Alvorlig kritik og påbud til Boligportal for brug af Facebook Business Tools

Dato: 20-04-2023

Afgørelse Private virksomheder Alvorlig kritik Påbud Klage Afklaring af dataansvar Overførsel til tredjelande

Datatilsynet har udtalt alvorlig kritik af Boligportal for ikke at kunne påvise, at deres behandling af oplysninger om personer, der besøger deres hjemmeside, er sket i overensstemmelse med GDPR. Tilsynet har endvidere udstedt påbud til Boligportal om at bringe behandlingen i overensstemmelse med reglerne.

Journalnummer: 2021-7329-0052

Resume

Datatilsynet modtog i slutningen af 2020 én af i alt 101 klager, som organisationen ’None of Your Business’ (NOYB) havde sendt til flere europæiske datatilsyn. Klagerne vedrørte forskellige dataansvarliges brug af enten Google Analytics eller de såkaldte Facebook Business Tools på deres hjemmesider. I Datatilsynets tilfælde vedrørte klagen Boligportals behandling af klagers (repræsenteret af NOYB) personoplysninger ved virksomhedens brug af Facebook Business Tools på sin hjemmeside.

Hvad er Facebook Business Tools?

Facebook Business Tools udbydes af Meta og er værktøjer, der kan indlejres på en hjemmeside. Når en person besøger hjemmesiden, indsamler værktøjerne oplysninger om bl.a. personens IP-adresse, at personen har besøgt hjemmesiden, tidspunkt for besøget, øvrige oplysninger om bl.a. browser og operativsystem samt oplysninger om andre onlineidentifikatorer, der er blevet indsamlet via cookies.

Boligportal kunne ikke påvise overholdelse af GDPR

Datatilsynet fandt, at tilsynet på baggrund af de indsamlede oplysninger ikke kunne træffe afgørelse om den mulige overførsel af personoplysninger til USA, idet der har været uenighed blandt parterne om, hvorvidt personoplysninger om klager faktisk er blevet overført til USA.

Dette gav dog Datatilsynet anledning til at undersøge, hvorvidt Boligportal havde overholdt sine forpligtelser efter databeskyttelsesforordningen, navnlig virksomhedens forpligtelse til at kunne påvise, at den overholder reglerne.

Datatilsynet konkluderede, at parterne måtte anses som fælles dataansvarlige for behandlingen af klagers personoplysninger. Datatilsynet fandt i den forbindelse grundlag for at udtale alvorlig kritik af, at Boligportal ikke har kunnet påvise en tilstrækkelig rolle- og ansvarsfordeling mellem Boligportal og Meta Ireland Limited (Meta Ireland) i lyset af den behandling af personoplysninger, der fandt sted, bl.a. ved, at der ikke forelå en ordning om rolle- og ansvarsfordelingen på tidspunktet for klagers besøg på Boligportals hjemmeside, som ellers er påkrævet ved fælles dataansvar.

Endvidere fremgår det ikke af den nuværende ordning indgået mellem Boligportal og Meta Ireland som fælles dataansvarlige, om personoplysninger om hjemmesidebesøgende bliver behandlet ved brug af hjælpemidler eller databehandlere, der befinder sig uden for EU/EØS, og hvem der i givet fald er ansvarlig for at sikre, at reglerne om overførsler til usikre tredjelande bliver overholdt.

Påbud om at bringe behandlingen i overensstemmelse med GDPR

På baggrund af ovenstående fandt Datatilsynet grundlag for at meddele Boligportal påbud om at bringe behandlingen af personoplysninger i overensstemmelse med GDPR. Dette kan efter Datatilsynets opfattelse bl.a. ske ved at klarlægge rolle- og ansvarsfordelingen mellem Boligportal og Meta Ireland, således at det fremgår af ordningen mellem parterne, om personoplysninger om hjemmesidebesøgende behandles ved brug af hjælpemidler eller databehandlere, der befinder sig uden for EU/EØS. Endvidere skal det fremgå, hvordan reglerne om tredjelandsoverførsler iagttages for så vidt angår de behandlinger, som parterne er fælles dataansvarlige for, og hvilken part, der i praksis skal sikre at disse regler overholdes. Alternativt kan det ske ved at standse den omhandlede behandlingsaktivitet.

Ovennævnte løsninger er dog alene forslag og ikke de eneste muligheder for at efterleve Datatilsynets påbud. Boligportal har som dataansvarlig fuld valgfrihed i forhold til at påvise sin overholdelse af databeskyttelsesreglerne.

Sagen har været behandlet i samarbejde med de øvrige europæiske datatilsyn i den såkaldte Taskforce 101.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor organisationen None of Your Business på vegne af klager den 17. august 2020 har klaget til tilsynet over, at BoligPortal.dk ApS (herefter Boligportal) har overført personoplysninger om klager til USA i forbindelse med klagers besøg på Boligportals hjemmeside den 12. august 2020.

Indledningsvis bemærker Datatilsynet, at tilsynet med denne afgørelse alene har taget stilling til Boligportals behandling af personoplysninger ved brug af ”Facebook Business Tools”. Datatilsynet har dermed ikke taget stilling til virksomhedens eventuelle behandling af personoplysninger ved brug af andre tredjepartsværktøjer.

Datatilsynet bemærker derudover, at tilsynet alene har taget stilling til Boligportals behandling af klagers personoplysninger ved virksomhedens brug af ”Facebook Business Tools”. Datatilsynet har dermed ikke taget stilling til hverken Meta Platforms Ireland Limited (herefter Meta Ireland, tidligere Facebook Ireland Limited) eller Meta Platforms, Inc. (herefter Meta Platforms, tidligere Facebook, Inc.) behandling af personoplysninger.

Endelig bemærker Datatilsynet, at Boligportal siden klagens indgivelse har tilvejebragt yderligere dokumentation for at påvise, at behandlingsaktiviteten er sket i overensstemmelse med databeskyttelsesforordningen, ligesom Meta Ireland har ændret de vilkår, som virksomheden leverer sine ”Facebook Business Tools” under.

På den baggrund har Datatilsynet med denne afgørelse taget stilling til, dels hvorvidt behandling af personoplysninger om klager den 12. august 2020 er sket i overensstemmelse med databeskyttelsesforordningen, dels hvorvidt Boligportals nuværende behandling af personoplysninger om hjemmesidebesøgende sker inden for rammerne af databeskyttelsesforordningen.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Boligportal ikke har påvist, at behandling af klagers personoplysninger den 12. august 2020 er sket i overensstemmelse med databeskyttelsesforordningen^[1], og at Boligportal ikke har påvist, at virksomhedens nuværende behandling af personoplysninger om hjemmesidebesøgende sker i overensstemmelse med databeskyttelsesforordningen, jf. databeskyttelsesforordningens artikel 26, jf. forordningens artikel 5, stk. 1, litra a, jf. artikel 5, stk. 2 og artikel 24, stk. 1.

Datatilsynet finder indledningsvis, at tilsynet ikke kan træffe afgørelse vedrørende den mulige overførsel af personoplysninger om klager til USA, da der uenighed mellem parterne om, hvorvidt personoplysninger om klager faktisk er blevet overført til USA.

Den omstændighed, at Datatilsynet ikke kan træffe afgørelse om en mulig overførsel af personoplysninger om klager til USA, giver imidlertid tilsynet anledning til at undersøge, hvorvidt Boligportal har overholdt sine forpligtelser efter databeskyttelsesforordningen, herunder virksomhedens forpligtelse til at påvise sin overholdelse af databeskyttelsesforordningen, jf. artikel 5, stk. 1, litra a, artikel 5, stk. 2, samt artikel 24, stk. 1.

Datatilsynet finder i den forbindelse, at der på tidspunktet for klagers besøg på boligportal.dk den 12. august 2020 har været en utilstrækkelig rolle- og ansvarsfordeling mellem Boligportal og Meta Ireland i lyset af den behandling af personoplysninger, der fandt sted.

Henset til de behandlingsaktiviteter og de formål, som Boligportal efter egne udtalelser, der er nærmere beskrevet i afsnit 3.3 nedenfor, har behandlet klagers personoplysninger til, må parterne betragtes som fælles dataansvarlige for behandlingen af klagers personoplysninger.

I lyset heraf, og at der på tidspunktet for klagers besøg på boligportal.dk ikke forelå en ordning efter forordningens artikel 26, som på en gennemsigtig måde nærmere fastlagde rolle- og ansvarsfordelingen mellem parterne, finder Datatilsynet, at Boligportal ikke har påvist, at deres behandling af klagers personoplysninger er sket i overensstemmelse med databeskyttelsesforordningens artikel 26, jf. artikel 5, stk. 1, litra a, artikel 5, stk. 2 og artikel 24, stk. 1.

Datatilsynet finder endvidere, at det ikke fremgår af den nuværende ordning, der indgået mellem Boligportal og Meta Ireland som fælles dataansvarlige efter databeskyttelsesforordningens artikel 26, hvorvidt personoplysninger om hjemmesidebesøgende bliver behandlet ved brug af hjælpemidler, der befinder sig uden for EU/EØS, og i givet fald hvor, herunder eventuelt ved brug af databehandlere uden for EU/EØS, for så vidt angår de behandlingsaktiviteter, som parterne er fælles dataansvarlige for, og følgelig hvilken part, der er ansvarlig for at sikre overholdelse af artikel 44.

