Privatlivets beskyttelse – Facebook


hand

Af: Martin Jørgensen, Cand.jur – Senior Consultant – Deloitte/Security & Privacy

Privatlivets beskyttelse

Opfattelsen af privatlivets beskyttelse afhænger af øjnene der ser.

Virksomheder har fokus på privatlivets beskyttelse og implementerer såkaldte privacy-programmer og løsningsmodeller, som kan bidrage til aktivt at identificere databeskyttelsesmuligheder indenfor de områder, som enten repræsenterer den største risiko eller den største mulige fortjeneste for den pågældende virksomhed. 

Fokus i det offentlige forum er på det seneste blevet rettet mod enkeltpersoner og privatlivets beskyttelse i forbindelse med diverse sociale netværk – specielt det sociale netværk Facebook har i medierne fået en del spalteplads.

Nærværende artikel tager udgangspunkt i det sociale netværk Facebook, herunder de aftalebetingelser som brugere på netværket bliver underlagt ved at oprettet en profil på http://www.facebook.com.

Sociale netværk samt Facebook

Sociale netværk er grundlæggende steder på internettet, hvor du kan oprette en profil, der beskriver dig selv, ligesom du kan se andres profiler. Fænomenet er blevet meget omtalt, primært fordi steder som Facebook og MySpace hurtigt har fået ekstremt mange brugere over hele verden – også i Danmark. Men der er også en række mindre, sociale netværk, der henvender sig mere specifikt til folk med samme interesser eller samme livssituation. 

I starten var Facebook kun for studerende med en college- eller universitets-e-mailadresse. Siden er Facebook gjort tilgængelig for brugere med alle typer af e-mail-adresser. Facebook har mere end 110 mio. medlemmer, og hver dag kommer der 250.000 nye medlemmer. Der findes 1,7 milliarder billeder og der er over 500 millioner søgninger pr. måned. (Kilde: http://da.wikipedia.org/wiki/Facebook) I Danmark har vi rundet de 1,6 mio. medlemmer.

Amerikanske regler

Umiddelbart lyder Facebook jo som et rimeligt harmløst foretagende, hvor man kan berette om sine daglige gøremål, interesser, privat- og arbejdsliv, samt dele sine billeder. Men når du opretter en profil på Facebook, giver du samtykke til, at dine personlige oplysninger bliver overført til og behandlet i USA. Det er dermed ikke dansk lovgivning, der gælder, når man anvender Facebook, men derimod amerikansk lovgivning.

De amerikanske regler vedrørende behandling af personoplysninger er på ingen måde lige så regulerede som de danske regler (bl.a. Lov om behandling af personoplysninger, Lov 2000-05-31 nr.429). Facebook skal dermed ikke følge de regler, som vi kender til i Danmark vedr. behandling og opbevaring af persondata, og som vi naivt kan gå rundt og tro, er gældende, når vi logger på diverse sociale netværk på internettet. 

Som en af de helt store forskelle kan det nævnes, at Facebook kun kræver én accept ved oprettelsen af en profil, for fremover at have ophavsret til de data, en profilejer vælger at lægge ud på sin profil; herunder personlige oplysninger, billeder m.v.

En profilejer kan altså risikere, at alt indhold på profilen – for eksempel billeder, personlige oplysninger, beskeder og tekster samt fortrolige beskeder i en lukket gruppe – kan blive brugt af Facebook overalt i verden. Facebook kan tilmed bruge det til “ethvert formål” (også i omformateret eller oversat form) og for evigt, hvilket også vil sige efter at en profilejer har slettet sin Facebook-konto.

Det indhold, som en profilejer altså har givet Facebook, kan for eksempel blive brugt i reklamer. “Sjove” billeder fra den seneste fest eller badeferie, kan således lige pludselig indgå i en global reklame for hvad som helst.

Facebook er ikke de eneste, der må bruge indholdet i profilerne.

Det må andre virksomheder også, for som profilejer har man givet Facebook ret til at videresælge det indhold, som oprindeligt var ens eget.
Ovenstående ville aldrig blive accepteret, såfremt de danske regler vedrørende anvendelse af persondata fandt anvendelse. 

Nærmere om aftalebetingelser på Facebook

Aftalebetingelser på Facebook – de seneste gældende fra 26. november 2008 – nævner indledningsvis, at man ved brug eller ved at logge ind på Facebook accepterer reglerne i den pågældende erklæring om ”Beskyttelse af personlige oplysninger”.

Det betyder bl.a. at ud over at have givet lov til, at Facebook kan anvende brugernes indhold for evigt i et meget vidt omfang, har de anslåede 1,6 mio. danske profilejere på Facebook også sagt ja til at anvendelsesvilkårene kan ændres, uden at brugerne bliver informeret

Det vil sige, at selv hvis en profil ejer rent faktisk læste anvendelsesvilkårene ved oprettelse af en Facebook-konto, er det spild af tid, for man accepterede samtidig, at Facebook frit derefter kan ændre vilkårene uden at informere brugeren.

