Datatilsynet dropper Facebook
Datatilsynet mener risikoen ved å ha en Facebook-side er for stor. - Vi kunne ikke gå god for databehandlingen, sier direktør Bjørn Erik Thon. Han håper rapporten Datatilsynet legger frem i dag vil gjøre andre aktører mer bevisste.
Saken er oppdatert med svar fra Facebook, 22. 9. 21 kl.14.58. Les svaret lenger ned i saken.
Datatilsynet vurderte å få seg en Facebook-side for å kommunisere med folk, spre kunnskap og skape nye arenaer for veiledning og debatt – altså av samme grunner som mange andre virksomheter er på plattformen. Etter en grundig vurdering har de konkludert med at det ikke blir noen Facebook-side for dem.
- Vi kunne ikke gå god for databehandlingen. Vi får ikke god nok kontroll på data som behandles gjennom en Facebook-side. De som ville besøkt Datatilsynets Facebook-side, ville forventet at vi kunne svare på hva opplysningene om deg blir brukt til. Det vet vi ikke. Det er kjernen, sier Datatilsynets direktør Bjørn Erik Thon til Kommunikasjon.
Datatilsynet peker på at det ikke vil være mulig å inngå en egen avtale med Facebook, og mener Facebooks standardavtale ikke er tilstrekkelig for å oppfylle personvernforordningen / GDPR (se faktaboks under).
Opp til hver enkelt
Nå er spørsmålet hva denne konklusjonen betyr for alle de andre virksomhetene som er aktive på Facebook. Rapporten påpeker at det å ha en «side» på en sosiale medier-plattform, som regel medfører en ganske omfattende behandling av personopplysninger.
Bjørn Erik Thon understreker likevel at Datatilsynets rapport ikke betyr at andre virksomheter har gjort noe ulovlig ved å være på Facebook.
- Vi sier ikke at det er noen som ikke bør være på Facebook. Hver virksomhet må gjøre sine egne vurderinger. Men det er superviktig å ha en refleksjon rundt hvilke nettsteder man bruker, og hvordan man skal sikre dataene til de som besøker siden. Alle som har en hjemmeside eller app eller Facebook-side er selv ansvarlig for dette, påpeker han.
Se hva styreleder i Kommunikasjonsforeningen, Svein Inge Leirgulen, mener kommunikasjonsfolk nå bør gjøre, lenger ned i saken.
- Datatilsynet har hatt teknologer, jurister og en medieviter til å vurdere risikoen. For de som ikke har ressurser til en så omfattende risikovurdering - er det tryggest å komme seg bort fra Facebook?
- Det ville vært en altfor dramatisk beslutning. Vi er et datatilsyn og veldig opptatt av å ha den kontrollen. Vi skal være en rollemodell for andre når det gjelder personvern. Andre virksomheter kan komme til andre konklusjoner. Men jeg håper at offentlige etater som er på Facebook nå tar en vurdering av sin egen bruk, i lys av vår rapport, uten at det er noe vi kan pålegge dem.
Thon nevner flere forhold som gjør at andre kan komme til å konkludere med at å være på Facebook er ansvarlig for deres virksomhet. Som hva de bruker Facebook-siden til, hvilken informasjon man gir til de som bruker Facebook-siden, hvilken funksjon eller rolle virksomheten har, samt om de har ressurser til å følge med på de stadige endringene i hva Facebook samler av data.
Ikke vurdert andre sosiale medier
Datatilsynet har ikke vært i kontakt med Facebook, og har heller ingen planer om det med det første.
- Vi regner med at vår rapport vil skape en diskusjon om hvordan man forholder seg til et av verdens største nettsteder. Så får vi se hva Facebook eventuelt sier. Facebook er både lydhøre og mulige å snakke med, så vi skal ikke se bort fra at denne debatten kan skape bevegelse. Kanskje vil flere gå sammen og kreve av Facebook at de har større åpenhet om hva de bruker dataene til, sier Thon.
Datatilsynet har ikke gjort noen vurdering av Facebook-eide Instagram. Direktøren mener de er først i verden med en så grundig risikovurdering av Facebook. Datatilsynet opplyser at lederen for det føderale datatilsynet i Tyskland, BFDI, har gitt offentlige myndigheter beskjed om at de bør legge ned Facebook-sidene sine innen nyttår. Dette på grunn av manglende samsvar med GDPR, og Schrems II-dommen. Den samme anbefalingen gjelder apper som Clubhouse, Tik Tok og Instagram inntil ytterligere undersøkelser foreligger.
Ingen planlagte kontroller
Datatilsynet påpeker at de i denne konkrete saken ikke opptrer som tilsynsorgan eller ombud, kun som en virksomhet som skulle vurdere en mulig tilstedeværelse på Facebook.
- Vil dere følge opp med kontroller av virksomheter på Facebook?
- Vi har ikke tatt stilling til oppfølging. Vi ser nå først om det kommer gode innspill som vi kan lære mer av. Det er ikke alt som har to streker under svaret, sier Thon.
Datatilsynets rapport var klar allerede mars 2020, men offentliggjøringen har vært utsatt i flere omganger på grunn av koronapandemien, ferier og Stortingsvalget.
Les Datatilsynets rapport her, inkludert mal for risikovurdering.
