Særavtaler mellom norske virksomheter og Facebook hemmeligholdes, og andre får ikke vite hva som må til for at Worplace skal være lovlig å bruke i Norge.

Foto

Justin Tallis/NTB Scanpix.

Jobb-Facebook kan være ulovlig

Publisert: 3. februar 2017 kl 08.13
Oppdatert: 3. februar 2017 kl 08.34

Norske ansatte samhandler stadig oftere gjennom sosiale medier og via chat og video. Nettbaserte samhandlingsverktøy som Workplace by Facebook, Office 365, Skype og Yammer benyttes i 35 prosent av alle norske virksomheter. Det viser tall som HR Norge og Kantar TNS har hentet inn.

Facebook Workplace ble lansert i høst, men allerede seilt opp som tredje mest brukte samhandlingsverktøy. Syv prosent svarer at de benytter seg av Workplace.

Ifølge Facebooks pr-rådgiver i Norden Daniel Nord er Norge et av fem testland i verden der Workplace i størst grad benyttes.

Ettersom flere store, norske aktører som Telenor, Dnb, Elkjøp og XXL har knyttet seg til Workplace, har flere advart mot bruken.

Nye regler fra EU

Eva Jarbekk, partner i advokatfirmaet Føyen Torkildsen og leder av Personvernnemda, er en av dem som minner om at lovgivningen som gjelder personvern er forskjellig på viktige områder i USA og i Europa og Norge.

På sin blogg skriver Jarbekk at de europeiske og norske reglene om personvern må ivaretas når man tar i bruk et amerikansk datasystem. Særlig fordi brudd på disse reglene kan føre til særlig store økonomiske sanksjoner når et nytt EU-regelverk trer i kraft i mai 2018.

Saken fortsetter under annonsen

EU har nemlig vedtatt strengere personvernregler, som også gjelder i Norge, skriver Jarbekk.

Behov for standardavtale

De norske virksomhetene som benytter seg av Facebook Workplace har derfor brukt mye tid på å forhandle frem avtaler for hvordan Facebook skal kunne ta i bruk opplysninger om medarbeidernes adferd i datasystemet deres, ifølge advokaten.

Datatilsynet har godkjent særavtalene mellom virksomhetene og Facebook. Men hva som sto i avtalene ble er ikke kjent for allmennheten.

Når avtalene hemmeligholdes får at ikke andre virksomheter vite hva som må til for at Worplace skal være lovlig å bruke i Norge. Det er spesielt, mener Jarbekk. Hun mener det er behov for en standardavtale for hva man bør få avtalefestet når man skal bruke amerikanske leverandører av slike tjenester.

Virksomheten er ansvarlig

Saken fortsetter under annonsen

Datatilsynet minner om at det er virksomheten som er juridisk ansvarlig når man tilbyr ansatte en tjeneste som Workplace. Virksomheten skal vite hvordan tjenesten fungerer og gjør en risikovurdering av tjenesten, skriver Datatilsynet på sine hjemmesider.

Tilsynet understreker at man må inngå en «databehandleravtale» – en forretningsavtale eller en kontrakt – med leverandøren, som beskriver hvordan personopplysninger skal håndteres.

Uklare vilkår

Datatilsynet advarer mot å inngå avtaler med utgangspunkt i  Facebooks standardvilkår, fordi de er svært uklare. De uklare og svært omfattende vilkårene gjør det vanskelig å forstå hva som skjer med brukerdata som legges inn i Workplace

Det er også en svakhet at Facebooks forbeholder seg retten til å endre personvernvilkårene til enhver tid, skriver Datatilsynet.

Derfor må alle norske virksomheter inngå egne avtaler med Facebook, anbefaler tilsynet, og lister opp minimumskravene for en slik avtale:

Saken fortsetter under annonsen
  • formålet med avtalen og hva Facebook skal gjøre med personopplysningene (brukerprofiler, kommunikasjon, bilder, lokasjonsdata)
  • bruk av underleverandører
  • Facebooks plikt til å ha på plass tilfredsstillende sikkerhetstiltak
  • avtalens varighet og hva som skal skje med opplysningene etter at avtalen er opphørt – om opplysningene skal tilbakeføres eller slettes, og om lagrede sikkerhetskopier skal tilbakeføres eller slettes.
  • hvor ofte det skal foretas sikkerhetsrevisjon
Sjekkliste
søn 20.02.2022 23:47

Datatilsynet har følgende råd til norske virksomheter som vurderer å ta i bruk Workplace:

  1. Risikovurdering av tjenesten: Klargjør hva din virksomhet vil bruke tjenesten til og hvilke retningslinjer for bruk de ansatte skal følge.
  2. Aksepter kun avtalevilkår med Facebook som er saklig begrunnet i levering av tjenesten. Facebook skal ikke bruke personopplysninger til andre formål enn å levere tjenesten. Dette gjelder også ved bruk av cookies.
  3. Klare avtalevilkår: Vit hvordan din virksomhets data blir håndtert, sikret og slettet hos Facebook.
  4. Gi de ansatte tydelig og klar informasjon om hvordan Workplacefungerer og hvordan personopplysninger behandles i tjenesten. De ansatte har rett til å vite hvordan deres personopplysninger blir innhentet og håndtert av Facebook.
  5. Lag interne retningslinjer på arbeidsplassen om bruk av Workplace. Vær også tydelig på hva det ikke er greit å bruke tjenesten til.
  6. Reguler sikkerhetstiltak for å beskytte din virksomhets data, herunder personopplysninger, i den skriftlige avtalen med Facebook. Avtal gjerne at en uavhengig tredjepart skal gjennomføre en jevnlig sikkerhetsrevisjon av Facebook.