Grupper på Facebook - åbne, lukkede og hemmelige - bruges af mange soloselvstændige, virksomheder og foreninger til at kommunikere med kunder, klienter og medlemmer. GDPR stiller nye krav.

EU’s nye databeskyttelsesregler (GDPR) stiller mange krav til, hvordan vi samler, gemmer, beskytter og bruger personlige og personfølsomme data.

Som udgangspunkt er det forbudt at indsamle, opbevare og bruge følsomme oplysninger om andre mennesker.

Der er dog undtagelser. Eksempelvis har læger, tandlæger og andre ligefrem pligt til at føre journal med personlige og følsomme oplysninger.

Kort sagt skal du have lov til det. Og har du hjemmel til at bruge folks personlige og følsomme oplysninger, må du gerne.

Hvad er personfølsomme oplysninger

  • Oplysninger om helbred
  • Medlemsskab af fagforening
  • Racemæssig eller etnisk baggrund
  • Politisk, religiøs eller filosofisk overbevisning
  • Seksuelle præferencer og forhold
  • Genetiske data

At oprette en gruppe på Facebook til at samle, opbevare og publicere personfølsomme oplysninger vil nok sjældent (om nogensinde?) kunne legaliseres med andet end et informeret og udtrykkeligt samtykke. Og selv det er måske ikke engang nok.

Inden du behandler personoplysninger, skal du sikre dig, at din behandling har et lovligt grundlag. Du skal med andre ord fastlægge, hvilken behandlingshjemmel der ligger til grund for din behandling, og eventuelt hvilken hjemmel der er mest hensigtsmæssig at anvende. | Datatilsynet

En “behandling” at personoplysninger er:

… enhver håndtering af personoplysninger, herunder indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse. | Datatilsynet

Du skal - selv når du har lov til at behandle data - stadig overholde en række regler for, hvordan du gør det. Du har ikke mindst ansvar for at sikre, at personfølsomme oplysninger ikke falder i forkerte hænder - at de ikke bliver misbrugt.

Og her har du et særligt problem, hvis du deler personfølsomme oplysninger i grupper på Facebook. Det er som bekendt hele fundamentet for Facebooks indtjening - at anvende data om brugerne til at sælge annoncer, der ofte rammer os på vores mest ømme punkter.

En EU-dom har for nylig fastslået, at når virksomheder bruger en side på Facebook, så deler de ansvaret for, hvordan data bruges. Det er ikke alene Facebooks ansvar at overholde love og forordninger.

Du har  måske tilsvarende ansvaret for data i din gruppe.

Medlemmers bestemmer naturligvis selv, om de vil være medlem - og hvad de deler i en gruppe. Mere om det senere.

Pas på, hvis gruppen deler følsomme informationer

Kravene til håndtering af data er særlige skrappe, når det er personfølsomme oplysninger.

Der er forskel på, om gruppens medlemmer diskuterer fluefiskeri, kriminalromaner, opskrifter, havearbejde - eller helbred, psykiske sygdomme, seksualitet, stress etc.

Først og fremmest skal du nok sikre dig, at du har tilladelse fra gruppens medlemmer til at håndtere deres data. Det er ikke nok, at de har meldt sig ind.

Det vender jeg tilbage til om lidt.

Nogle oplysninger er mere følsomme end vi lige tror

Det kommer måske bag på en del, at medlemsskab af en fagforening er en følsom oplysning. At gå til psykolog er også en følsom oplysning.

Til gengæld er vi nok alle klar over, at helbredsoplysninger, seksuelle interesser og religiøs overbevisning er personfølsomme data.

Mange mennesker afslører uden tøven personfølsomme informationer om sig selv på Facebook. Også ofte om andre.

Eksempler:

Det er nok ikke alle medlemmer, der er klar over, hvad det indebærer at være medlem af grupperne. I bedste fald ved de, hvordan deres personlige informationer er synlige på Facebook. Men de kan af gode grunde ikke vide, hvad der i øvrigt sker med deres data.

Der er i øvrigt en meget væsenlig forskel på de nævnte grupper. To af dem er, så vidt jeg kan se, oprettet af privatpersoner. De to øvrige er oprettet af henholdsvis en virksomhed og en faglig forening.

