Yhteisrekisterinpitäjä tahtomattaan – mitä Fashion ID ratkaisu merkitsee verkkosivuston julkaisijalle?

5 elokuu 2019

Saksalainen verkkokauppa, Fashion ID, integroi verkkosivustolleen Facebookin tykkäysnapin. Käytännössä verkkosivun kävijän tietoja, kuten tietoa selaimesta ja IP-osoitteesta, välitetään Facebookille, vaikka nappia ei painaisi. Kun dataa käsiteltiin ilman, että Fashion ID:n verkkosivun käyttäjä asiasta tiesi tai siihen suostui, asia päätyi Euroopan unionin tuomioistuimen käsiteltäväksi.

Tuomioistuimen heinäkuun lopulla antaman ratkaisun mukaan Fashion ID on tietosuoja-asetuksen tarkoittama yhteisrekisterinpitäjä Facebookin kanssa siltä osin kuin dataa kerätään ja välitetään Facebookille sen verkkosivuston kautta. Sen ei kuitenkaan tarvitse ottaa vastuuta datan myöhemmästä käsittelystä Facebookin osalta – siitä vastaa yksin Facebook.

Tuomioistuin edellyttää, että Fashion ID informoi sen sivuston käyttäjiä datan keruusta ja välittämisestä Facebookille sillä hetkellä, kun dataa kerätään eli käytännössä välittömästi verkkosivuston avaamisen yhteydessä.

Tuomioistuin jätti avoimeksi sen, vaatiiko verkkosivustolle integroitujen liitännäisten käyttö käyttäjän suostumuksen vai voisiko se perustua muuhun tietosuoja-asetuksen mahdollistamaan käsittelyperusteeseen, kuten oikeutettuun etuun. Tämä merkittävä kysymys jäi saksalaisen tuomioistuimen pohdittavaksi. Tuomioistuin kuitenkin totesi, että jos käsittely perustuu suostumukseen, tulee verkkosivuston pyytää etukäteinen suostumus siltä osin kuin se on yhteisrekisterinpitäjä (datan keruu ja välittäminen Facebookille). Jos taas käsittely perustuisi oikeutettuun etuun, tulisi sekä Fashion ID:n että Facebookin täyttää edellytykset eli käsittelyn tulee olla tarpeen oikeutetun edun saavuttamiseksi ja ns. tasapainotestillä tulee varmistaa, etteivät rekisteröidyn edut ja oikeudet syrjäytä ko. oikeutettua etua. Tämä voi käytännössä olla hyvin vaikea tehtävä.

On harmillista, ettei tuomioistuin ottanut tarkemmin kantaa käsittelyperusteeseen, mutta joka tapauksessa mielenkiintoista on nähdä, miten käsittelyperustetta koskeva arviointi tehdään. Käytännössähän tykkäysnapin toimintalogiikka on pitkälti sama kuin evästeillä ja, kuten kerroin edellisessä blogitekstissäni, esimerkiksi UK:n tietosuojaviranomaisen ICO:n kanta on, että evästeiden avulla kerättyjen tietojen myöhempi käyttö olisi perustettava suostumukseen, eikä oikeutettu etu olisi tähän soveltuva käsittelyperuste. Tällainen rinnastus vaikuttaisi loogiselta, mutta jää nyt vastaisen tuomioistuinkäytännön varaan.

Mielenkiintoista ratkaisussa on myös se, voiko tulkintaa jaetusta yhteisrekisterinpitäjän vastuusta laajentaa koskemaan myös adtech-toimialaa yleisesti. Tällä hetkellä useat adtech-palveluntarjoajat nimeävät itsensä itsenäisiksi rekisterinpitäjiksi julkaisijan ohella (”co-controller”, ei lainsäädännön viittaama yhteisrekisterinpitäjä, ”joint controller”), vaikka eittämättä osa käsittelystä tapahtuu siten, että sekä verkkosivuston julkaisija että adtech-firma määrittävät datan käsittelyn tarkoitukset ja keinot. Ratkaisulla voi siis olla merkittäviä vaikutuksia sopimussuhteisiin yhteisöliitännäisten käytön ohella.

Verkkosivuston julkaisijana tee ainakin nämä:

  • Päivitä verkkosivustosi tietosuojaseloste, ja kuvaa siellä yhteisöliitännäisten, kuten Facebookin tykkäysnapin datankeruu ja siihen liittyvä datan välittäminen kolmannelle osapuolelle, kuten Facebookille. Kerro, että olet yhteisrekisterinpitäjä Facebookin kanssa. Muista, että jo aiemmin on katsottu, että julkaisija on yhteisrekisterinpitäjä Facebookissa olevan fanisivunsa osalta.
  • Valmistaudu tekemään ”keskinäinen järjestely” Facebookin kanssa yhteisrekisterinpitäjyydestä. Tästä järjestelystä – joka on useimmiten sopimus yhteisrekisterinpitäjyydestä – on käytävä asianmukaisesti ilmi yhteisten rekisterinpitäjien todelliset roolit ja suhteet rekisteröityihin nähden. Järjestelyn keskeisten osien on oltava rekisteröidyn saatavilla. Oletettavaa on, että Facebook julkaisee tämän järjestelyn tekstit pian sivustollaan.
  • Seuraa markkinakäytäntöä ja mahdollisia viranomaissuosituksia tai -ratkaisuja muiden yhteisöliitännäisten, kuten Twitterin, LinkedInin tai Pinterestin, osalta. On mahdollista, että käyttäjän tulisi kirjautua sisään sosiaalisen median tililleen tai tehdä jokin muu aktiviinen toimenpide, jolla hän hyväksyy datan keruun ja välittämisen julkaisijan sivuston kautta sosiaalisen median yritykselle.
  • Varaudu siihen, että yhteisöliitännäisten käyttö tulee ”normaalin” evästesuostumuksen alaiseksi ja kartoita erilaisia vaihtoehtoja suostumuksen keräämiselle. Vaikka verkkosivuston julkaisija ei ole lainsäädännön nojalla vastuussa siitä, että kerää suostumuksen kolmannelle osapuolelle, pääsääntöisesti sitä edellytetään sopimuksellisesti, kun ottaa jonkin kolmannen – oli se sitten mainosteknologiatoimittajan tai sosiaalisen median palvelun – käyttöön.

Jos haluat lisätietoja, ota yhteyttä Annaan tai Samiin!

Anna Paimela

Takaisin

Hemsida & Design av Intendit Webbyrå