mboost-dp1

Facebook

EU-dom: Brugerne kan straffes for Facebooks fejltrin

- Via Politiken -

En EU-dom har bestemt, at administratorer af Facebook-sider kan blive straffet med bøder for Facebooks eventuelle overtrædelser af datalovgivningen.

Facebook og administratorer af sider har således et ‘fælles dataansvar’.

Selve dommen handler om en tysk uddannelsesinstitution, der har en Facebook-side med 7.000 følgere.

Brugerne af Facebook-siden var ikke blevet informeret om, at der blev gemt cookies i to år efter deres besøg på siden.

I retssagen argumenterede institutionen for, at de ikke kunne tage juridisk ansvar for Facebooks overvågning af brugere, men dette argument har EU-domstolen nu skudt ned.

Facebook udtaler, at de er skuffet over afgørelsen.

Det sociale medie fortæller, at selv om der ikke vil være nogle øjeblikkelige konsekvenser for personer og firmaer, så vil de nu hjælpe deres samarbejdspartnere med at forstå dommens implikationer.

Facebook forsikrer om, at de overholder europæiske love og har forbedret deres privatlivspolitik og databehandling op til EU’s nye persondataforordning GDPR, der trådte i kraft den 25. maj.





Gå til bund
Gravatar #1 - kblood
8. jun. 2018 06:14
Det giver da ingen mening.
Gravatar #2 - Athinira
8. jun. 2018 06:39
kblood (1) skrev:
Det giver da ingen mening.

Enig. En Facebook-side kører ultimativt på Facebooks kode, og jeg kan da på ingen måde se hvordan vedkommende eller virksomheden som har oprettet siden kan være ansvarlig for data-håndteringen (Cookies etc.) som Facebook indsamler, da det ikke er noget de har indflydelse på. Den dom er da helt hen i vejret.
Gravatar #3 - Ni
8. jun. 2018 06:40
#1 Det giver vel ok mening, at de som vælger at bruge en service i deres forretning også har et ansvar for at sikre, at deres leverandør lever op til lovgivningen eller ville alle jo bare kunne penge fingre ad hinanden.

#2 Hvis de ikke har mulighed for at sikre, at deres leverandør lever op til lovgivningen, så må de jo vælge en anden. Sådan er det også i alle andre brancher og jeg synes tit, at it folk har den tilgang, it er noget heeeeelllt andet, men det er det ikke :-D
Gravatar #4 - Ebbe
8. jun. 2018 07:52
#3 Det kan man syns, men så skulle ingen af os bruge goggle, da de flere gange har frasagt sig ansvar. De er bare en søgemaskine og ikke har ansvar for hvad man kan finde af ulovligheder. Syns det er lidt det sammen.
Gravatar #5 - compax
8. jun. 2018 08:51
Ved ikke helt hvad jeg skal syntes om dette.

På den ene side er det godt at virksomheder kan stilles til ansvar for hvordan Facebook håndter brugerdata, For det kan resultere at mange muligvis vil droppe facebook hvis Facebook ikke retter sig ind efter EU's regler hvilket vil lægge et stort pres på dem, på denne måde kan Facebook ikke bare flytte brugerdata til andre lande uden for EU for at komme uden om GDPR.

At det er virksomhederne som skal bøde for hvordan Facebook håndter brugernes data, er jo synd..... men igen det vil lægge pres på Facebook.
Gravatar #6 - Ni
8. jun. 2018 11:37
#4 Der er jeg uenig, jeg synes, det er den omvendte problemstilling, hvis du tænker datastrømsmæssigt.

En spraydåse producent kan heller ikke stilles til ansvar for politisk budskaber skrevet med deres dåse, men de har et medansvar for om ingredienserne er lovlige osv.

Gravatar #7 - kblood
8. jun. 2018 13:04
#6 Men det er jo heller ikke et holdbart eksempel, for dette er jo en almindelig Facebook gruppe, de medarbejdere som bruger den har alle og enhver Facebook brugere for at kunne bruge den. Da de oprettede sig som Facebook brugere sagde de ja til disse vilkår.

Det eneste virksomheden gør her, er at administrere gruppen, de har INTET med den tekniske side at gøre. Det vil sige hvis vi skal prøve at bruge en analogi i stil med den du prøvede at lave, så kan Facebook så netop ikke stilles til ansvar for hvad brugerne skriver på Facebook og hvad de ellers generelt deler med hinanden igennem Facebook. Men på samme måde kan dem som har lavet Facebook gruppen ikke stilles til ansvar for at Facebook har brudt loven... så skulle virksomheder som vælger at bruge Internet Explorer også stilles til ansvar hvis en fejl i Internet Explorer gjorde at virksomheden bliver hacket osv.

