Har du en Facebookside, har du også ansvar for dataen derfra

Facebook deler dataansvar med dig

Allerede inden EU’s dataforordning, også kaldet GDPR, blev rullet ud, var der mild panik i flere virksomheder. Nu skulle de pludselig til at redegøre for brugen af den data, de indsamlede, samtidig med at det skulle blive lettere for brugerne at få fjernet deres data hos virksomhederne.

Endnu mere frygtindgydende var udsigten til de massive bøder som EU proklamerede, virksomhederne ville få, hvis de brød den nye dataforordning. Bøderne for private virksomheder lød på fire procent af virksomhedens globale årlige omsætning, eller op til 20 millioner euro. De fire procent var også gældende for offentlige virksomheder, dog med et maksimum på 10 millioner euro.

Dette fik naturligt nok en del virksomheder til at nærlæse betingelserne, samt at rette ind efter dem. Samtidig tvang det virksomheder til at udpege de personer, der sad med det endelige ansvar, hvis noget gik galt, så et ansvar kunne placeres. Hvis du vil vide mere om GDPR, har vi skrevet et længere indlæg om det tidligere.

Hvem er ansvarlig på Facebook?

Et af de steder, hvor der bliver delt allerflest oplysninger, er på de sociale medier, herunder Facebook. Derfor var der også en del tvivl om, hvordan ansvaret ville blive fordelt, når det kom til eksempelvis Facebook-sider.

Det blev der kastet lys over den 5. juni 2018, hvor EU-Domstolen afsagde dom i en sag fra Tyskland, der blandt andet vedrørte dataansvaret for Facebook-sider, altså de sider, som virksomheder og offentlige personer kan oprette, men som ikke er personlige Facebookprofiler.

Her var det store spørgsmål, i hvilken grad administratorerne af disse Facebook-sider kunne holdes til ansvar for den data, som Facebook indhenter fra de mennesker, der besøger den pågældende side. Med andre ord; kan administratoren kommer til at hæfte, hvis Facebook ikke overholder GDPR-lovgivningen.

Det korte svar er ja. EU-Domstolen slog nemlig fast, at der er tale om et delt dataansvar og at administratoren af den pågældende Facebook-side dermed også bærer en del af ansvar, såfremt der skulle ske overtrædelser af GDPR-lovgivningen.

Hvilke konsekvenser får dommen for virksomhederne?

Dataansvar er lige delt med Facebook

Datatilsynet, der herhjemme er dem, der skal sikre, at virksomheder, organisationer og offentlige instanser behandler data korrekt, kom efter afgørelsen med deres fortolkning af dommen.

Her slog de blandt andet fast, at du som sideadministrator sammen med Facebook har et fælles ansvar for reglerne i dataforordningen. Du er dermed også ansvarlig for, at dine besøgende får den nødvendige information om, hvilken data, der bliver indhentet, samt med hvilket formål denne data indhentes.

Derudover fastslår Datatilsynet, at du som sideadministrator skal indgå en aftale med Facebook, der klart fordeler, hvem der har ansvaret for hvilken data. Samtidig skal dine besøgende kunne se, hvordan I har fordelt ansvaret, da det skal være nemt for dem at rette henvendelse til rette person, såfremt de ønsker oplysninger om deres data.

Dette rejser naturligt nok det ret store spørgsmål om, hvordan man laver en sådan aftale med Facebook.

Hvad gør Facebook nu?

I meddelelsen fra Datatilsynet gør de det klart, at de er opmærksomme på, at et Facebooksamarbejde er påkrævet, for at lovgivningen kan overholdes. Derudover skriver de, at de forventer, at Facebook vil indgå i samarbejdet for at finde en løsning, samt at de vil følge op på, hvordan Facebook vil agere.

Dog står det samtidig klart, at såfremt der ikke er indgået en aftale mellem parterne og GDPR-lovgivningen

overtrædes, så er begge parter ansvarlige for lovbruddet og vil derfor begge blive straffet. Med andre ord kan du altså ende i en situation, hvor du bliver straffet, hvis Facebook overtræder lovgivningen, fordi du ved oprettelse af en Facebookside acceptere deres vilkår.

Netop disse vilkår kan det være en meget fornuftig ide at nærlæse, særligt i denne sammenhæng. I forbindelse med EU-dommen meddelte Facebook nemlig, at de anerkendte, at det ikke gave mening, hvis ansvaret blev ligeligt fordelt mellem administratorerne og Facebook. Derfor lød beskeden dengang, at de ville ændre deres vilkår, for at gøre det klart, hvem der bar ansvaret for hvad.

Indtil videre skal man dog nok indstille sig på at indrette sig efter, hvad Facebook fastsætter af vilkår. For da man ved oprettelse af en Facebookside accepterer Facebooks vilkår, er der ikke så meget af forhandle om. Så det er nok stærkt begrænset, hvorvidt man som virksomhed har nogle former for indflydelse på, hvad Facebook vil tage ansvaret for.

Det skal du gøre, hvis du har en Facebook-side

Først og fremmest bliver man nok i nødt til at indse, at som tingene er lige nu, er der ikke meget mulighed for at forhandle med Facebook om en fordeling af dataansvaret. Der er dog ingen grund til at gå i panik over dette.

Der findes millioner af virksomheder, der har en Facebookside. Så det er usandsynligt, at Facebook blot vender ryggen til og skyder ansvaret fra sig, såfremt der skulle ske noget, der var i strid med lovgivningen.

Derudover er der ingen tvivl om, at EU har øjet skarpt rettet med milliardvirksomheden. Netop derfor, må det også forventes, at Facebook på et tidspunkt melder noget mere konkret ud, om hvordan de har tænkt sig at gribe denne problemstilling an.

Indtil da er det bedste man kan gøre nok at holde øje og øre åbne for, hvad Facebook gør og ikke gør. Det eneste man reelt på nuværende tidspunkt kan gøre, er at sætte sig grundigt ind i de vilkår, som man accepterer ved oprettelse af en side. Og så vente på, at Facebook på et tidspunkt forholder sig mere konkret til GDPR-reglementet.

Skal vi hjælpe dig med at få styr på din data?

CTA Blog

Skal vi også hjælpe dig videre?

Står du med en konkret digital udfordring eller har vækstambitioner, så står vi klar til at tage en uforpligtende dialog.

John Nielsen