Bruk av MyAnalytics i Microsoft Office 365 etter endringer av brukervilkår

Datatilsynet mener virksomheters bruk av MyAnalytics medfører et krav om at virksomheten gjør en vurdering av personvernkonsekvenser i henhold til artikkel 35, herunder lovgrunnlaget for den typen innsamling.

I Microsoft Office 365 finnes en tilleggsmodul som heter MyAnalytics. Ved å utforske brukerens arbeidsmønstre skal MyAnalytics bistå brukeren i å arbeide smartere, forbedre fokuset, forbedre velværen, nettverket og samarbeidet, få personlig innsikt i sin egen produktivitet og forbedre arbeidsmønstrene til brukeren.

Innstillinger er endret

I Microsoft Office 365 har tilleggsmodulen MyAnalytics vært deaktivert som standardinnstilling (OPTIN), det vil si at det mest personvernvennlige alternativet er satt som standardinnstilling. Ved oppdatering av Office 365 er MyAnalytics aktivert og satt som standardinnstilling (OPTOUT), og det minst personvernvennlige alternativet er satt som standardinnstilling. Det innebærer at virksomhetene selv må gå inn å slå av MyAnalytics.

- Endringer i Microsoft Office 365 sine brukervilkår kan medføre krav om vurdering av personvernkonsekvenser i henhold til artikkel 35 i personvernforordningen, sier Veronica Jarnskjold Buer, teknolog i Datatilsynet.

En systematisk og omfattende vurdering av personlige aspekter ved enkeltpersoner, kan medføre at behandlingsansvarlig også får plikter etter artikkel 35(3(a)), og i dette tilfelle bli omfattet av artikkel 35(4), som er den norske listen over når man må gjøre en vurdering av personvernkonsekvenser.

Krav om den mest personvernvennlige innstillingen

For å være i samsvar med innebygget personvern (artikkel 25 i personvernforordningen), skal behandlingsansvarlig være bevisst på at det stilles krav om at programmer og løsninger har den mest personvernvennlige innstillingen som standardinnstilling.

Når man skriver under på brukervilkårene til Microsoft, godtar man automatisk at brukervilkårene er dynamiske. Det innebærer at Microsoft kontinuerlig kan gjøre endringer i brukervilkårene, uten at virksomhetene må skrive under på enhver ny endring eller oppdatering som Microsoft gjør. Dette kan igjen medføre innføring av teknologi, funksjoner eller moduler, uten at virksomheten er klar over det.

Teknologien, funksjonen eller modulen som innføres, kan også være i manglende samsvar med personvernforordningen, noe behandlingsansvarlig skal avdekke ved risikovurderinger.

Opplysninger om hvordan du jobber

Innsamlingen av personopplysninger som gjøres i MyAnalytics sier noe om den enkeltes måte å jobbe på gjennom arbeidsdagen, både i hva og hvor ofte. 

Justis- og sikkerhetsdepartementet i Nederland har utarbeidet en rapport om DPIA Office 365 ProPlus version 1905 (June 2019)I rapporten mener de at det må gjennomføres en DPIA dersom MyAnalytics skal tas i bruk.

 

19