EU-dom påverkar företagens marknadsföring

15 december 2020
Alternate Text
Sedan en EU-dom i somras är det som huvudregel olagligt att överföra personuppgifter från EU till USA. Det här påverkar alla företag som använder sociala medier i sin marknadsföring eller som lagrar person­uppgifter i molntjänster i USA.

För två och ett halvt år sedan, 25 maj 2018, trädde GDPR i kraft. EU:s dataskyddsförordning. Tan­ken med den är att det ska vara säkerställt att det finns ett likvär­digt skydd för personuppgifter inom EU/EES och att dessa kan flöda fritt inom territoriet. Enligt GDPR är överföring av personuppgifter till tredje land förbjudet, om man inte kan stödja det på en rättslig grund, enligt undantag som finns upp­räknade i GDPR.

Ett av undantagen har varit Privacy Shield, ett avtal mellan EU-kommissionen och USA. Men i juli meddelade EU-dom­stolen sin dom i det så kallade Schrems II-målet. I korta drag innebär domen att Privacy Shields slutat att gälla då EU-domstolen konstaterat att USA inte har samma skydd för personuppgifter som det finns inom EU. Katarina Ladenfors är advokat och partner på Advokatfirman MarLaw AB och specialiserad inom frågan. Hon konstaterar att domen får konsekvenser för företag/organisationer/myndigheter med flera. − Företag som använder tjänster som Facebook, LinkedIn, Instagram, moln­tjänster med säte i USA eller tjänster som till exempel nyttjar Google Analytics eller Facebook Con­nect överför data till USA från Sverige, säger hon. 

Företaget kan inte längre luta sig mot Privacy Shield och inte heller endast de standardklau­suler som finns utan måste i praktiken själva kunna visa att skyddsnivån för personuppgif­ter i USA är likvärdig den som finns i EU genom GDPR, något som i praktiken är omöjligt, säger Katarina Laden­fors.

Då frågan ligger inom GDPR är det svenska Datainspektionen som ska se till att reglerna följs. För att undvika risken för sanktionsavgift finns några saker man kan göra.  Kartlägg vilka tjänster som företaget använder och som för över personupp­gifter. Fundera på hur ni ska använda era sociala medier. Vilken typ av bilder ska ni publicera? Kan man undvika att pu­blicera bilder med människor så innebär bildpubliceringen i sig inte en överfö­ring av personuppgifter, säger Katarina Ladenfors. Om bilder med personer på publice­ras, eller andra personuppgifter, gäller det att samtycke finns eller att företaget kan luta sig mot annan rättslig grund.  Grunderna finns i artikel 6 i GDPR, säger Katarina Ladenfors. Hon rekommenderar också att exem­pelvis en IT-kunnig, kommunikationsansvarig och en jurist tillsammans tittar igenom företagets policy/rutiner.  Det handlar inte om att sluta kom­municera utan att om att hitta rätt sätt så att man kan fortsätta kommunicera på ett korrekt sätt, säger hon och tillägger: Då det saknas praxis i dessa frågor tror jag att om företaget har gjort en konsekvensbedömning, och däri kan motivera överföringen, uppdaterat samtyckena med den information som krävs för tredjelandsöverföring och sett över sina personuppgiftsbiträdesavtal, kan det slippa en sanktionsavgift vid en granskning.

 

Charlotta Marténg

 

5 tips

Kartlägg vilka tjänster företaget använder som för över personuppgifter till USA.

Gör en konsekvensbedömning enligt GDPR.

Gör en riskbedömning.

Effektivisera hur GDPR följs.

Undvik sanktioner.

 

Gör så här:

 

  1. Dokumentera personuppgiftsbe­handlingen tydligt. Identifiera vilka uppgifter som används. Finns risker? (exempelvis om det rör barn, hälsa, etniskt ursprung, politisk uppfattning).
  2. Vilka rättsliga grunder kan företa­get luta sig mot? Artikel 6 i GDPR. Hitta legal grund för behandling eller samtycke.
  3. Ges tillräckligt med information? Sam­tycke som samlats in före Schrems II är inte tillräckligt. Förnya samtyckena och lägg till den information som krävs om tredjelandsöverföring.
  4. Skyddsåtgärder – se över dem. Ta hjälp av den vägledning som europeiska da­taskyddsmyndigheten tagit fram. Var försiktig med att använda bilder med människor i sociala medier, tagga inte bilden med namn. Ha gallringsrutiner – ta bort inlägg från sociala medier.
  5. Ha rutiner för att anmäla incidenter inom 72 timmar. (Ska finnas redan i dag enligt GDPR).