Alvorlig kritik og påbud til Boligportal for manglende overholdelse af databeskyttelsesregler ved brug af Facebook Business Tools

Baggrund

Datatilsynet behandlede en klage indsendt af NOYB på vegne af en klager over Boligportals brug af Facebook Business Tools på deres hjemmeside. Klagen omhandlede potentielle overførsler af personoplysninger til USA og manglende overholdelse af databeskyttelsesforordningen.

Facebook Business Tools

Facebook Business Tools er værktøjer udbudt af Meta, der kan integreres på en hjemmeside og indsamler oplysninger om besøgendes IP-adresse, besøgstidspunkt, browser og operativsystem samt andre onlineidentifikatorer via cookies.

Klagerens argumenter

Klager anførte, at Boligportal overførte klagers personoplysninger til Meta Platforms i USA, hvilket er ulovligt efter EU-Domstolens Schrems II-dom. Klageren argumenterede for, at standardkontraktbestemmelser ikke sikrer et tilstrækkeligt beskyttelsesniveau, da Meta Platforms er underlagt FISA 702. Klageren anførte desuden, at Boligportal og Meta Ireland er fælles dataansvarlige, og at Boligportal ikke kan fraskrive sig ansvaret ved at henvise til Meta Irelands standardvilkår. Klageren påpegede, at det er Boligportals ansvar at bevise, at der ikke overføres personoplysninger til USA, jf. Databeskyttelsesloven § 5.

Boligportals argumenter

Boligportal anførte, at de ikke har overført klagers personoplysninger til USA, men kun til Meta Ireland i Irland. Virksomheden henviste til, at de IP-adresser, som oplysningerne er overført til, er registreret i Irland. Boligportal anførte, at de har accepteret standardvilkårene for brugen af Meta Irelands værktøjer, men at disse vilkår er irrelevante, da der ikke er sket overførsel til USA. Boligportal bestred at Meta Ireland fungerede som databehandler og anførte at de er fælles dataansvarlige med Meta Ireland, men at deres ansvar ophører ved videregivelsen af oplysninger til Meta Ireland.

Datatilsynets undersøgelse

Datatilsynet undersøgte, om Boligportal havde overholdt sine forpligtelser efter databeskyttelsesforordningen, herunder forpligtelsen til at påvise overholdelse af reglerne. Tilsynet vurderede rolle- og ansvarsfordelingen mellem Boligportal og Meta Ireland i forbindelse med behandlingen af personoplysninger.

Afgørelse

Datatilsynet udtalte alvorlig kritik af, at Boligportal ikke har påvist, at behandlingen af klagers personoplysninger er sket i overensstemmelse med databeskyttelsesforordningen, og at virksomhedens nuværende behandling af personoplysninger om hjemmesidebesøgende sker i overensstemmelse med databeskyttelsesforordningen, jf. Databeskyttelsesforordningens artikel 26, jf. artikel 5, stk. 1, litra a, jf. artikel 5, stk. 2 og artikel 24, stk. 1.

• Datatilsynet kunne ikke træffe afgørelse om overførsel af personoplysninger til USA, da der var uenighed om, hvorvidt en sådan overførsel havde fundet sted.
• Datatilsynet fandt, at der var en utilstrækkelig rolle- og ansvarsfordeling mellem Boligportal og Meta Ireland på tidspunktet for klagers besøg på Boligportals hjemmeside.
• Parterne betragtes som fælles dataansvarlige for behandlingen af klagers personoplysninger.
• Datatilsynet pålagde Boligportal et påbud om at bringe behandlingen af personoplysninger i overensstemmelse med databeskyttelsesforordningen.
• Dette kan ske ved at klarlægge rolle- og ansvarsfordelingen mellem Boligportal og Meta Ireland, således at det fremgår, om personoplysninger behandles ved brug af hjælpemidler uden for EU/EØS, og hvordan reglerne om tredjelandsoverførsler iagttages, eller ved at standse den omhandlede behandlingsaktivitet.
• Fristen for efterlevelse af påbuddet er den 18. maj 2023.
• Manglende efterkommelse af påbuddet kan medføre bøde eller fængsel, jf. Databeskyttelsesloven § 41, stk. 2, nr. 4.