– Dette rokker ved rettsfølelsen til mange. Det høres jo urimelig ut at en liten bedrift eller et lag skal bli medansvarlig for noe Facebook gjør. Rent juridisk er det mulig, men jeg blir overrasket hvis Datatilsynet ilegger mindre norske virksomheter milliongebyr for denne type overtredelser, sier partner Henrik Dagestad i revisjons- og advokatselskapet BDO.
DN skrev tirsdag at en fersk dom fra EU slår fast at alle som administrerer sider på Facebook kan bli holdt medansvarlige for hvordan personopplysningene til følgerne deres behandles.
Ifølge partner Eva Jarbekk i advokatfirmaet Schjødt åpner dommen for at alle med en side på Facebook kan få bøter og søksmål mot seg.
– Jeg mener Datatilsynet må komme på banen her og gi tydelig informasjon om hvordan norske virksomheter skal håndtere denne risikoen på best mulig måte, sier Dagestad i BDO.
Vekker stor oppsikt
Dommen fra Europadomstolen gjaldt en tysk privatskole som av et tysk datatilsyn ble beordret om å legge ned facebooksiden fordi de tilbake i 2011 ikke hadde varslet sine følgere om informasjonskapsler. Skolens argument om at de ikke kan ta ansvar for Facebooks informasjonsinnhenting, holdt ikke for domstolen.
Kommunikasjonsdirektør Janne Stang Dahl i Datatilsynet sier dommen har vekket oppsikt blant kolleger over hele Europa.
– Datatilsynet har et ansvar for å veilede og vi ser at denne problemstillingen skaper et behov for veiledning. Samtidig er det et tema alle datatilsyn nå diskuterer og det er vanskelig å gi krystallklare svar på i øyeblikket. Denne dommen har vekket stor oppsikt i hele Europa og hvor sterk presedens den setter for videre arbeid tolkes ulikt, sier Dahl.
Hun minner om at virksomhetene har ansvar for å overholde loven.
– Det at det ikke er kommet noen konkret veileder for dette, unntar dem ikke for ansvar, sier Stang Dahl, som sier Datatilsynet ikke har noen konkrete planer om å lage en egen veileder for medansvaret til administratorer av Facebook-sider.
Bot er ytterste konsekvens
Partner Jan Sandtrø i advokatfirmaet DLA Piper tror alle bedrifter som opererer i samsvar med EUs nye personverndirektiv, GDPR, vil være trygge for bøter og søksmål.
– I ytterste konsekvens kan man få bot. Jeg har imidlertid liten tro på at det vil bli gitt bøter som en konsekvens for brudd fra Facebook, sier Sandtrø.
Ut ifra hvordan Henrik Dagestad i BDO kjenner Datatilsynet, tror heller ikke han at små norske virksomheter bør frykte milliongebyr.
– Men dersom man blir involvert i et sivilt søksmål i Norge eller et annet europeisk land er det mer uforutsigbart hvor hard linje domstolen vil trekke opp, sier Dagestad.
Må ha kontroll på Facebook
Partner Kristian Foss i advokatfirmaet Bull & Co. mener å opptre i samsvar med GDPR forutsetter en viss kontroll over Facebook.
– Om Facebook bryter ut av den ordningen virksomheter som har felles behandlingsansvar må ha under GDPR, vil man kunne eksponeres for krav og bøter, sier Foss.
Han mener norske bedrifter, idrettslag, organisasjoner og privatpersoner som administrerer en facebookside har tre hovedkonsekvenser å bekymre seg for ved brudd på GDPR-reglene: Renommétap, bøter og erstatningskrav.
– Hvor stor en eventuell bot blir kommer blant annet an på hvor grovt bruddet er, om det er forsettlig, om skaden er forsøkt begrenset, hvilke tiltak som er gjennomført på forhånd og hva slags type data det gjelder, sier Foss.
Partner Arve Føyen i advokatfirmaet Føyen Torkildsen sier selskaper som etter GDPR har tatt kontroll over hvordan de bruker Facebook har lite å frykte.
– Problemet er at det i mange tilfeller er vanskelig å vite nøyaktig hva Facebook gjør med personopplysningene, hvilke tredjeparter som får tilgang til personopplysningene, og nøyaktig hvordan denne ansvarsfordelingen mellom Facebook og en administrator skal fordeles. Her forventer vi at Facebook vil ta dommen til etterretning og spesifisere dette i sine vilkår.(Vilkår)
