Datatilsynet godtar Telenor og DNBs bruk av Facebook at Work

Selskapene har inngått egne avtaler med Facebook som gir dem kontroll med egne ansattes personopplysninger.

Datatilsynet undersøkte sensommeren 2016 bruken av Facebook at Work (senere Workplace by Facebook) hos Telenor og DNB. Selskapene har inngått egne, spesifikke databehandleravtaler med Facebook som gir virksomhetene kontroll over egne data. I tillegg har både Telenor og DNB inngått EUs standardavtale med Facebook Inc. for beskyttelse av personopplysninger som overføres til Facebooks servere i USA. Virksomhetene har utført egne risikovurderinger for bruk av tjenesten. De ansatte har fått informasjon om hvordan tjenesten fungerer og hvilke interne retningslinjer som gjelder for bruk av tjenesten. Datatilsynet konkluderer på bakgrunn av dette med at de ansattes personvern er ivaretatt for bruk av Facebook at Work hos Telenor og DNB og vi har avsluttet disse sakene.

Skal ikke betale med personopplysninger i Norge

Den vanlige Facebook – den som de fleste kjenner til – er gratis å bruke på den måten at man ikke må betale noen avgift for å ha en Facebook-profil. Samtidig er det en kjensgjerning at medlemskapet ikke er gratis. Brukerne betaler med sine egne personopplysninger. For eksempel følger Facebook med på hvilke eksterne nettsider brukeren besøker og leverer tilpasset markedsføring i ettertid basert på disse besøkene. Facebook at Work skal visstnok ikke finansieres slik i Norge. Etter det Datatilsynet kjenner til, skal Facebook at Work finansieres ved at virksomhetene betaler en avgift til Facebook som gir rett til å bruke tjenesten. Dette innebærer at brukernes atferd inne i Facebook at Work eller på eksterne nettsider ikke skal måles og analyseres av Facebook for markedsføringsformål. Brukernes atferd i Facebook at Work skal heller ikke brukes til å levere tilpasset markedsføring i brukerens personlige Facebook-konto. Datatilsynet har fått opplyst at det skal være vanntette skott mellom personlig Facebook og Facebook at Work.

Har fått egne vilkår

DNB og Telenor har i sine avtaler med Facebook ikke benyttet standardvilkårene for Facebook at Work, som ligger ute på internett. Datatilsynets standpunkt er at det var nødvendig å gå bort fra standardvilkårene for å få på plass akseptable vilkår for bruk av personopplysninger. Facebooks standardvilkår er utfordrende med tanke på personopplysningsvernet til den enkelte arbeidstaker. De er malt med bred pensel og er omfattende. Krysshenvisninger mellom ulike policy-dokumenter skaper inntrykk av en uendelig rekke vilkår. Standardvilkårene sier blant annet at Facebook kan bruke personopplysninger som genereres ved bruk av tjenesten til egne formål, slik som utvikling av produkter og tjenester i hele Facebook-gruppen og kobling av data på tvers av egne plattformer. Personopplysningsloven tillater ikke dette. En databehandler skal bare bruke personopplysninger til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet.

Hemmelig avtale

Datatilsynet kan ikke gå ut med hvilke vilkår DNB og Telenor har forhandlet seg frem til. Facebook krever full konfidensialitet fra virksomhetene som inngår egne forretningsavtaler med selskapet, også når det gjelder bruken av personopplysninger. Datatilsynet finner dette problematisk fordi det tilslører hvordan Facebook behandler sine brukerdata. Samtidig har Facebook kommunisert til Datatilsynet at vilkårene for Facebook at Work i fremtiden ikke skal være forskjellige fra virksomhet til virksomhet. Datatilsynet tar dette til etterretning og legger til grunn at Facebook vil tilby alle norske virksomheter akseptable og rimelige personvernvilkår.

Etter at denne artikkelen ble skrevet, skiftet Facebook navn på sin løsning for arbeidsplasser. Den heter nå Workplace by Facebook.

8