MENINGER:
Datatilsynets Facebook-rapport er verdiløs
«Datatilsynets vurdering bommer på en rekke grunnleggende forutsetninger», skriver Ståle Lindblad.
Denne artikkelen er over to år gammel.
I fjor høst publiserte Datatilsynet rapporten etter sin interne vurdering av om de skulle ha en side på Facebook. Å gjøre en slik vurdering var et bra tiltak. Dessverre har Datatilsynet bommet på det meste i rapporten. Det gjør vurderingen til Datatilsynet verdiløs for andre virksomheter. Men enda mer alvorlig er det at den avdekker en fullstendig mangel på kompetanse hos landets personvernmyndighet.
Det betyr i praksis ingenting om Datatilsynet er på Facebook eller ikke. Men Datatilsynets publisering av rapporten har satt mange andre virksomheter, som er mer avhengig av å kommunisere med målgruppene sine gjennom sosiale medier, i en veldig vanskelig situasjon. Kan de være på Facebook når Datatilsynet ikke kan det? Hva med andre sosiale medier?
Datatilsynet har oppfordret andre til å gjøre sin egen vurdering. Det er et godt råd, og Datatilsynet fortjener skryt for å ha satt spørsmålet om personvern i sosiale medier på dagsorden. De har utarbeidet et rammeverk for vurdering av personvernkonsekvenser som virksomheter kan bruke.
Datatilsynets egen rapport har imidlertid så mange feil at den dessverre er mer villedende enn veiledende.
Feilene kan sammenfattes i fem hovedpunkter:
Tolker EU-dommene feil
Hele spørsmålet om hvorvidt eier av en Facebook-side har ansvar for behandlingen av personopplysninger på Facebook har sitt utspring i to dommer fra EU-domstolen. Den såkalt Fashion ID-dommen slår fast at virksomheter som har Facebook-elementer, som en Like-knapp, på nettsiden sin har et felles ansvar for behandlingen av personopplysninger Meta (Facebooks eierselskap) samler inn.
Den andre dommen, som kalles Wirtschaftsakademie, slår tilsvarende fast at en virksomhet som har en Facebook-side, har et felles behandlingsansvar for behandling av personinformasjon som samles inn og behandles på siden.
Begge dommene slår imidlertid fast at det felles behandlingsansvaret er begrenset til innsamling av informasjon på siden og overføringen av informasjonen til Meta. I tillegg har Meta selv slått fast at aggregering av statistikkdata til Innsikt-funksjonen utgjør et felles behandlingsansvar.
EU-dommene slår også fast at eier av en side ikke har fellesbehandlingsansvar for innsamling og behandling som skjer før og etter dette. Du har altså ansvar for det som skjer på siden din, men ikke det Facebook gjør med dataene etterpå. Dette har Datatilsynet også beskrevet i sin rapport: «Dersom man følger resonnementet i Fashion ID, får Datatilsynet med andre ord ikke et felles behandlingsansvar med Facebook som dekker all Facebooks etterfølgende behandling.»
Likevel presterer Datatilsynet å konkludere med at «Vi mener at det er vanskelig å fastsette hvor en slik grense går.» Mesteparten av vurderingen og rapporten fra Datatilsynet omhandler slik etterfølgende behandling, som eieren av en side altså ikke har behandlingsansvar for.
Bommer på grunnleggende forutsetninger
Datatilsynets vurdering bommer på en rekke grunnleggende forutsetninger. De har for eksempel ikke nevnt personvernverktøyene brukerne har på Facebook med et eneste ord. GDPR handler i stor grad om brukernes mulighet til å kontrollere egne personopplysninger. På Facebook har brukerne mange verktøy som gir innsikt og kontroll over personopplysningene som er samlet inn. Aktivitetsloggen, Personvernsjekk og en rekke lett forståelige veiledninger på norsk hjelper brukerne å se, endre og slette personopplysningene som er lagret på Facebook. Dette har altså Datatilsynet valgt å se helt bort fra i sin vurdering av personvern på Facebook.
Datatilsynet skriver blant annet at «Mer spesifikt mener vi at informasjonen tidvis kan være preget av teknisk og juridisk sjargong samt uklare og vage formuleringer…». De har åpenbart kun sett på de juridiske dokumentene, ikke de lett forståelige veiledningene på norsk som brukerne ser.
Datatilsynet blander også sammen disse juridiske dokumentene, for de henviser blant annet til avtaledokumenter for Workplace, et helt annet produkt enn Facebook.