På baggrund heraf finder Datatilsynet at Boligportal overordnet set ikke har påvist, at virksomhedens nuværende behandling af personoplysninger sker i overensstemmelse med artikel 26, jf. artikel 5, stk. 1, litra a, artikel 5, stk. 2, samt artikel 24, stk. 1, bl.a. ved ikke at have afklaret hvorvidt personoplysninger om hjemmesidebesøgende bliver behandlet ved brug af hjælpemidler, der befinder sig uden for EU/EØS, og i givet fald hvor, herunder eventuelt ved brug af databehandlere uden for EU/EØS, for så vidt angår de behandlingsaktiviteter, som parterne er fælles dataansvarlige for.

Datatilsynet finder på den baggrund grundlag for at meddele Boligportal påbud om at bringe virksomhedens behandling af personoplysninger i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 1, litra a, artikel 5, stk. 2, artikel 24, stk. 1 og artikel 26, samt at kunne påvise dette.

Fristen for efterlevelse af påbuddet er den 18. maj 2023. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet.

Det kan efter Datatilsynets opfattelse bl.a. ske ved at klarlægge rolle- og ansvarsfordelingen mellem Boligportal og Meta Ireland, således at det fremgår af ordningen mellem parterne, om personoplysninger om hjemmesidebesøgende, som parterne er fælles dataansvarlige for, bliver behandlet ved brug af hjælpemidler, der befinder sig uden for EU/EØS, og i givet fald hvor, herunder eventuelt ved brug af databehandlere uden for EU/EØS, samt følgelig hvordan databeskyttelsesforordningens artikel 44 iagttages for så vidt angår de behandlingsaktiviteter, som parterne er fælles dataansvarlige for, og hvilke(n) part(er) der, i givet fald, i praksis skal sikre overholdelsen af databeskyttelsesforordningens artikel 44. Alternativt kan det ske ved at standse den omhandlede behandlingsaktivitet.

Datatilsynet bemærker, at ovennævnte løsningsforslag ikke udgør den eneste mulighed for måden, hvorpå tilsynets påbud kan efterleves og kan påvises efterlevet. Boligportal har – som den (ene) dataansvarlige – fuld valgfrihed, jf. databeskyttelsesforordningens artikel 24, stk. 1, og artikel 5, stk. 2, med hensyn til, hvordan virksomheden påviser sin overholdelse af databeskyttelsesforordningen.

Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Ifølge databeskyttelseslovens § 41, stk. 2, nr. 4, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Det fremgår af sagen, at klager den 12. august 2020 besøgte Boligportals hjemmeside. Under besøget var klager logget ind på sin konto på Facebook, som er et socialt medie drevet af Meta Ireland.

Boligportal har på sin hjemmeside indlejret værktøjet ”Facebook Connect”, som er genstand for klagen. Datatilsynet forstår herunder, at der med ”Facebook Connect” henvises til flere værktøjer, der leveres af Meta Ireland, herunder navnlig ”Facebook Login” og ”Facebook Pixel”.

Værktøjerne stilles til rådighed af Meta Ireland for hjemmesideejere og leveres under vilkårene ”Facebook Business Tools Terms” og ”Facebook Data Processing Terms”. Vilkårene er siden klagers besøg på Boligportals hjemmeside den 12. august 2020 blevet opdateret den 31. august 2020.

2.1. Meta Irelands vilkår

Af Meta Irelands vilkår ”Facebook Business Terms” af 26. december 2019, som var gældende på tidspunktet for klagers besøg på Boligportals hjemmeside, fremgår bl.a. følgende:

”The Facebook Business Tools are a subset of Facebook Products that we provide to help website owners and publishers, developers, advertisers, business partners (and their customers) and others integrate, use and exchange information with Facebook. The Facebook Business Tools include APIs and SDKs, the Facebook Pixel, social plugins such as the Like and Share buttons, Facebook Login and Account Kit, as well as other platform integrations, plugins, code, specifications, documentation, technology and services. By clicking “Accept” or using any of the Facebook Business Tools, you agree to the following:

Sharing Personal Data with Facebook
1. You may use the Facebook Business Tools to send personal data to us about your customers and users (“Customer Data”). Depending on the Facebook Products you use, Customer Data may include:
  1. “Contact Information” consists of information that personally identifies individuals, such as names, email addresses, and phone numbers that we use for matching purposes only. We will hash Contact Information that you send to us via a Facebook javascript pixel for matching purposes prior to transmission. When using a Facebook image pixel or other Facebook Business Tools, you or your service provider must hash Contact Information in a manner specified by us before transmission.
  2. “Event Data” includes other information you share about your customers and the actions they take on your websites and apps or in your stores, such as visits to your sites, installations of your apps, and purchases of your products.

[…]

Use of Customer Data
1. We will use Customer Data for the following purposes depending on which Facebook Company Products you choose to use:
  1. Contact Information for Matching
    1. You instruct us to process the Contact Information solely to match the Contact Information against Facebook’s or Instagram's user IDs (“Matched User IDs”), as well as to combine those user IDs with corresponding Event Data. We will delete Contact Information following the match process.
  2. Event Data for Measurement and Analytics Services
    1. You instruct us to process Event Data (a) to prepare reports on your behalf on the impact of your advertising campaigns and other online content (“Campaign Reports”) and (b) to generate analytics and insights about your customers and their use of your apps, websites, products and services (“Analytics”).
    2. We grant to you a non-exclusive and non-transferable license to use the Campaign Reports and Analytics for your internal business purposes only and solely on an aggregated and anonymous basis for measurement purposes. You will not disclose the Campaign Reports or Analytics, or any portion thereof, to any third party, unless otherwise agreed to in writing by us. We will not disclose the Campaign Reports or Analytics, or any portion thereof, to any third party without your permission, unless (i) they have been combined with Campaigns Reports and Analytics from numerous other third parties and (ii) your identifying information is removed from the combined Campaign Reports and Analytics.
  3. Event Data To Create Targetable Audiences
    1. We may process the Event Data to create audiences (including Website Custom Audiences, Mobile App Custom Audiences and Offline Custom Audiences) that are grouped together by common Event Data, which you may use to target ad campaigns. In our sole discretion, we may also allow you to share these audiences with other advertisers.
  4. Event Data To Deliver Commercial and Transactional Messages
    1. We may use the Matched User IDs and associated Event Data to help you to reach people with transactional and other commercial messages on Messenger and other Facebook Company Products.
  5. Event Data to Personalize Features and Content and to Improve and Secure the Facebook Products
    1. We use Event Data to personalize the features and content (including ads and recommendations) we show people on and off our Facebook Company Products. In connection with ad targeting and delivery optimization, we will: (i) use your Event Data for delivery optimization only after aggregating such Event Data with other data collected from other advertisers or otherwise collected on Facebook Products; and (ii) not allow other advertisers or third parties to target advertising solely on the basis of your Event Data.
    2. We may also use Event Data to promote safety and security on and off the Facebook Company Products, for research and development purposes, and to maintain the integrity of and to improve the Facebook Company Products.

[…]

A note to EU and Swiss data controllers
1. To the extent the Customer Data contain personal data which you process subject to the General Data Protection Regulation (Regulation (EU) 2016/679) (the “GDPR”), the parties acknowledge and agree that for purposes of providing matching, measurement, and analytics services described in Paragraphs 2.a.i and 2.a.ii above, that you are the data controller in respect of such personal data, and you have instructed Facebook Ireland Limited to process such personal data on your behalf as your data processor pursuant to these terms and Facebook’s Data Processing Terms, which are incorporated herein by reference. “Personal data,” “data controller,” and “data processor” in this paragraph have the meanings set out in the Data Processing Terms.”

Af Meta Irelands vilkår “Data Processing Terms” (udateret)[2], som via henvisning hertil udgør en del af Meta Irelands vilkår, fremgår bl.a. følgende:

”2. You agree that Facebook may subcontract its data processing obligations under these Data Processing Terms to a subprocessor, but only by way of a written agreement with the sub-processor which imposes obligations on the sub-processor no less onerous than as are imposed on Facebook under these Data Processing Terms. Where the sub-processor fails to fulfil such obligations, Facebook shall remain fully liable to you for the performance of that sub-processor’s obligations. You hereby authorize Facebook to engage Facebook Inc. (and other Facebook Companies) as its sub-processor(s). Facebook shall notify you of any additional sub-processor(s) in advance. If you reasonably object to such additional sub-processor(s), you may inform Facebook in writing of the reasons for your objections. If you object to such additional subprocessor(s), you should stop using the Services and providing data to Facebook.”

Af Meta Irelands vilkår ”Facebook Business Terms” af 31. august 2020[3], som er de senest gældende vilkår, fremgår bl.a. følgende:

”When you use the Facebook Business Tools to send us or otherwise enable the collection of Business Tool Data (as defined in Section 1 below), these terms govern the use of that data.

Background: Ad Products and other Business Tools

We may receive Business Tool Data as a result of your use of Facebook ad products, in connection with advertising, matching, measurement and analytics. Those ad products include, but are not limited to, Facebook Pixel, Conversions API (formerly known as Server-Side API), Facebook SDK for App Events, Offline Conversions, App Events API and Offline Events API. We also receive Business Tools Data in the form of impression data sent by Facebook Social Plugins (for example the Like and Share buttons) and Facebook Login, and data from certain APIs such as Messenger Customer Match via the Send API. Facebook may also offer pilot, test, alpha, or beta programs from time to time through which you may provide Business Tool Data. Uses of Business Tools Data are described below.

