• No results found

Uppdatering om Schrems II-målet Från dataskyddsombudet Månadsbrev oktober 2020

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "Uppdatering om Schrems II-målet Från dataskyddsombudet Månadsbrev oktober 2020"

Copied!
6
0
0

Loading.... (view fulltext now)

Download now ( 6 Page )

Full text

(1)

Uppdatering om Schrems II-målet

Inledning och bakgrund

EU:s lagstiftning gällande personuppgifter handlar i huvudsak om att skydda den enskilde individens fri- och rättigheter. Därför krävs det även ett väsentligt likvärdigt skydd om en organisation väljer att föra personuppgifterna utanför EU. Den förenklade bakgrunden till domen är att om mottagarlandets lagstiftning innebär intrång i EU-medborgares integritet som inte skulle vara lagligt inom EU, kan inte en väsentligen likvärdig skyddsnivå uppnås för de överförda personuppgifterna.

Det kan t.ex., som i fallet med USA, handla om att mottagarlandet har en omfattande övervakningslagstiftning som inte tillförsäkrar EU-medborgare tillräckliga rättigheter. Lagstiftningen i mottagarlandet går före både överenskommelser mellan EU och landet ifråga och avtal företag emellan.

Anledningen till att detta besked kommer först nu är att dataskyddslagstiftningen i huvudsak är en principlagstiftning och vad som konkret är tillåtet och otillåtet bestäms först av domstolarna. Därav har vi i branschen förstått ganska lång tid att detta skulle bli verklighet, men alla vi har hoppats på att en bättre lösning skulle ha kommit på plats innan en domstol hunnit döma att förfarandet är olagligt.

Dataskyddsombudets rekommendation

Domens konsekvenser är mycket omfattande, och vårt ansvar som dataskyddsombud är att informera er om rättsläget och vilka krav som gäller samt tillse att ni uppfyller dessa krav. Vårt juridiska ansvar förhindrar oss från att ge rekommendationer om att avvakta eller avstå vidare åtgärder – ni behöver agera nu.

Med det sagt ser vi att det finns vissa konsekvenser av domen som är allvarligare och mer akuta än andra och som därför måste prioriteras.

Vår rekommendation som jurister är därför att ni prioriterar att vidta följande åtgärder:

• Ta reda på i vilka fall ni eller leverantörer som ni anlitar överför personuppgifter utanför EU/EES, och vilket stöd ni numera har för överföringen. Även åtkomst från ett land utanför EU/EES räknas som en överföring, dvs. exempelvis om ett supportföretag i USA kan komma åt personuppgifter i ett av era IT-system. Denna inventering är viktig av flera anledningar, bland annat följande:

o Ni behöver kunna täcka upp för de överföringar ni gör, vilket är omöjligt om ni inte har full koll på i vilka fall överföringar utanför EU/EES görs. När ni inventerat era överföringar måste ni alltså överväga vilka åtgärder som måste vidtas för att skydda

(2)

överföringen och uppfylla alla lagkrav. Detta är ingen enkel bedömning och bör göras med assistans från en jurist (exempelvis oss på inTechrity). Vad gäller leverantörer som inte själva överför personuppgifterna utanför EU/EES kan ett alternativ även vara att förhandla med leverantören om ett förbud att överföra personuppgifterna utanför EU/EES, om de är villiga att gå med på ett sådant förbud.

o Informationstexter (dvs. exempelvis er integritetspolicy på webben) måste enligt lag innehålla information om överföringar till tredje land samt vilka skyddsåtgärder som vidtas för överföringen (exempelvis samtycke eller standardavtalsklausuler). Eftersom olika församlingar/pastorat använder olika IT-system och leverantörer har vi inte kunnat inkludera information om överföring utanför EU/EES i våra mallar. Om ni ser att ni har sådana överföringar är det därför något som behöver läggas in ”manuellt” i era texter.

Observera att även om en leverantör ni anlitar inte själv överför personuppgifter utanför EU/EES, så har ni ett ansvar även för överföringar som era leverantörers underleverantörer gör utanför EU/EES. Även sådana överföringar måste nämligen vara lagliga och kommuniceras till de individer ni är personuppgiftsansvariga gentemot.

För er som är abonnemangskunder: Ovan kontroll har vi redan påbörjat för er, vi kommer att höra av oss med eventuella frågor och respons på hur det arbetet gått.

• Inaktivera funktioner på er webbplats som placerar kakor/cookies på besökares enheter som delar uppgifter med tredje part såsom Google och Facebook. Sådana kakor/cookies innebär nämligen en överföring av uppgifter till USA, och ni har idag ingen grund för sådan överföring.

