Vurderer din virksomhet å anskaffe Workplace by Facebook (Facebook at Work)? Her er det dere må vite og tenke på

Workplace by Facebook (som nå Facebook at Work heter) er nå blitt tilgjengelig for alle virksomheter, men er det greit at man overlater alle personopplysninger for ansatte til Facebook? Og hvis man ønsker å ha Facebook på jobben, hvilke forholdsregler må man ta og hva må man tenke på?

Workplace by Facebook er, som det heter fra Facebook, «en tjeneste fra Facebook som gir brukerne mulighet til å samarbeide og dele informasjon i jobbsammenheng på en mer effektiv måte». Med andre ord, er det Facebook, bare hvor dine kollegaer er dine «venner» og du deler med kollegaene på en Facebookløsning som kun er tilgjengelig for din arbeidsplass. Det deles mye informasjon mellom arbeidstakere, og hvordan har arbeidsgiver kontroll på informasjonen og sikrer både seg og sine ansatte at informasjonen ikke benyttes videre av Facebook? 

Avtale mellom selskapet (arbeidsgiver) og Facebook

For å få Workplace by Facebook må arbeidsgiveren inngå en avtale med Facebook. Datatilsynet har vurdert løsningen Workplace by Facebook, og har kommet til at det er selskapene (arbeidsgiverne) som er ansvarlig for tjenesten, og må inngå avtale med Facebook. Prisene for å få Workplace by Facebook er avhengig av hvor mange ansatte som skal bruke tjenesten, men mellom 1 og 3 USD per ansatt (bruker) per måned er prisene (dvs. fra NOK 8 til 24), se mer her. Det vises ikke reklame i løsningen, og de ansatte benytter egen konto for å bruke Workplace by Facebook (ikke sin private Facebook-konto). 

Avtalen mellom Facebook og virksomheten som ønsker Workplace by Facebook må vurderes på lik linje med andre kontrakter som en virksomhet skal inngå. Spesielle forhold man bør være observant på er at kontrakten er underlagt norsk rett, at tvister skal løses i Norge og hvilke tvisteløsningsmekanismer som gjelder, virkninger for kontrakten dersom Facebook mister retten til å overføre personopplysninger til USA, se nedenfor, krav til tilgjengelighet og oppetid, siden mye kritisk virksomhetsinformasjon vil bli lagret i Workplace by Work, rett til endringer i funksjonalitet, mv. Workplace by Facebook er også en rimelig ny løsning, og er fremdeles i testfase, og konsekvensene av dette bør avklares før man legger hele virksomhetens internkommunikasjon over på løsningen. 

Behandling av personopplysninger

Det gjelder egne personvernregler for Workplace by Facebook, som ikke er de samme som personvernreglene for den «private» delen av Facebook. Data som ansatte lagrer i Workplace by Facebook vil være eid av virksomheten (arbeidsgiveren). Dette følger av personvernreglene, men det må påses at dette også er regulert i avtalen som inngås med Facebook. Imidlertid kan ikke arbeidsgiver få tilgang til ansattes data i løsningen, noe som bryter med reglene i personopplysningsforskriften kapittel 9 som gir arbeidsgiver rett til innsyn i epost og andre elektroniske kommunikasjonsmedier (som Workplace by Facebook er). En slik rett bør sikres i avtalen med Facebook (og det ser ut til at en slik løsning er mulig ut fra dokumentasjonen for sikkerhet i løsningen). 

Facebook sikrer seg imidlertid rettighetene til de anonymiserte dataene for brukerne ved Workplace by Facebook. Det fremgår av personvernreglene for Workplace by Facebook følgende: 

Vi kan også utlevere informasjon som har blitt akkumulert eller som på annen måte ikke personlig identifiserer deg, til tredjeparter og tilknyttede selskaper som kan bruke informasjonen til analyseformål og for å finne trender for å forbedre og levere produktene og tjenestene våre og produktene og tjenestene som leveres av selskapene i Facebooks selskapsgruppe, som beskrevet her.

Facebook kan altså bruke informasjon og data som legges igjen i Workplace by Facebook til utvikling av alle Facebooks tjenester. Når man skal inngå avtale med Facebook, er dette et punkt som bør vurderes nøye, og Datatilsynet har stilt seg kritisk til denne bestemmelsen. 

Det fremgår av personvernreglene at data og personopplysninger i Workplace by Facebook vil bli lagret «på ulike steder rundt om i verden», og at personopplysninger kan overføres til land utenfor EU/EØS. Facebook har tiltrådt Privacy Shield rammeverket, som gir grunnlag for å overføre personopplysninger fra EU/EØS til USA. Facebooks godkjenning av Privacy Shield rammeverket finnes her. Facebook har lagt ut informasjon om bruk av Privacy Shield her, hvor det fremkommer at reglene også omfatter Workplace by Facebook. Man skal imidlertid være klar over at forholdet mellom EU og USA hva gjelder personvern er skjørt, og Privacy Shield kan tenkes å bli erklært ugyldig på samme måte som Safe Harbor ble det. I slike tilfelle må det være regulert i kontrakten hvordan partene skal forholde seg til at overføring av personopplysninger til USA ikke kan fortsette og at løsningen ikke kan benyttes videre av den grunn. 

