Alle nettsider må ha samtykke fra brukeren for å bruke Facebooks «like-knapp»
Ny dom i EU-domstolen om tredjeparts plugins.
EU-domstolen har nylig avsagt dom i en sak som omhandlet et nettsteds bruk av Facebooks «like-knapp». Denne funksjonen er realisert som en plugin i nettsiden, og den sender data til Facebook straks en bruker laster nettsiden. Dette skjer uavhengig om brukeren er medlem av Facebook eller ikke, eller faktisk har klikket på knappen.
Dette er behandling av persondata som er regulert i både den gamle og den nye personopplysningsloven, og domstolen tok stilling til hvilket ansvar nettsiden har for denne behandlingen.
Samtykke er påkrevd
EU-domstolen uttaler i dommen at selv om nettsiden ikke har tilgang til dataene som samles inn av Facebooks plugin, så har nettstedet som bruker den et databehandleransvar. Det betyr at nettstedet har et ansvar for å sørge for at forutsetningene for datainnsamlingen blir fulgt. Datatilsynet skriver i en pressemelding om dette:
«Domstolen uttaler at dersom behandlingsgrunnlaget er berettiget interesse/interesseavveiing, må både nettstedet og den sosiale plattformen kunne påberope seg en berettiget interesse. Dersom behandlingsgrunnlaget er samtykke, er det nettstedet som må be om samtykke. Grunnen er at samtykke må avgis før behandlingen av personopplysninger finner sted, og behandlingen finner jo sted ved besøk på nettstedet.Tilsvarende gjelder informasjonsplikten, siden informasjonen må gis når behandlingen av personopplysninger begynner».
Konsekvenser i Norge
Datatilsynet påpeker at selv om denne regelfortolkningen tok utgangspunkt i det gamle regelverket om behandling av personopplysninger, så er den likevel svært relevant også under den nye loven, som er basert i personopplysningsforordningen GDPR.
Det er også slik at selv om dommen dreide seg om bruk av Facebooks liker-knapp, så vil loven være den samme for alle typer av slike tredjeparts plugins på nettsteder.
Om konsekvensene for norske nettsteder skriver Datatilsynet dette:
«Datatilsynets foreløpige vurdering er at i alle fall offentlige nettsteder må be om gyldig samtykke før overføring av personopplysninger til Facebook og liknende medier. Siden Like-knappen overfører personopplysninger idet en nettside besøkes, kan det bety i praksis at offentlige nettsteder må fjerne plugin-en inntil videre.
Andre nettsteder må selv vurdere om de kan basere innsamling og overføring av personopplysninger til Facebook og liknende medier på berettiget interesse/interesseavveiing. Det er ikke usannsynlig at også private nettsteder må ha forutgående samtykke.
Uansett må nettsteder som bruker plugin-en gi informasjon om innsamling og overføring av personopplysninger».