Det giver altså INGEN mening whatsoever. Det kan da aldrig nogen side være kundens ansvar at leverandøren har et problem af denne slags.

Din egen analogi beskriver jo netop problemet. For det producenten der KAN stilles til ansvar for, er hvis denne spraydåse indeholder giftigt materiale som ikke er godkendt... det er deres ansvars område. Så kan brugeren spraye hvad de har lyst til, men de skal ikke straffes for at producenten så har brugt giftige ingredienser der ikke var godkendt.
Gravatar #8 - CBM
8. jun. 2018 15:21
Det er jo dybt latterligt... Men kan det være med til at ligge Facebook i graven så okay da
Gravatar #9 - thimon
8. jun. 2018 15:27
#7
Hvad med en router, serversoftware etc. som har sikkerhedshuller.

Hvis ingen kender dem (dvs. producenten), så kan producenten vel ikke stilles til ansvar medmindre de bevidst har lavet disse huller.

Hvis der findes en patch/sikkerhedsrettelse/jord (eller hvad det nu hedder), som fikser sikkerhedshullet, så er det vel brugerens ansvar (af router, serversoftware etc.) at fylde hullet op med jord, så alt igen er (relativt) sikkert. Hvis brugeren ikke vælger at opdatere softwaren, kan man vel godt stille brugeren til ansvar for ikke at have fikset sikkerhedshullet, når der findes en måde.

Så skillelinjen mellem producenten og kunden er vel om der er måder at styre det på. Hvis ja, ligger ansvaret hos brugeren, hvis nej er ansvaret vel hos producenten.

Producenten = Facebook
Brugeren = brugeren

I det her tilfælde er det vel de færreste, der opretter facebookgrupper, som har styr på den tekniske side af hvordan Facebook opererer. Ved dog ikke om det er muligt i administrationen af gruppen at styre om der er cookies eller ej.

Derfor giver dommen vel ikke mening.
Gravatar #10 - CBM
8. jun. 2018 15:31
Den første dom, hvor moster oda trækkes i retten fordi hendes strikkeklub på facebook overtræder datalovgivningen, pga facebook ikke har styr på det, skulle blive RET underholdende

Gravatar #11 - Athinira
8. jun. 2018 15:34
Ni (3) skrev:
#2 Hvis de ikke har mulighed for at sikre, at deres leverandør lever op til lovgivningen, så må de jo vælge en anden. Sådan er det også i alle andre brancher og jeg synes tit, at it folk har den tilgang, it er noget heeeeelllt andet, men det er det ikke :-D

For at tage dit eget spraydåseeksempel fra #6, så svarer det her til at du stiller personen som maler med spraydåsen til ansvar for ingredienserne der er i.

Det er Facebook der er leverandøren - det er derfor deres ansvar hvad der 'er i dåsen'.

Fejlen er at du glemmer at du som bruger på Facebook ikke er kunden - du er produktet. Og virksomheder der har en Facebook-side er ikke en grosist eller et andet mellemled - de er kunden - ikke dig. Det er dem som maler med dåsen.

Og det er sælgers/producentens (Facebooks) ansvar at produktet overholder lovgivningen før det bliver solgt. I bedste fald kan man forbyde kunder som evt. har købt et ulovligt produkt at bruge produktet - men det er sælgerens/producentens ansvar at produktet er lovligt.
Gravatar #12 - CBM
8. jun. 2018 16:31
#11: enig og derudover har moster oda ingen chance for at vide hvad facebook gør og ikke gør
Gravatar #13 - kblood
8. jun. 2018 20:59
Jeg tvivler også på at denne dom holder, den bliver taget op på et højere niveau, og i mellemtiden tror jeg at hvem en der afsage denne dom vil blive sat på plads om hvor lidt mening den dom giver. Det lugter jo virkeligt langt væk af totalt mangel på IT forståelse.
Gravatar #14 - arne_v
11. jun. 2018 03:02
#mange

Jeg tror faktisk at domstolen har bedre forståelse for de faktiske forhold end I tror.

Det er en virksomhed der har den FB side. Virksomheder har ikke en FB side for sjovs skyld, men fordi de mener at det gavner deres forretning (i en bred forstand af ordet) at kommunikere med brugerne.

Set ud fra den vinkel er der et forhold mellem brugerne og virksomheden. Og FB leverer platform til virksomheden. Og set i forhold til den her side må FB være leverandør til virksomheden. Virksomheden har på et tidspunkt klikket accepter til at indgå en aftale med FB med nogle givne vilkår. En form for kontrakt. At virksomheden ikke betaler FB for ydelsen bør ikke ændre på dette.

