Datatilsynet publiserte i slutten av september 2021 rapporten Intern risikovurdering: skal Datatilsynet ha egen side på Facebook? Sluttrapport 2021. På bakgrunn av rapporten meldte Datatilsynet 22. september 2021 at de ikke vil bruke Facebook i sitt kommunikasjonsarbeid.

Flere kommuner har henvendt seg til KS for å få råd om hvordan de skal forholde seg til Datatilsynets avgjørelse. KS Fagråd for informasjonssikkerhet og personvern (Fagrådet) ser nå nærmere på denne problemstillingen, men KS ønsker allerede nå å komme med noen anbefalinger med utgangspunkt i Fagrådets vurderinger så langt.

Kort om Datatilsynets vurdering

Utgangspunktet for vurderingen er Datatilsynets kommunikasjonsarbeid, hvor målet var å opprette en egen side på Facebook. Datatilsynets rapport oppsummerer analyser, vurderinger og konklusjoner av risiko, risikohåndtering og plikter etter personvernregelverket hvis Datatilsynet, som offentlig myndighet, oppretter og kommuniserer gjennom Facebook. Datatilsynets rolle i vurderingen er verken som tilsynsorgan eller ombud, men som en behandlingsansvarlig med plikter etter GDPR.

 

I gjennomføring av vurderingen har Datatilsynet tatt utgangspunkt i egne veiledere og sjekklister for risikovurdering og vurdering av personvernkonsekvenser. Datatilsynet har ikke vært i dialog med Facebook som leverandør. Begrunnelsen er at Datatilsynet ikke vil risikere å blande sin rolle som tilsynsmyndighet og behandlingsansvarlig. Vurderingen er dermed kun basert på offentlig tilgjengelige bruksvilkår som er de samme for alle virksomheter som benytter eller vurderer å opprette en side på Facebook.

Datatilsynet begrunner sin beslutning om ikke å ta i bruk Facebook som kommunikasjonsplattform blant annet med:

  • Behandlingen av personopplysninger gjennom en side på Facebook medfører en høy risiko for den registrertes rettigheter og friheter. Datatilsynet mener at de ikke vil være i stand til å iverksette tiltak som reduserer risikoen i tilstrekkelig grad, men påpeker samtidig at de ikke har vært i kontakt med Facebook.
  • Behandling av personopplysninger på Facebook vil kunne føre til at Datatilsynet og Facebook har et felles behandlingsansvar, og dette kan være utfordrende. Blant annet fordi Datatilsynet ikke vil ha mulighet til å inngå egne avtaler med Facebook, men kun kan akseptere Facebooks standardavtale slik den er.
  • Datatilsynet ønsker å være en rollemodell for personvern, og anser at en lansering av en egen side på Facebook vil være utfordrende i en slik sammenheng.

Hva betyr dette for kommuner og fylkeskommuner?

Kommuner og fylkeskommuner bruker mange kommunikasjonskanaler for å nå frem til innbyggerne, og Facebook er kun én av flere kanaler. Diskusjon og vurderingen om Facebook er relevant også for alle andre kanaler i sosiale medier, for eksempel Twitter, TikTok, YouTube, med mer.   

I Datatilsynets rapport står det at Datatilsynets formål med å opprette en egen side er todelt, hvorav Datatilsynet ønsker for det første å «Opplyse og engasjere norske Facebook-brukere om personvernregelverket, personverntematikk og tilgrensende emner, og informere om Datatilsynets kjernevirksomhet». Videre ønsker de også å «stimulere til debatt om personvernregelverket og personverntematikk, og invitere norske borgere til dialog om og utvikling av personvernområdet og Datatilsynets rolle i samfunnsutviklingen».  

Må gjøre egen vurdering

Fagrådet legger til grunn at kommunene kan ha flere andre formål enn Datatilsynets formål med å bruke Facebook. Kommunene har en annen rolle og andre behov enn Datatilsynet for å være tilgjengelig i de plattformene der publikum er, samtidig som innbyggeres personvern og informasjonssikkerhet må ivaretas. Ansvarlighetsprinsippet i GDPR tilsier at kommunene som behandlingsansvarlig må foreta en egen vurdering av bruken av Facebook. Dette vil si at det er den enkelte kommune selv som må beslutte om Facebook, eller andre sosiale medier, kan brukes innenfor rammen av personvernforordningen eller ikke.

Fagrådet anbefaler følgende til kommunene:

  • Skaffe en oversikt over hvilke kommunale tjenester (enheter) i kommunen som har en Facebook-side og hva de bruker den til (formål).
  • Kartlegge den faktiske bruken av Facebook:
    • Hvor mange er det som følger sidene?
    • Hvilken type informasjon samles inn som følge av kommunes bruk av Facebook?
    • Er Facebook-sidene primært en kanal for enveis kommunikasjon fra kommunens side, eller legges det opp til dialog eller respons?
  • Gjennomgå alle Facebook-sidene med den hensikt å vurdere personvernvennlige innstillinger som tilbys av Facebook og begrense behandling av personopplysninger (dataminimering).
  • Gjennomgå kommunens vurderinger av personvernkonsekvensene etter personvernforordningen artikkel 35 knyttet til kommunens bruk av Facebook og alle andre kanaler i sosiale medier. Hvis det ikke er gjennomført en slik personvernvurdering av bruk av Facebook eller andre kanaler i sosiale medier tidligere, må det gjøres nå.

Kommunene må kartlegge

Det overnevnte kartleggingsarbeidet er noe kommunen må gjøre uansett ved bruk av sosiale media. Basert på kartleggingen vil kommunen ha et bedre grunnlag for å vurdere om Facebook bør benyttes eller ikke til det spesifikke formål.

Videre bemerkes det at det ikke er slik at kommunen på generelt grunnlag ikke kan benytte Facebook. Beslutning om eventuell bruk vil avhenge både av hvilken type informasjon som formidles, om det legges opp til dialog eller ikke, og om det er mulig å begrense behandling av personopplysninger.

Etter ytterligere arbeid i Fagrådet, vil KS ta sikte på å komme med nærmere veiledninger og anbefalinger knyttet til kravene i personvernforordningen til kommunenes egen vurdering av personvernkonsekvensene ved bruk av Facebook i løpet av første kvartal 2022.