Det kan gøre en stor forskel.

Når offentlige myndigheder, virksomheder, foreninger eller organisationer samler, behandler og gemmer andres personlige data, skal de opfylde kravene i GDPR. Det skal privatpersoner ikke

Man kan med rette hævde, at samtlige medlemmer i de fire FB-grupper har meldt sig ind frivilligt. Det fritager dog ikke nødvendigvis de ansvarlige (gruppens ejere) fra at overholde GDPR og andre love.

Der skal være legale grunde til at samle personlige data

Virksomheder, myndigheder, organisationer, foreninger skal have et informeret og specifikt samtykke, hvis de behandler personfølsomme data uden anden legal grund. At ville markedsføre sig overfor en bestemt gruppe er ikke nok. At ville hjælpe og inspirere en bestemt gruppe er heller ikke nok.

  • Det er legalt at gemme navn og mailadresse for at kunne levere en vare og sende en faktura. Det kræver ikke samtykke.
  • Autoriserede sundhedspersoner SKAL føre journal over deres patienter, det kræver derfor ikke samtykke.
  • Det er ikke legalt at gemme navn og mailadresse for at sende emailmarketing - medmindre man har samtykke.

Så vidt jeg kan se, er der ingen af de førnævnte grupper, der informerer medlemmerne om, hvad deres data bruges til og hvilke rettigheder de har. Gruppernes adminitratorer har sandsynligvis ikke fået det samtykke, som GDPR kræver, når og hvis der ikke er andre legale grunde til at behandle personlige data.

Et samtykke skal være specifikt. Det må derfor ikke være generelt udformet eller uden en præcis angivelse af formålene med behandlingen af personoplysninger. Et samtykke skal med andre ord være konkretiseret på en sådan måde, at det klart og tydeligt fremgår, hvad der meddeles samtykke til. | Datatilsynets vejledning om samtykke

Som udgangspunkt bør myndigheder, virksomheder og foreninger ikke oprette og administrere grupper på Facebook uden at overveje nøje, om det er hensigtsmæssigt. Og om det overhovedet er muligt at overholde de krav, der følger med EU’s databeskyttelsesforordning.

Det mindste du kan gøre er nok følgende:

Informer og få samtykke

Dine kunder/klienter skal give dig et såkaldt informeret og udtrykkeligt samtykke. Og du skal kunne dokumentere, at du har fået det. Særligt hvis du behandler følsomme oplysninger uden anden lovlig grund.

Du først skal have informeret dem om, hvad du vil helt præcist vil bruge deres personlige data til. Samtykket skal være frivilligt, specifikt, informeret og utvetydigt.

Handler det om personfølsomme oplysninger, anbefales det, at samtykket er skriftligt.

Brug “Stil 3 spørgsmål” i Facebooks grupper til at få samtykke

Brug eventuelt gruppernes funktion til at stille brugerne spørgsmål. Fortæl folk, der søger om at blive medlem, hvad gruppen bruges til. Fortæl dem, at de bør overveje grundigt, hvilke personfølsomme oplysninger de poster.

Henvis til både din privatlivspolitik og gruppens regler.

Bed dem bekræfte, at de har læst, forstået og accepteret begge dele. Så er du i hvert fald langt bedre stillet end hvis du ikke indhenter et såkaldt informeret samtykke. Jeg er dog ikke jurist og tør ikke garantere, at det er nok til at opfylde kravene i GDPR!

Du finder muligheden for at stille spørgsmål under gruppens indstilinger.

Og husk, at GDPR gælder med tilbagevirkende kraft. Skal medlemmer af din gruppe give samtykke, gælder det ikke kun nye, men også gamle medlemmer.

Lad private medlemmer styre gruppen

I stedet for selv at oprette en gruppe, kan du vælge lade brugerne selv gøre det. Så er gruppen ikke begrænset af kravene i GDPR.

Slip kontrollen. Lad brugerne forme gruppen, admistrere medlemmer og styre debatten.

Du kan være med i gruppen! Ikke for at poste markedsføring og tilbud, men for at lytte og hjælpe. For at forstå dine kunder, medlemmer. Støt brugerne i at skabe et fælles forum for deres interesse.

