Databeskyttelseskommissær: Offentlige Facebook-sider er på dybt vand

Illustration: Markus Hansen
Hele den danske offentlige sektor venter på afklaring af, hvorvidt kommuner og andre må have sider på Facebook. It-gigantens hidtige tiltag løser næsten intet, mener tysk privacy-kommissær.

Danske myndigheder, virksomheder og organisationer med sider på Facebook er stadig på dybt vand juridisk, på trods af at Facebook tidligere på måneden tilføjede vilkår for deres fansider og lovede, at tjenesten er lovlig.

Ændringerne løser dog ‘næsten intet,’ fortæller Marit Hansen, der er databeskyttelseskommissær i Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD).

ULD førte den sag, der i juni endte med en afgørelse i EU-Domstolen om, at sideadministratorer på Facebook er ‘delt dataansvarlige’ med den amerikanske it-gigant.

Læs også: Tre måneder efter EU-dom: Facebook stiller GDPR-krav til sideadministratorer

Facebook reagerede i denne måned ved blandt andet at kræve, at alle med sider på Facebook skal sikre sig, at de har juridisk grundlag for behandling af besøgendes persondata, der indsamles til værktøjet 'Page Insights.' Det er dog ikke en holdbar løsning.

»EU-Domstolen mener ikke, at det er en holdbar løsning, og det er et eksempel, hvor næsten intet bliver løst af Facebooks tilføjelse,« siger Marit Hansen i forbindelse med European Data Ethics Forum 2018, der blev holdt i fredags i København.

Kommuner venter på svar

Det kan blandt andet få betydning for alle de danske kommuner, der benytter tjenesten. Kommunernes Landsforening forsøgte efter dommen at få kontakt til Facebook på kommunernes vegne.

Da det ikke lykkedes, er opgaven nu i stedet overgået til Justitsministeriet, der »på vegne af hele den offentlige sektor har indledt en dialog med Facebook«, skrev Pia Færch, der er kontorchef for Digitalisering og Borgerbetjening i KL, til Version2 for to uger siden.

Målet er databehandleraftaler, men Justitsministeriets henvendelse var endnu ikke blevet besvaret af Facebook ved udtalelsen fra Pia Færch. Kommunerne har indtil videre fået at vide, at de skal beholde Facebook-siderne.

»Indtil der ligger en afklaring om mulighederne for at indgå en databehandleraftale, har KL anbefalet kommunerne, at de indtil videre uændret opretholder deres kommunesider på Facebook,« skriver Pia Færch.

Ulovlige sider

Kort inden Facebooks tilføjelse i vilkårene, meldte ULD ud, at »administrationen af fansider, som dem Facebook tilbyder på nuværende tidspunkt, er ulovlig«.

Sammen med udmeldingen fulgte en liste af spørgsmål, som databeskyttelsesmyndigheden krævede at få svar på af Facebook og sideadministratorerne.

Læs også: Facebook-dom rammer danske medier - de må nu vente på IT-giganten

Facebooks udmelding og ændringer har ikke besvaret mange af dem, mener Marit Hansen.

»Næsten alle væsentlige spørgsmål mangler stadig at blive besvarede,« siger hun.

Spørgsmålene vedrører blandt andet, hvilken persondata Facebook gemmer fra siderne, om persondata fra ikke-brugere bruges til at skabe profiler, og hvilke sletningsperioder, der er planlagt for den indsamlede data.

Sætter nu cookies efter to klik

Udover vilkårene har Facebook også ændret deres systemer på platformen, fortæller Marit Hansen. Førhen satte Facebook en cookie, så snart ikke-brugere bevægede sig ind på en fanside. Det gør de ikke længere, men løsningen er dog stadig ikke tilfredsstillende, mener Marit Hansen.

»De ændrer også deres systemer. For eksempel får ikke-brugere ikke længere cookies, fortalte de mig,« siger Marit Hansen.

»Når vi tjekker efter og klikker ind på siden, så kan vi rigtignok se, ‘ah ja, der er ingen cookie,’ men når vi så klikker bare et skridt længere ind på siden, bliver den sat.«

Læs også: Frontkæmper i persondatakampen: Nu skal IT-giganter kunne bevise deres uskyld

ULD har ifølge Marit Hansen foreslået Facebook at udvikle en model, hvor virksomheden tilbyder tracking-frie sider. I stedet kunne Facebook så tage penge for dem.

»Det kunne blive et krav fra sideadministratorerne. Vi foreslog det engang, hvor Facebook sagde nej. De vil hellere fortsætte med den gratis model,« siger hun.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
Mogens Lysemose

Indtil der ligger en afklaring om mulighederne for at indgå en databehandleraftale, har KL anbefalet kommunerne, at de indtil videre uændret opretholder deres kommunesider på Facebook,« skriver Pia Færch

Kan man opfatte det som andet end opfordring fra KL til at fortsætte ulovlig praksis fordi man ikke kan finde en nem måde at lovliggøre den på?

NB: Vi taler ikke bare om at de ikke må poste på facebook til folk på facebook.
Der er også tale om at offentlige hjemmesider sætter facebook til at tracke alt den brugeradfærd som de lyster, når borgere søger information om sygdomme, skilsmisse, misbrugsbehandling og lign.

Bjarne Nielsen

Vi ved ikke om det er ulovligt, men det ville have klædt KL bedre, hvis de havde opfordret til almindelige tilbageholdenhed, når der nu er sat et så alvorligt spørgsmålstegn.

Det ville også være snusfornuftigt, hvis man begynder at kigge sig om efter en plan B, specielt hvis det er noget, som ikke bare "passer sig selv".

Og så må man altså godt gøre sig rimelighedsbetragtninger, man behøver ikke læne sig helt ud til kanten af loven.

