Gemensamt personuppgiftsansvar – doktrin och vägledning

De grundläggande kriterierna för att två eller flera parter ska vara att betrakta som gemensamt personuppgiftsansvariga är att de tillsammans med andra ska ha bestämt ändamålen med och medlen för behandlingen av personuppgifter. Kriterierna motsvarar således de som uppställs för enskilt personuppgiftsansvar med tillägget att det bestäms tillsammans med andra.¹⁶⁴ Vad som avses med att flera bestämmer tillsammans tycks förefalla något oklart men att gemensamt och i samråd beslutat om en viss behandling ska vara tillräckligt.¹⁶⁵ Artikel 29-gruppen har tidigare, i förhållande till motsvarande begrepp i dataskyddsdirektivet, även angett att gemensamt personuppgiftsansvar kan uppstå när olika parter gemensamt bestämmer antingen det ändamål eller de väsentliga element i medel som utmärker en personuppgiftsansvarig.¹⁶⁶ Parterna tycks således inte nödvändigtvis behöva bestämma både ändamålen och medlen i sin helhet gemensamt, kriterierna bör således kunna tolkas mer extensivt än vid en direkt tillämpning av dem. Därtill bör det understrykas att ett samarbete mellan olika aktörer inte nödvändigtvis innebär att gemensamt personuppgiftsansvar föreligger, för det fall en av

164 Artikel 29-gruppen, WP 169, s. 18.

165 Öman, kommentar till art. 4.7 dataskyddsförordningen.

166 Artikel 29-gruppen, WP 169, s. 19.

parterna behandlar personuppgifter för ändamål och med medel som den inte har haft inflytande över bör den vara att betrakta som personuppgiftsbiträde istället.¹⁶⁷ Parternas deltagande vid gemensamt personuppgiftsansvar kan se olika ut och ansvaret måste inte delas lika. Hänsyn måste därför tas till att olika typer av gemensamt personuppgiftsansvar kan innebära olika mycket ansvar för vardera part och bedömningen av respektive parts ansvar ska ske mot bakgrund av omständigheterna i varje enskilt fall.¹⁶⁸

Frågan huruvida tjänsteleverantörer som tillhandahåller onlineplattformar kan anses vara gemensamt personuppgiftsansvariga med annonsnätverk eller annonsörer har behandlats av Artikel 29-gruppen i förhållande till det gamla dataskyddsdirektivet. I yttrandet understryks att tjänsteleverantörens roll vid möjliggörande av direktmarknadsföring enbart är att den utlöser en överföring av IP-adressen från användarens lokala webbläsare till annonsnätverket, en aktiv överföringsbehandling utförs således inte av tjänsteleverantören som tillhandahåller onlineplattformen. Det faktum att tjänsteleverantören möjliggör överföringen är emellertid tillräckligt för att ett gemensamt personuppgiftsansvar ska åligga tjänsteleverantören tillsammans med annonsnätverket, dock enbart avseende det första steget i behandlingen. Det understryks även att huvudansvaret för behandlingen för ändamålet att kunna leverera direktmarknadsföring åligger annonsnätverket.¹⁶⁹ Tjänsteleverantören tycks således vara gemensamt personuppgiftsansvarig men enbart i begränsad omfattning vid direktmarknadsföring från andra aktörer till användare av tjänsteleverantörens onlineplattform.

Vid förekomsten av gemensamt personuppgiftsansvar menar Artikel 29-gruppen att parterna som delar på ansvaret sinsemellan kan bestämma hur ansvaret ska utövas. Detta förutsatt att de kan garantera en fullständig efterlevnad av dataskyddsbestämmelserna samt att ansvarsfördelningen tydligt framgår för de registrerade.¹⁷⁰

5.4.3   ”Gilla-knappen” – Fashion ID och Facebook

EU-domstolen har nyligen avgjort två mål rörande tjänsteleverantörers och externa organisationers gemensamma personuppgiftsansvar men som på grund av tiden för händelsernas inträffande bedömts mot det gamla dataskyddsdirektivet. Det är emellertid ändå

167 Jfr. definitionen av personuppgiftsbiträde i avsnitt 3.5.3.

168 Artikel 29-gruppen, WP 169, s. 19.

169 Artikel 29-gruppen, WP 163, s. 11.

170 Artikel 29-gruppen, WP 169, s. 23 f.

adekvat att hämta vägledning från domarna med hänsyn till att definitionen av det tidigare begreppet ”registeransvarig” motsvarar den nuvarande lydelsen för ”personuppgiftsansvarig”.

