Alvorlig kritik og påbud efter uorden med værktøjskasse
En klage gav Datatilsynet anledning til at undersøge en boligportals brug af Facebook Business Tools nærmere. Virksomheden kunne ikke bevise, at det fælles dataansvar var tilrettelagt rigtigt. Det førte til alvorlig kritik, og samtidig gav Datatilsynet også virksomheden et påbud om at få styr på brugen af værktøjet.
En boligportal brugte Facebook Business Tools på sin hjemmeside. Det betød, at der blev indsamlet en række oplysninger om hjemmesidebesøgende, som for eksempel IP-adresse, operativsystem og tidspunktet for besøget.
Brugen af værktøjet førte til en klage fra en hjemmesidebesøgende, men Datatilsynet kunne ikke tage stilling til klagen. Alligevel så Datatilsynet nærmere på virksomhedens brug af værktøjet.
Hammeren faldt på fælles dataansvar
Datatilsynet slog fast, at virksomheden havde et fælles dataansvar med Meta, men at reglerne om fælles dataansvar ikke var blevet overholdt. Årsagen var, at virksomheden ikke havde sikret en tilstrækkelig rolle- og ansvarsfordeling.
Datatilsynet henviste til, at fælles dataansvarlige sammen skal sikre, at databeskyttelsesreglerne er overholdt – og sammen kan dokumentere det. Den dokumentation var ikke på plads mellem virksomheden og Meta.
IUNO mener
Fælles dataansvar opstår, når to eller flere dataansvarlige sammen fastlægger, hvorfor og hvordan der bliver foretaget en behandlingsaktivitet. Når der er et fælles dataansvar, skal der indgås en aftale om rolle- og ansvarsfordelingen. Der skal både tages højde for, hvordan oplysningspligten opfyldes men også de mere generelle forpligtelser.
IUNO anbefaler, at virksomheder tjekker, om der kan være et fælles dataansvar, når de forskellige databehandlingsaktiviteter bliver kortlagt. Det er ikke altid let at se, om der foreligger et fælles eller separat ansvar, og derfor skal hver behandlingsaktivitet vurderes separat.
[Datatilsynets afgørelse af den 20. april 2023 i sag nr. 2021-7329-0052]
En boligportal brugte Facebook Business Tools på sin hjemmeside. Det betød, at der blev indsamlet en række oplysninger om hjemmesidebesøgende, som for eksempel IP-adresse, operativsystem og tidspunktet for besøget.
Brugen af værktøjet førte til en klage fra en hjemmesidebesøgende, men Datatilsynet kunne ikke tage stilling til klagen. Alligevel så Datatilsynet nærmere på virksomhedens brug af værktøjet.
Hammeren faldt på fælles dataansvar
Datatilsynet slog fast, at virksomheden havde et fælles dataansvar med Meta, men at reglerne om fælles dataansvar ikke var blevet overholdt. Årsagen var, at virksomheden ikke havde sikret en tilstrækkelig rolle- og ansvarsfordeling.
Datatilsynet henviste til, at fælles dataansvarlige sammen skal sikre, at databeskyttelsesreglerne er overholdt – og sammen kan dokumentere det. Den dokumentation var ikke på plads mellem virksomheden og Meta.
IUNO mener
Fælles dataansvar opstår, når to eller flere dataansvarlige sammen fastlægger, hvorfor og hvordan der bliver foretaget en behandlingsaktivitet. Når der er et fælles dataansvar, skal der indgås en aftale om rolle- og ansvarsfordelingen. Der skal både tages højde for, hvordan oplysningspligten opfyldes men også de mere generelle forpligtelser.
IUNO anbefaler, at virksomheder tjekker, om der kan være et fælles dataansvar, når de forskellige databehandlingsaktiviteter bliver kortlagt. Det er ikke altid let at se, om der foreligger et fælles eller separat ansvar, og derfor skal hver behandlingsaktivitet vurderes separat.
[Datatilsynets afgørelse af den 20. april 2023 i sag nr. 2021-7329-0052]
