Den dataansvarlige og databehandleren er de mest centrale aktører i den nye EU persondataforordning – eller GDPR. Det er dem det påhviler, at persondataforordningen overholdes, men de har hver især forskellige roller og ansvar.
Det kan være rigtig svært at gennemskue, hvornår man blot er databehandler eller om man er den dataansvarlige. Derfor er det også et vanskeligt emne at behandle. Især når vi taler om brug af tredjepartssystemer, som praktisk talt ikke er til at komme udenom, når vi markedsfører os online. Det gælder også selvom, det kun sker via egne digitale kanaler, som et website.
Det er derfor ikke overraskende, at et spørgsmål, der er blevet stillet på bloggen netop handler om, hvilken ansvarsfordeling der er gældende, når man benytter sig af de sociale medier. Specifikt blev der spurgt til brugen af Linkedin i sin markedsføring. Spørgsmålet er dog ligeså relevant i forhold til andre sociale medier såsom Facebook og Instagram.
Før jeg selv kommer med flere konkrete eksempler til Leoni Advokater i forhold til den digitale markedsføring, vil jeg dog gerne have lidt mere styr på begreberne dataansvarlig og databehandler.
Hvornår er man dataansvarlig?
Som sagt er forskellen mellem den dataansvarlige og databehandleren ikke altid lige let at gennemskue i praksis, fordi den i den nye persondataforordning er flydende. Bent, kan du alligevel prøve at give en beskrivelse af, hvornår man er dataansvarlig?
Bent: Groft sagt er man dataansvarlig, når man udøver en selvstændig kontrol over behandlingen. Typetilfældet er virksomhedens behandling af oplysninger om sine egne ansatte og kunder. Driver du en webshop og indsamler du oplysninger om kunderne på webshoppen, er du som udgangspunkt dataansvarlig, også hvis du bruger oplysningerne til markedsføring.
Uddelegerer du eksempelvis markedsføringsopgaven til en anden virksomhed, kan denne virksomhed alt efter omstændighederne være dataansvarlig eller databehandler. Det afgørende er graden af kontrol og selvstændighed med opgavens udførelse. Foranlediger man f.eks. et marketingbureau til selvstændigt at udforme og gennemføre en spørgeskemaundersøgelse på din hjemmeside, er firmaet formentlig dataansvarlig. Du har til gengæld også et dataansvar, da du accepterer, at firmaet udfører undersøgelsen på din hjemmeside.
Udformer du selv spørgeskemaet, men får et andet firma til at opbevare oplysningerne og analysere dem for dig efter dine instrukser, er firmaet snarere din virksomheds databehandler.
Videregiver virksomheden personoplysninger til en ekstern virksomhed, kan den eksterne virksomhed dog i nogle tilfælde være dataansvarlig. Det afhænger af, hvor stor kontrol virksomheden har med opgavens udførelse.
Kan en konsulent eller et webbureau være dataansvarlig?
Vil det sige, at man som konsulent eller webbureau i nogle tilfælde kan være dataansvarlig? Det er f.eks. ikke ualmindeligt, at en virksomhed vælger at overgive håndteringen af sin Facebookside eller Adwordskonto til en ekstern aktør?
Bent: Ja, man kan godt blive anset som dataansvarlig i sådan en situation. Har du til opgave at håndtere en facebookside, vil du ofte bestemme selvstændigt, hvilke personoplysninger der skal lægges op på siden. Det taler kraftigt for, at du er dataansvarlig. I mange tilfælde vil begge virksomheder dog være dataansvarlige for mange af behandlingerne. Man er altså ikke nødvendigvis alene om dataansvaret.
Er det muligt, at fraskrive sig dataansvaret i sådanne tilfælde? Jeg kan ikke forestille mig, at et webbureau ville være interesseret i at påtage sig den dataansvarliges rolle overfor sine kunder.
Bent: Dataansvaret afhænger som sagt af graden af selvstændighed og kontrol. Har bureauet reelt kontrol over en behandling, kan det ikke fraskrive sig dataansvaret.
