25/01/2021

Lästid: 5,5 min

Schrems II – det här behöver du tänka på

Sedan EU-domen Schrems II föll sommaren 2020 har förvirringen bland många bolag varit stor – inte minst inom kommunikationsbranschen. Det är näst intill existentiella frågor som bubblat upp. Kommer vi aldrig mer kunna nå kunder via sociala medier? Kommer alla lärdomar vi fått om våra mottagare bli oanvändbara?
De dåliga nyheterna är att det fortfarande inte finns några enkla och raka svar att ge på någon av de här frågorna. Men de goda nyheterna är att vi i alla fall ska reda ut grunderna och hur du kan tänka just nu för att ha ditt på det torra.

Det här är Schrems II

Men vi tar det från början. När personuppgifter lagras av företag i USA innebär det att amerikanska myndigheter får tillgång till dem – och rätt att använda dem. Tidigare har många plattformar och tjänster använt något som heter Privacy Shield-avtalet som skydd när de överfört personuppgifter från EU till USA. Men Schrems II-domen fastslår att det inte längre är tillräckligt.

Det här rör till det för dig som jobbar med kommunikation. Kort och gott betyder domen att du inte på samma sätt som innan får använda personuppgifter när du kommunicerar på sociala plattformar som överför och lagrar data i USA. Men vilka plattformar pratar vi om egentligen? Jo, tyvärr de du förmodligen använder mest – som Facebook, Linkedin och Instagram. Men även analysverktyg som Google Analytics och olika molntjänster finns med på listan.

En personuppgift är egentligen precis vad det låter som – en uppgift eller information som kan knytas till en levande person. De mest uppenbara är kanske namn, adress och personnummer. Men även foton, filmer och ljudinspelningar där en person kan identifieras räknas faktiskt som personuppgifter. När det gäller bilder och filmer är det viktigt att komma ihåg att det inte bara är ansikten som ska undvikas. Även karakteristiska detaljer, som en personlig tatuering eller spexig frisyr, kan identifiera en person. 

Schrems-säkra din organisation

Så vad ska du egentligen göra? På ett organisatoriskt plan kan du börja med att kartlägga vilka flöden av personuppgifter du har, och vilka plattformar du använder som överför uppgifter till tredje land. Det enkla svaret är sedan att sluta använda dessa tjänster. Det är det säkraste sättet att hålla ryggen fri. 

Vi ber om ursäkt redan nu för alla krångliga ord i det här stycket. Men i alla fall, det lite mer omständliga svaret är att kontrollera om plattformarna du använder har godkända standardavtalsklausuler vid överföringen. Många av dessa har blivit ogiltiga i och med Schrems II och behöver ses över. Du kan också ta reda på om överföringen kan stödjas på något av undantagen i artikel 49 i domen. Sedan är nästa steg att göra en konsekvensanalys enligt GDPR där du dokumenterar personuppgiftsbehandlingen och i vilken rättslig grund den har fäste. Konsekvensanalysen behöver du kunna visa upp om du skulle åka på en granskning av Datainspektionen.

Kommunikation i sociala medier

Som du kanske förstår är det här inte helt lätt. Men vi ska försöka bli lite mer konkreta och sätta in domen i en situation du kanske känner igen dig i. Vi säger att du har ett café och ska lägga upp en annons på Facebook. Innan Schrems II hade du kanske använt en bild av en person som sitter och smuttar på en macchiato. Sedan hade du kanske riktat annonsen med hjälp av kundlistan från ditt nyhetsbrev, via insamlad Facebook Pixel-data eller någon annan typ av kunskap du har om din målgrupp.

Nu tänker vi oss att du ska göra samma kommunikationsinsats efter Schrems II. Då behöver du till att börja med tänka om kring bildval. Tänk på att gamla GDPR-avtal inte gäller längre, så även om du använt bilden av den kaffedrickande personen i en tidigare kampanj kan du inte göra det igen. För att vara på den säkra sidan kan du istället välja en bild som till exempel föreställer en anonym hand som håller i en kaffekopp, eller kanske bara koppen. 

Även när det är dags att publicera annonsen har du vissa begränsningar. Du får inte längre rikta den med hjälp av någon typ av insamlad data kring dina mottagare. Istället får du gå bredare, utan att basera segmenten på persondata. Men det är också viktigt att komma ihåg att mycket kring den här domen fortfarande är oklart – till exempel kring att segmentera med hjälp av information som användaren själv har registrerat. Vi lovar att återkomma kring det när saker och ting klarnat. 

Nu kanske du tänker: ”äsch, det här låter krångligt och tråkigt. Jag fortsätter som vanligt och hoppas på det bästa”. Men då behöver du tänka om, för här kan nonchalans nämligen bli dyrt. Många europeiska organisationer, varav flera är svenska, har redan anmälts till olika tillsynsmyndigheter efter att ha slarvat. De riskerar tillsyn och i värsta fall tuffa sanktioner. Dessutom är det viktigt att komma ihåg att syftet med domen faktiskt i grund och botten är att öka respekten för människors integritet. Det handlar alltså inte bara om lagar och regler, utan är också en moralisk fråga.

Vad kommer hända?

Vid det här laget hade du nog inte väntat dig något annat, men inte heller här finns några tydliga svar. Men en sak som är säker är att de stora plattformarna kommer ta rejält med stryk av domen, eftersom deras annonsytor inte längre kommer gå att använda på samma sätt. Men eftersom EU är en viktig del av deras marknad och inkomstkälla kommer förmodligen många jobba hårt för att hitta ett nytt och säkert sätt att använda plattformarna. Där finns en ljusglimt, även om det kan dröja innan en lösning kommer. Under tiden får vi som jobbar med kommunikation anpassa oss efter de nya förutsättningarna och hålla tummarna för att vi snart kan börja annonsera som vanligt igen: utan kreativa begränsningar, men så klart med respekt för människors integritet.  

Det här är det viktigaste du behöver komma ihåg: 

  • En personuppgift kan vara en adress, ett personnummer eller ett namn, men också en bild eller film där en person kan identifieras.
  • Kartlägg vilka flöden av personuppgifter du har och vilka plattformar du använder. 
  • Använd inte personuppgifter när du kommunicerar på till exempel Facebook, Linkedin och Instagram.
  • Rikta inte annonser i sociala medier med hjälp av insamlad data kring dina mottagare. 

Det här är vår tolkning av en komplex fråga. Det är svårt att presentera konkreta sanningar i det här läget, eftersom effekterna av domen fortfarande håller på att definieras. Men vi lovar att hålla dig uppdaterad så fort det finns tydligare information att dela.

Vi har stenkoll på sociala medier och kan hjälpa dig ta fram skarpt material som garanterat är Schrems-säkert. Hör av dig!

 

Kontakta oss

Digitalisera årsredovisningen Boka in 15 minuter med oss