By clicking "Accept" or using any of the Facebook Business Tools, you agree to the following:

Sharing Business Tool Data with Facebook
1. You may use the Facebook Business Tools to send us one or both of the following types of personal information (“Business Tool Data”) for the purposes described in Section 2:
  1. “Contact Information” is information that personally identifies individuals, such as names, email addresses, and phone numbers, that we use for matching purposes only. We will hash Contact Information that you send to us via a Facebook JavaScript pixel for matching purposes prior to transmission. When using a Facebook image pixel or other Facebook Business Tools, you or your service provider must hash Contact Information in a manner specified by us before transmission.
  2. ”Event Data” is other information that you share about people and the actions that they take on your websites and apps or in your shops, such as visits to your sites, installations of your apps, and purchases of your products. While Event Data does include information collected and transferred when people access a website or app with Facebook Login or Social Plugins (e.g. the Like button), it does not include information created when an individual interacts with our platform via Facebook Login, Social Plugins, or otherwise (e.g. by logging in, or liking or sharing an article or song). Information created when an individual interacts with our platform via Facebook Login, Social Plugins, or otherwise is governed by the Platform Terms.
  3. Note: for purposes of these Business Tool Terms, references in existing terms or agreements to “Customer Data” will now mean “Business Tool Data.”

[…]

Use of Business Tool Data
1. We will use Business Tool Data for the following purposes depending on which Facebook Business Tools you choose to use:
  1. Contact Information for Matching
    1. You instruct us to process the Contact Information solely to match the Contact Information against user IDs (“Matched User IDs”), as well as to combine those user IDs with corresponding Event Data. We will delete Contact Information following the match process.
  2. Event Data for Measurement and Analytics Services
    1. You may instruct us to process Event Data (a) to prepare reports on your behalf on the impact of your advertising campaigns and other online content (“Campaign Reports”) and (b) to generate analytics and insights about people and their use of your apps, websites, products and services (“Analytics”).
    2. We grant to you a non-exclusive and non-transferable license to use the Campaign Reports and Analytics for your internal business purposes only and solely on an aggregated and anonymous basis for measurement purposes. You will not disclose the Campaign Reports or Analytics, or any portion thereof, to any third party, unless otherwise agreed to in writing by us. We will not disclose the Campaign Reports or Analytics, or any portion thereof, to any third party without your permission, unless (i) they have been combined with Campaigns Reports and Analytics from numerous other third parties and (ii) your identifying information is removed from the combined Campaign Reports and Analytics.
  3. Event Data for Targeting Your Ads
    1. You may provide Event Data to target your ad campaigns to people who interact with your business. You may direct us to create custom audiences, which are groups of Facebook users based on Event Data, to target ad campaigns (including Website Custom Audiences, Mobile App Custom Audiences, and Offline Custom Audiences). Facebook will process Event Data to create such audiences for you. You may not sell or transfer these audiences, or authorize any third party to sell or transfer these audiences. Facebook will not provide such audiences to other advertisers unless you or your service providers share audiences with other advertisers through tools we make available for that purpose, subject to the restrictions and requirements of those tools and our terms.
    2. These terms apply to the use of Website Custom Audiences, Mobile App Custom Audiences, and Offline Custom Audiences created through Facebook's Business Tools. Customer List Custom Audiences provided through our separate custom audience feature are subject to the Customer List Custom Audience Terms.
  4. Event Data To Deliver Commercial and Transactional Messages
    1. We may use the Matched User IDs and associated Event Data to help you reach people with transactional and other commercial messages on Messenger and other Facebook Company Products.
  5. Event Data to Improve Ad Delivery, Personalize Features and Content and to Improve and Secure the Facebook Products
    1. You may provide Event Data to improve ad targeting and delivery optimization of your ad campaigns. We may correlate that Event Data to people who use Facebook Company Products to support the objectives of your ad campaign, improve the effectiveness of ad delivery models, and determine the relevance of ads to people. We may use Event Data to personalize the features and content (including ads and recommendations) that we show people on and off our Facebook Company Products. In connection with ad targeting and delivery optimization, we will: (i) use your Event Data for delivery optimization only after aggregating such Event Data with other data collected from other advertisers or otherwise collected on Facebook Products; and (ii) not allow other advertisers or third parties to target advertising solely on the basis of your Event Data.
    2. To improve the experience for people who use Facebook Company Products, we may also use Event Data to promote safety and security on and off the Facebook Company Products, for research and development purposes and to maintain the integrity of and to improve the Facebook Company Products.

[…]

Additional Terms for Processing of Personal Information
1. To the extent the Business Tool Data contain Personal Information which you Process subject to the General Data Protection Regulation (Regulation (EU) 2016/679) (the “GDPR”), the following terms apply:
  1. The parties acknowledge and agree that you are the Controller in respect of the Processing of Personal Information in Business Tool Data for purposes of providing matching, measurement and analytics services described in Sections 2.a.i and 2.a.ii above (e.g. to provide you with Analytics and Campaign Reports), and that you instruct Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2 Ireland (“Facebook Ireland”) to Process such Personal Information for those purposes on your behalf as your Processor pursuant to these Business Tools Terms and Facebook’s Data Processing Terms. The Data Processing Terms are expressly incorporated herein by reference and apply between you and Facebook Ireland together with these Business Tools Terms.
  2. Regarding Personal Information in Event Data referring to people’s actions on your websites and apps which integrate Facebook Business Tools for whose Processing you and Facebook Ireland jointly determine the means and purposes, you and Facebook Ireland acknowledge and agree to be Joint Controllers in accordance with Article 26 GDPR. The joint controllership extends to the collection of such Personal Information via the Facebook Business Tools and its subsequent transmission to Facebook Ireland in order to be used for the purposes set out above under Sections 2.a.iii to 2.a.v.1 (“Joint Processing”). For further information, click here. The Joint Processing is subject to the Controller Addendum, which is expressly incorporated herein by reference and applies between you and Facebook Ireland together with these Business Tools Terms. Facebook Ireland remains an independent Controller in accordance with Article 4(7) GDPR for any Processing of such data that takes place after it has been transmitted to Facebook Ireland.
  3. You, as the case may be, and Facebook Ireland remain independent Controllers in accordance with Article 4(7) GDPR for any Processing of Personal Information in Business Tool Data under GDPR not subject to Sections 5.a.i and 5.a.ii”

Af Meta Irelands ”Controller Addendum” af 31. august 2020[4], som via henvisning hertil udgør en del af Meta Irelands vilkår, fremgår bl.a. følgende:

”This Controller Addendum applies when it is expressly incorporated by reference into terms for Facebook Products, such as the Facebook Business Tools Terms (any such terms, “Applicable Product Terms”, any covered Facebook Products, “Applicable Products”). Capitalized terms used but not defined in this Controller Addendum have the meanings given in the Applicable Product Terms. In the event of any conflict between the Applicable Product Terms and this Controller Addendum, this Controller Addendum will govern solely to the extent of the conflict.

Facebook and you agree to the following:

Facebook Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Ireland ("Facebook Ireland" or “we”) and you (each a “Party”, together the “Parties”) are Joint Controllers in accordance with Article 26 GDPR for the Joint Processing specified by the Applicable Product Terms. The scope of the Joint Processing and this Controller Addendum covers the collection of the Personal Data specified by the Applicable Product Terms and its transmission to Facebook Ireland; the subsequent processing of data by Facebook Ireland does not form part of the Joint Processing. More information on the Joint Processing can be found in the Applicable Product Terms.
This Controller Addendum determines Facebook Ireland's and your responsibilities for compliance with the obligations under the GDPR with regard to the Joint Processing. The Joint Processing is subject to the provisions of this Controller Addendum. They apply to all activities in which the Parties, their employees or their Processors are involved in the Joint Processing.
You agree to follow the available documentation regarding the correct technical implementation of the Applicable Products into your websites or apps and their configuration.
Facebook Ireland's and your responsibilities for compliance with the obligations under the GDPR with regard to the Joint Processing are determined as follows:

No.	Obligation under GDPR	Facebook Ireland	You
1	Article 6: Requirement of legal basis for Joint Processing	X (regarding Facebook Ireland’s processing)	X (regarding your own processing)
2	Articles 13,14: Providing information on Joint Processing of Personal Data		X This includes as a minimum the provision of the following information in addition to your standard data policy or similar document: That Facebook Ireland is a Joint Controller of the Joint Processing and that the information required by Article 13(1)(a) and (b) GDPR can be found in Facebook Ireland’s Data Policy at https://www.facebook.com/about/privacy. The information that you use Applicable Products as well as the purposes for which the collection and transmission of Personal Data that constitutes the Joint Processing takes place as set out in the Applicable Product Terms. That further information on how Facebook Ireland processes Personal Data, including the legal basis Facebook Ireland relies on and the ways to exercise Data Subject rights against Facebook Ireland, can be found in Facebook Ireland’s Data Policy at https://www.facebook.com/about/privacy. (please see Applicable Product Terms for further information on the Joint Processing)
3	Article 26(2): Making available the essence of this Controller Addendum		X This includes as a minimum the provision of the following information: That you and Facebook Ireland have: entered into this Controller Addendum to determine the respective responsibilities for compliance with the obligations under the GDPR with regard to the Joint Processing (as specified in the Applicable Product Terms); agreed that you are responsible for providing Data Subjects as a minimum with the information listed under no. 2; agreed that between the Parties, Facebook Ireland is responsible for enabling Data Subjects’ rights under Articles 15-20 of the GDPR with regard to the Personal Data stored by Facebook Ireland after the Joint Processing.
4	Articles 15-20: Rights of the Data Subject with regard to the Personal Data stored by Facebook after the Joint Processing	X
5	Article 21: Right to object insofar as the Joint Processing is based on Article 6(1)(f)	X (regarding Facebook Ireland’s processing)	X (regarding your own processing)
6	Article 32: Security of the Joint Processing	X (regarding the security of the Applicable Products)	X (regarding the correct technical implementation and configuration of the Applicable Products)
7	Articles 33, 34: Personal Data Breaches concerning the Joint Processing	X (insofar as a Personal Data Breach concerns Facebook Ireland’s obligation under this Controller Addendum)	X (insofar as a Personal Data Breach concerns your obligations under this Controller Addendum)