Tror ikke på det de skal vurdere
Datatilsynet gjør det klart i rapporten at de kun har vurdert den dokumentasjonen som er tilgjengelig for brukerne, og at de ikke har henvendt seg til Meta for å få flere opplysninger. Flere steder i rapporten gjør de det imidlertid klart at de ikke tror på det som står i avtaledokumentene de vurderer.
Når Datatilsynet velger å gjøre vurderingen utelukkende på bakgrunn av tilgjengelig dokumentasjon, og samtidig skriver at de ikke tror på den samme dokumentasjonen, så er konklusjonen gitt på forhånd. Hva er poenget med å vurdere noe du ikke tror på?
Anser sitt eget innhold som en risiko
Datatilsynet lister opp eget innhold og egne ansatte som risikoelementer i vurderingen. «Datatilsynet vil samle inn personopplysninger fra ansatte, artikkelforfattere og øvrige samarbeidspartnere, samt enhver som velger å interagere med Datatilsynets side.»
Hvis det å dele en artikkel fra datatilsynet.no på Facebook medfører behandling av personopplysninger fra ansatte, artikkelforfatteren og samarbeidspartnere, er ikke det samme tilfelle i alle andre kanaler? Om leseren av artikkelen kommer fra Facebook, Twitter eller har gått rett inn på nettside, påvirker vel ikke innsamlingen av personopplysninger når brukeren er på Datatilsynets nettside?
Mener, tror og synser alt for mye
Mye av rapportens vurderinger bygger på at Datatilsynet mener, tror og synser om ting som de verken dokumenter eller begrunner.
«Vi mener at Facebooks informasjon kan være utfordrende å forstå», «Arbeidsgruppen mener at behandlingen av personopplysninger er preget av uforutsigbarhet» og «Arbeidsgruppen mener det er vanskelig for den registrerte å ha oversikt og kontroll over egne opplysninger» er tre av mange udokumenterte påstander hvor Datatilsynet legger egen synsing til grunn for vurderingen av Metas behandling av personopplysninger. De ubegrunnede påstandene utgjør en betydelig del av rapportens risikovurdering.
Derfor er det problematisk
Summen av alle disse feilene gjør Datatilsynets rapport verdiløs for andre. Virksomheter som ønsker å vurdere sin egen bruk av Facebook og andre sosiale medier bør se helt bort fra Datatilsynets rapport, og gjøre sin egen, selvstendige vurdering.
Om Datatilsynet er til stede på Facebook eller ikke, er ikke viktig. Det som er problematisk, er den mangelen på forståelse og kompetanse som rapporten avdekker. Datatilsynet er landets personvernmyndighet. De er den etaten offentlige og private virksomheter vender seg til i spørsmål som handler om personvern. De har, som de selv skriver i rapporten, «en posisjon som rollemodell for personvern».
At landets personvernmyndighet bommer så grovt på helt sentrale spørsmål knyttet til sosiale medier og personvern, er alvorlig. Teknologien som er vurdert i rapporten er relativt enkel og godt kjent. Facebook har publisert en detaljert beskrivelse av hvordan algoritmene fungerer, og det er skrevet hundrevis av artikler om hvordan Facebook behandler brukerdata. Ikke minst, så har et konstant kritisk søkelys over mange år tvunget Facebook til å utvikle en rekke brukervennlige personvernverktøy.
Det er ekstra utfordrende at Datatilsynet feiler i vurdering av såpass enkel teknologi, når vi vet at bruken av kunstig intelligens og andre mer kompliserte teknologier allerede er utbredt. Hvordan skal Datatilsynet kunne gi gode råd om personvern på disse områdene, når de ikke forstår hvordan en 18 år gammel plattform fungerer?
Vi trenger et sterkt Datatilsyn. Kombinasjonen av en rivende teknologisk utvikling, et stadig mer komplisert lovverk og et sterkt fokus på personvern i samfunnet gjør at norske virksomheter er avhengige av at Datatilsynet har riktig kompetanse, forstår teknologien og kan sette seg inn i problemstillingene. Vi trenger et offensivt Datatilsyn som er minst like opptatt av å veilede som å straffe.
*For ordens skyld har Lindblad, sammen med en rekke andre rådgivere, gjort en jobb for Digitaliseringsdirektoratet i forbindelse med denne rapporten
———————————————-
Dette er et meningsinnlegg, og gir uttrykk for skribentens mening. Har du lyst til å skrive i KOM24? Send ditt innlegg til meninger@kom24.no.