Eins og margir hafa orðið áskynja þá hefur Workplace frá Facebook náð mikilli útbreiðslu á undraskömmum tíma hér á landi og í reynd stuðlað að ákveðinni byltingu í innri upplýsingamiðlun og samskiptum starfsmanna á vinnustöðum. Hvaða áhrif, ef einhver, hefur innleiðing Workplace á persónuvernd starfsmanna?

 Hvað er Workplace?

Workplace er samfélagsmiðill og hugbúnaður fyrir innri vefmiðlun í fyrirtækjum. Tilgangurinn er ekki síst að auka flæði upplýsinga og þekkingar, styrkja samvinnu og skilvirkni, færa starfsfólk nær hvert öðru og efla starfsanda á vinnustað. Workplace er sagt fækka tölvupóstum og fundum ásamt því að samskipti fólks verða einfaldari og fljótlegri. Það virkar í öllum megin atriðum eins og Facebook en er þó alveg aðskilið í rekstri. Starfsmenn þurfa t.d. ekki að vera á Facebook til að tengjast Workplace.

Eimskip var fyrsta íslenska fyrirtækið sem innleiddi Workplace (hét þá Facebook at Work) í apríl 2016. Síðan þá hefur fjöldi fyrirtækja fylgt í kjölfarið t.d. Icelandair, Landspítali, Hafnarfjörður, Dominos og Landsnet. Talið er að um 2-300 íslenskir vinnustaðir hafi tekið hugbúnaðinn í notkun og ekkert lát virðist vera á þessari þróun. Samkvæmt tölum frá Facebook hafa alls hafa um 14.000 fyrirtæki innleitt Workplace á sama tíma og höfðatalan því merkileg eins og svo oft áður þegar Íslendingar eru annars vegar. Við Íslendingar erum spennt fyrir nýjungum og erum fljót að taka ákvarðanir. En höfum við farið of geyst? Þarf að e.t.v. að staldra við og hugsa málin til enda?

Vigdís Eva Líndal, skrifstofustjóri upplýsingaöryggis Persónuverndar, er sérfróð um persónuvernd og hefur fengist við þessi mál innan stofnunarinnar. Við fengum hana í viðtal.

Hvernig kom Workplace inn á borð Persónuverndar?
„Persónuvernd hefur nú til meðferðar nokkur frumkvæðismál en upphaf þeirra má rekja til frétta um að fyrirtæki á Íslandi væru að taka í notkun Workplace. Aðrar persónuverndarstofnanir í nágrannalöndunum hafa verið að skoða Workplace og gefið út leiðbeiningar um hverju þurfi að huga að þegar lausnin er tekin í notkun. Norska persónuverndarstofnunin, Datatilsynet, hefur t.d. gefið út leiðbeiningar um notkun Workplace. Af þeirri ástæðu töldum við okkur m.a. skylt að skoða þessi mál nánar hér á Íslandi.“

Hvað ber helst að hafa í huga við innleiðinguna að mati Persónuverndar?
„Áður en ég fjalla sérstaklega um Workplace þá eru nokkur atriði sem fyrirtæki þurfa alltaf að hafa í huga í sambandi við persónuvernd þegar gerðir eru samningar um innleiðingu og notkun á hugbúnaði. Þetta eru tveir aðilar, annars vegar ábyrgðaraðili, þ.e. fyrirtæki eða stofnun, og síðan vinnsluaðili, t.d. upplýsingatæknifyrirtæki, eða í þessu tilviki Facebook. Til að ábyrgðaraðili geti ráðið vinnsluaðila þarf hann fyrst að ganga úr skugga um að vinnsluaðilinn geti framkvæmt viðeigandi öryggisráðstafanir og hvort sett hafi verið öryggisstefna og áhættumat framkvæmt.

Þegar hann er búinn að því og vinnsluaðilinn uppfyllir öll þau skilyrði sem ábyrgðaraðilinn gerir til öryggis upplýsinganna þá fyrst getur hann gengið til samninga við hann og gert s.k. vinnslusamning, þar sem fyrirmæli ábyrgðaraðilans til vinnsluaðilans eru skjalfest. Persónuverndarlögin gera kröfu um að gerður sé sérstakur vinnslusamningur, þ.e. samningur um vinnslu persónuupplýsinga. Í framkvæmd hefur það oft verið svo að sá leikur er ójafn, ábyrgðaraðilinn hefur lítið um það að segja hvað stendur í samningnum og hvaða upplýsingar eru afhentar. Það breytir því þó ekki að höfuðábyrgðin liggur á ábyrgðaraðilanum ef eitthvað fer úrskeiðis við vinnsluna. Þegar utanaðkomandi aðili er fenginn til að sinna tiltekinni vinnslu fyrir ábyrgðaraðila, s.s. með því að bjóða fram tiltekinn hugbúnað, er yfirleitt fyrst horft á hvort vinnslusamningur sé til staðar og hvað kemur fram í honum. Eftir því sem upplýsingarnar eru viðkvæmari, t.d. upplýsingar um heilsufar eða refsiverðan verknað, því meiri kröfur þarf að gera til bæði vinnsluaðilans og vinnslunnar sjálfrar.

