Det irske datatilsynet, Office of the Data Protection Commissioner (DPC) publiserte i går rapporten fra sin revisjon av personvernpraksisen til den amerikanske sosiale tjenesten Facebook: Report of Audit (pdf, 150 sider) og Appendices (pdf, 77 sider).
DPC spiller en nøkkelrolle i overvåkningen av personvernpraksisen til Facebook, siden alle data for Facebooks brukere utenom USA og Canada lagres i Irland. Facebook har erkjent at de er underlagt DPC når det gjelder personvernet til 500 millioner av tjenestens 800 millioner brukere.
Det norske Datatilsynet har antakelig spilt en viktig rolle i prosessen forut for DPC-rapporten.
I sommer ba Datatilsynet Facebook Irland om å svare på et antall spørsmål om hva slags personopplysninger Facebook samler inn, hvordan de brukes og hvordan de videreformidles. Svarene forelå i september, og ble lagt ut på Datatilsynets nettsider. I slutten av oktober dro Datatilsynets direktør Bjørn Erik Thon til Dublin for samtaler med både Facebook og DPC. Etter disse møtene tok DPC på seg oppgaven å kontrollere Facebook.
Revisjonsrapporten har en rekke henvisninger til, og en gjennomgang av, kravene som Datatilsynet stilte til Facebook med utgangspunkt i en klage fra Forbrukerrådet.
DPC beskriver rapporten som «den mest omfattende og detaljerte revisjonen vi noen gang har gjennomført».
Den er en «omfattende vurdering av Facebook Irlands overholdelse av den irske personvernloven, og av EUs lovgivning på dette feltet». Det understrekes at rapporten er et første skritt i en prosess som tar sikte på å gjøre Facebook Irland til en modell for hvordan sosiale tjenester skal forholde seg til personvernet. Man ønsker altså ikke bare at Facebook skal holde seg til lovens bokstav: Målet er å bevege tjenesten på et nivå der de kan være et eksempel til etterfølgelse.
DPC understreker at deres oppgave kun er å sikre at Facebook følger loven, og at det er opptil Facebook om de vil strekke seg utover det.
Den første reaksjonen fra Facebook er lagt ut på bloggen Facebook Public Policy Europe og er svært positiv: Her loves det å fortsette samarbeidet med DPC. Facebook skriver at de er enige i at DPC følger opp med en ny revisjon i juli 2012.
Både Facebook-bloggen og DPCs uttalelser tyder på at partene har opprettet et positivt samarbeid. DPC arbeider ut fra at Facebook ærlig ønsker å praktisere personvern etter europeiske krav. Facebook godtar DPC som overordnet myndighet og at personvernpraksisen skal kontrolleres fortløpende.
Innsyn, brukerstyring og sikkerhet er de grunnleggende prinsippene som går igjen i rapporten.
DPC roser Facebook for måten de sikrer brukerdataene. De erkjenner Facebooks «innovative bruk av informasjonskapsler» for å avdekke uvanlig eller mistenksom virksomhet på en konto.
Rapporten erkjenner Facebooks forbud mot bruk av psevdonymer som et korrekt personverntiltak.
De mange mulighetene Facebook tilbyr for elektronisk sporing har vært omdiskutert. I rapporten konstaterer DPC at de ikke har funnet tegn på at sporing gjennom «plug-in» eller andre midler ikke brukes til å bygge opp sosiale profiler av verken brukere eller ikke-brukere av tjenesten, selv om slikt hadde vært mulig. Det står at Facebook nå tar aktive skritt for å slette spor på et tidligere tidspunkt. Løpende kontroll av at dette skjer, vil være blant DPCs oppgaver i tiden framover.
Innsyn innebærer også mulighet for oversikt over hva brukeren selv har lagt ut over tid. DPC roser nye verktøy som «Download Your Info» og «Timeline». Samtidig kreves bedre funksjoner for å slette personlige data.
DPC anbefaler flere forbedringer til bildeverktøyet Tag Suggest, som de mener kunne vært innført på en mer åpen måte. Facebook sier de er enige i anbefalinger om å klargjøre ytterligere, overfor brukere i Europa, hva verktøyet faktisk innebærer.
Annonsering tilpasset brukerens persondata er grunnlaget for Facebooks forretningsmodell.
DPC skriver at denne modellen er legitim, og at brukere går med på dette når de godtar avtalen som gir dem tilgang til Facebooks tjenester. Betingelsen er imidlertid at brukerne gis fullverdig innsyn i bruken av deres persondata. Her har DPC forslag til forbedringer.
Om tredjeparts applikasjoner heter det at DPC har kontrollert at det ikke er mulig for en applikasjon å få tilgang til brukerens personlige data utover det som er angitt i innstillingene brukeren selv har kontroll over. Desto viktigere er det da at disse innstillingene er synlige og lett tilgjengelige, slik at de kan justeres etter behov.
Facebook lover spesielt å følge opp disse punktene fra DPCs kritikk:
- Tilleggsinformasjon til europeiske brukere om Tag Suggest
- Endring av regler og praksis knyttet til lagring og sletting av data
- Bedre brukerinformasjon om hvordan man kan styre egne persondata både i Facebook og i tilknyttede applikasjoner.
Rapporten inneholder en detaljert oversikt, over 16 sider, om innvendingene de har, om hvordan Facebook bør etterkomme dem, og til hvilken tidsfrist.
