3 vanlig missar i digital kommunikation - så gör du rätt enligt Schrems-domarna

Många kommunikatörer står idag inför juridiska dilemman relaterade till dataskydd, GDPR och cookie-hantering. Katarina Ladenfors är advokat, och har specialiserat sig på frågor gällande marknadsföringsrätt, avtalsrätt och dataskyddsregler. Hon menar att en av de största utmaningarna för kommunikatörer idag är att hänga med i den snabba utvecklingen.

– Inom fältet händer det så mycket hela tiden att det blir väldigt svårt att hålla sig uppdaterad. Det gäller att ha koll på vad som händer kring just digital kommunikation, och dess juridiska koppling. 

3 vanliga juridiska missar i digital kommunikation

• Du fortsätter precis som förut. Detta kan innebära höga sanktionsavgifter. Katarina berättar att hon ser att många organisationer glömmer att uppdatera sin information, vilket är viktigt om man ska fortsätta kommunicera i sociala medier. Många glömmer även att informera om eventuella tredjelandsöverföringar.
  
  
• Du gör ingen riskbedömning. Du som jobbar inom en offentlig organisation måste kunna visa på att du har gjort en riskbedömning i hanteringen av personuppgifter. Du måste alltså ha dokumentation som visar på hur du resonerat kring vissa beslut och dokumentera din personuppgiftsanvändning.
  
  
• Du använder bilder på anställda utan grund. Katarina ser ofta att offentliga organisationer använder bilder på anställda i sociala medier. Detta kan exempelvis vara bilder från seminarier och event, även där anställda endast syns i bakgrunden. Det måste finnas en rättslig grund enligt GDPR och den anställde måste få skriftlig information om vad som gäller. Katarina tipsar om att använda personalhandboken för att informera anställda om detta.

Du behöver inte sluta använda sociala medier

Schrems-besluten har spridit en stor osäkerhet och rädsla bland kommunikatörer, menar Katarina. Dock poängterar hon att åtgärderna i grund och botten är bra eftersom organisationerna behöver tänka igenom sin personuppgiftsbehandling. 

– Vissa har upphört eller begränsat viss kommunikation i sociala medier. Baksidan är att det är just på sociala medier som du når din målgrupp. Många ser dock inte att det finns något alternativ. Det finns flera alternativ för analys av webbplatsdata, användning av molntjänster och det finns lagringslösningar som inte innebär överföring till tredje land. 

Ska du klara en granskning står det dock klart att du inte kan fortsätta som förut, och för att röra dig framåt behöver du göra några överväganden. Dessa överväganden kallas för en riskbedömning, som går ut på att dokumentera hur du har resonerat kring frågor om lagring av personuppgifter. Det finns tydliga ramar att hämta för hur bedömningarna ska gå till. 

– Har du inte gjort en riskbedömning utan bara fortsätter och hoppas på att ett nytt regelverk ska beslutas mellan EU och USA så blir det svårt att försvara personuppgiftsbehandlingen. Du behöver inte sluta använda sociala medier, det handlar snarare om att kunna motivera och dokumentera sina överväganden. 

Under Joe Bidens besök i Europa har han kommit överens med ledarna i EU om grunderna för ett nytt lagpaket som ska möjliggöra för överföring av data till USA. Än så länge är det dock bara ett handslag och det kommer sannolikt ta år innan ett nytt avtal är på plats. Även detta avtal kommer att utmanas av Max Schrems vilket är ytterligare en anledning till att inte sitta still i båten och vänta på att politikerna löser problemen utan att istället systematiskt arbeta med att utvärdera och riskbedöma datalagring som innebär tredjelandsöverföring. 

Ett exempel på vad som kan hända utan en ordentlig riskbedömning och konsekvensanalys är Integritetsskyddsmyndigheten (IMY), som nyligen meddelade ett sanktionsbeslut mot SL på 16 miljoner kronor för användande av kroppskameror. 

– SL hade behövt göra en djupare bedömning där. Det visar bara på att alla organisationer måste titta på hur vi använder personuppgifter - vad kan vi vidta för åtgärder? Vad har vi för behov av personuppgiftsbehandlingen som sker? Kan vi vidta skyddsåtgärder? Om ni svarar på dessa frågor kanske ni fattar ett beslut, och utifrån det landar i en bedömning. 

Cookie-guiden: så följer du lagen

• Idag säger lagstiftningen bara att du ska ha samtycke. Där finns det en dom från EU som anger att det ska finnas ett likadant samtycke för cookies som ett samtycke för personuppgiftsbehandling enligt GDPR.
  
  
• Samtycket ska vara uttryckligt, frivilligt, dokumenterat och gå att återkalla. I Sverige har vi traditionellt ansett att det är tillräckligt att informera om att webbsidan använder cookies, och att du genom att surfa vidare accepterar att cookies placeras. Det håller inte längre.
  
• Du ska ha en banner där du kan godkänna eller neka cookies. Det ska vara lika enkelt för användaren att godkänna som att neka cookies, vilket idag är en fråga som drivs på EU-nivå. Väldigt få webbsidor har idag alternativet att neka cookies direkt i bannern. Informationen i cookiepolicyn ska också vara tydlig för användaren.