En fersk EU-dom om Facebooks «liker-knapp» har antagelig reist flere spørsmål for bruk av tredjepartstjenester enn den har besvart, skriver Anders A. Christie.

29. juli avgjorde EU-domstolen at en nettsideeier er å anse som ansvarlig for Facebooks bruk av «liker-knappen». Dommen aktualiserer spørsmål om bruken av tredjepartsinnhold på nettsider (og andre plattformer) – som reklame, videoer, lydfiler, kart og analyseverktøy.
Selv om brukeren ikke trykker på knappen, sporer knappen blant annet informasjon om IP-adresse, enhet/PC og nettsider som besøkes. Om brukeren er Facebook-medlem, så kan informasjonen kobles opp til brukerens Facebook-profil.

Opplysningene behandles selv om brukeren ikke er på Facebook og selv om brukeren ikke klikker «liker». Det er ofte tredjepart som styrer disse informasjonsstrømmene, både ved å motta opplysningene og designe løsningene.

En virksomhet kan likevel være medansvarlig utelukkende ved å bruke tredjepartsteknologi. Etablering av dette ansvaret for de som bruker tredjepartsinnhold var et sentralt tvistepunkt i saken for EU-domstolen. Etter personvernforordningen (GDPR) er du behandlingsansvarlig om du «bestemmer» formålet med behandlingen eller midler. Men «bestemmer» er strukket langt av EU-domstolen, av hensyn til personvern. I praksis er spørsmålet om du «påvirker» formål eller midler.

«Liker-knappen» kan tjene som eksempel. Når du setter inn knappen på din nettside, er det ikke klart at du har bestemt at Facebook får opplysninger om de som besøker siden din, eller hvilke opplysninger dette er. Din bruk av knappen er likevel en forutsetning for at Facebook kan hente informasjonen fra dine nettsider på denne måten. Dermed kan du ha «påvirket» formål eller midler. Påvirkning betyr at du er medansvarlig med Facebook (tredjepart) for det som oversendes. På GDPR-språket er du blitt «delt-behandlingsansvarlig» med tredjepart.

Hva tredjepart gjør etter mottakelse kan være utenfor påvirkningsfæren din, dermed kan du være unntatt behandlingsansvar fra dette punkt. Unntak fra behandlingsansvar etter overlevering ble resultatet for EU-domstolen i saken om «liker-knappen».

Utfallet kunne ha vært noe annet. I en sak om Facebook-tjenestene «Fan-pages» og «Insights» konkluderte EU-domstolen annerledes. Innehaver av en side på Facebook ble vurdert som medansvarlig for hva Facebook gjorde for sin egen del i etterkant. Det sentrale spørsmålet er om du på noen måte påvirker tredjeparts behandling.

Håndtering av  delt behandlingsansvar må  tilpasses det enkelte tilfelle. Allikevel er det noen generelle poenger:

  • Du bør  ta standpunkt til personvernvennlig design før oppstart. Det er en fordel om  aktivering av tredjepartsinnhold forutsetter tydelig interaksjon fra brukeren.
  • Det er også en plikt å ta stilling til ansvarsfordeling med tredjepart. Noen ganger har tredjepart en mal, som Facebooks mal for delt behandlingsansvar, men denne bør vurderes kritisk og om mulig er det ofte hensiktsmessig å gjøre tilpasninger.
  • Om brukerne dine spores via tredjepartsinnhold, så er det bedre å oppdatere personvernerklæringen for sent enn aldri. Du bør vurdere grunnlag for tredjepartsbehandlingen. Grunnlag er for eksempel samtykke, berettiget interesse eller lov.
  • Om virksomhetens grunnlag er samtykke, sørg for at det er samtykket spesifikt til sporingen som gjøres av tredjepartsinnhold. Det bør være mulig å bruke plattformen selv om det ikke er samtykket til tredjepartsinnhold.

Anbefalingene over kan være til hjelp for å imøtekomme rettsutviklingen.  Antagelig har den ferske dommen om Facebooks «liker-knapp» reist flere spørsmål for bruk av tredjepartstjenester enn den har besvart.

Artikkelen ble publisert første gang i Finansavisen 12. august, 2019.

 

 

SE FLERE ARTIKLER