Spørsmål om Facebook - Datatilsynet svarer
Da Datatilsynet offentliggjorde at de ikke kan være på Facebook, dukket det opp mange spørsmål. Her svarer de.
Kommunikasjonsforeningen arrangerte i slutten av september en panelsamtale der Datatilsynet la fram sin rapport med begrunnelse for hvorfor de ikke kan være på Facebook. Du kan se opptak av seminaret over. Rundt 500 fulgte seminaret, og spørsmålene til Datatilsynet og direktør Bjørn Erik Thon (bildet øverst) var for mange til at de kunne besvares på arrangementet. Her svarer derfor Datatilsynet, ved kommunikasjonsrådgiver Anders Ballangrud, på det flest lurte på:
1: Dekker Datatilsynets vurdering også Facebook-eide tjenester som Messenger og Instagram?
Datatilsynet har ikke gjort noen konkret analyse av Messenger eller Instagram. Likevel tror vi at Datatilsynets vurdering av det å ha en side på Facebook kan være et godt utgangspunkt for å gjøre en vurdering av disse plattformene.
2: Dekker Datatilsynets vurdering andre sosiale medier som Twitter, LinkedIn, Snapchat eller TikTok?
Nei. Imidlertid kan virksomheter benytte samme fremgangsmetode for å gjøre risikovurderinger og vurdering av personvernkonsekvenser av andre sosiale medier. Det kan være verdt å merke seg at det føderale datatilsynet i Tyskland, BFDI, har gitt offentlige myndigheter beskjed om at de bør legge ned Facebook-sidene sine innen nyttår. Den samme anbefalingen gjelder apper som Clubhouse, Tik Tok og Instagram inntil ytterligere undersøkelser foreligger. Datatilsynet følger med på denne utviklingen, men har ikke gitt noen anbefaling om å legge ned kontoer, utover å gjøre en risikovurdering.
3: Når privatpersoner oppretter Facebook-profil, er de ikke selv ansvarlig for egen deling av personopplysninger?
Personvernregelverket skiller mellom virksomheter (bedrifter, organisasjoner, offentlige etater/organer) og enkeltpersoner. Personvernforordningen (GDPR) gjelder ikke behandling av personopplysninger som utføres av en person i «rent personlige eller familiemessige aktiviteter», som for eksempel å opprette en konto på sosiale medier. En virksomhet som benytter en side på Facebook, bidrar imidlertid til å tilrettelegge for en rekke behandlinger av personopplysninger om brukere på plattformen og er derfor medansvarlig for en del av denne behandlingen.
4: Er ikke Facebook underlagt GDPR?
Jo. Facebook er underlagt GDPR (personvernforordningen) når de behandler personopplysninger om europeiske, herunder norske, borgere. Facebook er derfor ansvarlige for å oppfylle sine plikter etter forordningen.
5: Mener dere at Facebook følger EUs regler for vern av personopplysninger?
Datatilsynet har ikke vurdert om Facebook følger EUs regler for vern av personopplysninger. Vi har kun publisert en rapport om hvorvidt vi selv vil ta i bruk Facebook eller ikke. Vi har konkludert med at vi ikke ønsker å ha felles behandlingsansvar med Facebook. En av grunnene er at vi ikke vet godt nok hva som skjer med brukernes (de registrertes) data.
Vi har med andre ord ikke gjort et tilsyn av Facebook, og vi har heller ikke myndighet til det. Selskapets hovedetablering i Europa ligger i Irland, og et eventuelt tilsyn må derfor foretas av det irske Datatilsynet. Overfor norske virksomheter er det viktig å få frem at personvernforordningen stiller krav til alle som behandler personopplysninger, også de som har en side på Facebook. Virksomheter er selv ansvarlige for å oppfylle pliktene i regelverket.
6: Risikerer offentlige virksomheter å bli bøtelagt for brudd på personvernlovgivningen ved å være på Facebook?
Ikke uten at Datatilsynet eventuelt fører et konkret tilsyn og vurderer at det er skjedd et brudd. Datatilsynet har per nå gjort en vurdering av Facebook og eget behandlingsansvar. I første omgang ønsker vi å skape debatt og sette søkelyset på personvernperspektivet og alle dilemmaene som det å bruke sosiale medier innebærer. Vi oppfordrer på det sterkeste alle virksomheter til å gjøre egne vurderinger. De er selv ansvarlige for å oppfylle kravene i personvernforordningen. Samtidig mener Datatilsynet at offentlig sektor bør ta et særlig ansvar for å ikke dele brukeres data med kommersielle aktører, men vi har ikke på nåværende tidspunkt gjort konkrete vurderinger om vi vil føre tilsyn med en slik praksis.
7: Hvilke momenter må en virksomhet se på i en intern vurdering?
Bruk av sosiale medier gjør at ulike verdier kommer i konflikt med hverandre. Personvern må ofte balanseres mot interesser av vidt ulik karakter. Virksomheten er selv ansvarlig for å veie disse interessene opp mot hverandre. I vurderingen er det viktig å reflektere rundt hvilke systemer og løsninger man bruker, og hvordan man skal sikre personopplysningene virksomheten behandler. Risiko som kan knyttes til en behandling må for eksempel veies opp mot formål og interesser for bruk av siden, hvilken informasjon som gis og samles inn og hvilken funksjon og rolle virksomheten har. Se Datatilsynets veileder for interesseavveiing.
8: Hvorfor skiller dere mellom offentlige og private aktører - er ikke reglene de samme?
Jo, reglene er de samme for offentlige og private virksomheter. Datatilsynet mener imidlertid at offentlig sektor bør ta et særlig ansvar for å ikke tilrettelegge for og dele data om folk med kommersielle aktører. Offentlige virksomheter har heller ikke økonomiske interesser av å bruke Facebook.
9: Hvem skal gi føringer for dette hvis ikke Datatilsynet kan gjøre det?
Personvernregelverket legger opp til at den enkelte virksomhet må gjøre egne vurderinger og er selv ansvarlige for å oppfylle pliktene i regelverket. Vi deler vår rapport og våre interne vurderinger fordi vi tror mange virksomheter har nytte av å se en personvernkonsekvensvurdering i praksis.
Før en ny tjeneste tas i bruk, for eksempel en hjemmeside eller en Facebook-side, skal det gjennomføres en risikovurdering og en vurdering av personvernkonsekvenser (Data Protection Impact Assessment, DPIA). Dette har de færreste gjort. Vi oppfordrer alle til å ta tak i dette nå, bruke malen vi har utarbeidet og sette av ressurser til en skikkelig vurdering. Personvern har endret seg kraftig de siste årene. Å følge personvernreglene er like viktig som å beregne riktig skatt eller sørge for at forurensningsloven eller arbeidsmiljøloven følges. De virksomhetene som ikke har kompetanse innomhus, bør vurdere å skaffe slik kompetanse eksternt, på samme måte som de bruker eksperter på skatterett eller HMS.