Det er naturligvis korrekt at virksomheden ingen mulighed har for at ændre hvordan FB håndterer cookies.

Men virksomheden kan se hvordan brugerne informeres omkring cookies ved at gå ind på deres egen side.

Og så er der en interessant detalje som fremgik af pressemeddelelsen fra domstolen.

https://curia.europa.eu/jcms/jcms/p1_1094403/en/


Administrators of fan pages, such as Wirtschaftsakademie, can obtain anonymous statistical data on visitors to the fan pages via a function called ‘Facebook Insights’ which Facebook makes available to them free of charge under non-negotiable conditions of use. The data is collected by means of evidence files (‘cookies’), each containing a unique user code, which are active for two years and are stored by Facebook on the hard disk of the computer or on another device of visitors to the fan page. The user code, which can be matched with the connection data of users registered on Facebook, is collected and processed when the fan pages are opened.

...

Next, the Court finds that an administrator such as Wirtschaftsakademie must be regarded
as a controller jointly responsible, within the EU, with Facebook Ireland for the processing
of that data.
Such an administrator takes part, by its definition of parameters (depending in particular on its
target audience and the objectives of manging or promoting its own activities), in the
determination of the purposes and means of processing the personal data of the visitors to
its fan page. In particular, the Court notes that the administrator of the fan page can ask for
demographic data (in anonymised form) – and thereby request the processing of that data –
concerning its target audience (including trends in terms of age, sex, relationships and
occupations), information on the lifestyles and centres of interests of the target audience (including
information on the purchases and online purchasing habits of visitors to its page, and the
categories of goods or services that appeal the most) and geographical data, telling the fan page
administrator where to make special offers and organise events and more generally enabling it to
target best the information it offers.


Så virksomheden har adgang til aggregerede oplysninger omkring brugerne siom FB har fremskafet v.h.a. cookies.

Hvad ville der ske hvis man dømte at en virksomhed der:
* købte en web side fra en en leverandør
* har mulighed for at se hvilke betingelser brugerne eksisterer
* har adgang til aggregerede oplysninger omkring brugerne fra leverandøren
* men ikek har adgang til leverandørens kode og database
blev dømt ikke ansvarlig for overholdelse af cookie regler og andre privat livs regler?

Mit gæt - der ville opstå en masse web virksomheder der indsamler oplysninger ulovligt baseret i diverse skumle banan-republikker med og som ikke kan rammes af EU - og virksomheder vil så frit kunne bruge deres tjenester.
Gravatar #15 - CBM
11. jun. 2018 03:52
@Arne: de rammer muligvis de virksomheder men de rammer også moster oda der har oprettet en facebook side til sin strikkeklub

Gravatar #16 - arne_v
11. jun. 2018 13:12
#15

Hvis hendes FB konto har adgang til den her feature hvor hun kan tracke:

"request the processing of that data – concerning its target audience (including trends in terms of age, sex, relationships and occupations), information on the lifestyles and centres of interests of the target audience (including information on the purchases and online purchasing habits of visitors to its page"

så ja.

Men der er jo et par oplagte nemme løsninger:

1) FB sørger for at deres cookie accept er lovlig.

2) FB dropper den feature fra all non-business konti.

Og skal vi ikke gætte på at FB har fået nogle henvendelser den sidste uge.
Gravatar #17 - kblood
11. jun. 2018 16:38
#14 Det vil jeg nu stadig ikke mene... hvis dette virkeligt var tilfældet så er der jo tusindvis af virksomheder der har en officiel Facebook side. Mange sider jeg har lavet på Facebook har denne "insights" side. Facebook oplyser brugerne om at de gemmer på cookies. Man kan ikke slå det fra om sådan en side skal have Insights, så det er på ingen måde noget der er op til virksomheden, medmindre de laver en helt anden type gruppe, og det vil betyde at de ville miste deres nuværende medlemmer.

Uanset, så er det Facebooks product, det er Facebooks side og det er under Facebooks vilkår. Så nej, det kan altså simpelthen ikke være op til virksomheden at skulle prøve at overholde EU standarder for en side som de teknisk set har et minimum af kontrol over. De kan lukke siden og de kan skrive beskeder til brugerne.

ALLE brugerne er blevet informeret om cookies, for det er standard for Facebook at bruge cookies. Hvis det har brudt EUs regler, så er det Facebook som er ansvarlig, ikke brugerne af Facebooks service.
Gravatar #18 - arne_v
13. jun. 2018 18:30
#17

Ja - der er sikkert mange virksomheder der skal igang med at checke.

