Datatilsynet godkjenner Facebook at Work
Blant selskapene som var tidlig ute med å erstatte sine intranett med Facebook at Work er Telenor og DNB. I juni uttrykte imidlertid Datatilsynet bekymring over at data om mange tusen norske ansatte ble sendt til utlandet.
Tilsynet vurderte reglementet til Facebooks intranettsystem som «ikke forenlig med personopplysningsloven», fordi internettgiganten forbeholder seg retten til benytte personopplysningene som registeres til egne formål, utover det opprinnelige formålet virksomhetene hadde med å samle opplysningene, skrev DN.
«Dette kan være produktutvikling av andre tjenester i hele Facebook-konsernet, omfattende profilering av ansatte, utlevering av informasjon til tilpasset markedsføring til tredjeparter et cetera. Datatilsynet er kort fortalt bekymret for om personopplysninger i Facebook at work blir behandlet på en legitim og forholdsmessig måte,» skrev tilsynet i et brev da Røros kommune i sommer vurderte å erstatte sitt intranett med Facebooks.
I dag kom derimot meldingen om at Datatilsynet godtar Telenor og DNBs bruk av Facebook-tjenesten.
«Selskapene har inngått egne, spesifikke databehandleravtaler med Facebook som gir virksomhetene kontroll over egne data. I tillegg har både Telenor og DNB inngått EUs standardavtale med Facebook Inc. for beskyttelse av personopplysninger som overføres til Facebooks servere i USA. Virksomhetene har utført egne risikovurderinger for bruk av tjenesten. De ansatte har fått informasjon om hvordan tjenesten fungerer og hvilke interne retningslinjer som gjelder for bruk av tjenesten. Datatilsynet konkluderer på bakgrunn av dette med at de ansattes personvern er ivaretatt for bruk av Facebook at Work hos Telenor og DNB og vi har avsluttet disse sakene», skriver tilsynet i en melding onsdag.
Hemmelig avtale
Bakgrunnen for at Datatilsynet har valgt å godkjenne det nye intranettsystemet er at de aktuelle selskapene har inngått avtaler som omgår standardvilkårene til Facebook. I stedet for å «betale med personopplysninger», som med det normale Facebook folk flest kjenner til, skal de offentlige virksomhetene i Norge som vil bruke Facebook at Work betale en avgift som gir rett til bruk av tjenesten.
«Dette innebærer at brukernes atferd inne i Facebook at Work eller på eksterne nettsider ikke skal måles og analyseres av Facebook for markedsføringsformål. Brukernes atferd i Facebook at Work skal heller ikke brukes til å levere tilpasset markedsføring i brukerens personlige Facebook-konto. Datatilsynet har fått opplyst at det skal være vanntette skott mellom personlig Facebook og Facebook at Work», heter det i meldingen fra Datatilsynet.
Utover det kan ikke Datatilsynet gi noen opplysninger, på grunn av Facebooks strenge krav til konfidensialitet fra virksomhetene som inngår egne forretningsavtaler med selskapet, inkludert bruken av personopplysninger.
«Datatilsynet finner dette problematisk fordi det tilslører hvordan Facebook behandler sine brukerdata. Samtidig har Facebook kommunisert til Datatilsynet at vilkårene for Facebook at Work i fremtiden ikke skal være forskjellige fra virksomhet til virksomhet. Datatilsynet tar dette til etterretning og legger til grunn at Facebook vil tilby alle norske virksomheter akseptable og rimelige personvernvilkår», skriver Datatilsynet.
Datatilsynets «Facebook-sjekkliste»
Datatilsynet i Norge har samlet følgende syv råd til virksomheter som ønsker å ta i bruk Facebook at Work:
-
Gjennomfør en risikovurdering først av tjenesten. Klargjør hva din virksomhet vil bruke tjenesten til og hvilke retningslinjer for bruk de ansatte skal følge.
-
Aksepter kun avtalevilkår med Facebook som er saklig begrunnet i levering av tjenesten. Facebook skal ikke bruke personopplysninger til andre formål enn å levere tjenesten. Dette gjelder også ved bruk av cookies.
-
Inngå avtalevilkår som er tydelige og klare. Vit hvordan din virksomhets data blir håndtert, sikret og slettet hos Facebook.
-
Gi de ansatte tydelig og klar informasjon om hvordan Facebook at Work fungerer og hvordan personopplysninger behandles i tjenesten. Arbeidsgiver plikter å gi de ansatte relevant informasjon og å ivareta deres personverninteresser. De ansatte har rett til å vite hvordan deres personopplysninger blir innhentet og håndtert av Facebook.
-
Lag interne retningslinjer på arbeidsplassen om bruk av Facebook at Work, herunder hva det er greit å dele og skrive om. Vær også tydelig på hva det ikke er greit å bruke Facebook at Work til.
-
Reguler sikkerhetstiltak for å beskytte din virksomhets data, herunder personopplysninger, i den skriftlige avtalen med Facebook. Avtal gjerne at en uavhengig tredjepart skal gjennomføre en jevnlig sikkerhetsrevisjon av Facebook.
-
Inngå avtale om sikker overføring av personopplysninger dersom dataene skal overføres ut av EØS. Facebook har servere i USA: Hvis personopplysninger skal lagres her må overføringen sikres, bruk gjerne EUs standardavtale for overføring til databehandler i usikre tredjeland.
(Kilde: Datatilsynet)