IT-Gruk 4/2021: Datatilsynet avskilter Facebook?

I seg selv så er ikke konklusjonen spesielt kontroversiell. Det er den enkelte virksomhet selv som må vurdere risikoen for personvernet ved den enkelte behandling. Og hvis vurderingen er at risikoen er for høy, så må konklusjonen være at virksomheten må avstå fra den behandlingen av personopplysninger som dette gjelder. Det er også positivt å få innsyn i andre virksomheters vurderinger, og ikke minst at offentlige virksomheter gir veiledning om et regelverk som både er fortsatt relativt nytt og uklart. At Datatilsynet med sin spesialkompetanse gir slik veiledning ligger godt innenfor tilsynets mandat. Det å få innsyn i noe så vanskelig som en risikovurdering av en skytjeneste blir dermed ekstra lærerikt, på toppen av at Datatilsynet gir et konkret eksempel på bruken av sine egne maler for risikovurdering og vurdering av personvernkonsekvenser. Med denne rapporten tydeliggjør Datatilsynet hvordan virksomheter først kan vurdere risikoen for at en løsning medfører høy risiko for den registrertes rettigheter og friheter, og som deretter leder til en personvernkonsekvensvurdering, også omtalt som en DPIA etter artikkel 35 i GDPR. Her bør Datatilsynet derfor få en god klapp på skulderen for sin åpenhet.

Men, det må også være lov å stille spørsmål ved publiseringen av rapporten og forvaltningsskikken dette innebærer. Datatilsynet er innledningsvis tydelige på at dette er kun deres egen interne vurdering, og det står eksplisitt at: «I denne vurderingen opptrer Datatilsynet verken som tilsynsorgan eller ombud, men som behandlingsansvarlig…». Det skal som utgangspunkt ikke vektlegges at Datatilsynet er tilsynsmyndigheten for dette fagområdet. Tilsynet mener også at de ikke uttaler seg generelt om lovligheten ved å ha en Facebook-side for en virksomhet. Denne vurderingen skal med andre ord bare være en risikovurdering av en mulig behandling av personopplysninger uavhengig av andre forhold. Men hvor stor vekt kan en slik innledning ha, når Datatilsynet i sin konklusjon synes å vektlegge nettopp et behov for å utøve press overfor Facebook? Det følger direkte av konklusjonen i rapporten at denne rapporten vil ha betydning for andre virksomheters bruk av Facebook. Datatilsynet uttaler: «Vi mener at Datatilsynets beslutning om å ta i bruk Facebook eller ikke vil bli lagt merke til og få betydning for andre aktørers bruk av plattformen. Dermed vil kretsen av registrerte som påvirkes av Datatilsynets beslutning være flere enn bare de som ville benyttet seg av Datatilsynet sin side. Vi mener at Datatilsynet i sin natur bør tillegge hensynet til sin posisjon som rollemodell i personvernsaker stor vekt.» Datatilsynet griper med dette inn i markedet for kommunikasjonsplattformer og mener eksplisitt at rapporten sannsynligvis vil medføre at andre aktører vil unngå å bruke Facebook nettopp fordi det er Datatilsynet som er avsender av rapporten og dennes vurderinger. Etter mitt syn går Datatilsynet langt i å vurdere den generelle lovligheten etter personvernregelverket av Facebook.

Denne rapporten, selv om den mest sannsynlig ikke kan anses som et vedtak, har også funnet sted uten at Facebook selv har kunnet komme med innsigelser. Datatilsynet uttaler at Facebook ikke har fått en mulighet til kontradiksjon fordi Datatilsynet ikke ville blande rollen som tilsynsmyndighet og behandlingsansvarlig. Men spørsmålet er likevel om ikke Datatilsynet her burde ha gitt Facebook en mulighet for komme med et motsvar før tilsynet går så bredt ut og i praksis forsøker å avskilte Facebook som en kommunikasjonsplattform. Tilsynet er innforstått med sin rolle som tilsynsmyndighet og ombud, og at dette sender et kraftig signal til andre aktører og ikke minst Facebook. For dermed synes det ikke lenger å være åpenhet og veiledning som er det bærende element med rapporten, men snarere et behov for å påvirke Facebook. I så tilfelle burde Datatilsynet ha valgt andre handlingsalternativer, slik som sin rett til å ta opp enkeltsaker med Facebook og gjennomføre tilsyn. Dette var tilfellet i Grindr-saken hvor det har vært varslet vedtak. Hvis meningen derimot var å yte veiledning, så kunne Datatilsynet ha anonymisert eller generalisert rapporten.