Domstolen har konkluderet at når:
* virksomheden har adgang til indsamlet data om brugerne
* virksomheden har adgang til at checke de betingelser som brugerne accepterer
så er virksomheden også delvist ansvarlig for om setup er lovligt.

Enten må de få FB til at gøre tingene på en måde der er lovlig, eller de må finde et andet sted end FB.

Det finder jeg rimeligt.

Du kan naturligvis finde det urimeligt.

Men det vil underminere alle EU's regler om forbruger-databeskyttelse, hvis virksomheder kan unddrage sig ansvar ved at have det tekniske udliciteret.

Det her tilfælde er noget specielt fordi det store flertal af dem med den her mulighed ingen faktiske planer har om at bruge FB Insigths.

Og de føler sig naturligvis meget uretmæssigt ramt.

Men dert er jo også det som gør det nemt at løse. FB skal nok fjerne FB Insigths muligheden for alle dem som ikke eksplicit beder om det.


Gravatar #19 - Athinira
13. jun. 2018 19:27
arne_v (18) skrev:
Men det vil underminere alle EU's regler om forbruger-databeskyttelse, hvis virksomheder kan unddrage sig ansvar ved at have det tekniske udliciteret.

Men det er jo på ingen måde det samme. Det er et helt andet scenarie.

En virksomhed der behandler persondata og vælger at lade en underleverandør stå for databehandlingen (hvor der skal foreligge en konkret databehandleraftale - det står klokkeklart i GDPR) kan på ingen måde sammenlignes med det her.

Der er ingen udlicitering her. De data der er tale om her er Facebooks data - de har indsamlet dem, og det er dem der står for behandlingen. Og det er dem der vælger at give dig adgang til dem, bare fordi du har oprettet en Facebook-side.

Det svarer til at oprette en Twitter-konto, hvorefter Twitter så vælger at give dig adgang til oplysninger om andre brugere, uden at du kan fravælge dette. Det har intet med udlicitering at gøre. Hvis det ikke er lovligt, burde det per definition ikke være en del af det tjenesten tilbyder.

Jeg kan stadigvæk ikke på nogen måde se hvordan det her kan være noget andet end Facebooks ansvar.
Gravatar #20 - arne_v
13. jun. 2018 19:43
#19

Et firma skal have en måde at kommunikere med deres brugere på via internettet.

De kunne have valgt at betale for en kommerciel service, men nu tilbyder FB en service hvor virksomhden ikke skal betale, så de vælger den.

Det er en ydelse som FB leverer til firmaet.

Naturligvis bør FB ikke tilbyde noget som ikke er lovligt.

Men de har de altså gjort.

Og firmaet har både potentielt været klar over det (kunnet se cookie accept vilkårene) og potentielt kunnet drage fordel af det (via data fra Insight).

Det er ikke noget unikt ved at man kan blive draget ansvar hvis man er klar over noget er ulovligt og drager fordel af det.




Gravatar #21 - arne_v
13. jun. 2018 19:46
#19

Og ja - det gælder naturligvis også Twitter - det gælder alle som vil tilbyde adgang til person data - sig nej!
Gravatar #22 - Athinira
14. jun. 2018 07:57
arne_v (20) skrev:
#19

Et firma skal have en måde at kommunikere med deres brugere på via internettet.

De kunne have valgt at betale for en kommerciel service, men nu tilbyder FB en service hvor virksomhden ikke skal betale, så de vælger den.

Det er en ydelse som FB leverer til firmaet.

Det er en ydelse som FB leverer til ALLE der bruger Facebook - firmaer og brugere. Facebook leverer en platform som begge bevidst vælger at bruge (jeg antager at Facebook ikke er den eneste måde at komme i kontakt med virksomheden på).

Uanset hvordan du vender og drejer den kan jeg stadigvæk ikke se hvordan dette kan være nogen andres ansvar end Facebooks. Det er en yderst tynd tråd som EU-retten bruger til at forbinde de brugerdata Facebook indsamler og firmaets ansvar. Og ja, jeg vil også (som andre i tråden) fastholde at dommen delvist er afstedskommet af manglende IT-viden og/eller manglende virkelighedsforståelse fra rettens side :-)
Gravatar #23 - kblood
16. jun. 2018 13:46
#22 Enig... hvis det var et krav fra virksomheden at deres medarbejdere SKULLE oprette en Facebook bruger og sådan fordi det var et krav at bruge denne gruppe, så ja, det kunne måske ses som virksomhedens ansvar. Men ellers er det 100% Facebooks ansvar... det er da på ingen måde tvetydigt, og det vil også være sådan at denne sag ender... for hvis den ikke gør, så kommer der ti-tusindvis af sager som denne.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login