At være medlem af sådan en gruppe er fremragende til research og idéudvikling. Du kan få uvurderlig viden om potentielle kunder og klienter. Om medlemmer. Om deres behov og spørgsmål.

Når en forening - ejerforening, kolonihaveforening, sportsklub etc. - har en gruppe til medlemmerne, behøver det heller ikke være bestyrelsen, der styrer gruppen. Det skaber i hvert fald udfordringer, fordi der så er en tsunami af regler, der skal følges.

GDPR gælder ikke for privatpersoner.

Datatilsynet forklarer:

Privatpersoners behandling af personoplysninger er i mange tilfælde også helt undtaget fra forordningen. Forordningen gælder således ikke for behandling af personoplysninger, som foretages af en fysisk person som led i rent personlige eller familiemæssige aktiviteter. Det vil sige, at de ikke har forbindelse med en erhvervsmæssig eller kommerciel aktivitet. Sådanne aktiviteter kan omfatte korrespondance og føring af en adressefortegnelse og i et vist omfang også sociale netværksaktiviteter og onlineaktiviteter. | Datatilsynets vejledning, punkt 2.0

Kan jeg så ikke bare få andre til at oprette og passe en gruppe for mig, har jeg set folk spørge. Eksempelvis psykoterapeuter eller alternative behandlere, der bruger grupper på Facebook til at give deres kunder/klienter lejlighed til dele erfaringer.

Jo. Måske! Men bid mærke i, at Datatilsynet blåstempler de private aktiviteter, der er personlige eller familiemæssige - og “ikke har forbindelse med en erhvervsmæssig eller kommerciel aktivitet.

Hvis gruppen har forbindelse til erhvervsmæssig eller kommercielt aktivitet, tror jeg ikke man skal regne med at være på den lovlige side. Man skal altså næppe udbyde et kursus i stresshåndtering, manglende sexlyst, angst etc. og samtidig tilbyde deltagerne at være medlem af en gruppe på Facebook.

Hvorfor er der forskel på private og virksomheder

Når en myndighed, virksomhed eller forening administrerer en gruppe på Facebook, er det juridisk set langt mere kompliceret, krævende og risikabelt, end når privatpersoner gør det samme for at dele en fælles interesse.

Mange har svært ved at forstå, at der er så skrappe regler. Det er lidt lettere at forstå, hvis man husker forskellen på det private køkken og det kommercielle restaurantkøkken.

I det private køkken kan vi opføre os tosset. Der er ingen offentlig kontrol med fødevaresikkerhed og -hygiejne. Ingen sanktioner, hvis kokken laver sundhedsfarlig mad.

Køkkenchefen og hendes personale skal opfylde massevis af formelle krav. Fødevaretilsynet kommer på besøg og straffer for dårlig køkkenhygiejne. Samtidig løber restauranten en risiko for, at kunder bliver syge. At der opstår shitstorm på sociale medier. Dårlige anmeldelser i medierne. At kunderne bliver væk.

Tilsvarende er det, når man jonglerer med personlige og personfølsomme data på sociale medier. Der er masser af vilkår, der skal være i orden, når det ikke er private, men derimod myndigheder, virksomheder og foreninger, der administrerer en gruppe.

Behandler man ikke andres personlige data etisk og forsvarligt, er det nok heller ikke Datatilsynet og eventuelle bøder, der er værst. Det er bad business at være uetisk og sjuske med andres privatliv.

Er det ikke folks eget ansvar, hvad de poster i en gruppe…?

Men folk ved vel, hvad de går ind til, når de har en profil på Facebook?

  • Folk bestemmer selv, hvilke grupper på Facebook, de vil være medlem af.
  • Folk bestemmer også selv, hvad de vil poste i grupper, de har meldt sig ind i.

Vil jeg poste cpr-nummer, sygdomforløb, religiøs overbevisning, seksuelle problemer… så kan jeg frit gøre det hvor og hvornår jeg vil.

Og nej: offentlige myndigheder, virksomheder og foreninger er ikke ansvarlige for, hvad medlemmer af en gruppe poster i en gruppe.

MEN …. det udelukker ikke, at man er ansvarlig for, hvad hvilke data man behandler. Om man lader data stå og gemmer dem - eller sletter.