Målet rörde företaget Fashion ID, ett företag som bedriver försäljning av modekläder på nätet, som hade integrerat det sociala insticksprogrammet ”Gilla”-knappen från det sociala nätverket och onlineplattformen Facebook. När en webbplats, som Fashion ID:s, integrerar Facebooks

”Gilla”-knapp lägger den in en hänvisning till det externa innehållet på sin webbplats. Genom att Fashion ID integrerat insticksprogrammet, från Facebook, översändes webbplatsbesökarnas personuppgifter till Facebooks sociala nätverk. Fashion ID kunde i denna överföring emellertid inte påverka vilken information som skickades eller vad Facebook därefter gjorde med informationen, i synnerhet inte gällande lagring och användning.¹⁷¹ När en besökare var inne på Fashion ID:s webbplats översändes således dennes personuppgifter till Facebook oavsett om personen hade ett registrerat konto på Facebook eller hade klickat på ”Gilla”-knappen, enbart p.g.a. att knappen var integrerad. Med anledning av att överföringen skedde utan besökares vetskap ålades Fashion ID med ett föreläggande att upphöra med den aktuella personuppgiftsbehandlingen, d.v.s. att ta bort insticksprogrammet.

Fashion ID menade emellertid att de inte var registeransvariga, dvs. personuppgiftsansvariga enligt nuvarande lydelse, eftersom att de inte hade inflytande över vilka uppgifter som översänds eller hur de behandlades efter överföringen.¹⁷² EU-domstolen konstaterade dock att genom att integrera insticksprogrammet från ett socialt nätverk som överför webbplatsbesökarnas personuppgifter till det sociala nätverket så har Fashion ID ändå ett tillräckligt stort inflytande över behandlingen för att bestämma att den ska inledas eller avslutas.

Dessa omständigheter samt att Fashion ID hade ett ekonomiskt intresse i att överföringen skedde, ansåg EU-domstolen var tillräckliga för att de skulle vara att betrakta som gemensamt personuppgiftsansvariga tillsammans med Facebook. ¹⁷³ EU-domstolen underströk emellertid i målet att gemensamt personuppgiftsansvar inte måste innebära ett likvärdigt ansvar utan att respektive part kunde åläggas ett ansvar som motsvarade de delar i behandlingen som de var aktiva i. Det gemensamma personuppgiftsansvaret skulle således enbart avse de behandlingar av personuppgifter som aktören tillsammans med den andra parten bestämt ändamålen och medlen för.¹⁷⁴

171 Dom av den 29 juli 2019, Fashion ID, mål C-40/17, EU:C:2019:629, p. 26.

172 Mål C-40/17, p. 27-34.

173 Mål C-40/17, p. 77-84.

174 Mål C-40/17, p. 43 och 76.

Mot bakgrund av EU-domstolens resonemang kan exempelvis en tjänsteleverantör som, genom att behandla personuppgifter på något sätt, möjliggör en extern organisations behandling som den externa organisationen har bestämt ändamålen för betraktas som gemensamt personuppgiftsansvarig. Det förutsätter dock att tjänsteleverantören har makten att avsluta den externa organisationens möjlighet att behandla de aktuella personuppgifterna samt att tjänsteleverantören har ett ekonomiskt intresse i att behandlingen utförs. För att konkretisera slutsatsen kan vi återgå till frågan om beteendebaserad reklam på onlineplattformar. För att annonsörer ska kunna placera riktade annonser baserat på en tjänsteleverantörs onlineplattforms användare måste tjänsteleverantören åtminstone överföra uppgifterna. Eftersom att tjänsteleverantörens verksamhet finansieras av att annonsplatserna fylls har tjänsteleverantören ett ekonomiskt intresse i att överföringen av användarnas personuppgifter sker. Då tjänsteleverantören dessutom har inflytande över huruvida överföringen ska inledas eller avslutas bör denne således, mot bakgrund av Fashion ID-målet, vara att betrakta som gemensamt personuppgiftsansvarig med annonsören. Tjänsteleverantörens ansvar bör emellertid kunna begränsas till den del som avser överföringen, den behandling som sedermera vidtas av annonsören bör således inte falla under tjänsteleverantörens gemensamma personuppgiftsansvar.