Vi är medvetna om att vissa kakor/cookies placeras av huvuddomänen, www.svenskakyrkan.se. Det är mycket olyckligt. Det ni kan göra är att informera på er webbplats om att sådana kakor/cookies faller under kyrkokansliets ansvar.

För er som är abonnemangskunder: Vi kommer att kontrollera era webbplatser och meddela er vilken information ni behöver tillföra på er webbplats.

• Avstå från att använda Facebook och Instagram i er verksamhet tills vidare, och om ni använder LinkedIn, inaktivera kommentarer på alla era inlägg. Detta har inte egentligen med er egen publicering (av exempelvis foton) att göra eftersom det går att inhämta godkänt samtycke för det. Problemet är att det inte finns någon grund för användarnas kommentarer på era inlägg. Mer information om detta följer längre ned i detta dokument.

• Avstå från att publicera personuppgifter – inklusive foto och film på identifierbara personer – på sociala medier om ni inte har inhämtat godkänt samtycke till överföring till USA (Se även

(3)

nedan om journalistiskt ändamål och utgivningsbevis). I månadsbrevet för oktober kan ni ladda ned en mall för sådant samtycke. Observera att det INTE är lagligt att publicera bilder enbart på basis av de tidigare samtyckesblanketter ni använt, eftersom de inte inkluderar samtycke till överföringen till USA utan enbart till publiceringen i sig. Ni måste alltså inhämta helt nytt samtycke. Observera också att det ställs ytterligare krav på ett samtycke till överföring jämfört med ett ”vanligt” samtycke. Den som samtycker ska exempelvis få information om vilka risker överföringen medför. Detta är alltså en direkt konsekvens av domen, det behövdes inte förut då USA tidigare ansågs skydda uppgifterna lika bra som en medlemsstat i EU.

Observera att det inte bara är överföringar till USA som påverkas av rättsfallet. Även andra överföringar utanför EU/EES berörs (exklusive till de länder EU-kommissionen godkänt, se information om vilka på denna länk).

Frågor från er

Föranleder Schrems II-målet några justeringar i inTechritys mallar, t.ex. policyn för sociala medier?

Som framgår ovan behöver samtyckesblanketterna justeras om ni vill fortsätta publicera bilder i sociala medier. Däremot behöver inte policyn för sociala medier justeras eftersom den inte berör denna typ av frågor utan är mer allmänt formulerad. I nuläget ser vi inget behov av att justera några av våra andra mallar, men det kan komma att ändras i framtiden.

Kan vi fortsätta använda sociala medier i vår kommunikation?

Vi kan inte se att det finns någon laglig möjlighet att fortsätta använda Facebook (och delvis inte heller Instagram) efter Schrems II. Det är hur Facebook och Instagram hanterar personuppgifterna som är problemet i sammanhanget. Ni har ett gemensamt personuppgiftsansvar med Facebook för allt som publiceras på era publika sidor, vilket innebär att både ni och Facebook är ansvariga för att ha en lagenlig grund för den överföring till USA som sker i och med publiceringen. Eftersom Facebook idag stödjer sig på en grund som inte är tillräcklig i lagens ögon, nämligen standardavtalsklausuler utan några ytterligare säkerhetsåtgärder, har inte heller ni någon lagenlig grund. Vi har utvärderat möjliga grunder ni skulle kunna luta er mot, men inte hittat någon som fungerar i praktiken. Det närmaste vi kan komma är att inhämta samtycke även för det som användarna publicerar, men det finns stora praktiska svårigheter med ett sådant förfarande och det är inte säkert att ett sådant samtycke skulle kunna utformas på ett giltigt sätt.

När det finns möjlighet att stänga av kommentarer är det dock en annan sak, eftersom risken att användare publicerar innehåll (och därmed personuppgifter som överförs till USA) då är noll. Av den anledningen bedömer vi att LinkedIn fortsättningsvis är ok att använda under förutsättning att ni

(4)

stänger av möjligheten att kommentera era inlägg. Detta måste idag göras manuellt inlägg för inlägg (Klicka på ”Offentligt” → ”Avancerade inställningar” → ”Tillåt kommentarer på inlägget”).

Twitter är också ok att använda eftersom den tjänsten är uppbyggd på ett sådant sätt att ni inte har något personuppgiftsansvar för det som användare publicerar på Twitter, ens om de svarar på något ni skrivit. Det kan finnas andra sociala medie-tjänster som vi inte uttryckligen nämnt här som också är ok av samma anledning. Fråga oss på dataskyddsombud@intechrity.se om ni är osäkra.

Om ni inte följer någon användare med er Instagram-sida är det möjligt att inaktivera kommentarer även i den tjänsten. Det gör ni genom att i appen klicka på menyn uppe i högra hörnet, följt av

”Inställningar” → ”Sekretess” → ”Kommentarer” → ”Tillåt kommentarer från” → ”Personer du följer”.