Man skal også være klar over at Facebook kan få pålegg om utlevering av personopplysninger fra myndighetene i USA, og kan utlevere informasjon der, også om norske brukere av Workplace by Facebook. Facebook presiserer i sine personvernregler at de skal «gjøre rimelige forsøk på å henvise parten som fremsatte begjæringen, til å be om dataene direkte fra organisasjonen din». Men det er en ikke uvesentlig risiko for at data kan utleveres i USA, også uten at selskaper som har inngått avtale med Facebook eller deres ansatte får vite om dette. Det heter videre i personvernreglene: 

Hvis vi er juridisk forpliktet til å legge frem informasjonen, og med mindre vi forbys å gjøre dette, skal vi gjøre rimelige anstrengelser for å varsle organisasjonen din, slik at de kan varsle deg i samsvar med organisasjonens retningslinjer og gjeldende lover. Vi henviser alle forespørsler om informasjon i henhold til lover om databeskyttelse til organisasjonen din, med mindre dette er forbudt ved lov.

Merk at Datatilsynet mener at standardvilkårene Facebook ensidig har utarbeidet samlet sett ikke holder mål etter norsk personvernrett, og den enkelte virksomhet som vil ta i bruk Workplace by Facebook og inngå avtale med Facebook må fremforhandle egne vilkår. 

Risikovurdering og informasjonssikkerhet

Det er arbeidsgiver som behandlingsansvarlig for personopplysningene for de ansatte, med Facebook som databehandler. Arbeidsgiveren plikter da å sørge for at informasjonssikkerhetstiltakene til Facebook er tilfredsstillende, og må gjennomføre en gjennomgang av dokumentasjonen for Workplace by Facebook for en risikovurdering for virksomheten og ansatte. En risikovurdering er nødvendig før man inngår avtale om og tar i bruk Workplace by Facebook. Dokumentasjonen finnes her, men det kan være at ytterligere dokumentasjon må fremlegges fra Facebook avhengig av den enkelte vurdering. 

I tillegg må Facebooks personvernregler, brukervilkår og regler for informasjonskapsler gjennomgås. Ved endring av disse regelverkene, så må det foretas ny risikovurdering basert på endringene. Det anbefales for øvrig at virksomheten etablerer sine egne regler for personvern og brukervilkår som er tilpasset den individuelle virksomhet. 

Sjekkliste

Datatilsynet har laget en sjekkliste for inngåelse av avtale med Facebook som er hensiktsmessig – sammen med de rådene som er gitt ovenfor. Sjekklisten lyder som følger: 

  1. Gjennomfør en risikovurdering først av tjenesten. Klargjør hva din virksomhet vil bruke tjenesten til og hvilke retningslinjer for bruk de ansatte skal følge.
  2. Aksepter kun avtalevilkår med Facebook som er saklig begrunnet i levering av tjenesten. Facebook skal ikke bruke personopplysninger til andre formål enn å levere tjenesten. Dette gjelder også ved bruk av cookies.
  3. Inngå avtalevilkår som er tydelige og klare. Vit hvordan din virksomhets data blir håndtert, sikret og slettet hos Facebook.
  4. Gi de ansatte tydelig og klar informasjon om hvordan Facebook at Work fungerer og hvordan personopplysninger behandles i tjenesten. Arbeidsgiver plikter å gi de ansatte relevant informasjon og å ivareta deres personverninteresser. De ansatte har rett til å vite hvordan deres personopplysninger blir innhentet og håndtert av Facebook.
  5. Lag interne retningslinjer på arbeidsplassen om bruk av Facebook at Work, herunder hva det er greit å dele og skrive om. Vær også tydelig på hva det ikke er greit å bruke Facebook at Work til.
  6. Reguler sikkerhetstiltak for å beskytte din virksomhets data, herunder personopplysninger, i den skriftlige avtalen med Facebook. Avtal gjerne at en uavhengig tredjepart skal gjennomføre en jevnlig sikkerhetsrevisjon av Facebook.
  7. Inngå avtale om sikker overføring av personopplysninger dersom dataene skal overføres ut av EØS. Facebook har servere i USA: Hvis personopplysninger skal lagres her må overføringen sikres, bruk gjerne EUs standardavtale for overføring til databehandler i usikre tredjeland.

Bli den første til å kommentere på "Vurderer din virksomhet å anskaffe Workplace by Facebook (Facebook at Work)? Her er det dere må vite og tenke på"

Legg inn en kommentar

Ikke gå glipp av noe!

Motta nyhetsbrev fra Teknologirett: