Författarna
Wiens regionala domstol för civilmål har meddelat dom i dataskyddsrättegången mellan aktivisten Max Schrems och den sociala medieplattformen Facebook. Domen följer på muntliga förhandlingar som hölls i den österrikiska huvudstaden tidigare i år, där Facebooks europeiska integritetsdirektör, Ceilia Alvarez, ställdes inför frågor som kretsade kring:
- Företagets förmåga att inhämta samtycke från sina användare;
- företagets efterlevnad av dataförfrågningar från dem som är aktiva på nätverkssajten; och
- Förtydligande av terminologin "radering av uppgifter" och dess betydelse i praktiken.
I domen som meddelades den 30 juni 2020 fastställs att även om Facebook är skyldigt att betala ett skadestånd på 500 euro för att ha brutit mot sin informationsskyldighet avseende användningen av kärandens personuppgifter, anses nätverkstjänsten ha agerat på ett avtalsenligt eller rättsligt medverkande sätt när det gäller behandlingen av kärandens uppgifter.
Avgörandet
Följande rättsliga frågor är värda att belysa:
Behandling av personuppgifter i enlighet med den allmänna dataskyddsförordningen (GDPR)
- Domstolen slog fast att art. 2 GDPR inte är tillämplig på behandling av personuppgifter mot bakgrund av privata aktiviteter eller familjeaktiviteter.
- Den klagande sägs ha ingått ett avtal ("databehandlingsavtal") med Facebook när han skapade ett privat konto.
- Hans personliga användning av plattformen gjorde att han föll utanför tillämpningsområdet för dataskyddsförordningen.
- Databehandlingen skedde därför i enlighet med dataskyddsförordningen och skulle fortsätta att vara tillåten så länge käranden inte raderade sitt konto. Först då skulle avtalet mellan parterna upphöra att gälla.
Villkor och bestämmelser
- Domstolen konstaterade vidare att ett yrkande om förbudsföreläggande förutsätter att den aktuella handlingen inte bara är förbjuden utan att det också finns en befintlig risk för att den olagliga handlingen upprepas, dvs. att svaranden redan har brutit mot den rättsligt fastställda normen.
- I det aktuella fallet hade käranden möjlighet att samtycka till behandlingen av sina personuppgifter. Genom att godta svarandens villkor hade han frivilligt samtyckt till dess villkor.
- Svarandens ekonomiska modell bygger på att generera intäkter genom skräddarsydd reklam och kommersiellt innehåll. För att kunna erbjuda sina tjänster kostnadsfritt till allmänheten genereras intäkter genom behandling av användaruppgifter som säljs till annonsörer, som kan använda dem för riktad reklam.
- Användningen av plattformen innebär att användarna medvetet accepterar kommersiellt innehåll, vars personliga karaktär baseras på individuell smak, preferenser och intressen - uppgifter som därmed utgör en del av användarvillkoren.
- Eftersom personanpassad reklam utgör en väsentlig del av den tjänst som erbjuds och följer av de särskilda användarvillkor som ingår i avtalet, var svaranden ansvarig för att specificera avtalets syfte, vilket käranden frivilligt samtyckte till.
Känsliga uppgifter
- Enligt domstolen uppstod inte en överträdelse av art. 9 GDPR inte uppstått på grund av de konstaterade omständigheterna.
- När det gäller känsliga uppgifter om politiska intressen eller sexuell läggning ansåg domstolen att ett intresse för ett politiskt parti eller för personer av samma kön inte nödvändigtvis återspeglar svarandens anslutning till en viss politisk åsikt eller innebär sexuell läggning. Eftersom det senare hade offentliggjorts av käranden hade det dessutom inte skett någon överträdelse av GDPR.
- Genom att endast behandla uppgifterna kunde domstolen inte finna några olagliga handlingar från svarandens sida för vilka svaranden skulle kunna hållas ansvarig.
Skadestånd
- 15 GDPR föreskriver att svaranden är skyldig att tillhandahålla information om alla personuppgifter med lämpliga intervall som svaranden anser vara relevanta för användaren.
- Genom att svaranden åsidosatte sin skyldighet fick käranden inte en tillräcklig överblick över alla uppgifter som lagrades.
- Förlusten av kontroll och den därmed sammanhängande osäkerheten ger honom rätt till skadestånd och utlämnande av alla begärda uppgifter.
Kommentar
Domen ger en detaljerad redogörelse för hur Facebook skapar användarprofiler, nämligen genom att använda historiken för besökta sidor samt information som erhållits genom kontakter med vänner eller "liknande" användare. Den saknar dock ett erkännande av hur känsliga sådana uppgifter är. Även om det obligatoriska utlämnandet av kärandens register gör ett överklagande från Facebook högst sannolikt, har Schrems redan uttryckt planer på att lämna in en sådan ansökan inom de närmaste fyra veckorna. Förhoppningen är att en prövning av ärendet i en högre domstol ska ge mer klarhet i lagligheten i Facebooks verksamhet och dess (bristande) efterlevnad av GDPR. Liksom i tidigare fall skulle detta också kunna göra det möjligt att hänskjuta flera frågor till EU-domstolen.
Resurser
Ursprungligen publicerad 08 juli, 2020
Innehållet i denna artikel är avsett att ge en allmän vägledning i ämnet. Specialistrådgivning bör sökas om dina specifika omständigheter.