I Datatilsynets innlegg i DN 18. oktober viser tilsynet hvilke spørsmål de mener Facebook bør svare på. Datatilsynet har ikke fått avklart disse spørsmålene og har derfor – etter en grundig risiko- og personvernrettslig vurdering – konkludert med at det ikke kan bruke Facebook til sitt eget kommunikasjonsarbeid, av følgende årsaker:
- Facebook medfører en høy risiko for personvernet til brukerne.
- Det er risiko for at Facebook og Datatilsynet vil ha felles ansvar for enkelte aktiviteter.
- Facebook gir ikke tilstrekkelige garantier for innebygd personvern.
Teknologirådet mener Datatilsynets vurdering bør føre til at flere offentlige aktører legger ned sine Facebook-sider. Oppfordringen er allerede fulgt av Teknologirådet selv og UDI.
Spørsmålet om bruk eller ikke-bruk av Facebook angår dog ikke bare det offentlige, men også private virksomheter i norsk næringsliv.
Datatilsynet må selvsagt, som alle andre virksomheter, gjøre de vurderingene som kreves etter loven, for sin egen drift. Det er imidlertid ikke vanlig at disse vurderingene blir offentliggjort.
Datatilsynet påpeker at vurderingen dreier seg om Datatilsynets egen bruk av Facebook – som ansvarlig for behandling av personopplysninger og ikke som tilsynsmyndighet – og ikke gir uttrykk for en generell vurdering av lovligheten. Likevel vil akkurat denne vurderingen kunne få store praktiske, juridiske og økonomiske konsekvenser for aktører i næringslivet.
Med vurderingen og offentliggjøringen av beslutningen sender Datatilsynet et signal om at alle virksomheter som bruker Facebook og andre sosiale medier, må gjennomføre og dokumentere risikovurderinger med særlig oppmerksomhet om personvernkonsekvensene. Dette kan være både dyrt og krevende og blir enda en byrde på toppen av et regelverk som det allerede er vanskelig å etterleve.
Datatilsynet har en oppgave og en rolle i samfunnet som innebærer at vurderingen det har gjort og beslutningen om å offentliggjøre den kan bli juridisk relevant. Det er naturlig å anta at Datatilsynets vurdering som ansvarlig for egen tilstedeværelse på Facebook også er relevant for hva de mener om andre virksomheters bruk av Facebook.
Tilsynets opptreden medfører derfor i realiteten en blanding av roller som skaper uklarhet og uforutsigbarhet for virksomhetene og som fort vil kunne oppfattes som et forbud.
Datatilsynet kan kreve innsyn fra virksomheter i hvilke vurderinger som er gjort om Facebook. I verste fall kan Datatilsynet bøtelegge virksomheter for manglende risikovurderinger og etterlevelse av EUs personvernforordning (GDPR) for øvrig.
Utfallet kan bli at også andre virksomheter må slutte å bruke Facebook som kommunikasjonskanal
Bare hittil i år har manglende etterlevelse av GDPR ført til at europeiske tilsyn har gitt mer enn 10,4 milliarder kroner i bøter. Det norske Datatilsynet har på sin side i 2021 ilagt bøter tilsvarende 6,7 millioner kroner (19 bøter). Det inkluderer ikke de varslede bøtene på 25 millioner kroner til Disqus og 100 millioner kroner til Grindr.
Utfallet kan bli at også andre virksomheter må slutte å bruke Facebook som kommunikasjonskanal. Det er heller ikke utenkelig at dette gjelder andre sosiale medier- og kommunikasjonsplattformer.
Vi mener det er viktig å påpeke at tilsynets vurdering ikke skal oppfattes som et forbud mot å bruke Facebook som kommunikasjonskanal, men at saken er en påminnelse om at det fordrer at virksomheten vurderer egen bruk og etablerer klarer retningslinjer – som bruk og tagging av navn, bilder osv. – og iverksetter organisatoriske, praktiske og tekniske tiltak.
En annen problemstilling – som Datatilsynet unngår å berøre i sin egen vurdering, men som kanskje er enda viktigere – er at Facebook (og andre sosiale medier) overfører personopplysninger ut av EØS. Det kan gjøre risikoen enda høyere, men er altså ikke dokumentert vurdert av tilsynet.
På toppen av dette kommer at Facebook utvilsomt er en svært viktig kommunikasjons- og markedsføringsplattform i Norge. Hele ni av ti nordmenn over 30 år har en Facebook-profil, og mer enn 3,5 millioner nordmenn bruker Facebook daglig. I 2019 sto markedsføring på internett for over halvparten av det norske annonsemarkedet på 21 milliarder kroner, og andelen øker. Av dette sto Facebook for 2,5 milliarder kroner.
For ordens skyld: Line Coll er fast medlem av Personvernnemnda. Artikkelen er skrevet i rollen som advokat i Wikborg Rein og gir ikke uttrykk for nemndas synspunkt.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.