Den eneste måde hvormed man kan holde øje med, om der er kommet nye vilkår for anvendelse af Facebook, er ved at læse vilkårene, hver gang man logger på.
Der står i vilkårene, at ved at logge på Facebook, gælder det som en ny accept af de til enhver tid gældende betingelser – uanset om de måtte være ændrede siden brugeren oprettede sin konto. Brugeren vil ikke få nogen særskilt besked om, at sådanne ændringer er foretaget, og der er heller ingen mulighed for at se, hvilke dele af vilkårene, der er ændret siden sidst, for det oplyser Facebook ikke. Det er dermed en jungle for selv en uddannet jurist at finde hoved og hale i Facebooks aftalebetingelser.

Ovenstående ville ligeledes være i strid med den danske persondatalov, såfremt den fandt anvendelse.

Hvor er Datatilsynet?

”Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Datatilsynet består af et råd – Datarådet – og et sekretariat.  Datatilsynet bl.a. rådgiver og vejleder, behandler klager og gennemfører inspektioner hos myndigheder og virksomheder”. (kilde:http://www.datatilsynet.dk)

Forbrugerrådet anbefalede i august 2008, at Datatilsynet burde kigge nærmere på det sociale netværk Facebooks aftalebetingelser, hvilket Datatilsynet imidlertid afviste ved skrivelse af den 9. oktober 2008.

”Begrundelsen” fra Datatilsynet var følgende:

”Hvis Datatilsynet skulle komme med en egentlig stillingtagen til Facebooks databehandlinger, ville det forudsætte, at der forinden var indhentet en udtalelse fra Facebook. Datatilsynet finder imidlertid ikke anledning til på nuværende tidspunkt at rejse en egen drift-sag over for Facebook.” (Kilde: http://www.forbrugerraadet.dk)

Datatilsynet fandt altså ikke anledning til at undersøge sagen. Datatilsynet oplyste dog afslutningsvis i brevet til Forbrugerrådet, at den såkaldte artikel 29-gruppe, der er nedsat i medfør af databeskyttelsesmyndigheden, har sociale netværk på sit arbejdsprogram for 2008/2009.

Artikel 29-gruppen er nedsat som følge af Europa-parlamentet og Rådets direktiv (95/46/EF af 24. oktober 1995) om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesdirektivet).

Artikel 29-gruppen er rådgivende og uafhængig og består af en repræsentant for den eller de tilsynsmyndigheder, som hver medlemsstat har udpeget, og af en repræsentant for den eller de myndigheder, der er oprettet for fællesskabsinstitutionerne og -organerne, samt af en repræsentant for Kommissionen. Datatilsynet er repræsenteret i artikel 29-gruppen.

I april 2008 konkluderede artikel 29-gruppen, at den amerikanske søgemaskine Google er underlagt brugernes nationale regler – herunder den danske persondatalov – og at det er de enkelte medlemsstater, som skal sikre, at reglerne bliver håndhævet. I samme udtalelse konkluderer ”Artikel 29-gruppen” også, at brugernes samtykke skal hentes forud for enhver form for krydskombination af brugerdata og brugerdataforædling – altså at der skal indhentes samtykke fra brugere, når der skal videresælges identificerbare personoplysninger.

Det kan derfor virke besynderligt, at Datatilsynet implicit henviser til, at man afventer artikel 29-gruppens arbejde, når der allerede ligger konklusioner/vejledende udtalelser fra artikel 29-gruppen, der ganske vist ikke specifikt handler om sociale netværk – men man konkluderer dog fra artikel 29-gruppen, at samtykke skal indhentes før videregivelse af identificerbare personoplysninger, samt at det ikke er nok med en generel accept – hvilket man bl.a. afgiver ved at oprette en profil på Facebook.)

Forbrugerrådet har efter afslaget fra Datatilsynet kontaktet EU-Kommissionen vedrørende spørgsmålet, men her var svaret korrekt, at tilsyn med udenlandske internettjenester skal føres af de nationale myndigheder, hvilket jo er i tråd med konklusionerne fra artikel29-gruppen. Forbrugerrådet har efterfølgende på ny kontaktet Datatilsynet – der på ny har afvist at foretage en undersøgelse og i den forbindelse oplyser, at

“Vi lægger kræfterne i samarbejdet med de europæiske og internationale datatilsyn, hvor der allerede sker meget. Vi har en repræsentant i Bruxelles, der deltager i Artikel 29-gruppen, der arbejder med at udstikke regler for alle de sociale netværk på nettet. Den gruppe er på trapperne med en udtalelse,” siger Lena Andersen fra Datatilsynet.(Kilde: http://www.computerworld.dk)

Vi må så – med tålmodighed – afvente artikel-29 gruppens arbejde før Datatilsynet(den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes) kan tage stilling i sagen.

Du kan læse mere om artikel 29-gruppens arbejde og dokumenter her: http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/index_en.htm