Hvað varðar Workplace þá þarf að skoða nokkur atriði hverju sinni. Í fyrsta lagi þarf að kanna hvort að vinnslusamningur hafi verið gerður við Facebook, að undangengnu mati á þeim öryggisráðstöfunum sem eru viðhafðar hjá því fyrirtæki. Almennt hefur það verið svo að hugbúnaðurinn virðist eingöngu vera ætlaður sem nokkurs konar innri vefur og ekki til að miðla á milli starfsmanna viðkvæmum persónuupplýsingum. Að því marki sem eingöngu er verið að miðla almennum upplýsingum þá má segja að ekki séu gerðar jafn strangar kröfur til efnis vinnslusamninga og undanfarandi aðgerða og ef um væri að ræða upplýsingakerfi sem héldi utan um viðkvæmar persónuupplýsingar.

Í öðru lagi þarf að huga að þeirri fræðslu sem starfsmenn fá þegar hugbúnaðurinn er tekinn í notkun. Persónuverndarlögin gera að skilyrði við vinnslu persónuupplýsinga að einstaklingar fái tiltekna fræðslu um hana. Það má í raun segja að í þessu endurspeglist annað meginstef laganna – gagnsæi. Hitt er sjálfsákvörðunarrétturinn. Grundvallarhugsunin á bak við fræðslu er sú að ef starfsmaðurinn veit ekki hvaða upplýsingum Facebook er að safna um hvað hann gerir inn á Workplace, og hvernig vinnustaðurinn síðan vinnur úr þeim upplýsingum, þá gæti orðið ansi erfitt fyrir hann að njóta réttinda sinna, t.a.m. rétt til að andmæla vinnslu, fá upplýsingar leiðréttar eða þeim jafnvel eytt.“

Hvernig fer þessi athugun Persónuverndar fram?
„Það er ýmislegt sem getur þurft að kanna í athugunum sem þessum. Fyrst og fremst beinast þær að því að fá góða mynd af þeirri vinnslu persónuupplýsinga sem fer fram með notkun Workplace, t.a.m. hvaða persónuupplýsingar sé verið að vinna með, t.d. hvort eingöngu er um að ræða upplýsingar um starfsmenn eða er einnig verið að vinna með upplýsingar um einstaklinga sem eru í viðskiptum, efni vinnslusamnings og hvaða fræðsla var veitt áður en hugbúnaðurinn var tekinn í notkun. Hér er mjög mikilvægt að hafa í huga hvers konar upplýsingar er verið að vinna með hugbúnaðinum. Annars vegar þarf að skoða hvaða upplýsingar starfsmennirnir setja inn og hins vegar hvort og að hvaða marki Facebook safnar upplýsingum um hegðun þeirra inni á Workplace. Þetta getur skipt miklu máli upp á hversu ítarleg fræðslan þarf að vera.

Persónuvernd leggur mikla áherslu á að stigið sé varlega til jarðar. Áður en fyrirtæki fara af stað við að taka í notkun nýjan hugbúnað, t.d. eins og Workplace, þá þarf alltaf að gera áhættumat. Gerð áhættumats felur í sér, í mjög stuttu máli, að meta hver sé áhættan við ganga til samninga við tiltekið fyrirtæki um tiltekna vinnslu fyrir sig og að meta hvaða áhætta sé ásættanleg og hver sé óásættanleg. Hversu ítarlegt þetta áhættumat á að vera, fer líka eftir tegundum upplýsinganna. Eftir því sem persónuupplýsingarnar eru viðkvæmari, því ítarlegra þarf matið að vera. Hvað varðar Workplace þá er í mörgum tilvikum um að ræða vistun upplýsinga í tölvuskýi og þá skiptir efni vinnslusamnings miklu máli, m.a. hvort vista megi upplýsingar í skýi og þá í hvaða landi. Það er eitt að senda gögn til Írlands, sem er hluti af EES-svæðinu, eða hvort verið er að flytja til Bandaríkjanna. Facebook er í dag á s.k. „Privacy Shield“ lista bandaríska viðskiptaráðuneytisins, en það þýðir að heimilt er að senda upplýsingar frá Evrópu til þeirra fyrirtækja í Bandaríkjunum sem hafa fengið skráningu á þennan lista. Það breytir því þó ekki að margir hafa miklar efasemdir um að öryggi persónuupplýsinga sé nægilega tryggt þegar slíkar upplýsingar eru sendar til Bandaríkjanna, þar sem almennt gilda þar allt aðrar reglur og yfirvöld hafa meiri heimildir til að fá aðgang að persónuupplýsingum.

Auk áhættumats er eðlilegt að fram fari stefnumótun um notkun Workplace áður en hugbúnaðurinn er tekinn í notkun. Í því felst að fyrirtæki þurfa að ákveða hvaða upplýsingar eigi að setja þarna inn, fara yfir hvert þær eru að fara og setja síðan verklagsreglur hvað má og hvað ekki. Í framhaldi þarf svo að vera fræðsla til starfsmanna um þessar verklagsreglur og stefnumótunina.

