Opdateret 9. september 2019
De fleste virksomheder og organisationer har en Facebook-side. Rigtig meget viden deles derigennem og mange hjemmesider har efterhånden også en ”like” eller ”del” knap på deres hjemmeside. Ikke kun til Facebook, men også til andre sociale medier som LinkedIn, Twitter, Instagram etc.
I forhold til Persondataforordningen (GDPR) er der nogle ting man som virksomhed skal være særligt opmærksom på når man ”inviterer” f.eks. Facebook indenfor.
I denne artikel har vi taget udgangspunkt i Facebook – men kunne altså ligeså godt have taget udgangspunkt i et andet socialt medie.
I deler ansvaret for behandling af persondata!
Der er i Juni 2018 faldet en dom i en sag om fansider på Facebook (almindelige facebooksider) i forhold til GDPR. Dommen afgjorde at jeres virksomhed og Facebook har fælles dataansvar i forhold til behandling af persondata indsamlet på Facebook.
Fælles dataansvar betyder at begge parter, jf artikel 26 i forordningen, skal fastlægge deres ansvar for overholdelsen af forordningen. Det vil sige at der skal indgås en fælles dataansvar-aftale med Facebook. Manglende overholdelse af dette er strafbelagt efter forordningen, pointerer Datatilsynet.
”like” eller ”del” knapper på din hjemmeside
Når I har en ”del” eller ”like” knap på jeres hjemmeside er det teknisk sådan, at I har givet Facebook adgang til at lægge en cookie på brugerens computer – uanset om brugeren har en Facebook-profil eller ej. Cookien opsamler – og sender til Facebook – information om dine besøgende.
” …Websites og apps, som leveres af andre virksomheder, der bruger Facebook-produkterne, herunder virksomheder, der inkorporerer Facebook-teknologierne på deres websites eller i deres apps. Facebook bruger cookies og modtager oplysninger, når du besøger disse sites og apps, herunder oplysninger om enheden og oplysninger om din aktivitet, uden yderligere handling fra dig. Det sker, uanset om du har en Facebook-konto eller er logget på”(Citat fra Facebooks Cookie-politik)
Facebook har stået fast på at deres ”like” knap (og andre plugins) overholder forordningen, men det blev prøvet ved øverste domstol i EU i juli 2019 og den stadfæstede dommen om delt dataansvar (Fashion ID GmbH & Co – sagen).
Hvordan overholder I så kravet i forordningen?
I skal sikre at besøgende på både jeres hjemmeside (hvis I har Plugins på hjemmesiden fra Facebook) og jeres Facebook side, får information om at I deler oplysninger med Facebook. Dette bør ske ved samtykke. Læs mere om kravet til samtykke i vores artikel om cookies.
Facebook har efter dommen tilføjet et felt ”rediger politik om beskyttelse af personlige oplysninger” under ”om” på jeres side. Her kan I indtaste link til jeres persondatapolitik.
I jeres persondatapolitik er det så også vigtigt at linke til Facebooks persondatapolitik: https://www.facebook.com/privacy/explanation.
Overvej om jeres virksomhed eller organisation reelt har brug for en Facebookside – og vej konsekvenserne i forhold til det udbytte I får ved at administrere siden. Der er tit flere fordele, end ulemper, men I skal gøre jer det klart om det er ”delingen” værd.
Overvej også om det er nødvendigt at invitere Facebook indenfor på jeres hjemmeside – Det er tit ligeså nemt at dele linket til en side, som at have en ”del”-knap indlejret.
Facebook har lavet et tillæg om delt ansvar i deres vilkår for sideadministratorer: https://www.facebook.com/legal/terms/page_controller_addendum
Og så må tiden vise om der vil ske ændringer i praksis efter den endelige afgørelse ved EU-domstolen, men indtil videre, så sørg for at overholde forordningen!
Two-factor som ekstra sikkerhed
Når medarbejdere er administrator af organisationens facebook-side kan det udgøre en sikkerhedsrisiko, hvis medarbejderens facebook eller login-oplysninger bliver kompromitteret. Derfor anbefaler vi at stille krav om two-factorlogin til medarbejdernes facebook-login, hvis de er administrator af sider der er underlagt organisationens ansvar (f.eks den officielle facebook-side).