Schrems II och sociala medier

Schrems II är en dom i EU-domstolen förra året. Domen rörde överföring av personuppgifter från Facebook Irland till dess moderbolag. Under överföringen kunde amerikanska underrättelsetjänster inhämta personuppgifter. I Schrems II-domen kom man fram till att skyddet för personuppgifter som överförs till USA inte uppfyller de krav på skydd som finns inom EU/EES.

Framtiden för sociala medier

Flertalet sociala medier, som Facebook, Instagram, Youtube och LinkedIn, är amerikanskägda företag och de anger i flera fall själva att de överför personuppgifter till USA. När vi i Göteborgs Stad använder oss av dessa sociala medier för vi sannolikt över personuppgifter till USA.

I Schrems II-domen pekar man på amerikanska myndigheters möjligheter att kräva tillgång till information som finns hos vissa aktörer (t ex Facebook, Instagram, Youtube och LinkedIn) under amerikansk jurisdiktion och detta utgör då ett hinder för att använda amerikanska leverantörer utan ytterligare skyddsåtgärder. Vid en sådan tolkning skulle det alltså inte vara tillräckligt att personuppgifterna bara kan nås inom EU/EES utan redan det faktum att leverantören faller under amerikansk lagstiftning skulle vara ett hinder. Denna fråga är idag inte prövad och därmed oklar. 

Det pågår arbete, både nationellt och inom EU, för att hitta fungerande lösningar för laglig överföring av personuppgifter till USA. Flera leverantörer ser också över sina affärsmodeller för att hitta alternativa lagliga lösningar. Ett annat alternativ är att det etableras nationella plattformar som kan ersätta de amerikanska. När en lösning kommer är dock i dagsläget oklart. Utvecklingen bevakas noga och nya rekommendationer kan komma framöver.

Läs mer om Schrems II-domen

Göteborgs Stad i sociala medier

I de fall er förvaltning/bolag eller någon del inom er förvaltning/bolag har en sida på till exempel Facebook, är ni gemensamt personuppgiftsansvariga med Facebook för den information som inhämtas från besökaren på er sida. Genom att skapa och administrera denna sida ger ni Facebook tillgång till besökarnas uppgifter som då kan komma att föras över till USA.

Men det skulle å andra sidan kunna innebära avbrott i kommunikationen med våra medborgare att helt upphöra att kommunicera i sociala medier. I enlighet med det kommunala uppdraget så ska vi erbjuda våra medborgare lättillgänglig service och information om deras rättigheter och skyldigheter i de kanaler där medborgaren finns. Ni behöver därför hitta stöd i exempelvis lagar, reglementen/bolagsordningar eller annat om ni anser att ni behöver fortsätta kommunicera i sociala medier till våra medborgare.

Läs mer om Göteborgs Stads gemensamma sociala kanaler

Läs mer om Göteborgs Stad i sociala medier på intranätets temasida om externa digitala kanaler och tjänster

Vad behöver förvaltningar/bolag göra?

Varje förvaltning/bolag/verksamhet måste analysera, ta ställning till och dokumentera sina bedömningar för att ha detta lättillgängligt och snabbt kunna svara på varför man publicerar något i en viss kanal. För att kunna fortsätta använda sociala medier måste vi ha koll på vad vi publicerar, var vi publicerar, kunna motivera varför och på vilken laglig grund samt alltid följa dataskyddsförordningen när det gäller personuppgifter.

Kartlägg era sociala media utifrån Schrems

  1. Kartlägg vilka sociala mediekanaler ni använder. Undersök vilka av dessa som överför personuppgifter till tredjeland (främst USA). Avtalsvillkor och integritetspolicy kan ge ledning. Observera att nuvarande affärsmodell och villkor för Facebook, Instagram och Linkedin tydligt anger att direktöverföring till USA sker. Youtube anger hela världen som möjlig lagringsplats vilket också får antas inkludera direktöverföringar till USA och annat tredjeland.

