Förändringar inom GDPR – har du koll på vad som gäller?
Sedan GDPR trädde ikraft 2018 har det aldrig hänt så mycket för kommunikationsbranschen som under denna sommar. Advokaten Katarina Ladenfors förklarar sommarens händelser och hur du gör rätt enligt GDPR.
I slutet av juni meddelade Integritetsskyddsmyndigheten (IMY) en administrativ sanktionsavgift mot Bonnier på 13 miljoner kronor. Detta för att koncernen profilerat sina kunder och webbesökare för marknadsföring utan korrekt samtycke. Även Meta är i blåsväder för att ha profilerat sina besökare på Facebook och Instagram utan att inhämta samtycke. Det har EU-domstolen fastslagit i en dom som kom den 4 juli i år (mål nr C-252/21). I Norge har Meta fått ett tillfälligt förbud mot att fortsätta med profileringen av användare av tjänsterna.
Utöver detta har IMY granskat hur fyra bolag använder Google Analytics för besöksstatistik. I början av juli utfärdade IMY sanktionsavgifter mot två av bolagen. Den högsta avgiften var på 12 miljoner kronor mot bolaget Tele2. Ett av bolagen har på eget initiativ slutat använda statistikverktyget medan IMY förelagde övriga tre att också sluta använda det.
Även Post- och telestyrelsen har varit aktiv och kom i slutet av juni med vägledande underrättelser mot två bolag och två myndigheter för användning av cookies.
Nytt ramverk mellan EU och USA
Den största och kanske viktigast nyheten är att vi fått ett nytt ramverk mellan EU och USA.
Bakgrunden har vi skrivit om tidigare och härrör från det så kallade Schrems II-målet, EU-domstolens dom den 16 juli 2020 mellan Facebook (Meta) och intresseorganisationen Non of Your Business (NOYB). Domen skapade stora svårigheter för kommunikationsbranschen att använda amerikanska tjänster t.ex. Facebook eftersom domen innebar att det avtal som tillämpades vid överföring av personuppgifter från EU till USA (Privacy Shield) upphävdes. Det var därmed som utgångspunkt inte längre tillåtet att överföra personuppgifter till USA.
Sedan dess har det pågått förhandlingar mellan EU och USA och i somras, den 10 juli, publicerade EU-kommissionen ett nytt beslut om adekvat skyddsnivå för överföring av personuppgifter till USA baserat på ”EU-US Data Privacy Framework”. Beslutet innebär att USA anses erbjuda ett tillräckligt skydd för de registrerade, likvärdigt det skydd som erbjuds inom EU, vid överföring av personuppgifter från EU till amerikanska bolag som anslutit sig till ramverket, utan att kompletterande skyddsåtgärder behövs vidtas. Överföring av personuppgifter till USA är därmed tillåten om mottagande organisation i landet har anslutit sig till ramverket.
De åtgärder som USA vidtagit för att erbjuda ett tillräckligt skydd för den registrerade är bl.a. att amerikanska underrättelsetjänsters möjlighet att begära åtkomst till EU-medborgares personuppgifter är begränsad till vad som är nödvändigt och proportionerligt för att skydda den nationella säkerheten, samt att det inrättas en självständig domstol (Data Protection Review Court) dit den registrerade kan klaga om denne fått sina personuppgifter utlämnande till en amerikansk underrättelsemyndighet.
Beslutet ska revideras regelbundet av EU-kommissionen tillsammans med bl.a. företrädare från europeiska dataskyddsmyndigheter och relevanta amerikanska myndigheter. Den första utvärderingen av beslutet ska ske ett år efter dess ikraftträdande i syfte att säkerställa att de åtgärder som angetts i ramverket har implementerats och fungerar effektivt i praktiken. NOYB har kritiserat beslutet och aviserar att det kan komma ett tredje mål som utmanar dvs. ett Schrems-III.
Hur kan vi fortsätta att kommunicera och samtidigt följa GDPR?
Data Privacy Framework innebär att det nu är tillåtet att använda amerikanska verktyg och tjänster som tillhandahålls av företag som anslutit sig till ramverket utifrån grunden att det är en tillåten personuppgiftsöverföring till USA.
Tänk dock på att det finns fler krav och principer i GDPR att ta hänsyn till för att en organisation ska uppfylla sin ansvarsskyldighet. Oavsett om ni vill använda Google Analytics eller andra verktyg och tjänster som behandlar personuppgifter måste ni göra en utvärdering enligt GDPR, det brukar kallas att göra en konsekvensbedömning. Detta är ett krav för att organisationen ska uppfylla sin ansvars- och dokumentationsskyldighet enligt GDPR. En dokumenterad bedömning ska kunna visas upp om IMY gör en tillsyn. Nyttjandet av kommunikationsverktyg ska därmed vara genomtänkta och dokumenterade.
Vi följer som tidigare utvecklingen på området. Vill du hålla dig uppdaterad inom området är du välkommen på utbildningen Digital Kommunikationsjuridik.