Þetta eru því meginatriðin sem við erum að skoða, þ.e. tegundir persónuupplýsinga sem unnið er með, efni vinnslusamninga og fræðslu til starfsmanna og/eða viðskiptavina. Sú framkvæmd er í raun í fullu samræmi við það sem önnur persónuerndaryfirvöld, t.d. Datatilsynet í Noregi, hafa t.d. verið að gera í sínum leiðbeiningum.

Það er líka mikilvægt að hafa í huga að þetta þarf alls ekki að vera bannað en það þarf að fylgja ákveðnum reglum. Það þarf líka að hafa í huga að það eru ákveðnar skyldur á opinberum stofnunum um skjalavistun gagnvart Þjóðskjalasafni og héraðsskjalasöfnum og þeim spurningum þarf að vera búið að svara áður en þetta er tekið í gagnið, t.d. hvernig er farið með gögn sem verða til– hvílir skilaskylda á viðkomandi stofnun um þær upplýsingar sem safnast inni á Workplace og hvernig er rekjanleika háttað í tengslum við ákvarðanatöku?

Í stuttu máli má segja að ef það eru til staðar skýrar verklagsreglur og fræðsla er góð þá eru mun minni líkur á að það sé misfarið með upplýsingar. Starfsmönnum getur t.d. fundist óþægilegt að það séu upplýsingar eins og myndir og um stöðu þess i fyrirtækinu og því þarf að gera þeim grein fyrir hvað þetta þýðir og hvaða valmöguleikar eru í boði. Þarna er líka mjög mikilvægt að hafa í huga að allar upplýsingar, sem hægt er að tengja við starfsmanninn, t.d. myndir, stöðu innan fyrirtækis, samskipti hans við aðra starfsmenn o.s.frv. falla undir hugtakið persónuupplýsingar.

Í þessu sambandi er líka vert að nefna að í maí 2018 er væntanleg ný löggjöf í Evrópu um persónuvernd (GDPR) sem gerir mun ríkari kröfur til öryggis við meðhöndlun og vörslu persónuupplýsinga í stjórnun og rekstri hjá bæði einkafyrirtækjum og opinberum aðilum. Þessi löggjöf leggur mun ríkari skyldur á vinnsluaðilann, án þess þó að dregið sé úr skyldum ábyrgðaraðilans. Með tilkomu hinnar nýju löggjafar fær hann sjálfstæðar skyldur sem hann þarf að huga að. Í því felst m.a. að ef eitthvað kemur upp varðandi vinnslu persónuupplýsinga þá er ekki bara hægt að benda á fyrirtækið (ábyrgðaraðilann) heldur ber vinnsluaðilinn, í þessu tilviki Facebook, einnig sjálfstæða ábyrgð á að sú vinnsla sem fram fer hjá honum sé í samræmi við nýju löggjöfina.“

Hafið þið fengið einhverjar kvartanir frá starfsmönnum í fyrirtækjum þar sem Workplace hefur verið innleitt?
„Nei, Persónuvernd hafa ekki ennþá borist kvartanir frá starfsmönnum fyrirtækja sem hafa tekið Workplace í notkun. Þó hafa borist nokkrar fyrirspurnir frá starfsmönnum þar sem óskað hefur verið eftir leiðbeiningum um hvernig sé best að haga samskiptum við vinnuveitendur til að fá upplýsingar o.s.frv. Við höfum líka fengið fyrirspurnir frá stofnunum sem hafa áhuga á að taka í notkun Workplace og vilja fá leiðbeiningar og það er hið besta mál. Nú er unnið að því hér að gefa út leiðbeiningar um Workplace og þær verða birtar innan skamms, vonandi áður en blaðið kemur úr prentun. Stefnan þar er sú að hafa þær hagnýtar og ekki of flóknar, þannig að allir skilji.

Hlutverk Persónuverndar er að standa vörð um friðhelgi einkalífsins og persónuvernd. Það er oft ákveðinn misskilningur uppi um að Persónuvernd vilji banna nýjar leiðir til að vinna persónuupplýsingar en í raun snýst þetta ávallt um að ganga úr skugga um að staðið sé vörð um réttindi einstaklinganna og að fara að þeim skyldum sem á fyrirtæki eru lögð, ásamt því að sjálfsákvörðunarréttur einstaklinga og gagnsæi við vinnslu sé tryggt. Þannig að, eins og segir í nýju löggjöfinni sem væntanleg er á næsta ári – „vinnsla persónupplýsinga ætti að hafa það að markmiði að þjóna mannkyninu“, sem má segja að feli í sér að mannkynið á ekki að vera þræll tækninnar, heldur að nýta hana sér til hagsbóta.“

Það verður fróðlegt að fylgjast áfram með þróun Workplace hér á landi og auðvitað er fyllsta ástæða til að hvetja fyrirtæki til að taka tillit til væntanlegra leiðbeininga sem Persónuvernd er með í smíðum.

Viðtalið tók Sigurjón Ólafsson