EU-domstolen tolkar personuppgiftsansvar i sociala medier

Efter GDPR: EU-domstolen tolkar personuppgiftsansvar i sociala medier
 
Det har nog inte kunnat undgå många att EU:s allmänna dataskyddsförordning (även kallad ”GDPR”) trädde i kraft den 25 maj. Kort därefter, den 5 juni, föll EU-domstolens förhandsavgörande i mål C-210/16. Avgörandet gäller den tidigare personuppgiftsregleringen som nu ersatts av GDPR – men den praxis som bildas får följder för tillämpningen av den nya dataskyddslagstiftningen, då ett av begreppen som tolkats definieras likadant under GDPR som tidigare. 
 
Det handlar om begreppet ”personuppgiftsansvarig” och om vem som ska anses ha den rollen när det gäller en sida på den sociala medieplattformen Facebook. Företag och andra juridiska personer, även vissa myndigheter, använder ofta sådana sidor som en del i sin marknadsföring. 
 
Nu slår EU-domstolen fast att den som administrerar en sådan sida som regel har ett gemensamt ansvar med Facebook för behandling av personuppgifter som utförs som ett led i att driva sidan: ”Det faktum att en administratör för en fanpage använder den plattform som tillhandahålls av Facebook för att dra nytta av de till denna sammanhängande tjänsterna, innebär nämligen inte att denne kan undgå sina skyldigheter i fråga om skydd av personuppgifter.”
 
Exakt vad det gemensamma ansvaret ska betyda är inte hugget i sten, utan ska bedömas utifrån omständigheterna i det enskilda fallet. Att det finns ett gemensamt personuppgiftsansvar är något som:  ” …inte nödvändigtvis behöver innebära att de olika aktörer som medverkar vid behandlingen av personuppgifter har likvärdigt ansvar.”