Databeskyttelse og informationssikkerhed

Kommunernes brug af Facebook

Kommunerne skal være opmærksomme på de databeskyttelsesretlige regler, når de opretter kommunesider på Facebook. KL vurderer, at kommunerne inden for reglerne kan fortsætte med at have Facebook-sider. Kommunerne skal blot tage stilling til, om de vil indgå en databehandleraftale med Facebook.

Opdatering d. 29.05.2019

Facebook har netop oplyst, at de har udarbejdet nye databehandlervilkår. Vilkårene vil eventuelt kunne udgøre den databehandleraftale, som kommunerne skal indgå med Facebook. KL vil anbefale kommunerne som dataansvarlige at vurdere, om vilkårene vil kunne opfylde kravene til deres databehandleraftale med Facebook. KL vil snarest komme med en vurdering af vilkårene og gå i dialog med Facebook, hvis vilkårene ikke lever op til kravene til en databehandleraftale. Kommunerne kan evt. vælge at afvente denne vurdering.

Databehandleraftaler med Facebook

Når kommunen opretter en kommune-side på Facebook, er kommunen dataansvarlig for den behandling af personoplysninger, der sker på siden. Og Facebook er som leverandør af Facebook-platformen databehandler for kommunen.

Dette betyder, at kommunerne skal indgå en databehandleraftale med Facebook. - Også selvom Facebook er gratis at anvende. 

Vil kommunerne undgå at skulle indgå en databehandleraftale med Facebook, kræver det, at kommunerne sikrer, at der ikke optræder personoplysninger på deres Facebook-side. Dette kan kommunerne gøre ved: 

  • helt at undlade at lægge personoplysninger (herunder billeder af genkendelige personer) på siden. Det er ikke nok, at kommunerne har indhentet samtykke til behandlingen af personoplysningerne på kommunens side, og

  • lukke for indbakke-/beskedfunktionen sådan, at borgerne ikke kan skrive til kommunen via Facebook.

Datatilsynet har tidligere udtalt sig herom, og deres afgørelse kan findes her.

KL anbefaling

KL har både via direkte dialog med Facebook og via Justitsministeriets dialog med Facebook forsøgt at få afklaret, hvordan kommunerne kan indgå databehandleraftaler med Facebook. Desværre uden resultat. 

Derfor anbefaler KL, at kommunerne: 

Indgår kommunen en databehandleraftale med Facebook, skal kommunen samtidig huske også at opfylde sin oplysningspligt over for de borgere, hvis personoplysninger der optræder på kommunens side (de registrerede).

Aftaler om fælles dataansvar med Facebook

Når kommunerne opretter kommunesider (såkaldte "fansider" på Facebook) får kommunerne automatisk adgang til et Facebook-statistikværktøj, Facebook-Insights ("Indblik i side"). Værktøjet giver kommunen adgang til anonyme statistiske informationer om, hvem der besøger kommunens Facebook-side.

Når kommuner og andre administratorer opretter fansider, giver de Facebook mulighed for at placere cookies på de besøgendes computere. Og dermed kan Facebook udarbejde statistikkerne.

EU-domstolen har vurderet, at dette betyder, at kommunen sammen med Facebook er fælles dataansvarlig for de personoplysninger, som bliver indsamlet om de besøgende på kommunens side. Det skyldes, at EU-domstolen vurderer, at kommunen er med til at afgøre til hvilket formål og med hvilke hjælpemidler, der foretages behandling af personoplysninger om de besøgende på kommunens side. Det fremgår af en dom fra EU-Domstolen fra 5. juni 2018, som kan læses her.

Datatilsynet er kommet med en udtalelse om konsekvenserne af dommen bl.a., at sideadministratorer vil skulle indgå en aftale om fælles dataansvar med Facebook. En sådan aftale vil skulle indeholde en ansvarsfordeling med Facebook, særligt i forhold til registreredes rettigheder. Datatilsynets vurdering kan læses i denne PDF.

Facebook har også udtalt sig om dommen og anfører, at Indblik i side har ændret sig meget siden 2011. Facebooks udtalelse kan læses og findes på deres side.

 

KL anbefaling

Dommen fra EU-Domstolen forholder sig til indretningen af Facebook-Insights-værktøjet, sådan som det så ud i 2011, som Facebook også påpeger i deres udtalelse. Det fremgår af dommen, at "… oprettelsen af en fanside … indebærer, at administratoren foretager en indstilling … som har indflydelse på behandlingen af personoplysningerne med henblik på udarbejdelsen af statistikker på grundlag af besøg på fansiden.

Denne administrator kan ved hjælp af de filtre, som Facebook stiller til rådighed, definere de kriterier, som statistikkerne skal udarbejdes på grundlag af, og angive de kategorier af personer, som Facebook skal indsamle personoplysninger om." (Præmis 36).

KL har været i kontakt med flere kommuner, som har fansider på Facebook. Kommunerne oplyser, at kommunerne ikke i Indblik i side-modulet kan anmode om at få vist – og dermed stille krav om at der behandles – specifikke data om de besøgende på fansiden, fx informationer om de besøgendes indkøbsadfærd. I modulet stilles kun standardoplysninger om de besøgende til rådighed for kommunen.

KL stiller sig derfor tvivlsom over for, om kommunerne ud fra den nuværende indretning af Indblik i side reelt kan siges at være fælles dataansvarlige med Facebook og derfor også tvivlende over for, om der er behov for, at kommunerne indgår en aftale om fælles dataansvar med Facebook. Kommunerne skal dog fortsat indgå en databehandleraftale med Facebook, hvis kommunen i øvrigt ønsker, at der sker behandling af personoplysninger på kommunens side – se ovenfor.

Facebook har udarbejdet en aftaletekst om dataansvaret, som kommunerne automatisk er omfattet af, når de opretter en kommuneside. Af aftaleteksten fremgår det, at Facebook påtager sig hovedansvaret for behandlingen af de statistiske data, bla. ansvaret for registreredes rettigheder, herunder oplysningspligten, og ansvaret for behandlingssikkerhed. Og at Facebook vil gøre hovedindholdet af aftaleteksten tilgængeligt for de besøgende. Du kan finde og læse aftaleteksten på Facebook her

KL vil anbefale, at kommunerne opretholder deres Facebook-sider og alene henviser til Facebooks aftaletekst i forhold til dataansvaret.