Neppe kroken på døren for bedrifters Facebook-sider
22. september ble brukere av Facebooks sider skremt opp av kontorstolene: Datatilsynet meddelte at det ikke ville benytte Facebook-side for sin egen kommunikasjon på grunn av for høy risiko for registrerte personers rettigheter. Vurderingen er forankret i EUs personvernforordning, GDPR, som er gjort til norsk lov.
Både jeg og andre personvernadvokater fått spørsmål om dette betyr at alle virksomheter må nedlegge sine Facebook-sider. Kort sagt er svaret «nei».
GDPR er ikke et regelsett med detaljerte krav eller standardløsninger. Sentralt i GDPR er krav om «egnede tekniske og organisatoriske tiltak» for å oppnå et sikkerhetsnivå ut fra risikoen.
Hva som er tilstrekkelig, er altså et spørsmål om det konkrete risikobildet. Dette fremkommer også av Datatilsynets vurdering, etter en «kartlegging av art, omfang, formål og sammenheng».
Selv om Datatilsynet er kommet til at det er en høy risiko for sin Facebook-side, gjelder det neppe alle aktørers sider. På tilsynets sider kan det for eksempel være sårbare personer som ønsker å dele svært private personopplysninger – mens dette ikke er aktuelt for andre. Tilsynet påpeker selv at det konkluderer «ikke generelt om lovlighet eller ansvarlighet ved å ha en Facebook-side».
Det er derfor først og fremst viktig å gjennomføre forsvarlige vurderinger av risiko og hvordan trusler skal motvirkes. I kanskje de fleste tilfeller vil Facebook-sider være akseptabelt for bedrifter.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.