Ny afgørelse skaber tvivl om lovligheden af Facebook Business Tools – Hvad er op og ned?

Datatilsynet har udtalt alvorlig kritik af Boligportalen for ikke at kunne påvise, at deres behandling af oplysninger om personer, der besøger deres hjemmeside, er sket i overensstemmelse med GDPR. Kritikken går på Boligportals brug af Facebook Business Tools, herunder trackingværktøjet Pixels

Afgørelsen har – med god grund – givet grund til bekymringer blandt virksomheder og bureauer. Hvordan skal man tage dialogen med sine kunder, skal man stoppe med bruge Facebook Business Tools med det samme, kan man fortsætte som hidtil eller skal man tage særlige hensyn og rette ind? I denne artikel kan du få overblik over sagens karakter og hvilke overvejelser, den bør føre til på bureauerne.

Danmark versus EU
Det er relevant at holde sig for øje, at man med afgørelsen fra Datatilsynet ikke tager direkte stilling til værktøjet, men til Boligportalens brug af værktøjet og deres tilhørende GDPR-håndtering. Sagen om Boligportalen har været drøftet i Taskforce 101, som består af europæiske datatilsyn, hvor man forsøger at sikre en ens tilgang til en række konkrete klager over værktøjer fra Google og Meta på tværs af europæiske lande. I foråret afgjorde det Østrigske tilsyn en lignende sag. Derfor er formodningen, at lignende sager på EU-plan må forventes af blive afgjort på samme grundlag som dele af afgørelsen om Boligportalen.

Dataoverførsler til USA
Som virksomhed skal man vide, hvorvidt der overføres persondata til USA. Det er her, Datatilsynets kritik af Boligportalen starter. Overfører man persondata til USA, så har man ansvar for, at det gøres lovligt. Det er der ikke noget nyt i. Men det er utvivlsomt et af de svære områder at få GDPR og virkeligheden til at mødes, fordi mængden af amerikanske virksomheder, man som fx dansk virksomhed bruger, er så stor.

Man har af to omgange haft ordninger mellem USA og EU (kaldet ’Safe Habour’ og ’Privacy Shield’), hvor amerikanske virksomheder (fx Meta) har kunne leve op til nogle krav og være underlagt noget tilsyn, der så har skabt et gyldigt grundlag for, at man som europæisk virksomhed kunne overføre persondata til USA. Begge ordninger blev underkendt af EU-domstole, senest i 2020. Det betyder, at vi for nuværende ikke har en ordning og et tilsyn, som sikrer, at man lovligt kan overføre persondata fra EU til USA.

Betyder det så – hårdt trukket op – at man har brudt loven, hvis man har brugt Facebook Business Tool og Pixels siden 2020? Ja, det kan man godt sige. Der arbejdes i øjeblikket på en ny, længe ventet ordning for overførsel af persondata mellem USA og EU. Rygtet siger, at den vil lande inden sommerferien – men vi ved endnu ikke, hvornår den lander endeligt. Forventningen er, at den nye ordning kan være med til at løse, om man overhovedet gyldigt kan overføre persondata til USA – forudsat at Meta bliver en del af ordningen. Hertil kommer, at man skal have styr på overførslen i forhold til information om de personer, der overføres data om.

Fælles dataansvar
Udover dataoverførsler til USA, så fremhæver afgørelsen fra Datatilsynet mod Boligportalen problematikken omkring ansvaret og ansvarsfordelingen mellem Meta og i dette tilfælde Boligportalen.

En del af afgørelsen fra datatilsynet lyder: Datatilsynet konkluderede, at parterne måtte anses som fælles dataansvarlige for behandlingen af klagers personoplysninger. Datatilsynet fandt i den forbindelse grundlag for at udtale alvorlig kritik af, at Boligportal ikke har kunnet påvise en tilstrækkelig rolle- og ansvarsfordeling mellem Boligportal og Meta Ireland Limited (Meta Ireland) i lyset af den behandling af personoplysninger, der fandt sted, bl.a. ved, at der ikke forelå en ordning om rolle- og ansvarsfordelingen på tidspunktet for klagers besøg på Boligportals hjemmeside, som ellers er påkrævet ved fælles dataansvar”.

