Følg oss

Facebook

Dette betyr e-posten du fikk fra Facebook i helgen

Facebook endrer vilkårene for Facebook-sider. Dette må du vite – og et ekspert-tips til hva du bør gjøre.

Helt Digital har bedt advokat Jan Sandtrø gjennomgå de nye vilkårene for Facebook-sider. Sandtrø er en av Norges fremste teknologiadvokater, og han har spesialisert seg på nettopp personvern, GDPR og digital markedsføring.

Kort oppsummert:

  1. En EU-dom i fjor sommer slo fast at Facebook OG administratorer av Facebook-sider et felles ansvar når det brukes informasjonskapsler på Facebook-sidene. 
  2. Vi snakker EUs personvernforordning (GDPR) og vi snakker samtykke – eller manglende sådan. For de nye vilkårene til Facebook går trolig ikke langt nok. 
  3. Facebook dytter mye ansvar over på deg som administrator, og det kan være en idé å legge inn denne lenken i personvernerklæringen på din egen nettside – så har du ryggen fri.
  4. Får du innsynshenvendelser for Facebook-siden din, har Facebook laget et eget skjema som skal benyttes.
  5. Det danske datatilsynet ber administratorer inngå en egen avtale med Facebook (lykke til med det), mens rådet i Norge er å sitte heeelt i ro i båten. Det er det tyske datatilsynet som leder an her. 

Under følger analysen fra Jan Sandtrø:

Shutterstock, By corgarashu
Det er lite du kan gjøre – men om du vil kan du legge inn informasjon på Facebook-siden din, skriver advokat Jan Sandtrø i denne analysen. Foto: Shutterstock

Nye vilkår fra Facebook om Facebook-sider og felles behandlingsansvar

Bakgrunn for endringen

I juni 2018 ble det avsagt en dom i EU-domstolen som medførte at de som hadde opprettet sider på Facebook har et felles behandlingsansvarlig sammen med Facebook for personopplysninger som behandles på siden og bruk av sideinnsikt. 

Nå har Facebook kommet med oppdaterte vilkår for å etterkomme dommen, og dette stiller igjen krav til de som har Facebook-sider.

Dommen i EU-domstolen innebar at den som oppretter en Facebook-side, har et felles behandlingsansvar (som følger av personvernforordningen (GDPR) artikkel 26), sammen med Facebook. 

Dette har den betydning at den som har en Facebook-side, også har et ansvar for behandling av personopplysninger som skjer på siden. 

Man kan ikke bare peke på Facebook, og skyve fra seg ansvaret og over på Facebook.

Facebook har nå nylig kommet med et tillegg til sine vilkår for bruk av innsikt på Facebooksider («sideinnsikt») for å dekke kravene til avtale ved felles behandlingsansvar. Se også mer informasjon fra Facebook om tillegget her

Facebook kom med et tillegg til sine vilkår dagen etter dommen, men dette tillegget var veldig kortfattet og trolig ikke tilstrekkelig dekkende. Facebook har derfor kommet med et oppdatert tillegg, som er ytterligere dekkende.

Det nye tillegget er imidlertid heller ikke dekkende for alle behandlingsaktiviteter som kan skje på en Facebook-side. 

Det er derfor en del ansvar som fremdeles påligger de som oppretter Facebook-sider, bl.a. at man må vurdere selv om man har tilstrekkelig grunnlag for å behandle personopplysninger. 

Noe av utfordringen her, er bruk av cookies og behandling av opplysninger som samles inn på denne måten, samt hvordan samtykke skal innhentes på en lovlig måte. Dette er en større utfordring for alle nettsider som benytter cookies-teknologi, og Facebook er en storbruker av teknologien. 

Ved de nye vilkårene har ikke Facebook kommet med noen løsning på dette problemet, og det er fremdeles uklart hvordan dette skal håndteres ved bruk av Facebook-sider.

To konsekvenser

  1. En konsekvens av at det foreligger et felles behandlingsansvar, er at begge de behandlingsansvarlige har en plikt til å informere brukere av siden om hvordan personopplysninger behandles og overholde rettighetene til de registrerte (dvs. de personopplysningene gjelder) som besøker Facebook-siden. 
  2. En annen konsekvens av at det foreligger felles behandlingsansvar er at Facebook og den som har opprettet Facebook-siden må inngå en avtale (eller «en ordning» som det heter i GDPR), om hvordan de skal oppfylle pliktene etter GDPR.

Dette bør du gjøre

Ønsker du å være «best in class» kan du legge inn informasjon om hvilken behandling du gjør av personopplysninger – som ikke er dekket av addendumet (dette er informasjonen som Facebook oppgir, om man vil linke til det for brukerne sine).

Informasjonen kan du legge inn under «Om» på Facebook-siden din, og ta inn

  • hvilket grunnlag som det behandles personopplysninger etter
  • redegjørelse for bruk av berettiget interesse som grunnlag (om man benytter det)
  • informasjon om addendumet fra Facebook (slik at brukerne er kjent med dette). 

Det mest hensiktsmessige vil som regel være å legge inn en link til sin personvernerklæring, hvor bruken av Facebook-side og sideinnsikt dekkes. 

Merk også hvordan innsynshenvendelser for Facebook-sider og sideinnsikt skal håndteres ved at disse sendes videre til Facebook (på et eget skjema Facebook har laget for slike henvendelser).

‘Sitt stille i båten’

Om du har opprettet og benytter en Facebook-side i dag er det lite du kan gjøre. 

Det er ikke mulig å inngå egen avtale om felles behandlingsansvar med Facebook (selv om det danske datatilsynet mente at man burde gjøre det). 

I Tyskland vil det tyske datatilsynet (de har flere) som brakte saken inn for EU-domstolen i sin tid, fortsette å vurdere bruken av Facebook-sider. 

I Norge vil rådet være å sitte stille til det kommer mer avklaring. 

Det er ikke stort annet man kan gjøre; siden alternativene er enten å slutte å bruke Facebook-sider (som kan vurderes) eller å bare akseptere tilleggene til Facebooks vilkår. 

Bare glem det danske datatilsynets råd om å inngå avtale med Facebook – de svarer ikke på slike henvendelser, og enn mindre inngår de avtaler som de ikke lager selv. 

Du aksepterer også at du ikke kan rette noen krav mot Facebook, og at alle rettssaker mot Facebook i tilknytning til Facebook-sider, må reises for domstolene i Irland. Facebook kan også endre sine vilkår til tider, og den som benytter seg av Facebook-sider aksepterer alle slike endringer ved å fortsette å bruke Facebook-sider og innsikt.

Følg oss