Hvordan bruke Workplace på en lovlig måte?
Norske virksomheter som vil bruke Workplace by Facebook må avtale vilkår som setter klare rammer for Facebooks oppdrag som leverandør.
Norske virksomheter som vil bruke Workplace by Facebook må avtale vilkår som setter klare rammer for Facebooks oppdrag som leverandør.
Norske virksomheter som vil bruke Facebooks nylanserte tjeneste Workplace må inngå skriftlig databehandleravtale med Facebook. Databehandleravtalen skal beskrive Facebooks oppdrag som tjenesteleverandør når det kommer til behandling og sikring av personopplysninger.
Les mer om databehandleravtaler
Kommunikasjonsplattformen Workplace (tidligere Facebook at Work) er allerede blitt tatt i bruk som et internt kommunikasjonsverktøy i norske virksomheter, og er egentlig ikke noe prinsipielt nytt. Det er en skytjeneste som driftes på Facebooks servere i Sverige og USA. Det nye er at leverandøren er Facebook. Dette er et selskap som er kjent for omfattende analyse av atferden og interessene til sine brukere til bruk for kommersielle formål. Facebooks inntog på norske arbeidsplasser krever derfor årvåkenhet med tanke på mulige konsekvenser for personvernet.
Workplace ser ut som vanlig Facebook, men er en separat jobbversjon av tjenesten. Her kan ledelsen og ansatte dele informasjon, poste innlegg og chatte om ting som skjer på arbeidsplassen.
Ved bruk av en skytjeneste som Workplace er det viktig å være bevisst på at det er virksomheten som bruker tjenesten som har det overordnede juridiske ansvaret for personopplysningene. Virksomheten er såkalt behandlingsansvarlig og skal vite hvordan skytjenesten fungerer med tanke på personvern og informasjonssikkerhet. Det er tillatt etter norsk personvernrett å bruke skytjenester, men man må gjøre en risikovurdering av tjenesten først. Den behandlingsansvarlige virksomheten må også inngå en databehandleravtale med leverandøren av tjenesten, i denne sammenheng Facebook. Merk at databehandleravtalen ikke trenger å hete «databehandleravtale». Den kan like gjerne kalles for en forretningsavtale eller en kontrakt. Det avgjørende er at avtalen beskriver hvordan personopplysninger skal håndteres av skytjenesten.
Vi har laget en veiledning om bruk av skytjenester. Det kan være nyttig å ta en kikk på den før man går videre i prosessen med å ta i bruk Workplace by Facebook.
Workplace leveres med standardvilkår – ensidig utarbeidet av Facebook. De består av tre dokumenter som dekker personvern, brukervilkår og informasjonskapsler (cookies). Facebook skriver i personvernvilkårene at disse kan bli endret fra tid til annen. Alle brukere av Workplace må følge standardvilkårene ved bruk av tjenesten. I tillegg må virksomhetene godta en kontrakt Facebook har utarbeidet.
Datatilsynets har flere ganger advart mot standardvilkårene fordi de er svært omfattende og til tider uklare. Uklarheten gjør det vanskelig å forstå hva som skjer med brukerdata som legges inn i Workplace. Det er også en stor svakhet at Facebook forbeholder seg retten til å endre standardvilkårene for personvern til enhver tid. Dette er ikke i tråd med personopplysningslovens utgangspunkt hvor det er den behandlingsansvarlige som bestemmer betingelsene for hvordan personopplysninger skal behandles – ikke databehandleren.
Datatilsynet mener de samlede vilkårene rundt Workplace er uklare. Vilkårene som tilbys er ikke ideelle, og enkelte av dem er heller ikke tilfredsstillende. Avtalevilkårene skal sikre relevant, tilstrekkelig, formålsstyrt, trygg og gjennomsiktig behandling av personopplysninger. Disse kravene gjelder også ved bruk av en skytjeneste som Facebook. Vi er ikke trygge på at avtalevilkårene Facebook tilbyr slik de er nå, ivaretar alle disse kravene.
Dette er minimumskravene når en virksomhet skal inngå en avtale med Facebook:
Avtalen skal være gjensidig bindende og skriftlig.
Vi har følgende råd til norske virksomheter som vurderer å ta i bruk Workplace: