Hvordan bruke Workplace på en lovlig måte?

Norske virksomheter som vil bruke Facebooks nylanserte tjeneste Workplace må inngå skriftlig databehandleravtale med Facebook. Databehandleravtalen skal beskrive Facebooks oppdrag som tjenesteleverandør når det kommer til behandling og sikring av personopplysninger.

Les mer om databehandleravtaler

Kommunikasjonsplattformen Workplace (tidligere Facebook at Work) er allerede blitt tatt i bruk som et internt kommunikasjonsverktøy i norske virksomheter, og er egentlig ikke noe prinsipielt nytt. Det er en skytjeneste som driftes på Facebooks servere i Sverige og USA. Det nye er at leverandøren er Facebook. Dette er et selskap som er kjent for omfattende analyse av atferden og interessene til sine brukere til bruk for kommersielle formål. Facebooks inntog på norske arbeidsplasser krever derfor årvåkenhet med tanke på mulige konsekvenser for personvernet.

Workplace ser ut som vanlig Facebook, men er en separat jobbversjon av tjenesten. Her kan ledelsen og ansatte dele informasjon, poste innlegg og chatte om ting som skjer på arbeidsplassen.

Virksomheten er juridisk ansvarlig

Ved bruk av en skytjeneste som Workplace er det viktig å være bevisst på at det er virksomheten som bruker tjenesten som har det overordnede juridiske ansvaret for personopplysningene. Virksomheten er såkalt behandlingsansvarlig og skal vite hvordan skytjenesten fungerer med tanke på personvern og informasjonssikkerhet. Det er tillatt etter norsk personvernrett å bruke skytjenester, men man må gjøre en risikovurdering av tjenesten først. Den behandlingsansvarlige virksomheten må også inngå en databehandleravtale med leverandøren av tjenesten, i denne sammenheng Facebook. Merk at databehandleravtalen ikke trenger å hete «databehandleravtale». Den kan like gjerne kalles for en forretningsavtale eller en kontrakt. Det avgjørende er at avtalen beskriver hvordan personopplysninger skal håndteres av skytjenesten.

Vi har laget en veiledning om bruk av skytjenester. Det kan være nyttig å ta en kikk på den før man går videre i prosessen med å ta i bruk Workplace by Facebook.

Facebooks standardvilkår er uklare

Workplace leveres med standardvilkår – ensidig utarbeidet av Facebook. De består av tre dokumenter som dekker personvern, brukervilkår og informasjonskapsler (cookies). Facebook skriver i personvernvilkårene at disse kan bli endret fra tid til annen. Alle brukere av Workplace må følge standardvilkårene ved bruk av tjenesten. I tillegg må virksomhetene godta en kontrakt Facebook har utarbeidet.

Datatilsynets har flere ganger advart mot standardvilkårene fordi de er svært omfattende og til tider uklare. Uklarheten gjør det vanskelig å forstå hva som skjer med brukerdata som legges inn i Workplace. Det er også en stor svakhet at Facebook forbeholder seg retten til å endre standardvilkårene for personvern til enhver tid. Dette er ikke i tråd med personopplysningslovens utgangspunkt hvor det er den behandlingsansvarlige som bestemmer betingelsene for hvordan personopplysninger skal behandles – ikke databehandleren. 

Norske virksomheter må inngå klare avtaler

Datatilsynet mener de samlede vilkårene rundt Workplace er uklare. Vilkårene som tilbys er ikke ideelle, og enkelte av dem er heller ikke tilfredsstillende. Avtalevilkårene skal sikre relevant, tilstrekkelig, formålsstyrt, trygg og gjennomsiktig behandling av personopplysninger. Disse kravene gjelder også ved bruk av en skytjeneste som Facebook. Vi er ikke trygge på at avtalevilkårene Facebook tilbyr slik de er nå, ivaretar alle disse kravene.

Dette er minimumskravene når en virksomhet skal inngå en avtale med Facebook:

• formålet med avtalen og hva Facebook skal gjøre med personopplysningene (brukerprofiler, kommunikasjon, bilder, lokasjonsdata)
• bruk av underleverandører
• Facebooks plikt til å ha på plass tilfredsstillende sikkerhetstiltak
• avtalens varighet og hva som skal skje med opplysningene etter at avtalen er opphørt – om opplysningene skal tilbakeføres eller slettes, og om lagrede sikkerhetskopier skal tilbakeføres eller slettes.
• hvor ofte det skal foretas sikkerhetsrevisjon

Avtalen skal være gjensidig bindende og skriftlig.

Sjekkliste

Vi har følgende råd til norske virksomheter som vurderer å ta i bruk Workplace:

1. Gjennomfør først en risikovurdering av tjenesten. Klargjør hva din virksomhet vil bruke tjenesten til og hvilke retningslinjer for bruk de ansatte skal følge.
2. Aksepter kun avtalevilkår med Facebook som er saklig begrunnet i levering av tjenesten. Facebook skal ikke bruke personopplysninger til andre formål enn å levere tjenesten. Dette gjelder også ved bruk av cookies.
3. Inngå avtalevilkår som er tydelige og klare. Vit hvordan din virksomhets data blir håndtert, sikret og slettet hos Facebook.
4. Gi de ansatte tydelig og klar informasjon om hvordan Workplace by Facebook fungerer og hvordan personopplysninger behandles i tjenesten. Arbeidsgiver plikter å gi de ansatte relevant informasjon og å ivareta deres personverninteresser. De ansatte har rett til å vite hvordan deres personopplysninger blir innhentet og håndtert av Facebook.
5. Lag interne retningslinjer på arbeidsplassen om bruk av Workplace by Facebook, herunder hva det er greit å dele og skrive om. Vær også tydelig på hva det ikke er greit å bruke Workplace by Facebook til.
6. Reguler sikkerhetstiltak for å beskytte din virksomhets data, herunder personopplysninger, i den skriftlige avtalen med Facebook. Avtal gjerne at en uavhengig tredjepart skal gjennomføre en jevnlig sikkerhetsrevisjon av Facebook.

Datatilsynet undersøkte sensommeren 2016 bruken av Facebook at Work (senere Workplace by Facebook) hos Telenor og DNB.