Det britiske datatilsyn: Bøde til Facebook på 500.000 GBP for manglende samtykke, implementering af passende tekniske og organisatoriske sikkerhedsforanstaltninger

24.10.2018

En forsker på Cambridge University fik adgang til op til 87 millioner Facebook-brugeres personoplysninger gennem appen “thisisyourdigitallife”. Appen gav underviseren adgang til personoplysninger om både de 300.000 brugere, der downloadede appen, og samtidig de 300.000 brugeres ”venner” på Facebook, som ikke selv havde downloadet appen. Appen krævede endvidere, at brugerne gav samtykke til, at der blev indsamlet data om deres venner.

Facebook tillod indsamling af personoplysninger gennem apps til forskningsmæssig og ikke-kommerciel brug, men oplysningerne blev delt og brugt i strid med Facebooks regler i forskellige sammenhænge – blandt andet sandsynligvis i den amerikanske valgkamp i 2016. Datatilsynet fandt, at brugernes oplysninger ikke var sikret tilstrækkeligt, på trods af at Facebooks betingelser ikke tillod, at personoplysninger blev videregivet og brugt kommercielt.

Derudover brød Facebook lovgivningen ved at give app-udviklere adgang til at behandle personoplysninger om deres brugere uden tilstrækkeligt samtykke fra brugerne og ved at give udviklerne adgang til personoplysninger om brugere, der ikke havde downloadet deres app.

Lovbrud

  • Der manglede samtykke fra de personer, der ikke selv havde downloadet appen, til at der blev indsamlet personoplysninger om dem gennem deres venners brug af appen.
  • Behandlingen af personoplysninger var desuden urimelig, fordi Facebook-brugerne ikke vidste eller gav samtykke til, at deres oplysninger blev indsamlet.
  • Der var endvidere heller ikke implementeret passende tekniske og organisatoriske sikkerhedsforanstaltninger, da Facebook ikke havde sikret, at app-udviklerne ikke misbrugte de personoplysninger, de fik adgang til.

Sanktion på GBP 500.000*

*Sanktionen var den maksimale, britiske bødestraf før GDPR. Beløbet havde været betydeligt højere, hvis den var blevet udstedt på baggrund af GDPR.

Formildende omstændigheder

  • Facebook afbrød med det samme appens adgang til Facebook, da de i 2015 blev opmærksom på, at oplysningerne potentielt blev misbrugt.
  • Facebook samarbejdede med databeskyttelseskommissæren i forbindelse med undersøgelsen af Facebook.

Skærpende omstændigheder

  • Facebook var for ineffektive og langsomme i deres forsøg på at få de, der uretmæssigt havde fået adgang til personoplysninger gennem Facebook, til at slette oplysningerne.

Kommentarer

ICO’s afgørelse kan findes her.