Norges Datatilsyn fravælger Facebook

Sagen kort

Datatilsynet i Norge besluttede fornylig at lave en grundig vurdering af de databeskyttelsesretlige konsekvenser ved at have en separat virksomhedsside på Facebook. Beslutningen om at vurdere brugen af Facebook blev truffet i forlængelse af, at tilsynsmyndigheden overvejede at oprette en virksomhedsside på Facebook som led i deres kommunikationsarbejde.

Datatilsynet havde ved hjælp af risikovurderinger og en konsekvensanalyse (DPIA) udarbejdet en rapport om brugen af Facebook og de konsekvenser, det ville medføre for de registrerede. Udgangspunktet for rapporten var tilsynsmyndighedens egen brug af mediet som kommunikationsredskab og altså ikke en generel vurdering af lovligheden ved virksomheders benyttelse af Facebook. Datatilsynets rolle i forbindelse med udarbejdelsen af rapporten har således været som organisation og ikke som tilsynsmyndighed.

På baggrund af risikovurderingerne og DPIA konkluderede Datatilsynet, at brugen af Facebook ville indebærer en høj risiko for brugernes rettigheder og friheder, og at Datatilsynet ved at have en virksomhedsside på Facebook ikke ville kunne opfylde alle betingelserne i databeskyttelsesforordningens artikel 26 om fælles dataansvar. Datatilsynet udtalte, at aftalen mellem Facebook og tilsynet var mangelfuld, fordi tilsynsmyndigheden ikke kunne svare på, hvilke personoplysninger der gemmes om brugere, der besøger eller "liker" Facebook-siden. Tilsynsmyndigheden udtalte også, at Facebook ikke gav tilstrækkelige garantier for, at det sociale medie havde indarbejdet databeskyttelse gennem design og standardindstillinger.

På den baggrund traf det norske Datatilsyn beslutning om at fravælge brugen af Facebook i deres kommunikationsarbejde.

Vores bemærkninger

Vi er ikke bekendt med, at andre tilsynsmyndigheder har foretaget en databeskyttelsesretlig vurdering af konsekvenserne ved at have en virksomhedsside på Facebook.

Selvom det norske Datatilsyn fremhæver, at deres rolle i udarbejdelsen udelukkende har været som dataansvarlig, og ikke som tilsynsmyndighed, er rapporten alligevel interessant, hvilket også fremhæves af tilsynsmyndigheden. Alle virksomheder, som har eller ønsker at oprette en side på Facebook, bør udarbejde en risikovurdering. I den forbindelse kan det være nyttigt at hente inspiration i de grundige vurderinger, der er foretaget af den norske tilsynsmyndighed.

Læs nyheden fra den norske tilsynsmyndighed: Datatilsynet velger å ikke bruke Facebook.

Læs risikovurderingen: Risikovurdering.pdf