Til overvejelse: Når du sender målrettede reklamer gennem Facebook, skal du overholde markedsføringslovens § 3 (erhvervsdrivende skal udvise god markedsføringsskik under hensyntagen til forbrugere, erhvervsdrivende og almene samfundsinteresser). Det siger Forbrugerombudsmanden. Overtræder du alligevel reglerne, skal Facebook så gøre dig opmærksom på det i henhold til databeskyttelsesreglerne?
Det kan være konsekvensen af følgende forordningsbestemte vilkår i Datatilsynets standard for databehandleraftaler:
Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med denne forordning eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
Hvis Facebook ikke benytter Datatilsynets standard, burde vilkåret om databehandlerens underretningspligt ved ulovlig instruks alligevel være en del af databehandleraftalen, da underretningspligten som nævnt er forordningsbestemt, jf. artikel 28(3, andet afsnit).
Underretningspligten omfatter herefter instrukser i strid med “databeskyttelsesbestemmelser i […] medlemsstaternes nationale ret”.
Markedsføringslovens § 3 beskytter netop efter lovbemærkningerne “forbrugerens personlige integritet” og “privatlivets fred”. Så markedsføringslovens § 3 omhandler vel også databeskyttelse?
Er Facebook her databehandler, og handler markedsføringslovens § 3 også om databeskyttelse, skulle Facebook efter alt at dømme nok have kommet Forbrugerombudsmanden i forkøbet og underrettet annoncøren om den mulige overtrædelse.
Er Facebook i stedet dataansvarlig, må Facebook formentlig sidestilles med den, der overtræder markedsføringslovens § 3. Det er nok ikke en position, Facebook ønsker. Så hellere være databehandler i denne sammenhæng.
Og når nu vi er i gang skal e-handelslovens § 16(1) også med. Der står nemlig noget om ansvar for indholdet på sin hjemmeside:
En tjenesteyder er ikke ansvarlig for oplagring af information eller for indholdet af den oplagrede information, når oplagringen sker på anmodning af en tjenestemodtager, der har leveret informationen, og hvis tjenesteyderen
1) ikke har kendskab til den ulovlige eller skadevoldende aktivitet eller information og, for så vidt angår erstatningskrav, ikke har kendskab til forhold eller omstændigheder, hvoraf den skadevoldende aktivitet eller information fremgår, eller
2) fra det tidspunkt, hvor tjenesteyderen får et kendskab som nævnt i nr. 1, straks tager skridt til at fjerne informationen eller hindre adgangen til den.
Det er lidt knudret. Men udgangspunktet er faktisk, at man er ansvarlig for det indhold, der ligger på ens hjemmeside. Så kan man være fritaget for ansvaret under visse betingelser.
I det her tilfælde er Facebook efter ordlyden kun fritaget for ansvar, hvis de ikke havde kendskab til det ulovlige indhold (den ulovlige markedsføring), eller hvis de havde kendskab ikke tog skridt ( i tide) til at fjerne eller hindre adgangen. Og det er jo så en vurderingssag.
Under alle omstændigheder er det sidste nok ikke skrevet om sammenhængen mellem databeskyttelsesreglerne, e-handelsloven og markedsføringsloven. Den kan de jo tage videre med i kantinen i Valby, hvor både Datatilsynet og Forbrugerombudsmanden har til huse på Carl Jacobsens Vej.
De kan passende starte med at drøfte, om og i givet fald i hvilket omfang artikel 28(3, andet afsnit), der udrykkeligt henviser til artikel 28(2h) om tilsyn, vitterligt skal forstås som fastlagt i Datatilsynets standard og som gengivet ovenfor.