Как норвежкият орган за защита на данните стигна до решението да не използва Facebook?

„Какви са рисковете за поверителността, свързани с комуникацията чрез страница във Facebook? И каква отговорност за обработката на лични данни можем да носим като собственик на страница? Извършихме оценка на риска и DPIA на Facebook, въз основа на задълженията, които произтичат от разпоредбите за защита на данните.“

Норвежкият орган за защита на данните публикува доклада, който обосновава решението му да използва Facebook като комуникационен канал:

„Всеки, който обработва лични данни, трябва да гарантира спазването на Общия регламент относно защитата на данните (GDPR). Задълженията, наложени от регламента, се прилагат, когато дадена организация използва социални медии, например страница във Facebook.

За да бъде защитена поверителността на регистрираните потребители са важни оценката на риска и оценката на въздействието върху защитата на данните (DPIA). Това е инструментът, който сега използвахме при оценката на Facebook.

„Отправната точка за нашата оценка беше използването на Facebook в нашите комуникационни дейности, а целта беше да създадем страница във Facebook. Първоначалната и основна цел на доклада беше да ни позволи да вземем информирано решение. Ние обаче смятаме, че тази оценка би била от голям интерес и за много други предприятия,“ казва генералният директор на Органа за защита на данните Бьорн Ерик Тон.

В доклада се прави изводът, че Органът за защита на данните не трябва да използва Facebook в своите комуникационни дейности. „Смятаме, че рисковете за правата и свободите на потребителите, свързани с обработката на лични данни чрез страница във Facebook, са твърде високи. Считаме, че в случай на присъствие във Facebook, нямаше да изпълним всички условия в член 26* относно съвместното обработване, тъй като считаме, че стандартното споразумение между Facebook и нас е недостатъчно.

„Онези, които са посетили нашата страница във Facebook, биха очаквали, че ние имаме контрол върху това какво ще се случи, ако например кликнат върху „харесвам“ на нашата страница или какъв вид информация е регистрирана само като посетят нашата страница. Ние просто не можем да отговорим на това“, е цитиран да казва Тон.

„Доколкото знаем, ние сме единствената организация, която извършва задълбочена оценка на страниците във Facebook въз основа на задълженията на GDPR. Оценката беше предизвикателна и всеобхватна и доведе до широк спектър от трудни съображения, свързани с технологиите, правото и етиката. Вярваме, че много организации биха имали полза от това да видят пример за използване на DPIA на практика, казва Бьорн Ерик Тон, който подчертава, че направените оценки се отнасят само за използването на Facebook от надзорния орган. Това не е обща оценка за законосъобразността на използването на Facebook в комуникационната работа на компаниите.

Ролята на Datatilsynet в тази оценка не е нито на надзорен орган, нито на омбудсман, а по-скоро на администратор на данни, със задълженията, които произтичат от тази роля, съгласно GDPR. …

Норвежкият орган за защита на данните не е включил Facebook в оценката на риска, за да не се смесят ролите си на надзорник и администратор на данни. По този начин оценката на риска се основава на същата база източници и същите условия като за всички други компании, които използват или обмислят да създадат страница в платформата.

Норвежката DPA избира да не използва Facebook (английски, PDF)

Докладът, първо, дава систематично описание на обработката на данни, свързана с наличието на страница във Facebook. Целта е администраторът на данни, да получи цялостен преглед на обработката и да гарантира, че описанията са възможно най-пълни и възможно най -ясни. Тези описания включват естеството, обхвата, целта, контекста, източниците и получателите на обработката, както и оценка на информационната сигурност на решението.

Надзорният орган смята, че „рисковете за правата и свободите на субектите на данни, свързани с обработката на лични данни чрез страница във Facebook, са твърде високи. Като собственик на страница не бихме могли да приложим мерки за задоволително смекчаване на тези рискове“, казва Андерс Балангруд. Той е съветник по комуникациите в Норвежкия орган за защита на данните и е ръководил вътрешната оценка.

Работната група също се е опитала да изясни правната отговорност. Ролите и задълженията в социалните медии са разгледани в решения на Европейския съд. Две решения, по-специално Wirtschaftsakademie и Fashion ID, установяват, че взаимодействието между социалните медии и други страни може да представлява съвместен контрол съгласно член 26 от Общия регламент относно защита на данните.

Надзорният орган няма смята, че присъствието му във Facebook няма да изпълни всички условия в член 26 относно отговорността за съвместна обработка. Datatilsynet също няма да има възможност да сключва свои собствени споразумения с Facebook, казва Балангруд.

Работната група е оценила необходимостта и пропорционалността на обработката на данните. Целта е да се гарантира, че изборът, който правим в качеството ни на администратор на данни, е легитимен и извършен по такъв начин, че обработката да е пропорционална на целта. Оценено е дали принципите за защита на данните (членове 5, 6 и 9), правата на субектите на данни (членове 12 – 22) и свободите на субектите на данни (преамбюл [4] и член 8 от ЕКПЧ) са защитени.

„Въпреки факта, че ние, като собственик на страница, бихме имали намерение да защитим правното основание, принципите за поверителност и правата и свободите на субектите на данни, ние бихме били на милостта на Facebook и неговите условия, като създаваме и използваме страница в платформата. Ние обаче представяме някои мерки, които могат да смекчат някои рискове за защита на данните за отделния потребител в доклада“, казва Балангруд.

Защитата на данните на етапа на разработка и по подразбиране са ключови принципи в законодателството за защита на данните. Тези принципи също трябва да бъдат включени в договореностите с доставчиците.

„Като администратор на данни не откриваме, че Facebook е предоставил адекватни гаранции, че този инструмент или платформа има защита на данните на етапа на проектирането и по подразбиране, казва Балангруд.

Въз основа на проучването и оценките ни за необходимост и пропорционалност, стигнахме до извода, че рисковете за правата и свободите на субекта на данни са високи. Ето защо извършихме оценка на въздействието върху защитата на данните съгласно член 35 от GDPR – DPIA.

Това е процес, в който преобръщаме перспективата и разглеждаме обработката от гледна точка на субекта на данните…. Правим това, за да определим дали обработката все още може да се извърши по приемлив начин и изгражда доверие спрямо онези, чиито лични данни обработваме, казва Балангруд.

Работната група също се консултира с длъжностното лице по защита на данните на Datatilsynet  в съответствие с член 35, параграф 2 от GDPR.

Работната група е представила своите оценки на ръководството в съответствие с принципа за отчетност на регламента. Въз основа на доклада, който включва препоръките на работната група и служителя по защита на данните, Datatilsynet решава да не създава и комуникира чрез страница във Facebook.

* бел. ред. „Съвместни администратори“

Можете да споделите: