Våra förutsättningar för att bedriva digital kommunikation står just nu under en enorm förändring. Schrems-domarna har inneburit stora juridiska utmaningar för organisationer inom både offentlig och privat sektor, och påverkar hur vi hanterar sociala medier, GDPR och cookies. Vi har pratat med juristen Katarina Ladenfors om vad du kan göra för att navigera rätt bland reglerna.
Många kommunikatörer står idag inför juridiska dilemman relaterade till dataskydd, GDPR och cookie-hantering. Katarina Ladenfors är advokat, och har specialiserat sig på frågor gällande marknadsföringsrätt, avtalsrätt och dataskyddsregler. Hon menar att en av de största utmaningarna för kommunikatörer idag är att hänga med i den snabba utvecklingen.
– Inom fältet händer det så mycket hela tiden att det blir väldigt svårt att hålla sig uppdaterad. Det gäller att ha koll på vad som händer kring just digital kommunikation, och dess juridiska koppling.
Schrems-besluten har spridit en stor osäkerhet och rädsla bland kommunikatörer, menar Katarina. Dock poängterar hon att åtgärderna i grund och botten är bra eftersom organisationerna behöver tänka igenom sin personuppgiftsbehandling.
– Vissa har upphört eller begränsat viss kommunikation i sociala medier. Baksidan är att det är just på sociala medier som du når din målgrupp. Många ser dock inte att det finns något alternativ. Det finns flera alternativ för analys av webbplatsdata, användning av molntjänster och det finns lagringslösningar som inte innebär överföring till tredje land.
Ska du klara en granskning står det dock klart att du inte kan fortsätta som förut, och för att röra dig framåt behöver du göra några överväganden. Dessa överväganden kallas för en riskbedömning, som går ut på att dokumentera hur du har resonerat kring frågor om lagring av personuppgifter. Det finns tydliga ramar att hämta för hur bedömningarna ska gå till.
– Har du inte gjort en riskbedömning utan bara fortsätter och hoppas på att ett nytt regelverk ska beslutas mellan EU och USA så blir det svårt att försvara personuppgiftsbehandlingen. Du behöver inte sluta använda sociala medier, det handlar snarare om att kunna motivera och dokumentera sina överväganden.
Under Joe Bidens besök i Europa har han kommit överens med ledarna i EU om grunderna för ett nytt lagpaket som ska möjliggöra för överföring av data till USA. Än så länge är det dock bara ett handslag och det kommer sannolikt ta år innan ett nytt avtal är på plats. Även detta avtal kommer att utmanas av Max Schrems vilket är ytterligare en anledning till att inte sitta still i båten och vänta på att politikerna löser problemen utan att istället systematiskt arbeta med att utvärdera och riskbedöma datalagring som innebär tredjelandsöverföring.
Ett exempel på vad som kan hända utan en ordentlig riskbedömning och konsekvensanalys är Integritetsskyddsmyndigheten (IMY), som nyligen meddelade ett sanktionsbeslut mot SL på 16 miljoner kronor för användande av kroppskameror.
– SL hade behövt göra en djupare bedömning där. Det visar bara på att alla organisationer måste titta på hur vi använder personuppgifter - vad kan vi vidta för åtgärder? Vad har vi för behov av personuppgiftsbehandlingen som sker? Kan vi vidta skyddsåtgärder? Om ni svarar på dessa frågor kanske ni fattar ett beslut, och utifrån det landar i en bedömning.