Webbureauet kan dog til en vis grad lægge dataansvaret over på sin aftalepartner ved at give sig selv så lidt kontrol over behandlingen som muligt. Men dette giver mange gange ikke mening, da aftalepartneren netop gerne vil have bureauet til at styre behandlingen for ham, da han selv mangler indsigt og kompetencer på området. Hvis virksomheden skulle give sit konsulentbureau eksakte ordrer om, hvordan facebooksiden skal håndteres, kunne virksomheden lige så godt håndtere siden selv.
Hvornår er man databehandler?
Bent, kan du beskrive hvornår og hvem der typisk er databehandler?
Bent: En virksomhed er databehandler, når den behandler personoplysninger på vegne af en anden virksomhed og følger den anden virksomheds instrukser. Et klassisk eksempel er et lønudbetalingsfirma. Den bliver fodret med nogle oplysninger, som virksomheden selv har indsamlet, og den har klare instrukser om, at oplysningerne skal bruges til udbetaling af løn.
Der sker identifikation mellem din egen virksomhed og de ansatte. De ansatte er altså ikke databehandlere, men er en manifestation af din virksomhed som dataansvarlig. Er virksomheden databehandler, er dens ansatte ligeledes en manifestation af virksomheden som databehandler.
Kan en medarbejder være dataansvarlig?
Er der tilfælde, hvor en medarbejder kan være dataansvarlig? Har man tillid til sin eCommerce eller Online Manager er det ikke en utænkelig situation at virksomhedsejeren overlader det til medarbejderen, hvilke personoplysninger der skal indsamles og hvordan de skal bruges i den digitale markedsføring?
Bent: Medarbejderne er som klart udgangspunkt lig med virksomheden, da der som sagt sker identifikation. Laver medarbejderen en ulovlig behandling, er det stadig virksomheden, der er dataansvarlig. Dette kan dog fraviges, hvis medarbejderen af egen drift laver en abnorm behandling, eksempelvis ved at stjæle virksomhedens oplysninger om naboen og bruge dem til ulovlig afpresning af ham. I et sådant tilfælde, vil den ansatte være dataansvarlig for lige præcis denne behandling, og ikke virksomheden.
Er behandlingen ikke abnorm og sker behandlingen i virksomhedens interesse, vil virksomheden blive anset som den dataansvarlige. Så en Online Manager vil ikke være dataansvarlig, så længe han holder sig inden for rimelighedens grænser, det vil den virksomhed, han er ansat i, derimod.
Er virksomhederne bag dine plugins, moduler og tags databehandlere?
Websites og webshops er i dag et sammensurium af integrationer, plugins, moduler, tags m.v. Disse giver website- og webshopejere mulighed for at få viden om besøgende, opsamle kunders email sende markedsføring efter besøgende, når de surfer videre på andre websites og giver brugere mulighed for at dele indhold med deres venner eller logge ind med deres facebookkonto, osv. De mange tjenester har det tilfælles, at de i et eller andet omfang indsamler persondata om besøgende på websitet. I det forrige blogindlæg lærte vi, at stort set alle håndteringer af persondata er en behandling. Det betyder vel, at alle de virksomheder der står bag disse tjenester, også er databehandlere?
Bent: Igen vil det komme an på den konkrete tjeneste, der anvendes. Vi er i en gråzone: Vi ved, der foretages en behandling, men hvem er det helt præcist, der foretager behandlingen? Køber man Microsoft Word til sin computer, er Microsoft ikke din databehandler. Microsoft stiller bare en software til rådighed for dig, og det er dig, der foretager alle behandlingerne, når du behandler personoplysninger i Word, og oplysningerne gemmes i en fil på din egen computer. Dermed er du dataansvarlig – og Microsoft er hverken dataansvarlig eller databehandler.
