Datatilsynet meddelar att de genomfört en riskbedömning och en konsekvensbedömning avseende dataskydd (Data Protection Impact Assessment, DPIA) av Facebook, Inc. Datatilsynets utgångspunkt har varit att utvärdera Facebook för användning i myndighetens egna kommunikationsarbete, och målet har varit att skapa en separat sida på Facebook. Enligt Datatilsynet ska det genomförda arbetet, som presenterats i en rapport, göra det möjligt för myndigheten att fatta rätt beslut.
I rapporten har Datatilsynet kommit fram till att myndigheten inte kommer att använda Facebook för myndighetens egna kommunikationsverksamhet. Datatilsynet anser att behandling av personuppgifter genom att ha en sida på Facebook innebär en alltför hög risk för användarnas rättigheter och friheter. Datatilsynet anser vidare att myndigheten, genom en närvaro på Facebook, inte skulle uppfylla alla villkor i artikel 26 i dataskyddsförordningen (“GDPR”) om gemensamt personuppgiftsansvar, eftersom myndigheten anser att avtalet mellan Facebook och Datatilsynet är bristfälligt.
Datatilsynet tror att de som hade velat besöka myndighetens sida på Facebook, skulle ha haft en förväntan om att myndigheten visste vad som lagrades om de till exempel klickade “gilla” på Datatilsynets sida, eller vilken typ av information som registrerades bara genom att besöka Datatilsynets webbplats, och detta poängterar Datatilsynet att myndigheten inte svara på, inte ens efter granskningen.
Datatilsynet poängterar vidare att myndighetens roll i bedömningen varken är som tillsynsorgan eller som dataskyddsombud, utan som personuppgiftsansvarig med skyldigheter enligt GDPR. Som ett företag som är ansvarigt för behandlingen har Datatilsynet ansvaret för att uppfylla skyldigheterna i GDPR, precis som alla andra företag som behandlar personuppgifter. Datatilsynet har tagit utgångspunkt i myndighetens egna guide och checklista för riskbedömningar och bedömning av integritetskonsekvenser vid genomförandet av granskningen.
Enligt Datatilsynet har myndigheten inte involverat Facebook i riskbedömningen då de inte velat riskera att blanda Datatilsynets roller som tillsynsmyndighet och personuppgiftsansvarig. Riskbedömningen bygger alltså på samma källbasis och samma villkor som för alla andra företag som använder eller funderar på att skapa en sida på Facebook.
Genom att använda verktyg som är tillgängliga gratis från de stora teknikföretagen inbjuder nästan offentliga företag enligt Datatilsynet kommersiella aktörer att samla in och använda data om norska medborgare. Samtidigt skapas ett beroendeförhållande som det kan vara svårt att bryta sig loss från eftersom det finns få alternativa tjänsteleverantörer.