Wiens regionala domstol för civilrättsliga frågor har avkunnat en dom i dataskyddsrättegången mellan aktivisten Max Schrems och den sociala medieplattformen Facebook. Domen följer på de muntliga utfrågningar som hölls i Österrikes huvudstad tidigare i år, där Facebooks europeiska integritetsdirektör Ceilia Alvarez ställdes inför frågor som handlade om följande:

• Företagets förmåga att få samtycke från sina användare;
• dess efterlevnad av begäran om uppgifter från dem som är aktiva på nätverkswebbplatsen, och
• Förtydligande av terminologin "radering av uppgifter" och dess betydelse i praktiken.

I domen avkunnad den 30 juni 2020 fastställs att även om Facebook är skyldigt att betala ett skadestånd på 500 euro för att ha åsidosatt sina skyldigheter att lämna ut uppgifter om användningen av kärandens personuppgifter, anses nätverkstjänsten ha agerat avtalsmässigt eller juridiskt medskyldigt när det gäller behandlingen av kärandens uppgifter.

Beslutet

Följande rättsliga frågor är värda att lyfta fram:

-Behandling av uppgifter i enlighet med den allmänna dataskyddsförordningen (GDPR).

• Domstolen ansåg att art. 2 GDPR inte är tillämplig på behandling av personuppgifter i samband med privat- eller familjeverksamhet.
• Klaganden sägs ha ingått ett avtal ("databehandlingsavtal") med Facebook när han skapade ett privat konto.
• Hans personliga användning av plattformen gjorde att han föll utanför GDPR:s tillämpningsområde.
• Behandlingen av uppgifter skedde därför i enlighet med dataskyddsförordningen och skulle fortsätta att vara tillåten så länge som käranden inte raderade sitt konto. Först då skulle avtalet mellan parterna sägas upp.

Villkor och bestämmelser

• Domstolen ansåg vidare att ett krav på föreläggande inte bara kräver att handlingen i fråga är förbjuden, utan att det också måste finnas en befintlig risk för att den olagliga handlingen upprepas, dvs. att svaranden redan har brutit mot den rättsligt etablerade normen.
• I det aktuella fallet hade käranden möjlighet att ge sitt samtycke till behandlingen av sina personuppgifter. Genom att acceptera svarandens villkor hade han frivilligt gått med på villkoren.
• Svarandens ekonomiska modell bygger på intäktsgenerering genom skräddarsydd reklam och kommersiellt innehåll. För att kunna erbjuda sin tjänst gratis till allmänheten genereras inkomster genom behandling av användaruppgifter som säljs till annonsörer som kan använda dem för riktad reklam.
• Genom att använda plattformen accepterar användarna medvetet kommersiellt innehåll, vars personliga karaktär baseras på individuella smaker, preferenser och intressen - uppgifter som således ingår i användarvillkoren.
• Eftersom personaliserad reklam utgör en väsentlig del av den erbjudna tjänsten och följer av de särskilda användningsvillkor som ingår i avtalet, var det svarandens uppgift att ange avtalets syfte, vilket käranden frivilligt gick med på.

Känsliga uppgifter

• Enligt domstolen är en överträdelse av art. 9 GDPR inte uppstått på grund av de fastställda omständigheterna.
• När det gäller känsliga uppgifter om politiska intressen eller sexuell läggning ansåg domstolen att ett intresse för ett politiskt parti eller samma kön inte nödvändigtvis återspeglar svarandens tillhörighet till en viss politisk åsikt eller innebär sexuell läggning. Dessutom hade GDPR inte överträtts, eftersom det senare hade gjorts offentligt känt av käranden.
• Genom att endast behandla uppgifterna kunde domstolen inte finna någon olaglig verksamhet från svarandens sida som svaranden kunde hållas ansvarig för.

Skadestånd

• 15 GDPR föreskriver att svaranden är skyldig att tillhandahålla information om alla personuppgifter med lämpliga intervaller som svaranden anser vara relevanta för användaren.
• Genom att bryta mot sin skyldighet fick käranden inte tillräcklig överblick över alla uppgifter som lagrades.
• Förlusten av kontroll och den därmed sammanhängande osäkerheten ger honom rätt till skadestånd och till utlämnande av alla begärda uppgifter.

Kommentar

Denna dom ger en detaljerad redogörelse för hur Facebook skapar användarprofiler, nämligen genom att använda sig av historiken över besökta sidor och information från kontakter med vänner eller "liknande" användare. Den erkänner dock inte hur känsliga dessa uppgifter är. Även om tvångsutlämningen av klagandens register gör det mycket troligt att Facebook överklagar, har Schrems redan uttryckt planer på att lämna in en sådan ansökan inom de kommande fyra veckorna. Förhoppningen är att en högre domstol ska få mer klarhet i huruvida Facebooks verksamhet är laglig och om den inte uppfyller kraven i GDPR. Liksom i tidigare fall kan detta också göra det möjligt att hänskjuta flera frågor till EG-domstolen.

Ursprungligen publicerad 08 juli, 2020

Innehållet i denna artikel är avsett att ge en allmän vägledning i ämnet. Specialister bör rådfrågas om dina specifika omständigheter.