Observera dock att detta alltså endast är en möjlig väg att gå om ni inte har några följare, eftersom Instagram inte har någon generell funktion för att stänga av alla kommentarer. Om ni väljer att stänga av era kommentarer på Instagram i syfte att undvika problematiken med användares innehåll, observera att ni även behöver inaktivera meddelandefunktionen i Instagram. Även detta görs under

”Inställningar” → ”Sekretess” och gäller också endast för personer som er sida följer. Följer ni ingen med er sida går det alltså att även framgent använda Instagram. Detta är i nuläget inte möjligt för Facebook.

Konsekvensen av att inte kunna inaktivera kommentarer på och meddelanden till en av era publika sidor blir att den, från lagens perspektiv, behöver stängas ned.

En del i vår utredning gällande denna fråga har inkluderat att undersöka hur Datainspektionen själva använder sociala medier. Det har utvisat att Datainspektionen varken har någon publik sida på Facebook eller Instagram, och att de har inaktiverat alla kommentarer på sina LinkedIn-inlägg. Vi har dock inte haft möjlighet att ta reda på hur länge de haft dessa inställningar.

Vilka risker innebär det om vi trots era rekommendationer väljer att fortsätta använda sociala medier som tidigare?

Vi vill upprepa att vi inte kan se något lagligt sätt att fortsätta använda sociala medier såsom Facebook där det inte går att inaktivera kommentarer och privata meddelanden. Om ni ändå väljer att fortsätta med er användning som tidigare innebär det därmed att ni går emot dataskyddsombudets rekommendationer och öppnar upp för risken för klagomål från individer, att ni blir granskade av Datainspektionen och eventuellt även att ni blir skyldiga att betala skadestånd och/eller sanktionsavgifter för att ni bryter mot dataskyddsförordningen.

När Datainspektionen bedömer hur hög en sanktionsavgift ska vara tar myndigheten bl.a. hänsyn till om överträdelsen skett med uppsåt eller oaktsamhet. Fortsätter ni er användning som vanligt även

(5)

efter att ert dataskyddsombud har informerat er om rättsläget och avrått er från att fortsätta måste ni anses agera med uppsåt eller åtminstone grav oaktsamhet.

Gäller problematiken även tidigare publicerat material?

Ja, även tidigare personuppgifter ni publicerat berörs av målets konsekvenser.

Blir publiceringen laglig om vi har biträdesavtal med Facebook?

För det första är Facebook inget biträde till er, utan ni är gemensamt personuppgiftsansvariga med Facebook (vilket klargjorts i en tidigare dom från EU-domstolen). För det andra inkluderas alla avtal i Facebooks villkor. Däri inkluderas även standardavtalsklausuler för överföringen till USA, vilka täcker upp för många delar av dataskyddsförordningens regler. Det är dock inte tillräckligt för att överföringen ska vara helt laglig, eftersom standardavtalsklausulerna inte kan hindra amerikanska myndigheter från att komma åt de personuppgifter som publiceras. De avtal ni ingått med Facebook räcker alltså inte för att göra publiceringen laglig.

Kan vi fortsätta sponsra inlägg i sociala medier?

Vi har gjort bedömningen att er sponsring av inlägg inte berörs av rättsfallet, eftersom sponsringen inte innebär att ni tillför några personuppgifter till exv. Facebook utan endast att ni är med och ställer in hur de uppgifter Facebook redan har om personen ska behandlas. Observera dock att vi redan innan Schrems II-målet har avrått från att rikta annonser om konfirmation till barn, eftersom ni då hjälper Facebook att koppla en religiös övertygelse till barnen.

Observera att problemet med användningen av vissa typer av sociala medier kvarstår även om sponsringen i sig kan anses laglig.

Kommer detta alltid att gälla?

Detta är hur rättsläget ser ut idag. Det pågår flera processer på olika håll för att komma till en bättre lösning. Facebook har överklagat det preliminära beslut de meddelades från den irländska dataskyddsmyndigheten gällande att upphöra med överföring av EU-uppgifter till USA. Det pågår även politiska diskussioner mellan EU och USA för bättre lösningar. Det är dock högst oklart vad utkomsten kommer att bli och framförallt när en sådan lösning kommer att komma på plats. Det närmaste vi kan hoppas på är att Facebook (och andra) gör ändringar i sina inställningar, exempelvis genom att möjliggöra fullständig inaktivering av kommentarer, för att göra det möjligt att fortsätta användningen av deras tjänster.

Kan vi fortsätta använda sociala medier om vi har journalistiska ändamål?