  2. Avstå helst från att behandla personuppgifter i sociala medier om inte risk för otillåten tredjelandsöverföring kan uteslutas. Beakta också hur uppgifter rörande kontoadministratörer och liknande behandlas och om dessa uppgifter överförs. OBS! Annan information som inte innehåller personuppgifter kan fortfarande publiceras.

  3. Om ni, med beaktande av de aktuella riskerna, ändå bedömer att det är absolut nödvändigt att behandla personuppgifter i sociala medier – begränsa vilka personuppgifter ni behandlar.

    Här är några exempel på hur ni kan begränsa användningen av personuppgifter:
    • Använd illustrationer och animationer istället för fotografier och filmer.
    • Stäng av eller begränsa kommentarsfält, överväg om det är lämpligt att alls ha ett kommentarsfält för fritext eller om det går att använda exempelvis ett formulär istället.
    • Skriv inte ut personnamn eller andra personuppgifter utan använd istället kontaktuppgifter till förvaltningen/bolaget.
    • Uppmana inte till interaktion från de registrerade (uppmana till exempel inte till delning av inlägg eller att de ska kommentera).

  4. Om ni bedömer att ni måste använda sociala medier och däri måste behandla personuppgifter, dokumentera denna bedömning och spara dokumentationen.

    Bedömningen bör minst innehålla följande information:
    • vilka kanaler ni använder,
    • vilka personuppgifter som behandlas i dessa kanaler,
    • vilken rättslig grund ni stödjer behandlingen på,
    • motivering till varför behandlingen bedöms vara nödvändig (utifrån förordningen),
    • vilka risker ni ser med behandlingen för de registrerade,
    • en bedömning av vilka konsekvenser det skulle få att sluta med behandlingen,
    • synpunkter från ert dataskyddsombud.

  5. Bedöm också om ni uppfyller dataskyddsförordningens krav på att ge information till de registrerade.

  6. Ett beslut att fortsätta användningen av sociala medier, trots identifierade risker, är ett accepterande av risker (för sanktionsavgifter till exempel). Beslutet bör fattas på behörig nivå inom respektive förvaltning/bolag.

Läs mer om lagar och regler inkl dataskyddsförordningen och personuppgifter på intranätets temasida om externa digitala kanaler och tjänster

Läs mer om begrepp som personuppgift och dataskyddsförordningen på dataskyddsenhetens sida på intranätet

Vad händer om vi fortsätter som tidigare

Om vi fortsätter personuppgiftsbehandlingar som vanligt i våra sociala medier finns risk för felaktig hantering av personuppgifter och därmed skada för den registrerade och att dennes förtroende för oss som organisation minskar. För att undvika detta, sanktionsavgifter eller att Integritetsskyddsmyndigheten (tidigare Datainspektionen) fattar beslut om att överföringen tvärt måste upphöra, behöver varje förvaltning/bolag göra ovan bedömning för de sociala mediekanaler man använder.

Det finns med andra ord inget exakt svar att ge gällande Schrems II och sociala medier, utan det måste bedömas från fall till fall och enligt frågorna i den kartläggning vi förespråkar ovan. Det är respektive förvaltning/bolag som själv måste ha koll på och ansvara för sina bedömningar gällande sociala media. Se frågorna i den kartläggning vi förespråkar ovan som ett stöd i det arbetet.

Om du har frågor

Har du frågor kring Schrems II eller dataskyddsförordningen så kan din förvaltning/bolags dataskyddsombud ge dig råd. De återfinns på dataskyddsenheten på Intraservice – en oberoende stöd- och kontrollinstans av Göteborgs Stads behandling av personuppgifter.

Du når dataskyddsombuden och kan läsa mer om deras roll etc på intranätet eller via e-post till dso@intraservice.goteborg.se

Har du allmänna juridiska frågor kan juridiska avdelningen på stadsledningskontoret stötta.

Har du frågor gällande kommunikation får du gärna höra av dig till stadsledningskontorets kommunikationsavdelning via e-post till kommunikation@stadshuset.goteborg.se