PS: Men, suk, hvor er jeg træt af at man bare flytter et komma, og så på giver sig selv udsættelse, ved at henvise til "en ny situation, som først skal afklares". Det ligner helt bevist forhaling af det uundgåelige.

Christian Schmidt

Reglerne i GDPR er åbne for fortolkning. Indtil der foreligger retningslinjer og afgørelser fra myndighederne, må enhver forsøge at tolke reglerne efter bedste evne.

Mange har givetvis tolket reglerne i god tro. Men desværre er der også mange, der læser GDPR, som Fanden læser Bibelen. Det er dog svært at gøre ret meget ved det, før myndighederne (Datatilsynet, Kommissionen m.fl.) vågner op til dåd. Man kan klage sin nød til de virksomheder, som man mener overtræder reglerne, men det får man sjældent noget ud af.

I første omgang behøver myndighederne ikke finde bødeblokken frem. Men de må forklare, hvordan de mener, at reglerne skal fortolkes i en række konkrete tilfælde, så virksomheder ikke skal famle i blinde.

Jan Rørgaard Hansen

Datatilsynet har fortolket EU-dommen om Facebook.

Heri skriver Datatilsynet:

Har du som f.eks. virksomhed eller myndighed en Facebook-side, eller overvejer du at få det, betyder dommen, at du skal være opmærksom på følgende:

  • Du er sammen med Facebook fælles ansvarlig for at overholde reglerne i databeskyttelsesforordningen (i forhold til den pågældende Facebook-side)

  • Du skal sikre, at besøgende på siden (uanset om de er Facebook-brugere eller ej) får information om persondatapolitikken og, i det omfang det er krævet, også giver samtykke til behandlingen

  • Du skal sørge for at indgå en aftale med Facebook om fælles dataansvar, og i denne aftale skal det reguleres, hvem der har ansvar for hvad, og dem I behandler oplysninger om, skal have adgang til at se det væsentligste indhold af ansvarsfordelingen mellem Facebook og dig

  • Personer, der bliver registreret som følge af besøg på din side kan udøve deres rettigheder over for dig. Det gælder f.eks. retten til indsigt, retten til at gøre indsigelse eller retten til sletning

  • I forhold til et eventuelt erstatningsansvar i forbindelse med behandlingen af personoplysningerne hæfter du og Facebook solidarisk

I Datatilsynet er vi naturligvis opmærksomme på, at ovennævnte kræver, at Facebook medvirker til en løsning, hvilket vi forventer og i europæisk sammenhæng sammen med bl.a. Datatilsynet i Irland vil følge op på, at Facebook gør. I det omfang reglerne ikke efterleves,risikerer begge parter imidlertid at blive pålagt sanktion

René Nielsen

Vi ved ikke om det er ulovligt,


Til syvende og sidst skal der jo en kendelse til - men jeg mener nu ikke der er tvivl om, at hvis danske myndigheder gør det samme, er formodningen eller udgangspunktet om du vil, at det også er ulovligt.

Når det er sagt, så er der i Danmark en tradition for at domstole ”bøjer” loven således at myndigheder i realiteten har frie hænder i langt de fleste sager. Jeg tror ikke at nogen eller noget bliver straffet i Danmark.

I lande som Sverige eller Tyskland, ville en borger kunne klage til ”Forfatningsbeskyttelsen” som ville udkommander betjente og evt. militær til f.eks. at arresterer en minister, en politichef eller en topembedsmand som ”ikke vil rette ind” og følge domstoles kendelser.

Det er derfor det er en alvor sag for myndighederne (og især deres chefer) i Tyskland. I Tyskland ville Søren Pape som justitsminister ikke turde forsætte med den ulovlige logning. Der var han for længst smidt i fængsel af ”Forfatningsbeskyttelsen”, hvis vi havde samme lovgivning.

Ligesom at TDC med flere ikke ville turde gå imod ”Forfatningsbeskyttelsen”. De ville stoppe med logningen.

Olav M.J. Christiansen Blogger

Jeg tror ikke umiddelbart at Facebook kan holdes indenfor rammerne af GDPR. Dertil er FB og GDPR ganske enkelt for langt fra hinanden. GDPR handler om at implementere menneskerettighedskonventionens artikel 8, mens FB's forretningsmodel langt hen ad vejen går ud på at opsamle så meget som muligt af folks privatliv (kilde: Er selv GDPR-certificeret).

Men når man lige ser bort fra det juridiske synes jeg da også det er problematisk at visse dele af vores demokrati pludselig er blevet afhængig af en privatejet amerikansk virksomhed.

Søren Sehmann

Det er særdeles problematisk for tilliden til det offentlige, at offentlige myndigheder bruger og bevidst fortsætter brugen af it-systemer, som ikke sikrer brugernes rettigheder.
Hvorfor skulle vi have mere tillid til en kommune, som bruger Facebook, end vi har til Facebook selv?
I øvrigt er kernen i Databestykkelsesforordningen, at den dataansvarlige på forhånd skal kunne bevise, at en behandling af personoplysninger er lovlig.

Bjarne Nielsen

Hvorfor skulle vi have mere tillid til en kommune, som bruger Facebook, end vi har til Facebook selv?

Jeg savner lidt at der bliver gjort sig nogle rimelighedsovervejelser.

Jeg ser intet problem i, at der f.eks. kommer sjove billeder fra byrådsmøderne eller brandvæsenets dag på Facebook, men Facebook skal på ingen måde blandes ind i den side som f.eks. handler om kommunens tilbud til selvmordstruede unge.

Og jo mere man tænker over det, jo færre af de aktiviteter som ligger indenfor det kommunale område, er der grund til at invitere professionelle stalkere som Facebook med ind til.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder