Hva slags risiko for personvernet kan det ha når en virksomhet kommuniserer gjennom Facebook? Og hvilket ansvar for behandlingen av personopplysninger har de? Vi har gjort en grundig vurdering av personvernkonsekvensene ved å skulle opprette en egen side på Facebook.
Alle som behandler personopplysninger må selv sørge for å etterleve pliktene i personvernforordningen (GDPR). Pliktene vil også gjelde når en virksomhet tar i bruk sosiale medier, for eksempel ved å opprette en egen side på Facebook.
Et viktig verktøy for å sikre at personvernet til brukerne som er registrert i en løsning ivaretas, er å gjennomføre risikovurderinger og en vurdering av personvernkonsekvensene (Data Protection Impact Assessment, DPIA). Det er dette verktøyet Datatilsynet nå har brukt i vurderingen av Facebook, og som har munnet ut i en rapport.
– Vårt utgangspunkt var å vurdere Facebook til bruk i vårt eget kommunikasjonsarbeid, og målet var å opprette en egen side på Facebook. Rapporten skulle sette oss i stand til å fatte en riktig beslutning. Men vi tror våre vurderinger også vil være av stor interesse for mange andre virksomheter, sier direktør i Datatilsynet, Bjørn Erik Thon.
Datatilsynet har i rapporten konkludert med at vi ikke skal benytte Facebook til egen kommunikasjonsvirksomhet. Vi mener at behandlingen av personopplysninger gjennom å ha en side på Facebook, medfører en for høy risiko for brukernes rettigheter og friheter. Vi vurderer det slik at vi ved en eventuell tilstedeværelse på Facebook ikke ville ha oppfylt alle vilkårene i personvernforordningens artikkel 26 om felles behandlingsansvar, da vi vurderer avtalen mellom Facebook og oss som mangelfull.
– Vi tror at de som hadde ønsket å besøke Datatilsynets side på Facebook, ville hatt en forventning om at vi visste hva som ble lagret dersom de for eksempel klikket "liker" på siden vår, eller hva slags opplysninger som ble registrert bare ved å besøke siden vår. Og det kan vi rett og slett ikke svare på – heller ikke etter gjennomgangen.
Regelverket skiller mellom virksomheter (bedrifter, organisasjoner, offentlige etater) og enkeltpersoner. Personvernforordningen gjelder ikke behandling av personopplysninger som utføres av en person i «rent personlige eller familiemessige aktiviteter». Det betyr at vurderingene i denne rapporten ikke gjelder for privatpersoners bruk av Facebook. (Husk likevel at det finnes egne regler om blant annet ytringsfrihet, ærekrenkelser, åndsverklov og så videre når enkeltpersoner bruker sosiale medier.)
– Oss bekjent er vi den første datatilsynsmyndigheten som gjør en grundig vurdering av det å ha en side på Facebook, med utgangspunkt i pliktene i personvernforordningen. Vurderingen har vært krevende og omfattende, og har åpnet for en rekke vanskelige spørsmål om teknologi, juss og etikk. Vi tror mange virksomheter vil ha nytte av å se et eksempel på bruk av DPIA i praksis, sier Bjørn Erik Thon, som understreker at de vurderingene som er gjort, kun gjelder Datatilsynets egen bruk av Facebook. Dette er altså ikke en generell vurdering av lovligheten av å bruke Facebook i virksomheters kommunikasjonsarbeid.
Datatilsynets rolle i vurderingen er verken som tilsynsorgan eller ombud, men som en behandlingsansvarlig med plikter etter personvernforordningen. Som behandlingsansvarlig virksomhet har Datatilsynet ansvar for å oppfylle pliktene i forordningen, akkurat som alle andre virksomheter som behandler personopplysninger. Vi har tatt utgangspunkt i vår egen veileder og sjekkliste for risikovurdering og vurdering av personvernkonsekvenser i gjennomføringen.
Datatilsynet har ikke involvert Facebook i risikovurderingen. Dette på grunn av at vi ikke ville risikere å blande våre roller som tilsynsmyndighet og behandlingsansvarlig. Risikovurderingen er dermed basert på det samme kildegrunnlaget og de samme vilkårene som for alle andre virksomheter som benytter eller vurderer å opprette en side på Facebook.
– Vår tilnærming er bare én måte å gjøre det på. Alle vurderinger og bidrag på dette feltet er velkomne, og regelverket gir rom for stor fleksibilitet i metode, gjennomføring og ressursbruk. Men vi ønsker særlig å starte en debatt om det offentliges bruk av sosiale medier, sier Bjørn Erik Thon.
Ved å bruke gratis tilgjengelige verktøy fra de store teknologiselskapene, inviterer nærmest offentlige virksomheter kommersielle aktører til å samle inn og bruke data om norske innbyggere. Samtidig skapes det et avhengighetsforhold som det kan bli vanskelig å fri seg fra ettersom det finnes få alternative tjenestetilbydere.
Risikovurdering: Skal Datatilsynet ha side på Facebook? (PDF)
I rapporten gjøres det først en systematisk beskrivelse av behandlingen av personopplysninger som skjer ved å ha en side på Facebook. Målet er at vi som behandlingsansvarlig skal få en fullstendig oversikt over behandlingen, og sørge for at beskrivelsene er så komplette og tydelige som mulig. Beskrivelsene omfatter behandlingens art, omfang, formål, sammenheng, kilder og mottakere, samt en vurdering av løsningens informasjonssikkerhet.
Vi mener at behandlingen av personopplysninger gjennom en side på Facebook, medfører en høy risiko for de registrertes rettigheter og friheter. Som eier av en Facebook-side, vil vi ikke være i stand til å iverksette tiltak som reduserer risikoen i tilstrekkelig grad.
Arbeidsgruppen har videre forsøkt å kartlegge det juridiske ansvarsforholdet. Rollene og ansvaret i sosiale medier har blitt fremhevet gjennom rettspraksis fra EU-domstolen. Spesielt to dommer, Wirtschaftsakademie og Fashion ID, viser at samspill mellom sosiale medier og andre aktører kan føre til felles ansvar etter personvernforordningens artikkel 26.
Vår vurdering er at Datatilsynets tilstedeværelse på Facebook ikke vil oppfylle alle vilkårene i artikkel 26 om felles behandlingsansvar. Datatilsynet vil heller ikke ha mulighet til å inngå egne avtaler med Facebook.
Videre har arbeidsgruppen vurdert behandlingens nødvendighet og proporsjonalitet. Målet er å sikre at valgene vi som behandlingsansvarlig gjør, er legitime og utført slik at behandlingen står i rimelig forhold til formålene. Vi har vurdert hvorvidt personvernprinsippene (artikkel 5, 6 og 9), de registrertes rettigheter (artikkel 12-22) og de registrertes friheter (fortalen 4 og EMK 8) er ivaretatt.
På tross av at vi som eier av en Facebook-side selv vil ha en intensjon om å ivareta rettslig grunnlag, personvernprinsippene og de registretes rettigheter og friheter, er vi prisgitt Facebook og deres vilkår ved å ta i bruk en side på plattformen. Imidlertid legger vi i rapporten frem noen tiltak som kan bedre personvernvilkårene for den enkelte.
Innebygd personvern og personvern som standardinnstilling er et sentralt krav i personvernregelverket. Kravet bør også inkluderes når man inngår avtaler med leverandører.
Som behandlingsansvarlig klarer vi ikke se at Facebook gir oss tilstrekkelige garantier for at dette er en plattform som har innebygd personvern eller personvern som standardinnstilling.
Basert på kartleggingen og vurderingene av nødvendighet og proporsjonalitet, fant vi at det var høy risiko for den registrertes rettigheter og friheter. Derfor gjennomførte vi en vurdering av personvernkonsekvenser etter forordningens artikkel 35 (en såkalt DPIA).
Dette er en prosess hvor vi snur perspektivet og ser behandlingen fra den registrerte sin synsvinkel. Vi beholder personvernfokuset, men vurderer reell medbestemmelse, åpenhet og forutsigbarhet ved behandlingen fra Facebook-brukerens perspektiv. Dette for å kontrollere om behandlingen likevel kan gjennomføres på en måte som er akseptabel og tillitsskapende overfor dem personopplysningene gjelder.
Arbeidsgruppen rådførte seg også med Datatilsynets eget personvernombud.
Arbeidsgruppen la frem vurderingene for ledelsen i henhold til forordningens ansvarsprinsipp. Med bakgrunn i rapporten, som inkluderer arbeidsgruppens og personvernombudets anbefalinger, besluttet ledelsen at Datatilsynet ikke skal opprette og kommunisere gjennom en egen side på Facebook.
Nei, ikke nødvendigvis. Datatilsynet har publisert en rapport om vår egen bruk av Facebook. Vi uttaler oss der ikke generelt om lovlighet eller ansvarlighet ved å ha en Facebook-side eller konto i andre sosiale medier. Vi har som behandlingsansvarlig virksomhet kommet frem til at vi ikke ønsker å ta i bruk Facebook i vår egen kommunikasjonsvirksomhet. Alle virksomheter må gjøre egne vurderinger og er selv ansvarlige for å oppfylle kravene i personvernforordningen.
Les om Datatilsynets egen vurdering av tilstedeværelse på Facebook
Ja. Personvernforordningen stiller krav til alle som behandler personopplysninger. Virksomheter er selv ansvarlige for å oppfylle pliktene i regelverket. Et verktøy for å sikre at personvernet til de som er registrert i en løsning ivaretas, er å gjennomføre risikovurderinger og vurdering av personvernkonsekvenser (Data Protection Impact Assessment, DPIA).
Les vår veiledning om vurdering av personvernkonsekvenser
Les om Datatilsynets egen vurdering av tilstedeværelse på Facebook
Nei. Personvernregelverket skiller mellom virksomheter (bedrifter, organisasjoner, offentlige etater) og enkeltpersoner. Personvernforordningen gjelder ikke behandling av personopplysninger som utføres av en person i "rent personlige eller familiemessige aktiviteter". Husk likevel at det finnes egne regler om blant annet ytringsfrihet, ærekrenkelser, åndsverklov og så videre når enkeltpersoner bruker sosiale medier.
Les mer om personvern i sosiale medier
Les om Datatilsynets egen vurdering av tilstedeværelse på Facebook
Direktør Bjørn Erik Thon og avdelingsdirektør Veronica Buer avlegger et besøk i studio for å reflektere over de teknologiske, juridiske og etiske vurderingene og dilemmaene bak beslutningen.