All other responsibilities for compliance with obligations under the GDPR regarding the Joint Processing remain with each Party individually. […]

Under pkt. 5.a.ii i sine ”Facebook Business Tools” vilkår henviser Meta Ireland til yderligere oplysninger.[5] Heraf fremgår en oversigt over, hvilke personoplysninger der indsamles og videregives til Meta Ireland som led i de(n) behandlingsaktivitet(er), som parterne er fælles dataansvarlige for.

Af oversigten fremgår bl.a., at der ved brug af værktøjerne Facebook Login og Facebook Pixel indsamles oplysninger om ”http header information, which include information about the webbrowser or app used (e.g. user agent, locale country-level/language)” og ”online identifiers including IP addresses and, insofar as provided, FB-related identifiers or device identifiers (such as mobile OS advertising IDs) as well as information on opt-out/limited ad tracking status”.

2.2. Klagers bemærkninger

Klager har overordnet anført, at Boligportal i forbindelse med klagers besøg på boligportal.dk har behandlet oplysninger om klagers IP-adresse og oplysninger, der er indsamlet via cookies, og overført (visse af) disse oplysninger til Meta Platforms i USA.

Klager har i den forbindelse fremsendt teknisk dokumentation for sit besøg på boligportal.dk den 12. august 2020.

Klager har herudover anført, at overførslen er ulovlig, idet EU-Domstolen i den såkaldte Schrems II-sag[6] fandt, at EU-Kommissionens tilstrækkelighedsafgørelse vedrørende organisationer, der var omfattet af den amerikanske Privacy Shield-ordning, er ugyldig. Der foreligger dermed ikke et lovligt overførselsgrundlag efter databeskyttelsesforordningens artikel 45.

Endvidere har klager anført, at overførslen heller ikke kan ske på baggrund af standardkontraktbestemmelser i henhold til databeskyttelsesforordningens artikel 46, stk. 2, litra c og d, hvis der ikke ved hjælp af standardkontraktbestemmelserne kan sikres et tilstrækkeligt beskyttelsesniveau i det tredjeland, hvortil oplysningerne overføres.

Klager har herunder anført, at Meta Platforms skal anses som en ”electronic communications service provider” og er derved omfattet af Foreign Intelligence Surveillance Act sektion 702 (FISA 702). Klager har endvidere anført, at overførsel af personoplysninger til virksomheder omfattet af FISA 702 ifølge EU-Domstolen udgør en krænkelse af artikel 7 og 8, samt essensen af artikel 47 i Den Europæiske Unions Charter om grundlæggende rettigheder. Endelig henviser klager til, at Meta Platforms bl.a. ifølge virksomhedens egen ”Transparency Report” aktivt videregiver personoplysninger til amerikanske myndigheder under FISA 702.

Sammenfattende anfører klager, at Boligportal på den baggrund ikke kan sikre et tilstrækkeligt beskyttelsesniveau for personoplysninger om klager, der overføres til Meta Platforms.

Med hensyn til rolle- og ansvarsfordelingen mellem Boligportal og Meta Ireland har klager overordnet anført, at Boligportal har indgået en kontrakt med Meta Ireland, hvorefter Meta Ireland handler som databehandler på vegne af Boligportal, og at Boligportal har godkendt brugen af Meta Platforms som underdatabehandler for Boligportal. Klager henviser herunder til pkt. 4 i ”Facebook Business Tools Terms” af 26. december 2019, samt pkt. 1.4 i ”Facebook Data Processing Terms”. Klager henviser ligeledes til pkt. 4 i ”Facebook Business Tool Terms” af 31. august 2020.

Klager har herunder anført, at Boligportal ikke kan acceptere Meta Irelands standardvilkår og samtidig i god tro påstå, at der ikke overføres personoplysninger til USA. Disse overførsler var sagens genstand i den irske højesterets dom ”Data Protection Commission – v. Facebook and Schrems, no.2016 4809P”, som ledte til EU-Domstolens Schrems II-dom. Der foreligger dermed en formodning om, at Meta Ireland overfører personoplysninger til Meta Platforms i USA. Det er klagers opfattelse, at det er Boligportal, der skal kunne bevise, at der – på trods af de eksisterende kontraktforhold og den tekniske indretning af Metas platform – ikke overføres personoplysninger til USA. Det følger af databeskyttelsesforordningens bestemmelser om ansvarlighed i artikel 5, stk. 2, og artikel 24.

I det omfang Meta Ireland ikke kan anses som databehandler for Boligportal har klager yderligere anført, at Meta Ireland og Boligportal er fælles dataansvarlige for behandlingen af personoplysninger. Parterne har truffet en fælles beslutning om formålene med og hjælpemidlerne til behandlingen af personoplysninger ved indlejring af Meta Irelands værktøj på Boligportals hjemmeside, som indebærer overførsel af personoplysninger til USA.

Endelig har klager anført, at det ifølge princippet om ansvarlighed i databeskyttelsesforordningens artikel 5, stk. 2, og artikel 24, påhviler den dataansvarlige at påvise, at behandling af personoplysninger sker i overensstemmelse med databeskyttelsesreglerne.

Klager har hertil anført, at hun ikke har de tekniske muligheder for at føre et sikkert bevis for, at overførslen reelt har fundet sted, da det er usandsynligt, at Meta Ireland vil give klager den nødvendige adgang for at påvise dette. Det påhviler dog, ifølge klager, Boligportal som den dataansvarlige at påvise, at klagers personoplysninger ikke overføres til Meta Platforms, herunder særligt i lyset af den offentligt kendte omstændighed, at Meta Ireland benytter Meta Platforms’ infrastruktur. Det er utilstrækkeligt at henvise til, at klager skal påvise at personoplysninger er blevet overført til USA, ligesom det er utilstrækkeligt at henvise til, at IP-adresserne, som oplysningerne blev overført til, er indregistreret til Meta Ireland.

2.3. Boligportals bemærkninger

Boligportal har overordnet anført, at Boligportal ifølge de tekniske oplysninger, der er umiddelbart tilgængelige for virksomheden, ikke har overført klagers personoplysninger til USA ved brug af værktøjerne fra Meta Ireland.

Boligportal har herunder anført, at det på baggrund af en gennemgang af den dokumentation, der er blevet fremsendt af klager, er virksomhedens opfattelse, at klager har besøgt forsiden af Boligportals hjemmeside, at klager ikke har benyttet sin Facebook-konto til at oprette en profil på Boligportals hjemmeside, og at klager ikke har søgt efter boliger eller lejemål på hjemmesiden.

Endvidere har Boligportal anført, at virksomheden i den ovennævnte dokumentation har identificeret tre scripts, der er blevet indlæst fra domænet ”connect.facebook.com”, og at disse scripts er blevet indlæst fra IP-adressen 31.13.84.4. På baggrund af disse tre scripts indlæses en pixel fra facebook.com-domænet, som hentes fra IP-adressen 31.13.84.36.

Boligportal har hertil anført, at virksomheden via opslag i Réseaux IP Européens Network Coordination Centre (RIPE NCC)[7] kan konstatere, at de to IP-adresser indgår i en pulje af IP-adresser, som tilhører ”Facebook Ireland Ltd”, og at IP-adresserne hører til ”IE”, dvs. Irland. Boligportal har anført, at virksomheden ikke har grundlag for antage, at det samme ikke skulle have været tilfældet den 12. august 2020, da klager besøgte hjemmesiden.

Boligportal har derudover anført, at virksomheden ved indlejring af de pågældende scripts og pixels har accepteret standardvilkårene for brugen heraf. Det er dog Boligportals vurdering, at vilkårenes regulering af overførsel til tredjelande er irrelevant for klager, idet Boligportal hverken har overført eller medvirket til at overføre personoplysninger om klager til USA. Personoplysninger ses alene overført til Irland.

Med hensyn til rolle- og ansvarsfordelingen mellem Boligportal og Meta Ireland har Boligportal overordnet anført, at ingen af de tjenester, som Boligportal har anvendt værktøjerne fra Meta Ireland til, indebærer, at Meta Ireland har været databehandler, herunder for behandling af klagers personoplysninger i forbindelse med klagers besøg på Boligportals hjemmeside den 12. august 2020.