Her understreger Datatilsynet, at der stilles krav om, at virksomheden skal forholde sig til, at man er fælles dataansvarlig, når man bruger Facebook/Meta. Det betyder, at de persondata, man bruger, både bruges til virksomhedens egne formål (her Boligportalens) samt formål hos Facebook/Meta. Derfor er der ikke tale om et typisk dataansvarlig/databehandler-forhold, hvor databehandleren alene behandler data på vegne af den dataansvarlige og ikke til egne formål – men i stedet et fælles ansvar.

For at man kan have en gyldig, fælles dataansvarsaftale, så kræver det en aftale, der klart definerer, hvor grænserne går, og hvem der har ansvar for hvad. Det er problematisk, da fx Meta som udgangspunkt har én aftale, man bliver præsenteret for. Det er ikke et transparent forhandlingsrum, men udelukkende Meta, som sætter rammerne for brug for af deres værktøj. Det gør det stort set umuligt for virksomheder at sikre sig, hvad der foregår med data i alle hjørner og kroge, og derved at leve op kravene.

Hvad gør vi herfra?
Ønsker man ikke at tage risikoen, så er det korte svar, at man skal stoppe brugen af Facebook Business Tools. Vi ved, at værktøjerne er helt afgørende for mange virksomheder, og at det vil medføre store, økonomiske konsekvenser. En forsat brug af værktøjerne vil derfor kræve, at man både på bureauerne og hos kunderne aktivt tager stilling til situationen.

På bureauet:

  • I bør have en intern diskussion på bureauet om, hvorvidt man som rådgiver vil stå på mål for at anbefale det til og anvende det for kunderne, med den nuværende juridiske situation taget i betragtning. Herunder hvordan I forholder jer til kunder.
  • Det skal fremgå tydeligt, hvor jeres ansvar som rådgiver går, så kunden er opmærksom på det. Vær forsigtig med ikke at blive kundens juridiske rådgiver.
  • Vær også opmærksom på jeres aftaler og beskrivelser af bureauets ydelser, så der ikke er tvivl om, at det er en beslutning, som kunden tager, og tager ansvar for.
  • Herudover bør I på bureauet drøfte den juridiske problemstilling med samtlige kunder, hvor værktøjerne anvendes. Kunden bør aktivt forholde sig til og tage ansvar for, om de vil bruge værktøjet eller ej – hvis de ønsker det, bør det følges af en risikoafvejning.

På baggrund af dommen og udtalelserne fra Datatilsynet er det vores overordnede anbefaling, at man ved brug, trods de juridiske problemstillinger, som minimum gør følgende:

  • Gennemgå den aftale, der er indgået mellem kunden og Meta – særligt med henblik på, hvordan dataansvaret deles, og hvordan tredjelandsoverførsler beskrives.
  • Stille spørgsmål til Meta, uagtet hvordan svarraten er, og beder dem forholde sig til situationen og den konkrete afgørelse (Læs mere her)
  • Sørger for at persondatapolitikker er opdaterede og tilgængelige.

For nu skal man være opmærksom på, at man ved uændret brug af Facebook Business Tools, og herunder Pixels, bevæger sig i et juridisk betændt landskab.

Fakta

  • Læs afgørelsen fra Datatilsynet her.
  • Læs mediet Markedsføring dækning af Datatilsynets afgørelse om Boligportalen fra 2023 her samt dækningen af forbuddet mod Pixels i Østrig fra 2020 her.
  • Husk at du som medlem har fri adgang til sparring med vores juridiske rådgivere. Find kontaktinformationer her.
  • I Kreativitet & Kommunikation har vi et medlemstilbud på et GDPR-redskab, Privacy, hvor man både får overblik og ét samlet sted til at dokumentere og administrere bureauets behandling af personoplysninger. Læs mere om medlemsfordelen her.