Att företag har sina egna sidor på Facebook är i dag nästan lika självklart som att de har en egen hemsida. Vad som däremot inte har varit lika självklart är att administratörerna för en sida på Facebook också är ansvariga för de personuppgifter som samlas in genom plattformen.
Ja, du hörde rätt.
Enligt ett domslut från EU-domstolen, som uppmärksammades av Techcrunch i förra veckan, delar administratörer och Facebook numera på ansvaret för den data som samlas in om användare.
För företag och personer med Facebooksidor verkar det betyda att man inte längre kan luta dig tillbaka och dumpa över ansvaret på Facebook den dagen GDPR-polisen knackar på dörren.
Det här påverkar sidor eller grupper som använder Facebook Insights, där data samlas in och kan analyseras. Vilket kan innebära att Facebook-sidor som Breakit.se, stora köp- och säljgrupper eller fansidor för fotbollslag påverkas.
Den norska affärstidningen Dagens naeringsliv uppmärksammar problemet och hänvisar till Eva Jarbekk på advokatbyrån Schjødt, som säger till tidningen att EU-domstolens beslut öppnar för att alla med en sida på Facebook kan få böter och stämningar mot sig.
Att bryta mot GDPR – EU:s nya direktiv för hur företag och organisationer ska hantera personuppgifter – kan resultera i avgifter på upp till 4 procent av den globala omsättningen, eller 20 miljoner euro.
Så vad är bakgrunden till detta?
Det hela började med att den tyska versionen av Datainspektionen 2011 beordrade ett tyskt utbildningsföretag att stänga ned sin Facebooksida. Anledningen var att varken de eller Facebook hade meddelat användarna om att olika former av data samlades in genom sidan.
Utbildningsföretaget ansåg enligt DN.no att de inte kunde ansvara för den information som Facebook hanterade.
Efter många om och men kom tillslut domen från EU-domstolen, som bland annat fastslog följande, enligt Techcrunch:
“Det faktum att en administratör för en sida använder en plattform som tillhandahålls av Facebook för att dra nytta av tillhörande tjänster, kan inte undanta den från att uppfylla sina skyldigheter när det gäller skydd av personuppgifter.”
Facebook har i ett mejl till Techcrunch uttryckt sin besvikelse över beslutet.
“Vi är besvikna över domslutet. Företag av alla storlekar i Europa använder tjänster som Facebook för att nå nya kunder och växa."
Betyder det här att alla sidor måste stänga?
I grannlandet är det Datatilsynet som är tillsynsmyndighet för GDPR. De säger till DN.no att de har ett handledande ansvar och att den här problemställningen skapar ett behov av handledning. Samtidigt finns det inte några tydliga svar att ge.
“Att det inte har kommit någon konkret vägledning för detta, undantar dem inte från ansvar”, säger Janne Stang Dahl, kommunikationschef på Datatilsynet till tidningen.
Det är därför svårt att säga exakt vad det här innebär för företag med Facebooksidor. Att två parter delar på ansvaret behöver inte betyda att de har ett lika stort ansvar.
Än så länge har Datatilsynet i norge inte hunnit analysera den färska domen, skriver tidningen, men Jørgen Skorstad, avdelningschef på myndigheten, påpekar att domen visar på vad som snart blir en realitet för alla företag i det nya regelverket.
“Det som är mest chockerande för mig är att det framställs som om domen tillför någonting helt nytt. Domen är bara en bekräftelse på det som Datatilsynet har sagt hela tiden. Den som är personuppgiftsansvarig för databehandlingen i ett företag, måste säkerställa att personuppgifter behandlas på ett försvarligt och riktigt sätt,” säger han.
Fotnot: Domslutet är baserat på dataskyddsdirektivet, som nu har ersatts av GDPR.