Boligportal har herunder oplyst, at virksomheden efterfølgende den 19. februar 2021 har foretaget en generel opdatering af virksomhedens privatlivspolitik, hvoraf den rette sammenhæng fremgår. Heraf fremgår, at der er fælles dataansvar for den givne behandling, som ikke indebærer overførsel af personoplysninger til tredjelande.

Endvidere har Boligportal anført, at Meta Irelands vilkår favner en stor variation af Meta Irelands ydelser, og at Boligportal anvender værktøjer fra Meta Ireland til begrænsede aktiviteter, men ingen af de ydelser, som Boligportal har brugt værktøjer fra Meta Ireland til, indebærer, at Meta Ireland er databehandler for Boligportal.

Boligportal har derudover anført, at virksomheden ikke er bekendt med, om der finder overførsel af personoplysninger sted mellem Meta Ireland og Meta Platforms, men dette er ifølge virksomheden også underordnet, idet Boligportals dataansvar og ansvar efter databeskyttelsesforordningens kapitel V er ophørt ved virksomhedens videregivelse til af personoplysninger til Meta Ireland som selvstændig dataansvarlig.

Boligportal har herunder anført, at der ikke er ført bevis for, at virksomheden skulle have overført personoplysninger til USA, og at de faktiske omstændigheder i en sag fra 2016 fra det irske datatilsyn ikke er relevante for nærværende sag.

Endelig har Boligportal om grænserne for det fælles dataansvar med Meta Ireland anført følgende:

”[Boligportal] indsamler oplysninger på både egne og Facebook Ireland Ltd.'s vegne, og efterfølgende er [Boligportal] og Facebook Ireland Ltd. hver især dataansvarlige for den respektive videre brug af personoplysningerne. Dette fremgår ligeledes af [Boligportals] privatlivspolitik på www.boligportal.dk/personda-tapolitikunder punktet "Sociale medier" ([Boligportals fremhævninger):

"For nogle af vores samarbejdspartnere har vi et fælles dataansvar, dvs. BoligPortal indsamler oplysninger på både egne og en samarbejdspartners vegne. Efterfølgende er BoligPortal og samarbejdspartnerne hver især dataansvarlige for den respektive videre brug af oplysningerne. Nedenfor kan du se, hvilke samarbejdspartnere vi har fælles dataansvar med, og hvordan ansvaret er fordelt.

Facebook Irland, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland.

Du kan læse om

databehandlingen her - Facebook Login, som er hændelsesdata i pkt. 2.a.ii og pkt. 5.a.ii om fælles dataansvar: https://www.face-book.com/legal/terms/businesstools
fordeling af ansvar her: https://www.facebook.com/legal/controller_addendum
information om Facebooks privatlivsinformation her: https://www.facebook.com/about/privacy, herunder grundlag for Facebooks behandling og udøvelse af rettigheder hos Facebook"

Trods [Boligportals] utvetydige angivelse af fordelingen af dataansvaret, som har været tilgængelig på [Boligportals] hjemmeside siden opdateringen den 19. februar 2021, skriver [klager] i brevet af 29. november 2021:

"... in any case there is a joint controllership of Facebook Ireland Ltd. and the [respondent]. The two companies jointly made the decision on the purposes and means of data processing by integrating Facebook tools, which involve the transfer of data to Facebook Inc. into the www.boligportal.dk website."

Dette synspunkt bestrides i relation til tiden efter overførslen til Facebook Ireland Ltd., idet [Boligportal] ikke længere er en del af det fælles dataansvar, når behandlingen ikke længere vedrører brug af Facebook Connect, som beskrevet i privatlivspolitikken.

Brugen af Facebook Connect indebærer ikke en overførsel til USA. Behandlingen består i indsamling og videregivelse [af] oplysningerne via en cookie og afvikling af scripts fra Facebooks domæne i Irland. Funktionen anvendes alene til at understøtte de hjemmesidebesøgendes loginmuligheder og at gøre det muligt for Facebook Ireland Ltd. at identificere, at klager har besøgt hjemmesiden.

I EDPB's vejledning 07/2020 om fælles dataansvarlige fremgår ([Boligportals] fremhævninger):

"Fælles deltagelse kan tage form af en fælles beslutning truffet af to eller flere enheder eller som følge af to eller flere enheders konvergerende beslutninger, hvor beslutningerne supplerer hinanden og er nødvendige for, at behandlingen kan finde sted på en sådan måde, at de har en mærkbar indvirkning på fastlæggelsen af formålene med og hjælpemidlerne til behandlingen. Et vigtigt kriterium er, at behandlingen ikke ville være mulig uden begge parters deltagelse i den forstand, at de enkelte parters behandling er uadskillelige, dvs. uløseligt forbundet. Den fælles deltagelse skal omfatte fastlæggelsen af formål på den ene side og på den anden side fastlæggelsen af hjælpemidler."

[Boligportal] udøver som tidligere nævnt ingen indflydelse over de behandlinger, Facebook Ireland Ltd. foretager som selvstændig dataansvarlig efter overførslen fra [Boligportal]. En overførsel fra Facebook Ireland Ltd. til en modtager i USA vil således være mulig uden [Boligportals] deltagelse i fastlæggelsen af formålet eller hjælpemidlerne.

[Boligportal] henviser desuden til EU-Domstolens afgørelser C-210/16 ("Wirtschaftsakademie-afgørelsen") og C-40/17 ("Fashion ID-afgørelsen") samt til Datatilsynets afgørelse i j.nr. 2018-32-0357 ("DMI-afgørelsen").

I Wirtschaftsakademie-afgørelsen præciserede EU-Domstolen i præmis 43, at:

"(...) tilstedeværelsen af et fælles ansvar ikke nødvendigvis indebærer, at de forskellige operatører, som er omfattet af en behandling af personoplysninger, har samme ansvar. De forskellige operatører kan tværtimod være ansvarlige for behandlingen af personoplysninger på forskellige niveauer og i forskelligt omfang, således at den enkeltes ansvarsniveau skal vurderes under hensyntagen til samtlige relevante omstændigheder i sagen.”

I den senere Fashion ID-afgørelse, præmis 70, anlagde EU-Domstolen en identisk fortolkning af rækkevidden af det fælles dataansvar. EU-Domstolen udtalte desuden udtrykkeligt i Fashion ID-afgørelsen, præmis 74, at en [juridisk] person ikke kan anses for at være fælles dataansvarlig for behandlinger, en anden dataansvarlig foretager før eller efter denne juridiske persons behandlinger, når den pågældende hverken fastlægger formål med eller hjælpemidler til den anden dataansvarliges behandling. Derfor anså EU-Domstolen i den konkrete sag ikke Fashion ID for dataansvarlig i relation til Facebooks behandling af personoplysninger, efter disse blev overført til Facebook.

Datatilsynet har anlagt samme fortolkning i DMI-afgørelsen, hvor Datatilsynet i overensstemmelse med EU-Domstolens praksis gav udtryk for, at det er udelukket, at det fælles dataansvar omfatter efterfølgende behandlinger, som en virksomhed ikke fastlægger formålet med eller hjælpemidler til:

"Henset hertil finder Datatilsynet, at det kan fastslås, at de behandlingsoperationer, for hvilke DMI sammen med Google kan fastlægge formålene og hjælpemidlerne, er indsamling og videregivelse af personoplysninger, der vedrører de besøgende på dmi.dk. Med hensyn til de omhandlede oplysninger forekommer det derimod umiddelbart udelukket, at DMI fastlægger, til hvilke formål og med hvilke hjælpemidler der efterfølgende foretages behandlingsoperationer vedrørende personoplysninger af Google efter deres transmission til hertil, hvorfor DMI ikke kan anses for at være den dataansvarlige for disse operationer."

[Klagers] anbringende fremsat i brevet af 16. marts 2021 om, at [Boligportal] er dataansvarlig, fordi der er en "kæde af behandlinger", er i direkte modstrid med EU-Domstolens og Datatilsynets fortolkning af fælles dataansvar og grænserne for aktørernes ansvar forbundet hermed.

Som [Boligportal] allerede har redegjort for, er [Boligportal] ikke bekendt med, om Facebook Ireland Ltd. har overført personoplysninger til Facebook Inc. i USA. Følgelig er det åbenbart, at [Boligportal] på ingen måde kan have deltaget i bestemmelse af formålet eller fastlæggelse af hjælpemidlerne i forbindelse med den påståede, men fortsat udokumenterede overførsel.

[Boligportal] er derfor heller ikke dataansvarlig for denne konkrete behandling, der eventuelt måtte indebære en overførsel til USA. [Boligportal] har ikke foretaget den specifikke behandling, som klagen relaterer sig til. Skulle Facebook Ireland Ltd. have foretaget den påstående overførsel, er det således uden for [Boligportals] dataansvar, jf. artikel 26 i GDPR, idet [Boligportal] ikke kan anses for dataansvarlig for behandlinger efter overførslen til Facebook Ireland Ltd. Der er end ikke fremlagt dokumentation for, at Facebook efter modtagelsen af oplysningerne hos det irske datterselskab via det afviklede script på [Boligportals] hjemmeside overhovedet har overført personoplysninger om klager til USA.