Du er ikke ansvarlig for, om dine gæster medbringer kokain. Men ved du, at det er i dit hus, så er du ansvarlig for at få det væk.

Hvis en myndighed, virksomhed eller forening opretter og/eller administrerer en gruppe på Facebook, er indholdet omfattet af GDPR.  Og så er administrator dataansvarlig for, hvad de samler, lagrer, bruger og offentliggør.

Altså ansvarlig for at gribe ind, hvis gruppens medlemmer poster personlige informationer - om sig selv eller andre.
Ligesom de naturligvis også er ansvarlig for at slette indlæg, der er i strid med straffeloven. Eksempelvis injurier, racistiske ytringer etc.

Facebook bliver databehandler for myndigheden, virksomheden, foreningen, der har oprettet gruppen. Den dataansvarlige skal sikre sig, at databehandleren (eksempelvis Facebook) lever op til gældende love og regler for at behandle persondata.

Værre er måske, at den dataansvarlige også har et juridisk medansvar for, hvad Facebook gør med de data, der postes i gruppen.

Virksomheder og organisationer manipulerer med os

Hvor interessant kan det lige være for andre, tænker du måske, hvad der postes i lukkede eller hemmelige grupper på Facebook?

Tjah… Personlige data er guld værd!

De bliver indsamlet og solgt til virksomheder, der målretter og skræddersyr deres markedsføring til bestemte forbrugere. Det sker i udstrakt grad via Facebook.

I marts 2018 kom det frem, at konsulentvirksomheden Cambridge Analytica har samlet og solgt data fra mere end 50 millioner Facebookbrugere. Data blev brugt til at ramme brugerne med målrettede annoncer. Cambridge Analytica mener selv, at annoncerne var afgørende for, at Donald Trump blev præsident.

Kan du oprette en gruppe på Facebook til kunder, klienter, medlemmer

Helt grundlæggende er de tre mulige måder at tackle problemet på, hvis du - som myndighed, virksomhed eller forening - arbejder med personfølsomme emner. Og hvis du gerne vil have en gruppe, hvor kunder, klienter, patienter eller medlemmer kan dele personlige og følsomme informationer med hinanden:

  • Personfølsomme emner: Lad være med at oprette og/eller administrere grupper på Facebook, hvis det handler om personfølsomme emner som sygdom, sundhed, seksualitet, religion.
  • Almindelige personlige data kan godt behandles i en gruppe. Men GDPR stiller stadig en række krav til, hvordan de skal behandles.
  • Informer og få samtykke: Skønner du, at du lovligt kan oprette og bruge en gruppe, skal du sørge for at informere og indhente samtykke, som reglerne foreskriver. Du skal kunne dokumentere, at medlemmer har givet samtykke og til præcist hvad.
Personoplysninger skal i det hele taget slettes eller gøres anonyme, når det ikke længere er nødvendigt for den dataansvarlige at have oplysningerne.

Du kan ikke garantere, hvad Facebook gør med data

Mange myndigheder, soloselvstændige, virksomheder og foreninger løber en stor risiko for at overtræde GDPR, når de bruger en gruppe på Facebook til at kommunikere med kunder, klienter, patienter, kolleger….

Vi har nemlig reelt ingen viden om eller kontrol, over, hvordan Facebook bruger data. Vi kan derfor ikke leve op til de krav Datatilsynet udstikker:

Brug og håndtering af personoplysninger skal foregå betryggende og med et passende niveau af sikkerhed og privatlivsbeskyttelse. Sikkerhedsniveauet skal afspejle den konkrete risiko for, at oplysningerne stjæles, mistes, skades, eller behandles ulovligt. Hvis risikoen må antages at være stor, må behandlingen af personoplysninger ikke påbegyndes, før der er gennemført en konsekvensanalyse vedrørende databeskyttelse og eventuelt en høring af Datatilsynet. | Datatilsynets vejledning, punkt 7.0
Du er mere end velkommen til at stille spørgsmål og kommentere.
Databeskyttelsesforordningen er en EU-forordning, der har til formål at styrke og harmonisere beskyttelsen af personoplysninger i Den Europæiske Union (EU). Forordningen omtales ofte blot som GDPR - en forkortelse af ordningens engelske navn: General Data Protection Regulation.