Ny dom riskerar att göra stor del av kommunikationen på sociala medier olaglig
Visste du att om du postat en bild på en social plattform som överför personuppgifter till USA, riskerar din organisation att bryta mot lagen i och med en ny EU-dom? Nu har anmälningarna mot kommunikation på sociala medier och mot användningen av analysverktyg på webben börjat ramla in. Advokat Katarina Ladenfors förklarar hur hon tolkat domen och hur kommunikatörer kan förhålla sig.
Den 16 juli i år meddelade EU-domstolen dom i det så kallade Schrems II-målet. Domstolen slog fast att Privacy Shield-avtalet, som många plattformar använt för överföring av personuppgifter mellan EU och USA inte ger ett tillräckligt skydd för att anses följa lagen.
Domen i detta mål föll i somras, varför blir stort först nu?
– Framförallt har det krävts tid att faktiskt förstå vad den innebär. Det är till och med så att inte alla förstått att det påverkat deras verksamhet då de inte varit medvetna om att de sociala plattformarna delar med sig av personuppgifter till USA.
Men det gör de?
– Ja, alla de större tjänsterna jag tittat på har den typen av uppsättning där de överför, lagrar eller hanterar data i USA, vilket alltså som huvudregel inte längre är tillåtet. Även Google Analytics och andra verktyg för sajter delar sin information med USA. Just nu är över 100 företag i Europa anmälda för att de påstås använda Facebook Connect och Google Analytics, varav vissa större svenska bolag finns bland dessa. Dessa bolag måste nu visa på att de följer GDPR på ett uppdaterat sätt, annars lär de fällas i EU-domstolen.
Vilka bolag gäller detta?
– Alla bolag som brukar personuppgifter i sociala medier. Framförallt svårt är det med bilder, som i vissa fall har flera år på nacken. Dessa går under personuppgifter. Bolaget måste då till exempel visa på ett särskilt samtyckesavtal med personen på bilden, där personen aktivt godkänt att bilden delas med USA. Samtyckesavtal som tecknades innan domen kom behöver nu uppdateras.
Det här låter förödande, kan man överhuvudtaget arbeta med sociala medier nu?
– Vissa jurister menar att det inte är möjligt nu och att alla bör avbryta huvuddelen av sin kommunikation. Jag tror dock att det går att arbeta runt detta, men det kräver sina resurser, precis som implementeringen av GDPR.
Vart ska man börja?
– Det enkla svaret är att man måste sluta med alla dessa tjänster i sin kommunikation. Vill man fortsätta behöver man göra ett stort arbete. Detta är beslut som måste fattas på ledningsnivå. Börja med att kartlägga vilka tjänster och tredjepartsverktyg, som molntjänster, sociala medier och olika samarbetspartners som för över uppgifter till USA. Efter det bör ni titta på om man kan stödja den överföringen på en annan grund än Privacy Shield i GDPR. Gör en gedigen konsekvensbedömning.
Då är man trygg?
– Vi vet inte exakt hur detta utvecklar sig, men det kan gå illa för många som inte gjort detta förarbete. Av domen framgår att tillsynsmyndigheterna ska vara aktiva och utöva tillsyn. Om man blir anmäld måste man kunna visa på sina överväganden, sin skriftliga konsekvensanalys samt vilka undantag man stödjer sig på. Ska man stödja sig på ett undantag i GDPR måste man skriva om de avtal och samtycken man har idag och man måste få ett aktivt godkännande från samtliga parter. Det betyder att dina gamla GDPR-avtal inte gäller i detta fall.
Är detta slutet för sociala medier?
– Stora plattformar måste göra ett enormt arbete med att ställa om stora delar av sin teknik för att överhuvudtaget få operera inom EU. Det är ett enormt arbete. Samtidigt är länderna inom EU en grundläggande inkomstkälla för dessa bolag som i sin tur är väldigt viktiga för hela USA:s ekonomi. Det pågår just nu förhandlingar mellan EU och USA. Jag kan dock inte se att EU kommer sänka kraven på dataskydd eller att USA kommer att ändra sina säkerhetslagar. Oavsett måste vi följa lagstiftningen som råder just nu.
Läs Katarinas mer ingående text om Schrems II-målet och hur den påverkar kommunikatörer. Katarina kommer också vägleda i detta aktuella ämne i sin kurs Digital kommunikationsjuridik.
Sveriges Kommunikatörer vill understryka att konsekvenserna av Schrems II-domen fortfarande är omdebatterade. Det har gjorts många olika tolkningar av denna komplexa fråga och varje organisation måste göra sina egna avväganden.