Det kan aldrig komme [Boligportal] til skade, at [Boligportal] ikke kan påvise, om en senere dataansvarlig (Facebook) har overført personoplysninger til USA eller ej. [Boligportal] er ganske enkelt ikke dataansvarlig for en eventuel overførsel og er heller ikke forpligtet til at påvise noget som helst i denne henseende over for klager eller Datatilsynet. Det principielle spørgsmål er, hvorvidt en første dataansvarlig er forpligtet efter GDPR eller andre retsregler til at påvise, om en senere dataansvarlig har eller ikke har overført oplysninger om en klager til USA, når sporet for første dataansvarliges behandling af personoplysninger stopper i Irland. Spørgsmålet må nødvendigvis besvares benægtende.”

3. Begrundelse for Datatilsynets afgørelse

3.1. Er der tale om behandling af personoplysninger?

Datatilsynet lægger på baggrund af dokumentationen, som klager har fremsendt, til grund, at der ved klagers besøg på Boligportals hjemmeside er blevet indsamlet og videregivet oplysninger om bl.a. klagers IP-adresse, klagers besøg på boligportal.dk, tidspunktet for besøget, og øvrige oplysninger om klagers browser, operativsystem mv., samt oplysninger om onlineidentifikatorer, der er blevet indsamlet via cookies, som er blevet lagret i klagers browser.

Det fremgår af ”Facebook Business Tools Terms” af såvel 26. december 2019 som af 31. august 2020, at oplysningerne, der defineres som ”Event Data”, bl.a. benyttes til at udarbejde målgrupper på Facebook, som kan benyttes til målrettet markedsføring, og til at personalisere funktioner og indhold på bl.a. Facebook.

Datatilsynet har i sin afgørelse af 11. februar 2020 i sagen med j.nr. 2018-32-0357 vedrørende DMI’s behandling af personoplysninger om hjemmesidebesøgende udtalt, at sådanne oplysninger er personoplysninger om en person, når oplysningerne gør det muligt at udpege den pågældende.

Det er herefter Datatilsynets vurdering, at de omhandlede oplysninger om klager, der indsamles og transmitteres til Meta Ireland, udgør personoplysninger om klager.

Datatilsynet har herved lagt vægt på, at oplysningerne vedrører klagers egenskaber og adfærd og bruges til at behandle den pågældende på en bestemt måde i forhold til hvilke funktioner og indhold, der bliver vist for klager på Facebook.

3.2. Er personoplysninger om klager blevet overført til USA?

Klager har anført, at hendes personoplysninger er blevet indsamlet og overført til Meta Platforms i USA som led i klagers besøg på boligportal.dk.

Boligportal har hertil anført, at virksomheden, ifølge de tekniske oplysninger, der er umiddelbart tilgængelige for virksomheden ikke har overført klagers personoplysninger til USA, og at de IP-adresser, som oplysningerne er blevet overført til ved klagers besøg på boligportal.dk er indregistreret til Meta Ireland, der er hjemmehørende i Irland.

Klager har anført, at hun ikke har de tekniske muligheder for at føre et sikkert bevis for, at overførslen reelt har fundet sted, da det er usandsynligt, at Meta Ireland vil give klager den nødvendige adgang for at påvise dette. Det påhviler dog, ifølge klager, Boligportal som den dataansvarlige at påvise, at hendes personoplysninger ikke overføres til Meta Platforms, herunder særligt i lyset af den offentligt kendte omstændighed, at Meta Ireland benytter Meta Platforms’ infrastruktur. I den forbindelse er det ikke tilstrækkeligt, at Boligportal alene henviser til, at de IP-adresser, som klagers oplysninger er blevet overført til, er indregistreret til Meta Ireland.

Boligportal har hertil anført, at virksomheden alene har overført oplysninger til Irland, og at der ikke er fremlagt dokumentation for, at Meta Ireland efter modtagelsen af oplysningerne hos Meta Ireland via de afviklede scripts på boligportal.dk overhovedet har overført klagers personoplysninger til USA.

På baggrund heraf finder Datatilsynet, at der foreligger uenighed parterne imellem om, hvorvidt der konkret er sket overførsel af klagers personoplysninger til USA.

Datatilsynet bemærker, at tilsynet som udgangspunkt behandler sager på skriftligt grundlag. I sager, hvor der foreligger uenighed mellem sagens parter om de faktiske omstændigheder, tager Datatilsynet alene stilling til en sådan uenighed, hvis det kan støttes på sagens yderligere materiale. Den endelige vurdering af sådanne bevismæssige spørgsmål vil kunne foretages af domstolene, som i modsætning til Datatilsynet har mulighed for at belyse forholdet nærmere, herunder ved afhøring af vidner.

Som følge heraf kan Datatilsynet ikke entydigt fastlægge, om der i det konkrete tilfælde er sket overførsel af personoplysninger om klager til tredjelande, og i givet fald hvilke(t), og tilsynet kan derfor ikke træffe afgørelse specifikt vedrørende Boligportals overførsel af personoplysninger om klager til USA.

At Datatilsynet ikke kan træffe afgørelse om den eventuelle overførsel af personoplysninger om klager til USA, giver imidlertid tilsynet anledning til at vurdere, om Boligportal har iagttaget sine forpligtelser efter databeskyttelsesforordningen, navnlig forpligtelsen om at kunne påvise sin overholdelse af forordningen, jf. artikel 24 og artikel 5, stk. 1, litra a, jf. artikel 5, stk. 2.

3.3. Rolle- og ansvarsfordeling

Spørgsmålet er herefter, hvilken rolle- og ansvarsfordeling, der foreligger mellem Boligportal og Meta Ireland, ved behandling af de omhandlede personoplysninger.

På tidspunktet for klagers besøg på boligportal.dk den 12. august 2020

Ved at integrere værktøjer fra Meta Ireland på sin hjemmeside har Boligportal givet Meta Ireland mulighed for at indhente personoplysninger vedrørende hjemmesidens besøgende, herunder klager, idet denne mulighed opstår fra det tidspunkt, hvor de pågældende besøger hjemmesiden.

Henset hertil finder Datatilsynet, at det kan fastslås, at de behandlingsoperationer for hvilke Boligportal sammen med Meta Ireland fastlægger formålene og hjælpemidlerne, er indsamling og transmission af personoplysninger om de besøgende på boligportal.dk, herunder klager.

Datatilsynet har i sin afgørelse af 11. februar 2020 i sagen med j.nr. 2018-32-0357 vedrørende DMI’s behandling af personoplysninger om hjemmesidebesøgende udtalt, at indlejring af plug-ins på sin hjemmeside, som udløser indsamling af personoplysninger, indebærer, at hjemmesideejeren bliver fælles dataansvarlig med udbyderen af det pågældende plug-in for indsamling og transmission af disse personoplysninger.

Med hensyn til de hjælpemidler, der anvendes til indsamling og transmission af personoplysninger om de besøgende på boligportal.dk, herunder klager, fremgår det af afsnit 2 og 2.3., at Boligportal har indlejret værktøjer fra Meta Ireland, som Meta Ireland stiller til rådighed for hjemmesideejere, på boligportal.dk, og at Boligportal er vidende om, at dette værktøj, foruden at gøre det muligt at oprette en konto på hjemmesiden via den besøgendes Facebook-konto, også indsamler og transmitterer personoplysninger om hjemmesidens besøgende, herunder klager.

Ved at integrere dette værktøj på boligportal.dk har Boligportal på afgørende vis indflydelse på indsamling og transmission af personoplysninger om hjemmesidens besøgende, herunder klager, til Meta Ireland, idet denne behandling ikke ville have fundet sted, hvis værktøjet ikke var blevet integreret på hjemmesiden.[8]

På den baggrund lægger Datatilsynet til grund, at Boligportal og Meta Ireland sammen fastlægger, hvilke hjælpemidler, der anvendes til indsamling og transmission af personoplysninger om de besøgende på boligportal.dk, herunder klager.

For så vidt angår formålet med behandling af de omhandlede personoplysninger kan det lægges til grund, at Boligportals indlejring af værktøjet Facebook Login sker bl.a. med henblik på at kunne målrette markedsføring på Facebook.

Datatilsynet bemærker herunder, at Boligportal har oplyst (som beskrevet ovenfor i afsnit 2.3), at virksomheden på tidspunktet for klagers besøg på boligportal.dk ikke har benyttet værktøjer fra Meta Ireland til funktioner, hvor Meta Ireland er databehandler. Datatilsynet lægger derfor til grund, at Boligportal har benyttet værktøjerne til en eller flere af de funktioner, der fremgår af pkt. 2.a.iii-v i Meta Irelands ”Facebook Business Tools Terms” af 26. december 2019.

Datatilsynet finder herefter, at Boligportal, ved at integrere disse værktøjer på boligportal.dk, har muliggjort indsamling og transmission af personoplysninger om klager, idet denne behandlingsaktivitet finder sted i både Boligportals og Meta Irelands økonomiske interesse. Sidstnævntes rådighed over disse oplysninger med henblik på evaluering og fastlæggelse af klagers præferencer og adfærd bidrager til en effektivisering af Meta Irelands reklameplatform, hvilket også kommer Boligportal til gode i form af forbedrede markedsføringsmuligheder på Facebook.[9]

På den baggrund kan det efter Datatilsynets opfattelse lægges til grund, at Boligportal og Meta Ireland sammen fastlægger til hvilke formål, der er sket indsamling og transmission af personoplysninger om klager, og at parterne derfor er fælles dataansvarlige for disse behandlingsoperationer.

