Forfattere
Den regionale domstol for civile sager i Wien har afsagt dom i retssagen om databeskyttelse mellem aktivisten Max Schrems og den sociale medieplatform Facebook. Kendelsen kommer efter de mundtlige høringer, der blev afholdt i den østrigske hovedstad tidligere på året, hvor Facebooks europæiske direktør for databeskyttelse, Ceilia Alvarez, blev stillet over for spørgsmål, der drejede sig om:
- Virksomhedens evne til at indhente samtykke fra sine brugere;
- Virksomhedens overholdelse af dataanmodninger fra dem, der er aktive på netværkssiden; og
- Afklaring af terminologien "sletning af data" og dens betydning i praksis.
Dommen, der blev afsagt den 30. juni 2020, fastslår, at selvom Facebook skal betale en erstatning på 500 EUR for at have overtrådt sine oplysningsforpligtelser vedrørende brugen af sagsøgerens personoplysninger, anses netværkstjenesten for at have handlet på en kontraktlig eller juridisk medskyldig måde med hensyn til behandlingen af sagsøgerens data.
Afgørelsen
Følgende juridiske forhold er værd at fremhæve:
Databehandling i overensstemmelse med den generelle forordning om databeskyttelse (GDPR)
- Retten fastslog, at art. 2 i GDPR ikke gælder for behandling af personoplysninger i forbindelse med private eller familiemæssige aktiviteter.
- Sagsøgeren siges at have indgået en kontrakt ("databehandlingsaftale") med Facebook, da han oprettede en privat konto.
- Hans personlige brug af platformen fik ham til at falde uden for GDPR's anvendelsesområde.
- Databehandlingen blev derfor udført i overensstemmelse med GDPR og ville fortsat være tilladt, så længe sagsøgeren ikke ville slette sin konto. Først da ville kontrakten mellem parterne blive ophævet.
Vilkår og betingelser
- Domstolen fastslog endvidere, at et krav om påbud ikke kun kræver, at den pågældende handling er forbudt, men at der også skal være en eksisterende risiko for gentagelse af den ulovlige handling, dvs. at sagsøgte allerede har overtrådt den retligt etablerede norm.
- I den foreliggende sag havde sagsøgeren mulighed for at give sit samtykke til behandlingen af sine personoplysninger. Ved at acceptere sagsøgtes betingelser havde han frivilligt indvilliget i deres vilkår.
- Sagsøgtes økonomiske model er baseret på indtægtsgenerering gennem skræddersyede reklamer og kommercielt indhold. For at kunne tilbyde sin tjeneste gratis til offentligheden genereres der indtægter ved at behandle brugerdata, der sælges til annoncører, som kan bruge dem til målrettede reklameformål.
- Brugen af platformen får brugerne til bevidst at acceptere kommercielt indhold, hvis personaliserede karakter er baseret på individuel smag, præferencer og interesser - data, der således udgør en del af brugsbetingelserne.
- Da personaliseret reklame udgør en væsentlig del af den tilbudte tjeneste og er et resultat af de specifikke brugsvilkår, der er en del af kontrakten, var sagsøgte ansvarlig for at specificere kontraktens formål, som sagsøger frivilligt accepterede.
Følsomme data
- Ifølge domstolen opstod der ikke en overtrædelse af art. 9 GDPR ikke ud fra de konstaterede fakta.
- Med hensyn til følsomme data om politiske interesser eller seksuel orientering fandt retten, at en interesse i et politisk parti eller det samme køn ikke nødvendigvis afspejler sagsøgtes tilhørsforhold til en bestemt politisk holdning eller indebærer seksuel orientering. Da sidstnævnte var blevet offentliggjort af sagsøgeren, var GDPR desuden ikke blevet overtrådt.
- Ved blot at behandle dataene kunne retten ikke finde nogen ulovlige handlinger fra sagsøgtes side, som den kunne holdes ansvarlig for.
Erstatning
- 15 GDPR fastsætter, at sagsøgte er forpligtet til at give oplysninger om alle personoplysninger med passende intervaller, som sagsøgte anser for relevante for brugeren.
- Ved at overtræde sin pligt fik sagsøger ikke et tilstrækkeligt overblik over alle de data, der blev opbevaret.
- Hans tab af kontrol og den dermed forbundne usikkerhed berettiger ham til et erstatningskrav og frigivelse af alle ønskede data.
Kommentar
Denne dom giver en detaljeret redegørelse for den måde, hvorpå Facebook opretter brugerprofiler, nemlig ved at trække på historikken for besøgte sider samt oplysninger, der er indhentet fra forbindelser til venner eller "lignende" brugere. Ikke desto mindre anerkender den ikke følsomheden af sådanne data. Mens den tvungne frigivelse af sagsøgerens optegnelser gør en appel fra Facebook meget sandsynlig, har Schrems allerede udtrykt planer om at anlægge en sådan sag inden for de næste fire uger. Håbet er, at indbringelsen af sagen for en højere retsinstans vil skabe større klarhed over lovligheden af Facebooks aktiviteter og deres (manglende) overholdelse af GDPR. Som det har været tilfældet i tidligere sager, kan dette også gøre en henvisning af flere spørgsmål til EU-Domstolen mulig.
Ressourcer
Oprindeligt udgivet 08. juli 2020
Indholdet af denne artikel er beregnet til at give en generel vejledning om emnet. Du bør søge specialistrådgivning om dine specifikke omstændigheder.