Hoppa till huvudinnehåll

Inrikes

Borde organisationer ha Facebook-sidor? Olagligt när personuppgifter hanteras i USA – den finländska dataombudsmannen planerar mer övervakning

Uppdaterad 01.10.2021 16:15.
Facebooks serverhall i Luleå, Sverige
Bildtext Facebooks serverhall i Luleå, Sverige - ett av de ställen där företaget sparar EU-användares data inom unionen. Men en hel del data om europeiska användare finns också i USA.

I Finland är det vanligt att organisationer har egna Facebook-sidor. Men det är kanske inte vanligt så länge till. Dataskyddsmyndigheter i EU håller nämligen på att fokusera mer och mer på att det är problematiskt att överföra personuppgifter till USA – där de till exempel kan avlyssnas av underrättelsetjänsten NSA – och just det gör Facebook.

Dataskyddsmyndigheten i Tyskland rekommenderar starkt att landets myndigheter lägger ned sina Facebook-sidor innan årsskiftet. 

Orsaken är att Facebook styr användarnas personuppgifter till USA. Det här bryter mot EU:s dataskyddsförordning (GDPR) som värnar om vår personliga integritet.

Elias Aarnio som är vice ordförande vid Electronic Frontier Finland (Effi) som arbetar för medborgares dataskydd, välkomnar det tyska beslutet. Han är samtidigt inte överraskad.

– Det är ju ett faktum. Det är helt enkelt inte möjligt att använda Facebook-sidor på det viset att det inte läcker persondata, säger han.

Aarnio är särskilt besviken över att offentliga aktörer väljer att finnas på Facebook – många statliga och kommunala myndigheter i Finland gör till exempel det.

– Jag tycker att det är uruselt. Det är ansvarslöst. Och det är ganska fånigt att trots att många organisationer i Finland har pratat om det här i åratal, så har situationen varit oförändrad.

Effi ry:n Elias Aarnio.
Bildtext Elias Aarnio verkar vid dataskyddsorganisationen Effi.

De organisationer som upprätthåller Facebook-sidor är enligt lagen medansvariga för vad som sker med de personuppgifter som samlas in där. Det kan handla om allt från uppgifter om vilka personer som följer sidan, till platsdata, information om vad de har skrivit och gillat, och så vidare.

Dataskyddsmyndigheten i Norge och i Finland beslöt att avstå

Också den norska dataskyddsmyndigheten har nyligen fattat ett beslut om att inte skapa egna Facebook-sidor. 

Finlands dataombudsman Anu Talus hänvisar till det i en intervju med Svenska Yle:

– Den norska dataskyddsmyndigheten, Datatilsynet, konstaterar att man inte kan säkerställa vad som sker med de personuppgifter som samlas in via en Facebook-sida. Därför beslöt man att inte grunda en sådan, berättar Anu Talus.

Det har lett till att många aktörer i Norge har dragit bort sina Facebook-sidor. En som gjorde det är till exempel Teknologirådet som är en offentlig instans som ger den norska regeringen råd i teknologifrågor.

Anu Talus berättar att Dataombudsmannens byrå i Finland har kommit till samma slutsats: att inte ha en Facebook-sida. Det beslutet skedde ändå redan långt före det att EU:s dataskyddsförordning trädde i kraft år 2018. 

Det kan därmed inte användas som en lika klar signal om att andra borde agera på samma sätt. Men i princip är argumenten i stort sett desamma.

– Vi har sett att det finns vissa slags risker, såsom den norska myndigheten också påpekade. Det handlar främst om dataöverföring till tredje länder, alltså till utanför EU, säger Talus.

Kuvassa on tietosuojavaltuutettu Anu Talus 2. marraskuuta 2020.
Bildtext Anu Talus har varit Finlands dataombudsman sedan i augusti i fjol.

Facebook använder data om användarna för att gynna sin egen affärsverksamhet. Det finns också exempel på att sådana här personuppgifter har hamnat hos utomstående företag. 

Enligt amerikansk lag får dessutom den amerikanska underrättelsetjänsten NSA ta del av datamaterialet vid behov. Det innebär att när data överförs till USA, eller hanteras där, så kan man inte garantera att dataskyddet för EU-medborgare upprätthålls.

"Mer vägledning behövs"

Orsaken till att den finländska datamyndigheten hittills inte har reagerat mot dataöverföringen till USA går att hitta i den finländska förvaltningskulturen, menar Elias Aarnio på Effi.

Han påpekar att medan den tyska dataskyddsmyndigheten ofta är mer i framkant, så har den finländska en mer "vänta och se"-linje. Aarnio menar att det här är en förvaltningskultur som påminner om hur det var på Kekkonens tid.

– Man borde ge vägledning i vissa saker, och det här är ett område där det skulle behövas.

Dataombudsmannens byrå brukar alltså inte komma med utlåtanden på förhand om hur olika aktörer i vårt land borde agera, utan man tar helt enkelt ställning till specifika fall som kan vara problematiska. 

Vägledning är ändå att vänta så småningom, men antagligen på ett indirekt sätt, via specifika fall.

– Övervakningen av hur och var data sparas och hanteras kommer att vara tydligt med på vår agenda under det kommande året och också efter det, berättar Talus.

Det har att göra med ett uppmärksammat domslut vid EU-domstolen i fjol somras – ett fall som drivits av den österrikiske integritetsaktivisten Max Schrems. 

EU-domstolen konstaterade att EU-medborgares dataskydd äventyras när data om dem överförs till USA och att en sådan här överföring, med några få undantag, är olaglig.

– Efter det har det har både europeiska dataskyddsmyndigheter och EU-kommissionen förtydligat vad det här faktiskt innebär i praktiken. Nu har vi bättre förutsättningar att också kunna övervaka det här i praktiken, betonar Talus.

Hon tillägger att Dataombudsmannens byrå kommer att komma med mer detaljerad information om saken under den närmaste framtiden; troligen nu på hösten. Arbetet ska koordineras med andra europeiska dataskyddsmyndigheter.

Dataombudsmannen: Tänk på dataskyddet

Anu Talus betonar ändå redan nu att det är viktigt att olika aktörer tar dataskyddet i betraktande när de börjar använda digitala tjänster.

– I samband med det så är det viktigt att man utvärderar vilka risker det innebär, påpekar hon.

Framför allt offentliga aktörer har ett extra stort ansvar i att följa dataskyddsreglerna. Men reglerna är desamma för alla och gäller till exempel också privata företag och föreningar.

Det handlar inte bara om Facebook, utan också om andra stora teknikföretag såsom Amazon och Google och överlag om var organisationer sparar och hanterar sina data. Om det till exempel sker på en molntjänst utanför EU så bryter det sannolikt mot EU:s dataskyddsregler.

Den tyska dataombudsmannen har också preliminärt sagt att de som jobbar för nationella myndigheter i Tyskland inte borde använda apparna Instagram, Tiktok och Clubhouse i sina arbetsapparater.

– Vi har i nuläget ingen rekommendation i den här frågan i Finland, men troligen finns här samma dilemma med att det överförs data om användarna till länder utanför EU, säger Anu Talus.

Hon påpekar dessutom att Instagram antagligen har en liknande datahantering som Facebook, i och med att Facebook äger Instagram.

Diskussion om artikeln