Fra Meta Irelands vilkårsændringer den 31. august 2020

Idet Boligportal fortsat har indlejret værktøjerne fra Meta Ireland på boligportal.dk, har Boligportal fortsat på afgørende vis indflydelse på indsamling og transmission af personoplysninger om hjemmesidens besøgende til Meta Ireland.

Ligeledes har Meta Irelands vilkårsændring af 31. august 2020 ikke medført væsentlige ændringer i de formål, hvortil de personoplysninger, som indsamles og transmitteres til Meta Ireland via samarbejdspartnere såsom Boligportal, behandles. Personoplysningerne behandles således fortsat til at Boligportal kan målrette markedsføring på Facebook samt forbedring og effektivisering af Meta Irelands reklameplatform.

Datatilsynet finder således, at denne behandlingsaktivitet finder sted i både Boligportals og Meta Irelands økonomiske interesse, og at Boligportal og Meta Ireland fortsat sammen fastlægger til hvilke formål, der er sket indsamling og transmission af personoplysninger om klager, hvorfor parterne er fælles dataansvarlige for disse behandlingsoperationer.

Datatilsynet har herunder ligeledes lagt vægt på, at vilkårene er blevet præciseret navnlig for så vidt angår rolle- og ansvarsfordelingen, således at det nu fremgår af pkt. 5.a.ii i vilkårene, at der er fælles dataansvar mellem hjemmesideejere og Meta Ireland for de personoplysninger, som vedrører hjemmesidebesøgendes handlinger på de hjemmesider, hvor værktøjer fra Meta Ireland indlejres. Parterne er fælles dataansvarlige for indsamling og transmission af de omhandlede personoplysninger til Meta Ireland.

3.4. Hvem er ansvarlig og for hvad?

Af databeskyttelsesforordningens artikel 26, stk. 1, fremgår, at fælles dataansvarlige skal fastlægge deres respektive ansvar for overholdelse af forpligtelserne i henhold til denne forordning på en gennemsigtig måde.

Det Europæiske Databeskyttelsesråd har i sine retningslinjer 7/2020 om dataansvarlige og databehandlere uddybet[10], hvad denne forpligtelse efter rådets opfattelse indebærer i praksis:

”Joint controllers thus need to set “who does what” by deciding between themselves who will have to carry out which tasks in order to make sure that the processing complies with the applicable obligations under the GDPR in relation to the joint processing at stake. In other words, a distribution of responsibilities for compliance is to be made as resulting from the use of the term “respective” in Article 26(1). […]

The objective of these rules is to ensure that where multiple actors are involved, especially in complex data processing environments, responsibility for compliance with data protection rules is clearly allocated in order to avoid that the protection of personal data is reduced, or that a negative conflict of competence lead to loopholes whereby some obligations are not complied with by any of the parties involved in the processing. It should be made clear here that all responsibilities have to be allocated according to the factual circumstances in order to achieve an operative agreement. The EDPB observes that there are situations occurring in which the influence of one joint controller and its factual influence complicate the achievement of an agreement. However, those circumstances do not negate the joint controllership and cannot serve to exempt either party from its obligations under the GDPR. […]

However, the use of the terms “in particular” indicates that the obligations subject to the allocation of responsibilities for compliance by each party involved as referred in this provision are non-exhaustive. It follows that the distribution of the responsibilities for compliance among joint controllers is not limited to the topics referred in Article 26(1) but extends to other controller’s obligations under the GDPR. Indeed, joint controllers need to ensure that the whole joint processing fully complies with the GDPR.

In this perspective, the compliance measures and related obligations joint controllers should consider when determining their respective responsibilities, in addition to those specifically referred in Article 26(1), include amongst others without limitation:

Implementation of general data protection principles (Article 5)
Legal basis of the processing (Article 6)
Security measures (Article 32)
Notification of a personal data breach to the supervisory authority and to the data subject (Articles 33 and 34)
Data Protection Impact Assessments (Articles 35 and 36)
The use of a processor (Article 28)
Transfers of data to third countries (Chapter V)
Organisation of contact with data subjects and supervisory authorities”

Efter Datatilsynets opfattelse skal to eller flere parter, der er fælles dataansvarlige, dermed sammen iagttage de forpligtelser, der påhviler dataansvarlige efter databeskyttelsesforordningen. Parterne er således fælles ansvarlige for at sikre, at de pågældende behandlingsaktiviteter sker i overensstemmelse med databeskyttelsesreglerne.

Der påhviler dermed – som udgangspunkt – Boligportal som den (ene) dataansvarlige de forpligtelser som bl.a. følger af databeskyttelsesforordningens artikel 5-22, 24-28, 30-39, samt 44-49.

EU-Domstolen har i den forbindelse præciseret, at fælles dataansvar ikke nødvendigvis indebærer, at parterne har samme ansvar for den samme behandling af personoplysninger. De forskellige aktører kan tværtimod være ansvarlige for behandlingen af personoplysninger på forskellige niveauer og i forskelligt omfang, således at den enkeltes ansvarsniveau skal vurderes under hensyntagen til samtlige relevante omstændigheder i sagen.[11]

Med andre ord omfatter det fælles dataansvar alene de behandlingsoperationer, som parterne sammen fastlægger formål med og hjælpemidler til.

I tråd med EU-Domstolens og Datatilsynets praksis finder tilsynet, at Boligportal – som nævnt ovenfor i afsnit 3.2. – skal anses som fælles dataansvarlig for de behandlingsoperationer, der består i indsamling og transmission af personoplysninger om hjemmesidebesøgende, herunder klager. Boligportal er dermed ikke ansvarlig for den behandling af personoplysninger, som Meta Ireland foretager, efter oplysningernes transmission hertil, idet Boligportal ikke fastlægger til hvilke formål og med hvilke hjælpemidler denne efterfølgende behandling sker.

Boligportal er dog fælles dataansvarlig sammen med Meta Ireland for indsamling og transmission af personoplysninger om hjemmesidebesøgende, herunder klagers oplysninger.

Det er herunder Datatilsynets vurdering, at der er visse forpligtelser, som almindeligvis påhviler den dataansvarlige, som Boligportal er udelukket fra at skulle iagttage henset til behandlingsoperationernes karakter. Eksempelvis forekommer det udelukket, at Boligportal skulle være forpligtet til at iagttage forpligtelsen om retten til indsigt eller retten til berigtigelse, idet virksomheden alene er medansvarlig for behandling af personoplysninger i form af indsamling og transmission og herefter ikke har adgang til oplysningerne.[12]

Det forekommer derimod ikke udelukket, at Boligportal skulle være forpligtet til – sammen med Meta Ireland – at iagttage forpligtelserne vedrørende overførsel af personoplysninger til tredjelande, jf. artikel 44, hvis, og i det omfang, behandling af personoplysninger i form af indsamling og transmission finder sted ved brug af hjælpemidler, der befinder sig uden for EU/EØS.

Henset til, at indsamling og transmission kan ske ved hjælp af hjælpemidler, der befinder sig uden for EU/EØS, er det Datatilsynets vurdering, at Boligportal i det mindste er medansvarlig for at sikre, at databeskyttelsesforordningens artikel 26 overholdes, særligt i forhold til rolle- og ansvarsfordelingen i forbindelse med overførsel af personoplysninger til tredjelande. Datatilsynet lægger navnlig vægt på, at personoplysninger som led i disse behandlingsoperationer kan blive behandlet uden for EU/EØS, herunder navnlig hvis behandlingen sker ved brug af databehandlere uden for EU/EØS.

Datatilsynet har endvidere lagt vægt på, at de omhandlede behandlingsoperationer alene er muliggjort af, at Boligportal har indlejret værktøjer fra Meta Ireland på boligportal.dk fuldt bevidst om, at disse værktøjer tjener som middel til indsamling og transmission af personoplysninger af besøgende på boligportal.dk, herunder klager, til Meta Ireland. Ved sin beslutning om at indlejre disse værktøjer på boligportal.dk, har Boligportal på afgørende vis indflydelse på hvordan og hvor behandling af personoplysninger om hjemmesidebesøgende finder sted, herunder om behandlingen eventuelt sker ved brug af hjælpemidler, der befinder sig uden for EU/EØS.

Datatilsynet bemærker herunder, at der i den omhandlede situation ikke foreligger videregivelse af personoplysninger mellem to dataansvarlige, hvor Boligportal, som led i en videregivelse af personoplysninger navnlig vil være forpligtet til (i) at sikre at behandlingsgrundlag og (ii) iagttage sin oplysningspligt. Der foreligger derimod fælles dataansvar for de behandlingsoperationer, der består i indsamling og transmission.

Datatilsynet bemærker hertil, at et af databeskyttelsesforordningens grundlæggende formål er at sikre en effektiv og fuldstændig beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatliv og retten til databeskyttelse.

I lyset heraf finder Datatilsynet, at databeskyttelsesforordningens artikel 26 indebærer, at to eller flere parter, der er fælles dataansvarlige for behandling af personoplysninger, sammen er forpligtet til at sikre, at databeskyttelsesforordningen overholdes og sammen skal kunne påvise dette.

Det er således Datatilsynets opfattelse, at den grundlæggende præmis for fælles dataansvar er, at parterne sammen skal påvise overholdelsen af de forpligtelser, der påhviler dem som dataansvarlige efter databeskyttelsesforordningen.

