITSS.

Den 18 maj 2020 inledde Litauens dataskyddsmyndighet (DPA) en utredning av mobilapplikationen och de data som samlades in av den. CNSP informerade via brev den 4 juni 2020   ITSS att på grund av bristande finansiering avslutades upphandlingsprocessen. Den 24 februari 2021 utfärdade Litauens DPA ett beslut som fastslog att applikationen bröt mot artiklarna 5, 13, 32 och 35 i GDPR. Som ett resultat ålade DPA en administrativ sanktionsavgift på 12 000 euro på CNSP och 3 000 euro på ITSS som gemensam personuppgiftsansvarig enligt artikel 83 i GDPR.

CNSP överklagade beslutet till Vilnius regionala förvaltningsdomstol och argumenterade att ITSS måste betraktas som den enda personuppgiftsansvariga enligt artikel 4(7) i GDPR. I sin tur argumenterade ITSS att de var personuppgiftsbiträde och inte  personuppgiftsansvarig. Vilnius regionala förvaltningsdomstol beslutade att avbryta förfarandet och hänskjuta följande frågor till EU-domstolen för ett förhandsavgörande.

Det fanns totalt sex frågor, men de huvudsakliga frågorna var följande:

1. Begreppet ’personuppgiftsansvarig’ enligt artikel 4(7) i GDPR ifrågasattes eftersom inget formellt uppköp av mobilapplikationen hade slutförts och CNSP inte hade förvärvat någon officiell äganderätt över produkten. Dessutom hade CNSP inte utfört några behandlingsaktiviteter.

2. Domstolen frågade om definitionen av ’behandling’ av personuppgifter enligt artikel 4(2) i GDPR kan tolkas till att omfatta situationer där kopior av personuppgifter har använts för testning av IT-system i processen för anskaffning av en mobilapplikation.

3. Domstolen frågade om gemensam kontroll av data enligt artikel 4(7) och artikel 26(1) i GDPR måste tolkas ’uteslutande’ som att involvera avsiktligt koordinerade åtgärder för att fastställa syftet och medlen för databehandlingen, eller om detta begrepp även kan tolkas som att gemensam kontroll också omfattar situationer där det inte finns någon tydlig överenskommelse mellan enheterna om syftet och medlen för databehandlingen och/eller åtgärder inte är koordinerade mellan enheterna.

Slutsats

Den första frågan Domstolen slog fast att för att avgöra om en enhet, såsom CNSP, kan anses vara ansvarig för behandlingen enligt artikel 4(7) GDPR, är det nödvändigt att undersöka om den enheten faktiskt har påverkat, för sina egna ändamål, fastställandet av syftena och medlen för sådan behandling, oavsett om formellt uppköp av mobilapplikationen har skett. Dessutom noterade domstolen att när en enhet uppfyller villkoren i artikel 4(7) GDPR, är deninte bara  ansvarig för all behandling av personuppgifter som den utför själv, utan också för den som utförs på dess vägnar. Domstolen drog slutsatsen att för ändamålen med artikel 4(7) GDPR kan en enhet anses vara ansvarig för behandling som har deltagit i fastställandet av syftena och medlen för den behandling av personuppgifter som utförs, även om den enheten inte själv har utfört behandlingsaktiviteterna.

Den andra frågan Domstolen log fast att användningen av personuppgifter för datortestning av en mobilapplikation utgör ”behandling” enligt artikel 4(2) GDPR, om inte sådana uppgifter har anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar, eller om uppgifterna inte avser en befintlig fysisk person.

Den tredje frågan Domstolen kom fram till att artikel 4(7) och artikel 26(1) i GDPR ska tolkas så att två organisationer kan anses vara gemensamt ansvariga för behandlingen av personuppgifter även om det inte finns något avtal mellan dem om syftet och medlen för behandlingen, eller något avtal om själva behandlingen av personuppgifterna.