Datatilsynet modtog i slutningen af 2020 én af i alt 101 klager, som organisationen ’None of Your Business’ (NOYB) havde sendt til flere europæiske datatilsyn. Klagerne vedrørte forskellige dataansvarliges brug af enten Google Analytics eller de såkaldte Facebook Business Tools på deres hjemmesider. I Datatilsynets tilfælde vedrørte klagen Boligportals behandling af klagers (repræsenteret af NOYB) personoplysninger ved virksomhedens brug af Facebook Business Tools på sin hjemmeside.
Hvad er Facebook Business Tools?
Facebook Business Tools udbydes af Meta og er værktøjer, der kan indlejres på en hjemmeside. Når en person besøger hjemmesiden, indsamler værktøjerne oplysninger om bl.a. personens IP-adresse, at personen har besøgt hjemmesiden, tidspunkt for besøget, øvrige oplysninger om bl.a. browser og operativsystem samt oplysninger om andre onlineidentifikatorer, der er blevet indsamlet via cookies.
Boligportal kunne ikke påvise overholdelse af GDPR
Datatilsynet fandt, at tilsynet på baggrund af de indsamlede oplysninger ikke kunne træffe afgørelse om den mulige overførsel af personoplysninger til USA, idet der har været uenighed blandt parterne om, hvorvidt personoplysninger om klager faktisk er blevet overført til USA.
Dette gav dog Datatilsynet anledning til at undersøge, hvorvidt Boligportal havde overholdt sine forpligtelser efter databeskyttelsesforordningen, navnlig virksomhedens forpligtelse til at kunne påvise, at den overholder reglerne.
Datatilsynet konkluderede, at parterne måtte anses som fælles dataansvarlige for behandlingen af klagers personoplysninger. Datatilsynet fandt i den forbindelse grundlag for at udtale alvorlig kritik af, at Boligportal ikke har kunnet påvise en tilstrækkelig rolle- og ansvarsfordeling mellem Boligportal og Meta Ireland Limited (Meta Ireland) i lyset af den behandling af personoplysninger, der fandt sted, bl.a. ved, at der ikke forelå en ordning om rolle- og ansvarsfordelingen på tidspunktet for klagers besøg på Boligportals hjemmeside, som ellers er påkrævet ved fælles dataansvar.
Endvidere fremgår det ikke af den nuværende ordning indgået mellem Boligportal og Meta Ireland som fælles dataansvarlige, om personoplysninger om hjemmesidebesøgende bliver behandlet ved brug af hjælpemidler eller databehandlere, der befinder sig uden for EU/EØS, og hvem der i givet fald er ansvarlig for at sikre, at reglerne om overførsler til usikre tredjelande bliver overholdt.
Påbud om at bringe behandlingen i overensstemmelse med GDPR
På baggrund af ovenstående fandt Datatilsynet grundlag for at meddele Boligportal påbud om at bringe behandlingen af personoplysninger i overensstemmelse med GDPR. Dette kan efter Datatilsynets opfattelse bl.a. ske ved at klarlægge rolle- og ansvarsfordelingen mellem Boligportal og Meta Ireland, således at det fremgår af ordningen mellem parterne, om personoplysninger om hjemmesidebesøgende behandles ved brug af hjælpemidler eller databehandlere, der befinder sig uden for EU/EØS. Endvidere skal det fremgå, hvordan reglerne om tredjelandsoverførsler iagttages for så vidt angår de behandlinger, som parterne er fælles dataansvarlige for, og hvilken part, der i praksis skal sikre at disse regler overholdes. Alternativt kan det ske ved at standse den omhandlede behandlingsaktivitet.
Ovennævnte løsninger er dog alene forslag og ikke de eneste muligheder for at efterleve Datatilsynets påbud. Boligportal har som dataansvarlig fuld valgfrihed i forhold til at påvise sin overholdelse af databeskyttelsesreglerne.
Sagen har været behandlet i samarbejde med de øvrige europæiske datatilsyn i den såkaldte Taskforce 101.
Vil du vide mere?
Læs afgørelsen her.
Læs mere om rolle- og ansvarsfordeling mellem parter, der behandler personoplysninger her.
Læs mere om databeskyttelse i relation til cookies i Datatilsynets vejledning om behandling af personoplysninger om hjemmesidebesøgende.