Glöm inte insamlingen av personuppgifter på webbplatsen!
Om personuppgiftsbehandling vid användning av "pixlar", "gilla-knappar" m.m.
Under senare tid har många organisationer arbetat med att anpassa sig till dataskyddsförordningen (GDPR). Ofta görs noggranna kartläggningar av vilka personuppgifter som behandlas. Kartläggningarna följs upp av rättsliga analyser.
Enligt min erfarenhet finns det dock ett område som många missar: att den egna webbplatsen innehåller skript, pixlar m.m. som innebär att personuppgifter om besökarna görs tillgängliga för en rad tredje parter. Ofta sker detta inom ramen för tjänster som möjliggör annonsering, besöksanalys eller delning av innehåll till sociala medier. Besökaren länkas oftast över till en eller flera servrar som kan sätta cookies och samla in information om användaren.
I många fall har beslutet att lägga in den nödvändiga koden fattats av enskilda medarbetare eller av externa konsulter, utan att någon dataskyddsanalys har gjorts. Att denna typ av omfattande – och inte sällan relativt känsliga – delning av personuppgifter går under den personuppgiftsansvariges och dataskyddsombudets radar är naturligtvis inte bra. Ett första steg för dessa är givetvis att skaffa sig en uppfattning om vilka personuppgifter som delas, till vem och vad dessa gör med uppgifterna. Här finns verktyg och specialiserade konsulter att ta hjälp av.
Den följande rättsliga bedömningen är inte helt enkel och måste naturligtvis göras utifrån omständigheterna i varje enskilt fall. Några generella kommentarer kan dock lämnas.
Inledningsvis kan det konstateras att det är fråga om en behandling av personuppgifter när uppgifter om webbsidesbesökarna hamnar hos tredjepartsaktörerna. Det gäller även om det som samlas in bara är t.ex. ip-adresser och identifieringskoder. Klart är också att dataskyddsförordningen i de flesta fall är tillämplig på denna behandling. Att man bara skulle behöva förhålla sig till reglerna i ePrivacy-direktivet (6 kap. LEK) och den kommande ePrivacy-förordningen i detta fall är ett missförstånd. ePrivacy-reglerna styr själva användningen av t.ex. cookies och pixlar, men den behandling av personuppgifter som möjliggörs genom användning av sådana tekniker regleras av dataskyddsförordningen.
En central fråga är givetvis hur personuppgiftsansvaret är placerat. Vissa tredjepartsaktörer uppger att de endast agerar som personuppgiftsbiträden. I denna situation måste webbplatsägaren, i egenskap av personuppgiftsansvarig, skaffa sig en överblick över hur personuppgifterna behandlas, se till att det finns en laglig grund för behandlingen (inkl. t.ex. överföring till tredje land) och att kraven på biträdet enligt artikel 28 i GDPR är uppfyllda.
I många fall använder tredjepartsaktörerna personuppgifterna för sina egna ändamål och de är därför personuppgiftsansvariga. För att deras behandling ska vara laglig måste de emellertid ofta ta hjälp av webbplatsägaren för att inhämta samtycke eller åtminstone för att fullgöra sin informationsskyldighet. Vissa större aktörer, t.ex. Facebook, som redan har egna relationer med användarna, menar dock att de har löst detta på annat sätt.
Troligtvis är även webbplatsägaren personuppgiftsansvarig i denna situation, närmare bestämt för den behandling som möjliggör att tredjepartsaktören får tillgång till besökarnas uppgifter. En fråga för att klargöra detta har ställts till EU-domstolen (C-40/17, Fashion ID). Generaladvokat Bot har emellertid redan i ett annat mål uttalat sitt stöd för en sådan tolkning (C-210/16, Wirtschaftsakademie Schleswig-Holstein).
För att ett utlämnande till en självständig personuppgiftsansvarig och dennes behandling ska vara laglig kommer det enligt min mening i många fall krävas samtycke. Säkerligen finns det situationer där intresseavvägningen skulle kunna tillämpas, men troligen handlar det mest om situationer där det är fråga om en mer tekniskt betingad behandling av t.ex. ip-nummer.
Det är hög tid för alla webbplatsägaren att se över sin användning av tredjepartstjänster i ett dataskyddsperspektiv. I sammanhanget bör man tänka på att det är relativt lätt för en kunnig utomstående, t.ex. en registrerad eller Datainspektionen, att iaktta den aktuella datainsamlingen.
(Ledare publicerad i Lov&Data nr 134, juni 2018, s. 2-3.)