Rollfördelning av personuppgiftsansvar vid användning av funktioner på sociala medier

EU-domstolen konstaterade i ett uppmärksammat fall från juli 2019 att ett företag som integrerar Facebooks "gilla"-knapp, s k plugins, på sin webbplats anses ha ett gemensamt personuppgiftsansvar med Facebook för information som samlas in och överförs till Facebook när användare besöker webbplatsen. Målet handlade om det tyska modeföretaget Fashion ID som gjorde det möjligt för Facebook att få tillgång till webbplatsbesökares personuppgifter oavsett om besökaren har ett Facebook-konto eller inte. EU-domstolen utredde även frågan om legal grund för personuppgiftsbehandling, och ansåg att behandling kunde ske med stöd av inhämtande av samtycke.

Målet ligger i linje med en tidigare dom från EU-domstolen från juni 2018 i vilken rättsläget vad gäller Facebooks cookies förtydligades och där det konstaterades att ett företags skapande och administration av en fanpage på Facebook ansågs innebära ett gemensamt personuppgiftsansvar mellan företaget och Facebook.

Företag som på sina webbplatser använder sig av sociala medier behöver därför överväga hur personuppgifterna kommer att behandlas och identifiera om ett gemensamt personuppgiftsansvar föreligger (och i så fall reglera detta) samt vilken laglig grund som kan tillämpas för behandlingen. Dessutom måste företag säkerställa att webbplatsbesökaren får information om personuppgiftsbehandlingen på lämpligt vis, till exempel genom att uppdatera integritetspolicyn.

Kontakt