Journalnummer: 2013-321-0173
1. Datatilsynet vender hermed tilbage til sagen, hvor myndighed M den 3. oktober 2013 har rettet henvendelse angående eventuel brug af Facebook og Twitter. Myndighed M planlægger efter det oplyste at oprette profiler på disse tjenester og forventer i den forbindelse iværksætte pilotprojekt med sociale medier ultimo oktober 2013.
2. Datatilsynet kan i den anledning afgive følgende vejledende udtalelse:
Når privatpersoner anvender Facebook eller Twitter, er det ikke et forhold, der er reguleret af persondataloven. Persondataloven gælder således ikke for behandlinger, som en fysisk person foretager med henblik på udøvelse af aktiviteter af rent privat karakter. Men tjenesterne skal leve op til databeskyttelseslovgivningen i det eller de EU land(e), hvor virksomheden er etableret1.
Situationen er anderledes, når der er tale om en offentlig myndighed. Persondataloven gælder, når myndighed M behandler personoplysninger ved hjælp af edb. Det indebærer, at myndigheden ikke uden nærmere overvejelse kan anvende løsningerne, hvis myndighedens brug vil indebære, at myndigheden bliver dataansvarlig i forhold til behandling af personoplysninger i løsningen.
I det omfang dette er tilfældet, må myndigheden sikre sig, at myndighedens brug af løsningen kan ske på betryggende vis og under iagttagelse af reglerne i persondataloven2 og sikkerhedsbekendtgørelsen3 – og tillige eventuel anden relevant lovgivning.
3. Tilsynet skal anbefale, at myndighed M afklarer, hvilke oplysninger der behandles i forbindelse med brug af løsningerne, samt om myndigheden er dataansvarlig herfor. Tilsynet kan umiddelbart pege på følgende elementer:
• Myndighedens egne indlæg på siden. Her går tilsynet ud fra, at det vil være muligt at tilrettelæge brugen således, at der ikke skrives personoplysninger.
I forhold til indlæg fra andre borgerne kan tilsynet henvise til sine hjemmesidetekster om persondataloven og sociale netværk4. Udgangspunktet her er, at brugerne selv er dataansvarlige i forhold til, hvad de skriver på sociale medier.
• Myndighedens eventuelle indbakke, hvis der er adgang til at sende beskeder til myndigheden via tjenesterne.
Hvis myndigheden får en indbakke på f.eks. Facebook, vil myndigheden efter Datatilsynets umiddelbare vurdering være dataansvarlig i forhold til eventuelle personoplysninger i denne, og Datatilsynet går umiddelbart ud fra, at der vil kunne indgå personoplysninger, f.eks. når brugere skriver til myndigheden via Facebook. Det er samtidig tilsynets umiddelbare vurdering, at Facebook vil være databehandler for myndigheden i forhold til personoplysningerne i indbakken, som jo er lagret hos Facebook, og ikke hos myndigheden selv. Se derfor nærmere nedenfor om persondatalovens krav ved brug af databehandlere.
Myndighed M kan eventuelt undersøge, om tjenesterne kan anvendes uden at der skabes mulighed for fremsendelse af beskeder til myndigheden.
4. I forhold til beskyttelsen af de personoplysninger, som myndighed M måtte være dataansvarlig for (det vil formentlig være myndighedens eventuelle indbakke), skal Datatilsynet navnlig pege på kravene om datasikkerhed i persondatalovens samt sikkerhedsbekendtgørelsen5.
Hvis myndighed M benytter Facebook eller en anden tjeneste til behandling af personoplysninger, skal myndigheden som dataansvarlig sikre sig, at tjenesten som databehandler kan træffe de tekniske og organisatoriske sikkerhedsforanstaltninger, som kræves efter persondataloven, og påse, at dette sker, jf. persondatalovens § 42, stk. 1. Herudover skal der indgås skriftlig databehandleraftale, jf. persondatalovens § 42, stk. 2.
Datatilsynet godkender ikke databehandleraftaler og skal ikke have sådanne forelagt.
5. Datatilsynet skal endvidere henlede opmærksomheden på reglerne om overførsel til tredjelande , hvis behandlingen af personoplysninger vil kunne ske i et tredjeland6.
6. Datatilsynet skal i øvrigt pege på, at tjenesterne eventuelt vil indsamle oplysninger om besøg på myndighed M’s profilside ved brug af cookies. Datatilsynet skal i den forbindelse henvise til Erhvervsstyrelsen, som administrerer de særlige beskyttelsesregler vedrørende cookies.
7. For god ordens skyld kan det oplyses, at tilsynet forventer at offentliggøre dette brev på sin hjemmeside.
1 Facebook er Datatilsynet bekendt etableret i Irland. Twitter er Datatilsynet bekendt etableret i Californien.
2 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.
3 Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.
4 www.datatilsynet.dk/borger/sociale-netvaerk/persondataloven-og-sociale-netvaerk/www.datatilsynet.dk/borger/sociale-netvaerk/naar-du-offentliggoer-oplysninger/
5 Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.
6 Persondatalovens § 27