Kommunernes brug af Facebook

Databehandleraftaler med Facebook

Når kommunen opretter en kommuneside på Facebook, er kommunen dataansvarlig for den behandling af personoplysninger, der sker på siden. Facebook har lavet et bud på en databehandleraftale for behandlingen af kommunernes data. Det er KL's vurdering, at det er tvivlsomt, om Facebooks databehandlervilkår lever op til kravene til indholdet af en databehandleraftale.

Når kommunen opretter en kommuneside på Facebook, er kommunen dataansvarlig for den behandling af personoplysninger, der sker på siden. Og Facebook er som leverandør af Facebook-platformen som udgangspunkt databehandler for kommunen. Det betyder, at kommunerne skal indgå en databehandleraftale med Facebook - Også selvom Facebook er gratis at anvende.

Facebook har på deres hjemmeside offentliggjort følgende databehandlervilkår: https://www.facebook.com/legal/terms/dataprocessing

Der gælder ikke nogen krav til, hvordan en databehandleraftale skal være udformet. Vilkårene for databehandling og vilkårenes henvisning til Facebooks produkt-/tjenestevilkår, herunder datapolitik, vil derfor i udgangspunktet godt kunne udgøre den databehandleraftale, som kommunerne skal indgå med Facebook.

KL har gennemgået Facebooks databehandlervilkår. Den fulde gennemgang kan du læse i dokumentet nedenfor. 

  • PDF

    KL's vurdering af Facebooks databehandlervilkår.pdf

Opsamling

Samlet set er det KL's vurdering, at det er tvivlsomt, om Facebooks databehandlervilkår lever op til kravene til indholdet af en databehandleraftale. Vilkårene har nogle indholdsmæssige mangler, men væsentligst er, at formålet med en databehandleraftale er at skabe klarhed over databehandlerens rolle og, at denne kun kan behandle oplysninger på vegne af de dataansvarlige. Aftalen skal således tydeliggøre, at databehandleren ikke selv kan definere, til hvilket formål og med hvilke midler, der skal ske behandling af personoplysninger.

KL ser, at Facebooks databehandlervilkår skaber tvivl om, hvilken rolle Facebook reelt påtager sig. Kommunerne gives som dataansvarlige reelt ikke nogen instruktionsbeføjelse, i stedet må kommunerne acceptere behandlinger og vilkår, fx i  forhold til sletning og brugen af data, som Facebook definerer. Hermed skabes der tvivl om databehandlerens rolle og forpligtelser.

Imidlertid afspejler vilkårene den reelle ansvarsfordeling mellem kommunerne og Facebook. KL vil derfor drøfte databehandlervilkårene med Datatilsynet og Justitsministeriet, herunder om der reelt er tale om et fælles dataansvar mellem kommunerne og Facebook. Og om kommunerne derfor i stedet skal indgå en aftale om fælles dataansvar med Facebook.

KL anbefaler

Anbefaling

KL mener, at det er uklart, om kommunerne skal indgå en databehandleraftale eller aftale om fælles dataansvar med Facebook. KL anbefaler kommunerne at afvente KL's drøftelse af Facebooks dataansvar med Datatilsynet og Justitsministeriet.

Kommunerne kan undgå at skulle indgå en databehandleraftale eller en aftale om fælles dataansvar med Facebook. Det kræver, at kommunerne sikrer, at der ikke optræder personoplysninger på deres Facebook-side. Dette kan kommunerne gøre ved:

  • helt at undlade at lægge personoplysninger (herunder billeder af genkendelige personer) på siden. Det er ikke nok, at kommunerne har indhentet samtykke til behandlingen af personoplysningerne på kommunens side
  • lukke for indbakke-/beskedfunktionen sådan, at borgerne ikke kan skrive til kommunen via Facebook.

Datatilsynet har tidligere udtalt sig om, hvordan man sikrer, at der ikke behandles oplysninger på ens Facebook-side, som man bliver dataansvarlig for. Læs Datatilsynets afgørelse her.