Hvis parterne hver især alene var forpligtet til at sikre overholdelsen af dele af databeskyttelsesforordningen, vil det efter Datatilsynets opfattelse indebære en risiko for, at den registrerede ikke sikredes en fuldstændig og effektiv beskyttelse af vedkommendes rettigheder og frihedsrettigheder, idet visse forpligtelser kunne overses af begge parter med den følge, at ingen af parterne iagttager disse forpligtelser.

Det er herunder dog ikke udelukket, at parterne under hensyntagen til den konkrete behandlingsaktivitet indretter sig på en sådan måde, at forpligtelsen i henhold til artikel 44 i praksis iagttages af den part, som er nærmest hertil, f.eks. hvis en af parterne har det kontraktuelle forhold til de(n) databehandler(e), der befinder sig uden for EU/EØS. I givet fald skal det imidlertid fremgå af ordningen mellem parterne efter databeskyttelsesforordningens artikel 26.

3.5. Princippet om ansvarlighed

Databeskyttelsesforordningen indeholder et generelt princip om ansvarlighed i forordningens artikel 5, stk. 2. Det følger heraf, at den dataansvarlige er ansvarlig for og skal kunne påvise bl.a., at personoplysninger behandles lovligt.

Princippet om ansvarlighed udbygges yderligere i databeskyttelsesforordningens artikel 24, hvoraf det følger, at den dataansvarlige – afhængigt af den konkrete behandlingsaktivitet – skal træffe passende foranstaltninger for at sikre og for at være i stand til at påvise, at behandlingen sker i overensstemmelse med databeskyttelsesreglerne.

Herudover har EU-Domstolen i den såkaldte Proximus-sag udtalt, at databeskyttelsesforordningens artikel 5, stk. 2 og artikel 24 pålægger de dataansvarlige for behandlingen af personoplysninger generelle forpligtelser med hensyn til ansvar og efterlevelse. Disse bestemmelser kræver navnlig, at de dataansvarlige træffer passende foranstaltninger med henblik på at forebygge eventuelle tilsidesættelser af de regler, der er fastsat i databeskyttelsesforordningen med henblik på at sikre retten til databeskyttelse.[13]

Efter Datatilsynets opfattelse påhviler der således efter databeskyttelsesforordningens artikel 5, stk. 2, og artikel 24, en forpligtelse for den dataansvarlige til at kunne dokumentere og fremlægge denne dokumentation, herunder navnlig over for Datatilsynet, at behandling af personoplysninger sker i overensstemmelse med databeskyttelsesreglerne.

Det er Datatilsynets vurdering, at Boligportal i forbindelse med virksomhedens indlejring af værktøjer fra Meta Ireland ikke har påvist, at behandling af klagers personoplysninger den 12. august 2020 er sket lovligt, ligesom virksomheden ikke har påvist, at den nuværende behandling af personoplysninger om besøgende på boligportal.dk sker lovligt, jf. databeskyttelsesforordningens artikel 5, stk. 1, litra a, jf. artikel 5, stk. 2, og artikel 24, stk. 1.

For så vidt angår behandling af klagers personoplysninger i forbindelse med klagers besøg på boligportal.dk den 12. august 2020 har Datatilsynet herved navnlig lagt vægt på, at der har været en utilstrækkelig rolle- og ansvarsfordeling mellem Boligportal og Meta Ireland henset til de behandlingsaktiviteter og formål, som Boligportal efter egne udtalelser og som beskrevet i afsnit 3.3 ovenfor har behandlet klagers personoplysninger til, og at Boligportal derfor ikke har haft nærmere kendskab til, om personoplysninger er blevet behandlet uden for EU/EØS, og i givet fald hvor, herunder eventuelt ved brug af databehandlere uden for EU/EØS, for så vidt angår de behandlingsaktiviteter, som parterne er fælles dataansvarlige for.

Datatilsynet har endvidere lagt vægt på, at Boligportal selv har anført, at virksomheden ikke er bekendt med, om personoplysningerne som led i indsamlingen og transmission til Meta Ireland behandles uden for EU/EØS, herunder eventuelt ved brug af databehandlere uden for EU/EØS, og at det ikke fremgår af Meta Irelands vilkår og dokumentation, som Boligportal har henvist til, om dette er tilfældet.

For så vidt angår behandling af personoplysninger om hjemmesidebesøgende siden Meta Irelands vilkårsændring den 31. august 2020 har Datatilsynet navnlig lagt vægt på, at det ikke fremgår af den nuværende ordning, der indgået mellem Boligportal og Meta Ireland som fælles dataansvarlige efter databeskyttelsesforordningens artikel 26, om personoplysninger bliver behandlet uden for EU/EØS, og i givet fald hvor, herunder eventuelt ved brug af databehandlere uden for EU/EØS, for så vidt angår de behandlingsaktiviteter, som parterne er fælles dataansvarlige for, samt hvilke(n) part(er) der, i givet fald, har ansvaret for overholdelse af databeskyttelsesforordningens artikel 44. Datatilsynet har ligeledes lagt vægt på, at Boligportal ikke har gjort selvstændige tiltag for at afklare disse forhold nærmere.

Det er Datatilsynets grundlæggende opfattelse, at den dataansvarlige ikke kan påvise sin overholdelse af databeskyttelsesreglerne, når den dataansvarlige ikke er fuldt ud bekendt med de faktiske omstændigheder, der er relevante for behandlingen af personoplysningerne.

Tværtimod skal den dataansvarlige, når denne behandler personoplysninger – uanset om det sker alene eller sammen med andre – tilvejebringe den nødvendige og relevante information om, hvordan behandling af personoplysninger, som organisationen er (med)ansvarlig for, finder sted.

Det gælder efter Datatilsynets opfattelse særligt, når den dataansvarlige ved ikke at tilvejebringe den nødvendige information undgår at tage stilling til og vurdere offentligt kendte omstændigheder, der er relevante for behandlingsaktiviteten. I nærværende sag indebærer dette bl.a. det offentligt kendte faktum, at Meta Ireland (med hvem Boligportal er fælles dataansvarlig), som led i sin almindelige virksomhed almindeligvis behandler personoplysninger ved brug af hjælpemidler, såsom teknisk infrastruktur, leveret af Meta Platforms i USA.

Henset til, at det ikke fremgår af den nuværende ordning, der indgået mellem Boligportal og Meta Ireland som fælles dataansvarlige efter databeskyttelsesforordningens artikel 26, om den behandling, som parterne er fælles dataansvarlige for, finder sted uden for EU/EØS, og i givet fald hvor, samt hvilke(n) part(er) der i så fald i praksis skal sikre overholdelsen af databeskyttelsesforordningens artikel 44, og at Boligportal i øvrigt ikke har frembragt dokumentation over for Datatilsynet med henblik på at påvise dette, finder Datatilsynet, at Boligportal ikke kan påvise, at Boligportals behandling af personoplysninger sker i overensstemmelse med databeskyttelsesforordningens artikel 26, jf. forordningens artikel 5, stk. 1, litra a, jf. artikel 5, stk. 2 og artikel 24, stk. 1.

4. Sammenfatning

Datatilsynet finder, at der er grundlag for at udtale alvorlig kritik af, at Boligportal ikke har påvist, at behandling af klagers personoplysninger den 12. august 2020 er sket i overensstemmelse med databeskyttelsesforordningen, og at Boligportal ikke har påvist, at virksomhedens nuværende behandling af personoplysninger om hjemmesidebesøgende sker i overensstemmelse med databeskyttelsesforordningen, jf. databeskyttelsesforordningens artikel 26, jf. forordningens artikel 5, stk. 1, litra a, jf. artikel 5, stk. 2 og artikel 24, stk. 1.

Fristen for efterlevelse af påbuddet er den 18. maj 2023. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet.

Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Udskrevet af klager den 10. august 2020 fra https://www.facebook.com/legal/terms/dataprocessing

[3] https://www.facebook.com/legal/terms/businesstools

[4] https://www.facebook.com/legal/controller_addendum

[5] Under pkt. 5.2.ii henviser Meta Ireland til følgende hjemmeside: https://www.facebook.com//legal/terms/businesstools_jointprocessing

[6] EU-Domstolens dom af 16. juli 2020 i sagen C-311/18, Schrems II.

[7] RIPE NCC er det regionale internet register (RIR) for Europa. Et RIR er en organisation, der håndterer tildeling og registrering af bl.a. IP-adresser inden for en specifik region. Der findes i alt fem regionale registre.

[8] EU-Domstolens dom af 29. juli 2019 i sagen C-40/17, Fashion ID, præmis 78.

[9] EU-Domstolens dom af 29. juli 2019 i sagen C-40/17, Fashion ID, præmis 80.

[10] European Data Protection Board’s guidelines 7/2020 on the concepts of controller and processor in the GDPR, version 2, adopted on 7 July 2021, para. 162, 163, 165 & 166.

[11] EU-Domstolens dom af 29. juli 2019 i sagen C-40/17, Fashion ID, præmis 70, samt henvisningerne heri.

[12] Generaladvokat Bobeks forslag til afgørelse af 19. december 2018 i sagen C-40/17, Fashion ID, præmis 83, samt 135-136.

[13] EU-Domstolens dom af 27. oktober 2022 i sag C-129/21, Proximus, præmis 81.