Vi börjar med att reda ut vad som gäller för utgivningsbevis och journalistiska ändamål. Så här skriver Datainspektionen på sin webbplats:

(6)

Enligt dataskyddsförordningen kan stater lagstifta om undantag från när förordningen ska vara tillämplig, för att medborgare ska kunna utöva sin yttrande- och informationsfrihet.

Sverige har beslutat att dataskyddsförordningen inte ska tillämpas när den strider mot vår tryckfrihetsförordning och yttrandefrihetsgrundlag. Större delarna av förordningen är inte heller tillämplig om personuppgifterna behandlas för journalistiska ändamål.

Om syftet med det som någon skrivit om dig på en webbplats är att informera, utöva kritik och väcka debatt i samhällsfrågor som är av betydelse för allmänheten kan det vara fråga om ett sådant journalistiskt ändamål.

Den som skrivit texten behöver inte vara journalist utan även privatpersoner kan skriva saker för ett journalistiskt ändamål.

Det som skrivs där vi har utgivningsbevis, t.ex. på en webbplats där vi har sådant, faller under yttrandefrihetsgrundlagen och tryckfrihetsförordningen. Därav gäller inte dataskyddsförordningen och därav inte heller konsekvenserna av Schrems II-domen.

Därmed kan vi även göra länkningar till vår webbplats (om den har utgivningsbevis) från sociala medier. Vi avråder dock från att i länkningen inkludera en förhandsvisning av personuppgifter från webben, exempelvis en bild eller innehåll i text, eftersom vi inte med säkerhet kan uttala oss om lagligheten hos en sådan förhandsvisning.

När det gäller journalistiskt ändamål är det lite mer oklart. Visserligen gäller inte majoriteten av dataskyddsförordningens regler (inklusive reglerna om överföring utanför EU/EES) när man utför en viss behandling med journalistiska ändamål, men några av de regler som fortfarande gäller är bl.a.

att man ska tillse att personuppgifterna skyddas på ett lämpligt sätt i förhållande till risken. Det krävs alltså en bedömning av om det journalistiska ändamålet uppväger det faktum att personuppgifterna sprids till USA, med de konsekvenser det skulle kunna innebära för den enskilda individen. Med anledning av det kan vi inte ge ett generellt råd om huruvida journalistiska ändamål är tillräckliga för att göra en publicering som ni gör på sociala medier laglig.

Observera också att vårt svar på denna fråga inte påverkar bedömningen gällande användares egna publicering på era publika sidor. Även om ni exempelvis har journalistiska ändamål för ett inlägg ni publicerat går det inte att garantera att alla kommentarer som skrivs också har journalistiska ändamål, och då behövs en lagenlig grund för överföring till USA som vanligt. Samma problematik gäller om ni länkar till en webbplats med utgivningsbevis.

References

Download now ( PDF - 6 Page - 134.04 KB )

Related documents

5 2.2.2 Vad är målet med Solvens II

Detta innebär också att en räntenedgång medför att värdet på Patientförsäkringen LÖFs skulder ökar mer än värdet på bolagets tillgångar, med följd att kapitalbasen minskar.

Redovisning kvalitetsuppföljning LOV-leverantörer 3 oktober 2011

Bitte har själv besökt alla kunder fram till sommaren även om hon inte går med vid första

Hur kan det tysta göras uttalat?: – en studie av hur produktutvecklingsavdelningen på Phadia AB överför tyst kunskap

Produktutvecklingsavdelningen är medvetna om den tysta kunskap som finns inom avdelningen och har pratat om hur denna kunskap ska kunna göras mer uttalad för att kunna

Ärende: Inför rådsmöte den 9 oktober angående följdverkningar av Schrems II-domen

Alla sektorer bör skydda sina dataöverföringar på alla relevanta sätt för att leva upp till domstolens krav på skydd av personuppgifter.. Men osäkerheten är stor om vilka uppgifter

Schrems II - International data flows increasingly difficult for companies

Our Governments need to take a public and joint position on this issue at European Council level and work with the EU Commission on putting EU data flows on a strong stable

Månadsbrev oktober 2019.pdf Pdf, 583.8 kB.

Alla 3 har inträffat den senare delen av månaden och under fredags- till söndagsdygnen I Nykvarns kommun har det under september månad inrapporterats 5 st fullbordade inbrott i

För att nå målet är det viktigt att ingen människa lever i något som de själva uppfattar som utanförskap

Ange om ni söker medel från andra bidragsgivare inom kommunen såsom från andra finansiärer för samma projekt.. Prioriterad målgrupp är nyanlända

Vad bör göras med arbetslöshets- försäkringen?

Om högre arbetslöshet i en sektor leder till höjda avgifter där, förstärks drivkrafterna också för dem som har jobb att flytta till andra sektorer.. Det minskar risken