Kan vi som arbeidsgiver i Norge bruke skytjenester som Facebook?

Skandalen om Cambridge Analytica som har utnyttet Facebook

Forrige uke sprakk nyheten om at det britiske kommunikasjonsbyrået Cambridge Analytica hadde fått tak i personopplysninger fra 50 millioner Facebook-brukere. Selskapet samlet inn opplysningene via appen «thisisyourdigitallife» ved at noen få tusen amerikanere svarte på personlige spørsmål.

Selskapet samlet i tillegg inn personopplysninger via disse personenes Facebook-venner. Cambridge Analytica fikk tilgang til personlige profiler om 50 millioner mennesker som senere ble solgt til blant andre Donald Trumps valgkampstab. Dermed kunne valgkampstaben til Trump sende personlige annonser til velgere som var i tvil og dermed forsøke å få disse til å stemme på Trump.

Både EU og USA har nå kalt Facebook inn på teppet for å få forklart hvordan dette kunne skje. Facebook falt over 500 milliarder kroner i verdi på to dager etter denne nyheten kom om at personopplysninger har blitt stjålet og brukt av intetanende Facebook-brukere.

Andrea Jelinek, som er lederen av EUs ekspertgruppe for personvern, kom med følgende uttalelse som reaksjon på avsløringene om Cambridge Analytica:

“As a rule personal data cannot be used without full transparency on how it is used and with whom it is shared. This is therefore a very serious allegation with far-reaching consequences for data protection rights of individuals and the democratic process. ICO, the UK´s data protection authority, is conducting the investigation into this matter. As Chair of the Article 29 Working Party, I fully support their investigation. The Members of the Article 29 Working Party will work together in this process.”

Fredag 23. mars 2018 la Justis- og beredskapsdepartementet frem forslag til ny personopplysningslov som gjennomfører EUs personvernforordning (GDPR). GDPR tar sikte på å redusere risikoen for slike personvernkrenkelser som de 50 millioner Facebook-brukere har blitt utsatt for, men GDPR gjelder for brukere i EU/EØS.

Vi må som privatpersoner være bevisste på hva vi foretar oss på nettet

Denne skandalen viser mange ting – blant annet at ingenting er gratis, heller ikke skytjenester. Når en stor global tjeneste som Facebook er gratis å bruke, er det fordi det er du som bruker som er produktet.

Ved å fortelle Facebook om dine interesser, svare på spørreundersøkelser, trykke på Likes, hvilke videoer du ser på, hvor mye tid du bruker på ulike innlegg og kommentere andres poster, gir du samtidig fra deg en rekke personopplysninger. Du gir til og med fra deg informasjon om du starter å skrive noe som du velger ikke å publisere. Din nettaktivitet etterlater elektroniske spor som kan avsløre mer om deg enn du er klar over.

Din aktivitet på nettet genererer brukerprofiler om deg som kan utnyttes kommersielt av Facebook og andre tjenester du tillater å samle personopplysninger om deg. Dersom du tidligere har akseptert at alle bilder du publiserer overdras til den tredjeparten som tilbyr deg en «gratis» tjeneste online, risikerer du at bildet videreselges og brukes i reklamekampanjer eller for andre kommersielle formål.

Slike vilkår om overdragelse av bilderettigheter har i tillegg en risiko for å bli oppdatert ved jevne mellomrom – og vi som brukere bør følge med på slike vilkår og hvilke innstillinger for personvern vi har på de ulike tjenestene vi bruker.

Det er også vanskelig å få slettet opplysninger som du har gitt til slike skytjenester. Kanskje får du slettet det hos den leverandøren du vet har dine persondata – men hva med denne leverandørens samarbeidspartnere og underleverandører som også har kopi av dine personopplysninger? Et eksempel er samarbeidet mellom Tinder og Facebook. Et annet eksempel er samarbeidet mellom Cambridge Analytica og Facebook hvor Cambridge Analytica etter det som er opplyst har gått langt ut over tillatt bruk av Facebooks funksjonalitet.

Som arbeidsgiver har du et ekstra ansvar – kan din bedrift i det hele tatt bruke Facebook eller andre skytjenester slik dere gjør i dag?

Skytjenester (cloud computing) er en samlebetegnelse på alt fra databehandling og datalagring på servere i eksterne serverparker til programvare lokalisert på servere som er tilgjengelig for sluttbrukeren via internett. Mange arbeidsgivere bruker skytjenester uten å være klar over hva som faktisk skjer, f.eks. når et selskap bestemmer seg for å bruke eposttjenesten fra Google for hele bedriften.

Som arbeidsgiver er det uunngåelig å behandle personopplysninger, enten som en del av virksomheten man driver medfører at sluttbrukere av selskapets mobil-apper eller tjenester online eller som arbeidsgiver til sine arbeidstakere hvor ansattes personopplysninger behandles via regnskapssystemer, epostløsninger mv.

Behandling omfatter alt fra lagring og overføring til bruk av personopplysninger, mens personopplysninger er all informasjon relatert til en identifiserbar person. Som arbeidsgiver har man altså et særegent ansvar for alle handlinger som på et eller annet vis omfatter opplysninger om sine ansatte. Det er dette ansvaret som gjør at bedrifter må vurdere om bruken av skytjenesten er lovlig – fordi personopplysninger om ansatte eller andre privatpersoner behandles med midler og formål som arbeidsgiver har bestem, medfører at arbeidsgiver anses som den behandlingsansvarlige.

De fleste skytjenester vil medføre overføring av ansattes personopplysninger ut av EU/EØS siden leverandørene ofte har servere i USA eller andre land utenfor EU/EØS. I slike tilfeller må arbeidsgiver i tillegg sørge for at kravene til slik internasjonal overføring av personopplysninger kan skje lovlig.

