Vi hører stadig oftere om virksomheter som velger å fjerne sin side fra Facebook. I kjernen av diskusjonen står personvernet. Hvilke vurderinger bør dere gjøre i din virksomhet?
Sosiale medier er en gullgruve av informasjon for brukere og virksomheter som vil nå ut til mulige kunder. Hvis dere er en virksomhet som ønsker å dele innhold med bestemte målgrupper, er Facebook et sted med stor rekkevidde og stort potensial, men også et sted det stilles mange spørsmål ved.
Etter at Datatilsynet publiserte sin rapport om at de ikke skulle være til stede på Facebook, har flere virksomheter satt i gang egne vurderinger. Senest forrige uke erklærte Sivilombudet at de forlater Facebook og Instagram.
Datatilsynet påpeker at det ikke er ulovlig for virksomheter å være på Facebook, selv om tilsynet har besluttet ikke å være der. Opprettelse av en Facebook-side og utnyttelsen av denne bør nemlig vurderes på samme måte som når dere vurderer tiltak for å selge produkter eller tjenester. I tilknytning til Facebook vil slike vurderinger være personvernkonsekvensvurderinger og vurdering av ansvarsforhold og behandlingsgrunnlag.
Hva er vanskelig?
Et mye omtalt tema i diskusjonene rundt Datatilsynets rapport er hvem som har ansvaret for det som blir behandlet på Facebook. Det er naturlig at dette temaet opptar plass. For som behandlingsansvarlig har dere et ansvar for å oppfylle rettighetene til dem som «inviteres inn» til å dele personopplysninger med dere. Dere blir altså ansvarlige sammen med Facebook. Hva betyr det?
Juridisk sett er det noe uklart hvor langt et felles behandlingsansvar strekker seg, og det legges opp til en vurdering i hvert enkelt tilfelle. Personvernforordningens artikkel 26 regulerer felles behandlingsansvar, og det er et krav at innholdet i det felles ansvaret formaliseres i en avtale. Avtalen skal beskrive hvordan behandlingsansvaret ivaretas og skal sikre overholdelse av forpliktelsene i forordningen, spesielt de registrertes rettigheter.
Bestemmelsens innhold er skjønnsmessig, det vil si at den overlater den konkrete vurderingen av innholdet og formaliseringen av samarbeidet til de behandlingsansvarlige selv. Dette gir rom for tolkning og åpner for ulike måter å gjennomføre et felles behandlingsansvar på i praksis.
I Facebooks tilfelle løses dette av en generisk avtale som presenteres i deres vilkår sammen med annen informasjon. Nedsiden av denne ordningen er at formaliseringen er ensidig og kun gir et utgangspunkt til egen vurdering.
Svarene på disse spørsmålene bidrar til et bevisst valg fra dere som virksomhet og bør også kommuniseres ut til brukerne som interagerer med dere.
For det er ikke til å stikke under stol at Facebook har tjent godt på at vi velvillig deler våre interesser og aktiviteter med dem. Og vi må anta at Zuckerberg fokuserer på hvordan delingen av informasjon kan utnyttes bedre for virksomhetene som ønsker dette. Facebook blir i så måte en selger av opplysningene.
Du bør derfor ikke kun fokusere på etterlevelsesspørsmål i vurderingen av tilstedeværelse på Facebook, men også ta med i vurderingen hvordan man for eksempel overfører data til USA på en trygg måte. Eller hvordan Facebook mener de oppfyller de registrertes rettigheter.
Et dynamisk område
Vurderingen dere gjør, kan ikke «ferdigstilles» og glemmes. Dere må følge med og justere i tråd med utvikling på området. Er dere som virksomhet i stand til å følge med, endre og oppdatere vurderingene?
Husk gjerne på hvorfor dere tok i bruk sosiale medier i utgangspunktet, sett i lys av utviklingen som har skjedd på området. Det innebærer også et ansvar for å se saken fra flere sider, både ut fra eget behov som virksomhet og deres brukeres personvern. Også de sidene som er lønnsomme for virksomheten skal trekkes inn i vurderingen.
I jussen er det sjelden svart/hvitt, ei heller her. Det viktigste er likevel at vurderingene og dokumentasjonen belyser de utfordringene og mulighetene dere som virksomhet ser ved å være på sosiale medier. Dere må skru til personvernet der dere kan og ta en reell avgjørelse på om dere kan stå inne for vurderingen. Deretter kan dere ta for dere de andre sosiale mediene dere er på.
Keep calm and Facebook on, eller?
Selv med et tilsyn med en klar konklusjon, må dere gjøre deres egen vurdering. Det fine med dette regelverket er at det legger opp til at deres egen virksomhets formål og fokus kan trekkes inn i vurderingen og spille en rolle.
Med gode vurderinger dokumentert, en klar tanke om hvorfor dere er der, og med noen tiltak som gir bedre personvern, er vel svaret at du kan keep calm and Facebook on – inntil videre.
I tillegg til å vurdere personvernkonsekvenser, må man ta vurderingen av virksomhetens interesse for å være på sosiale medier. Er det nyttig å være til stede på Facebook for dere? Med sin utbredelse egner Facebook seg til å nå både et nasjonalt og et internasjonalt marked. Med det store antallet av befolkningen som har en brukerprofil på Facebook, vil dere ha et stort potensial til å nå ut til eksisterende og potensielle kunder, samtidig som dere får verdifull innsikt i hvordan deres innhold får oppmerksomhet fra brukerne på Facebook.
Men det er viktig å stille seg selv spørsmålet: Hva vil du få ut av tilstedeværelsen på Facebook, og hva betyr det eventuelt å ikke være der? Hvordan inviteres brukerne inn til å dele med deg? Hva er formålet og budskapet? Hva er viktig for dere i kommunikasjon med samfunnet? Hva er alternativene?
Innlegget ble først publisert på Digi 23- juni 2022.