Sedan en EU-dom i somras är det som huvudregel olagligt att överföra personuppgifter från EU till USA. Det här påverkar alla företag som använder sociala medier i sin marknadsföring eller som lagrar personuppgifter i molntjänster i USA.
För två och ett halvt år sedan, 25 maj 2018, trädde GDPR i kraft. EU:s dataskyddsförordning. Tanken med den är att det ska vara säkerställt att det finns ett likvärdigt skydd för personuppgifter inom EU/EES och att dessa kan flöda fritt inom territoriet. Enligt GDPR är överföring av personuppgifter till tredje land förbjudet, om man inte kan stödja det på en rättslig grund, enligt undantag som finns uppräknade i GDPR.
Ett av undantagenhar varit Privacy Shield, ett avtal mellan EU-kommissionen och USA. Men i juli meddelade EU-domstolen sin dom i det så kallade Schrems II-målet. I korta drag innebär domen att Privacy Shields slutat att gälla då EU-domstolen konstaterat att USA inte har samma skydd för personuppgifter som det finns inom EU.
Katarina Ladenfors är advokat och partner på Advokatfirman MarLaw AB och specialiserad inom frågan. Hon konstaterar att domen får konsekvenser för företag/organisationer/myndigheter med flera.
− Företag som använder tjänster som Facebook, LinkedIn, Instagram, molntjänster med säte i USA eller tjänster som till exempel nyttjar Google Analytics eller Facebook Connect överför data till USA från Sverige, säger hon.
Företaget kan inte längre luta sig mot Privacy Shield och inte heller endast de standardklausuler som finns utan måste i praktiken själva kunna visa att skyddsnivån för personuppgifter i USA är likvärdig den som finns i EU genom GDPR.
− Något som i praktiken är omöjligt, säger Katarina Ladenfors.
Då frågan ligger inom GDPR är det svenska Datainspektionen som ska se till att reglerna följs. För att undvika risken för sanktionsavgift finns några saker man kan göra.
− Kartlägg vilka tjänster som företaget använder och som för över personuppgifter. Fundera på hur ni ska använda era sociala medier. Vilken typ av bilder ska ni publicera? Kan man undvika att publicera bilder med människor så innebär bildpubliceringen i sig inte en överföring av personuppgifter, säger Katarina Ladenfors.
Om bilder med personer på publiceras, eller andra personuppgifter, gäller det att samtycke finns eller att företaget kan luta sig mot annan rättslig grund.
− Grunderna finns i artikel 6 i GDPR, säger Katarina Ladenfors.
Hon rekommenderar också att exempelvis en IT-kunnig, kommunikationsansvarig och en jurist tillsammans tittar igenom företagets policy/rutiner.
− Det handlar inte om att sluta kommunicera utan att om att hitta rätt sätt så att man kan fortsätta kommunicera på ett korrekt sätt, säger hon och tillägger:
− Då det saknas praxis i dessa frågor tror jag att om företaget har gjort en konsekvensbedömning, och däri kan motivera överföringen, uppdaterat samtyckena med den information som krävs för tredjelandsöverföring och sett över sina personuppgiftsbiträdesavtal, kan det slippa en sanktionsavgift vid en granskning.
Charlotta Marténg
5 tips
- Kartlägg vilka tjänster företaget använder som för över personuppgifter till USA.
- Gör en konsekvensbedömning enligt GDPR.
- Gör en riskbedömning.
- Effektivisera hur GDPR följs.
- Undvik sanktioner.
Gör så här:
1. Dokumentera personuppgiftsbehandlingen tydligt. Identifiera vilka uppgifter som används. Finns risker? (exempelvis om det rör barn, hälsa, etniskt ursprung, politisk uppfattning).
2. Vilka rättsliga grunder kan företaget luta sig mot? Artikel 6 i GDPR. Hitta legal grund för behandling eller samtycke.
3. Ges tillräckligt med information? Samtycke som samlats in före Schrems II är inte tillräckligt. Förnya samtyckena och lägg till den information som krävs om tredjelandsöverföring.
4. Skyddsåtgärder – se över dem. Ta hjälp av den vägledning som europeiska dataskyddsmyndigheten tagit fram. Var försiktig med att använda bilder med människor i sociala medier, tagga inte bilden med namn. Ha gallringsrutiner – ta bort inlägg från sociala medier.
5. Ha rutiner för att anmäla incidenter inom 72 timmar. (Ska finnas redan i dag enligt GDPR).