I utgangspunktet kan norske bedrifter bruke skytjenester som tjeneste. Det sentrale er at de er bevisste på hvilke tjenester de benytter og hva tjenestene benyttes til. En bedrift kan f.eks. opprette en Facebook-konto som inneholder opplysninger om hva bedriftens virksomhet er med kontaktopplysninger til bedriften. En epostadresse som post@bedriftsnavn.no er ingen personopplysning siden den ikke identifiserer en fysisk person. Et slikt kontaktpunkt er derfor ikke problematisk å dele med Facebook.

Dersom bedriften bruker en skytjeneste også til å behandle ansattes personopplysninger, må bedriftens ledelse passe på å overholde gjeldende krav til behandling av personopplysninger. Siden GDPR trer i kraft 25. mai 2018 og er verdens strengeste regelverk for behandling av personopplysninger, bør bedriften nå passe på å overholde de krav de nye reglene stiller – også til bruk av skytjenester som Facebook.

Datatilsynet stilte krav for at Moss og Narvik kommune kunne bruke skytjenester i USA

I 2012 åpnet Datatilsynet for at kommunene Moss og Narvik kunne bruke skytjenester fra Google og Microsoft. Avklaringen fra Datatilsynet viste at virksomheter må gjennomføre grundige risiko- og sårbarhetsanalyser i forkant, passe på at tilfredsstillende databehandleravtaler inngås med skyleverandøren, passe på at leverandørens generelle personvernerklæring ikke går utover databehandleravtalen mellom virksomheten og skyleverandøren samt få en tredjepart til å gjennomføre sikkerhetsrevisjoner av skytjenesten jevnlig.

Med GDPR presiseres disse kravene. For det første stiller GDPR spesifikke krav til hva som skal være innholdet i en databehandleravtale. Et selskap som bruker Facebook eller annen skytjeneste, er behandlingsansvarlig – Facebook vil være databehandler siden Facebook behandler personopplysninger på vegne av selskapet. Databehandleravtalen gir Facebook et behandlingsgrunnlag for de behandlinger Facebook foretar av personopplysningene om selskapets ansatte.

Amerikanske og asiatiske skytjenesteleverandører må også forholde seg til GDPR. GDPR har global rekkevidde i den forstand at leverandører utenfor EU/EØS som behandler personopplysninger om borgere i EU/EØS må overholde de krav GDPR stiller. Et annet spørsmål er hvordan regler fra EU kan gjennomføres om det blir tvist med en leverandør i USA eller Sør-Korea.

Kan norske bedrifter bruke Facebook som skytjeneste når ansattes personopplysninger skal behandles?

Norske virksomheter kan ikke som behandlingsansvarlige bruke den vanlige åpne Facebook til å behandle ansattes personopplysninger. I 2016 undersøkte Datatilsynet bruken av Facebook at Work (senere Workplace by Facebook) hos Telenor og DNB.

Datatilsynet konkluderte med at standardvilkårene for Facebook at Work, som ligger ute på internett, ikke kunne brukes uendret av de norske selskapene av hensyn til de ansattes personvern. Årsaken var bl.a. at Facebooks standardvilkår inneholder krysshenvisninger mellom ulike policy-dokumenter som skaper inntrykk av en uendelig rekke vilkår. Standardvilkårene sier bl.a. at Facebook kan bruke personopplysninger som genereres ved bruk av tjenesten til egne formål, f.eks. til utvikling av produkter og tjenester i hele Facebook-gruppen og kobling av data på tvers av egne plattformer. Det er det norske selskapet som behandlingsansvarlig som skal fastsette formålene for behandlingen – ikke skytjenesteleverandøren. Resultatet ble at Telenor og DNB forhandlet seg frem til egne vilkår med Facebook som ble godkjent av Datatilsynet.

Workplace by Facebook kan brukes lovlig av norske bedrifter.

  • For det første må virksomheten foreta en risikovurdering av skytjenesten. GDPR stiller krav til vurdering av informasjonssikkerhet – dette kalles sikkerhet for behandlingen i GDPR. Et eksempel er at skytjenesten krypterer data som lagres i skytjenesten.
  • For det andre må virksomheten inngå en skriftlig og gjensidig bindende databehandleravtale. Denne avtalen må tilfredsstille de krav som følger av personopplysningsloven – og GDPR blir en del av norsk rett når ny personopplysningslov trer i kraft. Pass på at avtalen angir at Facebook ikke skal bruke personopplysninger til andre formål enn å levere tjenesten til virksomheten. Dersom personopplysninger overføres ut av EU/EØS, gjelder det tilleggskrav.
  • For det tredje må virksomheten informere de ansatte om hvordan deres personopplysninger behandles ved bruk av Workplace by Facebook. Det anbefales å gjøre interne retningslinjer på arbeidsplassen om bruk av Workplace by Facebook tilgjengelig for de ansatte, f.eks. for å forklare hva de ansatte kan dele og skrive om samt hva det ikke er tillatt å bruke Workplace by Facebook til.

Svaret på spørsmålet stilt innledningsvis er derfor verken JA eller NEI. Det er vårt ansvar som brukere å være mer bevisste på hva vi publiserer og velger å dele med tredjeparter på nettet. Det er norske bedrifters ansvar å følge krav som stilles til bedriften som behandlingsansvarlig. På visse vilkår kan også skytjenester fra Facebook og andre leverandører brukes – dette forutsetter en risikovurdering og riktige avtaler i forkant av bruken.

Forfatter

Magnus
Ødegaard

partner | advokat