Uppföljning i diskussionen om Schrems II och sociala medier
Den intervju som publicerades om Schrems II-domen och hur detta påverkar arbetet med personuppgifter väckte många frågor bland läsarna. Vi får hjälp av advokat Katarina Ladenfors att reda ut de följdfrågor som dykt upp.
Återigen bör det understrykas att detta är en komplex fråga med många olika perspektiv. I artikeln delas en tolkning av det som hänt samt dess implikationer av en jurist med särskilt fokus på kommunikation och sociala medier. Som Katarina Ladenfors själv nämner har andra tolkningar gjorts.
Är det slut med kommunikation i sociala medier nu?
– Jag vill tydliggöra att man inte kan fortsätta som förut men det innebär inte att vi måste sluta använda sociala medier. Organisationen måste stanna upp och vidta åtgärder.
Vilka åtgärder då?
– Ska personuppgifter användas i sociala medier som överför personuppgifter till USA anser jag att en konsekvensbedömning måste ske. Den måste vara skriftlig och kunna visas upp vid en eventuell granskning av Datainspektionen.
Vad definierar en personuppgift?
– Begreppet ”personuppgift” definieras i artikel 4 i GDPR och omfattar all slags information som kan knytas till en person. Den breda definitionen i GDPR gör att all information som på något sätt kan göra en person identifierbar går blir en personuppgift. Det gäller ljud, film och bild på personen, men självklart även uppgifter om personen som namn eller till och med ett registreringsnummer på en bil.
Vilka sociala medier överför personuppgifter till USA?
– Jag har inte kartlagt alla plattformar men jag vet att de vanligaste – LinkedIn, Facebook och Instagram – i nuläget överför personuppgifter.
Hur görs bedömningen?
– Det är en standardiserad bedömning som ska göras och jag tycker att den ska göras av en jurist men att kommunikationsavdelningen och IT måste vara involverad. I konsekvensbedömningen måste organisationen ta ställning till vilket undantag eller annan rättslig grund som fortsatt personuppgiftsbehandling kan stödjas på. För att uppfylla GDPR:s krav måste det även ges information till de registrerade – exempelvis behöver samtycken och avtal med största sannolikhet skrivas om.
Kan vi inte bara vänta på att det kommer ett nytt avtal mellan EU och USA likt Privacy Shield?
– Jag kan inte se att ett sådant avtal kommer att presenteras i närtid och även om avtalet kommer tror jag Max Schrems kommer att ifrågasätta även detta i EU-domstolen. Han har ju lyckats två gånger nu därav Schrems II. Schrems I rörde avtalet Safe Harbour som också upphävdes. Organisationerna måste agera nu för att undvika höga sanktionsavgifter eller att Datainspektionen fattar beslut om att överföringen måste upphöra och förbereda sig för framtiden.
Läs Datainspektionens definition av personuppgifter.
Läs Katarinas mer ingående text om Schrems II-målet och hur den påverkar kommunikatörer. Katarina kommer också vägleda i detta aktuella ämne i sin kurs Digital kommunikationsjuridik.