Det kan være den samme situation, når du anvender et plugin. Der bliver stillet en software til rådighed, som din virksomhed benytter til f.eks. at spore brugerens adfærd på hjemmesiden. Men hvem er det, der egentlig foretager behandlingen? Er det dig selv via det pågældende plugin, eller er det pluginudbyderen, der behandler oplysningerne på dine vegne? Spørgsmålet er ikke endeligt afgjort, og det kunne være spændende at se en afgørelse fra EU-domstolen om spørgsmålet.
Hvis tjenesteudbyderen opbevarer de indsamlede oplysninger for dig, vil tjenesteudbyderen dog i denne sammenhæng formentlig være databehandler på dine vegne. Trækker tjenesteudbyderen selv oplysninger ud af tjenesten til egen brug eller til videregivelse, vil tjenesteudbyderen sandsynligvis være dataansvarlig for denne behandling.
Hvem er databehandler, når du bruger sociale medier?
En blogfølger spurgte tidligere til markedsføring via Linkedin. Det er ikke noget nyt, at spørgsmålet om hvem der ejer persondata, dukker op i forbindelse med brug af sociale medier i ens markedsføring. Er der nogle generelle retningslinjer, man kan tage udgangspunkt i, i forhold til om man som annoncør via de sociale medier som Facebook, Twitter, Instagram, Linkedin og Snapchat, er dataansvarlig eller databehandler?
Bent: Både annoncøren og det sociale medie vil formentlig have et dataansvar for behandlingerne i mange tilfælde. Det sociale medie, fordi det af egen drift har konfigureret sin hjemmeside til at indsamle personoplysninger til fordel for eventuelle annoncører. Annoncøren fordi denne kan bestemme, med hvilke midler annoncekampagnen skal føres, og hvilke personoplysninger der skal bruges.
Facebook er eksempelvis dataansvarlig for indsamling af oplysninger om brugernes køn, alder og geografisk placering. Hvis en annoncør herefter beder Facebook om at få vist en målrettet annonce til alle mænd i alderen 20-30 år i Århus, vil annoncøren formentlig have et dataansvar i forbindelse med behandlingerne i denne kampagne.
Benytter annoncøren retargeting (hvor det bliver husket, at en person har klikket på en annonce og vil få annoncen vist igen ved senere lejlighed) på Facebook, vil Facebook formentlig have et dataansvar for at indstille Facebook til at gennemføre retargeting. Det er dog også nærliggende at tildele annoncøren et dataansvar for at bestemme, at personer der klikker på annoncen skal huskes til senere brug.
Underdatabehandlere eller en kæde af databehandlere er også muligt!
Når vi taler om digital markedsføring kan der være mange aktører inde over behandlingen af personoplysninger. Flere konsulenter og bureauer bruger eksempelvis specialister eller underleverandører, til at varetage specifikke opgaver. Hvilken rolle påhviler en underleverandør?
Bent: Der er tale om en underdatabehandler, hvis man behandler oplysninger på vegne af databehandleren. Det kan også tænkes, at underdatabehandleren bruger underleverandører. Derfor er det muligt, at have en kæde af databehandlere. Den dataansvarlige skal dog altid give tilladelse til antagelsen af underdatabehandlere, da han er forpligtet til at føre kontrol med dem.
Næste blog indlæg følger op på den dataansvarlige og databehandleren. Det kommer til at omhandle de krav man alt efter rolle bliver pålagt, når den nye persondataforordning træder i kraft næste år. Jeg ser allerede nu rigtig mange udfordringer! Hvornår er det for eksempel, at jeg som dataansvarlig fører et tilstrækkelig tilsyn med at Google overholder persondataforordningen, hvis jeg videregiver personoplysninger til dem?
Hvis du har fulgt med i blogserien, er jeg ret sikker på, at, at der er dukket et par spørgsmål op til persondataforordning hen ad vejen.
Bent fra Leoni Advokater står stadig klar til at besvare dem, så fyr endelig løs.
*Vær opmærksom på, at du ikke kan se dit spørgsmål før jeg har godkendt det.