Facebook: Vil at det offentlige skal kunne bruke plattformen
- Det er viktig for oss at offentlige instanser kan bruke Facebook sider for å kommunisere med mennesker på vår plattform, på en måte som ivaretar personvern. Det skriver Lukasz Lindell, Facebooks Corporate Communications Manager for Norden, i en e-post til Kommunikasjon.
Lindell påpeker at Facebook trenger tid til å få full forståelse for den drøyt 30 sider lange rapporten fra Datatilsynet, som ble offentliggjort i dag, og at de per nå ikke kan svare på de konkrete spørsmålene fra Kommunikasjon. Vi spurte hvordan Facebook vil følge opp rapporten, om de frykter at flere virksomheter vil følge Datatilsynets eksempel, og om de vil vurdere å øke åpenheten rundt behandling av data.
Lukasz Lindell skriver videre:
- Vi snakker gjerne med Datatilsynet for å svare på eventuelle spørsmål de måtte ha. På slutten av 2019 oppdaterte vi Sideinnsiktstillegget og tydeliggjorde ansvaret Facebook og sideadministratorer har, da tok vi spørsmål om åpenhet i databehandling med i betraktning.
Datatilsynet mener det ikke er mulig for dem å vite hva Facebook bruker dataene de samler inn til. Lindell skriver:
- Vi buker informasjonen vi samler til å personalisere din opplevelse, forbedre vår service og holde brukersamfunnet vårt sikkert. Ikke bare har vi beskrevet i vår data policy hvordan vi behandler brukeres personlige data. Vi har også gitt brukere verktøy til å se, forstå og administrere informasjonen de deler med oss. Vi har også delt informasjon om dette kontinuerlig, for eksempel i bloggpostene: Personalized Advertising and Privacy Are Not at Odds, A Path Forward for Privacy and Online Advertising og Updating Our Data Access Tools.
Oppfordrer alle til å vurdere risiko
Svein Inge Leirgulen, styreleder i Kommunikasjonsforeningen og kommunikasjonsdirektør i Tekna, mener Datatilsynets Facebook-vurdering kan få mye å si for kommunikasjonsfolk.
- Dette vil ha betydning for kommunikasjons- og markedsavdelingene. Datatilsynet har her gått foran med beste praksis på risikovurdering. Når de viser så tydelig metodikken for å vurdere risko, er det vanskelig å ignorere arbeidet de har gjort.
Leirgulen oppfordrer alle som har dialog med sin omverden på Facebook til å lese rapporten, forstå metodikken og det som ligger i personvernforordningen.
- Alle som bruker Facebook som kanal skal gjøre en slik vurdering, men jeg vil tro at de færreste har gjort en så grundig evaluering, sier han.
- Vi trenger svar
- Dette er et kjempestort spark og et varsko til de som eier plattformene, om at mye må endres for å oppfylle GDPR. Det leser jeg ut av dette dokumentet. Oppfyller det ikke GDPR, kan man ikke bruke plattformen. Og hva med Twitter, Instagram, Tiktok? Alle disse er samhandlingsplatformer, med ulike måter å behandle data på, sier han og tilføyer:
- Jeg er veldig nysgjerrig hvordan Facebook og andre plattformer vil respondere. Dette har åpnet opp boka på at Datatilsynet mener ting ikke fungerer. De mener de ikke vil klare å oppfylle GDPR, og derfor er de ikke med. Spørsmålet da blir hva skal Facebook gjøre for å oppnå det? Og vi trenger svar.
- Når Datatilsynet har konkludert med at de ikke kan være på Facebook – ser du for deg at andre skal kunne konkludere med at de kan være der?
- Jeg klarer ikke helt å se det. Bruker man Facebook bare til å poste, er det kanskje ikke så farlig - bruker man det mer til dialog, kan det kanskje være mer problematisk? Jeg klarer ikke å se konsekvensene av dette ennå. I verste fall krever det veldig masse jobb for å sikre at man oppfyller GDPR. Dette er jo advokatmat – det blir også et spørsmål hvordan kommunikasjonsfolk skal forholde seg til det.
Både i Tekna og i Kommunikasjonsforeningen vil det gjøres nye risikovurderinger av bruken av Facebook i lys av den nye rapporten, opplyser Leirgulen.
- Her er det så mange store spørsmål og så mange dilemmaer at vi må få mer innsikt. Vi vil sette dette på agendaen. Det ligger også i kortene at Facebook må komme på banen og forklare hvordan ting henger sammen.
- Tror du dette ender med at mange bedrifter dropper sosiale medier, eller tror du sosiale medier ender med å måtte tilpasse seg?
- Jeg håper det siste.
Bakgrunnen for Datatilsynets vurdering er personvernforordningen (General Data Protection Regulation, GDPR) som ble innført i 2018. Den ga innbyggerne nye rettigheter, og tilsvarende fikk virksomhetene større ansvar for behandlingen av personopplysninger. For å oppfylle kravene i forordningen, har både offentlige og private virksomheter måttet gjennomgå den delen av sin praksis som innebærer behandling av personopplysninger. Bruk av sosiale medier vil være en del av dette. Datatilsynets kartlegging og analyse er primært basert på Facebooks personvernerklæring og annet offentlig tilgjengelig materiale fra Facebook. Kilder: Intern risikovurdering: Skal Datatilsynet ha sin egen Side på Facebook? Sluttrapport 2020. Datatilsynet.no.FAKTA: GDPR / Personvernforordingen
Siste saker
Har du lest disse?