LUP Student Papers

Personuppgiftsansvar för offentlig sektor på Facebook

• Mark

Abstract (Swedish)

Facebook kan vara ett verktyg för kommuner, regioner och myndigheter (offentlig sektor) att nå ut till medborgare med sin verksamhet. Att producera innehåll på Facebook och administrera en Facebooksida innebär att personuppgifter behandlas, vilket i sin tur innebär att EU:s allmänna dataskyddsförordning blir tillämplig.

Syftet med den här uppsatsen är att utreda och analysera den offentliga sektorns personuppgiftsansvar på Facebook. Rättsdogmatisk metod används för att utreda vad personuppgiftsansvaret innebär i allmänhet och vad det innebär på Facebook för offentlig sektor i synnerhet. Metoden används också för att analysera huruvida offentlig sektor kan efterleva de skyldigheter som följer av personuppgiftsansvaret.

Utredningen... (More)

Facebook kan vara ett verktyg för kommuner, regioner och myndigheter (offentlig sektor) att nå ut till medborgare med sin verksamhet. Att producera innehåll på Facebook och administrera en Facebooksida innebär att personuppgifter behandlas, vilket i sin tur innebär att EU:s allmänna dataskyddsförordning blir tillämplig.

Syftet med den här uppsatsen är att utreda och analysera den offentliga sektorns personuppgiftsansvar på Facebook. Rättsdogmatisk metod används för att utreda vad personuppgiftsansvaret innebär i allmänhet och vad det innebär på Facebook för offentlig sektor i synnerhet. Metoden används också för att analysera huruvida offentlig sektor kan efterleva de skyldigheter som följer av personuppgiftsansvaret.

Utredningen visar att kommuner, regioner och myndigheter blir personuppgiftsansvariga för det som de själva publicerar och sannolikt också för det som andra tillför Facebooksidan. Det går inte att utesluta att personuppgiftsansvaret eventuellt är gemensamt med användarna eller med Meta – företaget bakom Facebook. Utredningen leder fram till att personuppgiftsansvaret blir gemensamt med Meta när funktionen Statistik används för att ta fram data över vilka som besöker Facebooksidan.

I personuppgiftsansvaret ingår att säkerställa att de grundläggande principerna för personuppgiftsbehandling följs, att se till att det finns en laglig grund för personuppgiftsbehandlingen och att säkerställa att de registrerade kan utöva sina rättigheter. Uppsatsens slutsats är att kommuner, regioner och myndigheter har goda förutsättningar att uppfylla sitt ansvar inom ramen för det de själva publicerar, men att de har svårare att uppfylla sitt ansvar inom ramen för det som användare publicerar. Gällande sidstatistiken kan kommuner, regioner och myndigheter inte på egen hand säkerställa att den registrerade kan utöva sina rättigheter, men det gemensamma personuppgiftsansvaret bör trots det kunna uppfyllas.

I personuppgiftsansvaret ingår också att skyldigheter att föra register, göra konsekvensbedömningar, hantera personuppgiftsincidenter och se till att eventuella överföringar av personuppgifter till tredjeland har stöd i dataskyddsförordningen. Här konstateras att den offentliga sektorn kan uppfylla dessa skyldigheter vad gäller personuppgiftsbehandlingen på Facebook.

Den huvudsakliga slutsatsen som kan dras är att ju mer kontroll en kommun, region eller myndighet har över sin personuppgiftsbehandling, desto enklare är det att efterleva skyldigheterna som följer av personuppgiftsansvaret. (Less)

Abstract

Facebook can be a tool for Swedish municipalities, regions, and public authorities (the public sector) to reach out to citizens. Personal data is processed
when one administers a Facebook page and produces content on it, which
means that the General Data Protection Regulation becomes applicable.
The aim of this thesis is to examine and analyse the responsibilities of the
public sector on Facebook in their role as data controllers. The legal dogmatic
research method is used to investigate what the responsibilities of a data controller imply in general and for the public sector on Facebook in particular.
The legal dogmatic research method is also used to analyse whether or not
the public sector can comply with their responsibilities... (More)

Facebook can be a tool for Swedish municipalities, regions, and public authorities (the public sector) to reach out to citizens. Personal data is processed
when one administers a Facebook page and produces content on it, which
means that the General Data Protection Regulation becomes applicable.
The aim of this thesis is to examine and analyse the responsibilities of the
public sector on Facebook in their role as data controllers. The legal dogmatic
research method is used to investigate what the responsibilities of a data controller imply in general and for the public sector on Facebook in particular.
The legal dogmatic research method is also used to analyse whether or not
the public sector can comply with their responsibilities as data controllers
when on Facebook.
The investigation shows that municipalities, regions, and public authorities
are data controllers in relation to what they publish on their Facebook pages.
They are likely also data controllers in relation to what other users contribute
to the pages. It cannot be ruled out that the controllership might be joint together with the users or with Meta, the company behind Facebook. If the tool
Audience Insights is used to get statistics on the visitors of a Facebook page,
the owner of the page becomes a joint controller together with Meta.
The duties of the data controller include ensuring that all processing of personal data follow the basic principles, that there is a lawful ground for the
processing, and that the data subjects can exercise their rights. This thesis
concludes that municipalities, regions, and public authorities should be able
to comply with their responsibilities as data controllers when it comes to their
own contributions to their Facebook pages. The actors will however have a
more difficult time complying when it comes to other users contributing to
the Facebook page. Municipalities, regions, and public authorities are unable
to ensure on their own that data subjects can exercise their rights regarding
page statistics, however this does not affect the ability to comply with the
responsibilities of joint controllership.
It is also the data controller’s responsibility to keep a record of their processing activities, to carry out a data protection impact assessment, to handle
data breaches and to ensure that any transfers of personal data to third countries can be made in accordance with the regulation. The public sector should
be able to fulfil these obligations regarding their processing of personal data
on Facebook.
The main conclusion drawn in this thesis is this: The more control a municipality, region, or a public authority has over its processing, the easier it becomes for it to comply with the responsibilities of a data controller. (Less)