Personvernforordningen slår fast at to eller flere behandlingsansvarlige kan ha et felles behandlingsansvar hvis de i felleskap beslutter formålet og de avgjørende midlene i behandlingen. EU-domstolen avsa i juli 2019 en dom som får konsekvenser for alle norske nettsteder som bruker Facebooks Like-knapp og liknende “plugins”.
Saken gjaldt en nettbutikk, som hadde implementert en Facebooks Like-knapp som, uavhengig av om brukeren klikket på knappen, straks sendte data til Facebook når man besøkte nettstedet. Domstolen tok stilling til hvilket ansvar nettbutikken hadde for denne behandlingen av personopplysninger og kom frem til at nettstedet og Facebook har felles behandlingsansvarlig, selv om nettstedet ikke har adgang til dataene. Det felles behandlingsansvaret dekker innsamlingen og overføringen av personopplysninger til Facebook, men ikke hva Facebook senere gjør med dataene.
Datatilsynets foreløpige vurdering “er at i alle fall offentlige nettsteder må be om gyldig samtykke før overføring av personopplysninger gjennom plugins til Facebook og liknende medier.” For andre nettsteder mener Datatilsynet i sin kommentar til dommen at “det er ikke usannsynlig at også private nettsteder må ha forutgående samtykke.” En annen konsekvens er at de behandlingsansvarlige må avtale en ordning som fordeler det respektive ansvaret for etterlevelse av GDPR. Avtalen må være på plass før “plugin-en” kan brukes.
