Juridik | 18 Mars 2021 | Thomas Riesler

Vad innebär Schrems-domarna?

SFFs förbundsjurist Thomas Riesler om konsekvensen av de så kallade Schrems-domarna.

”Det är bättre att vara fruktad än älskad”, skrev Machiavelli i sin bok Fursten. Kanske var det ledstjärnan när den österrikiske integritetsaktivisten och juristen Maximilian Schrems drev fram domar som gjorde i princip alla EU-länders användning av Facebook och Instagram olaglig. Schrems stämde Facebook för att kunna ogiltigförklara Privacy Shield, ett avtal mellan USA och EU som möjliggjorde för personuppgiftsansvariga att överföra personuppgifter till företag som anslutit sig till Privacy Shield i USA. Den springande punkten är att mottagarlandet måste tillförsäkra en likvärdig skyddsnivå för personuppgifterna som överförs till USA som inom EU och EES. Att så inte är fallet visar EU-domstolens domar i frågan: ”Schrems I” och ”Schrems II”.

Finns det risk att det sociala mediet lagrar material i land där personuppgiftsskyddet inte uppnår GDPR:s krav är användningen att betrakta som ett brott mot GDPR. Kort sagt: Sociala medier som överför, lagrar eller på annat sätt behandlar personuppgifter i USA bör inte användas i nuläget.

Om de sociala medierna överför, lagrar eller på annat sätt behandlar personuppgifterna till eller i USA räcker det inte att ha samtycke eller modellavtal. Om servrarna är placerade inom EU och inte skickar information till USA så är det ok.
Du riskerar alltså att bli stämd av den som anser att din användning av den personens personuppgifter bryter mot GDPR. Du riskerar även att Integritetsskyddsmyndigheten (tidigare Datainspektionen) gör ett ärende av din lagstridiga användning av personuppgifter.

Myndigheten har då möjlighet att ålägga ditt företag att betala en administrativ sanktionsavgift. Den kan uppgå till det högsta beloppet av 20 000 000 euro eller 4 % av företagets totala globala årsomsättning. Beloppet kan begränsas för att vara ”effektivt, proportionellt och avskräckande”, det vill säga på en nivå som är lämplig i det enskilda fallet. Detta innebär exempelvis att ett större företag kan få högre avgift än ett litet företag.

Så hur ska du göra för att publicera lagligt på sociala medier som använder servrar i USA? Om din användning har exempelvis journalistiskt syfte eller rör konstnärligt skapande tillämpas inte GDPR. Samma gäller för hemsidor med utgivningsbevis. Men om du tänker behandla personuppgifter, exempelvis fotografier med personer med annan inriktning än de ovan nämnda gäller följande: Vänta med att publicera nu levande och identifierbara personer på bild och andra personuppgifter till dess att EU och USA kommit överens om ett nytt avtal. Eller publicera personuppgifterna på din hemsida där servrarna finns exempelvis inom EU eller annat ”säkert område”. Sedan lägger du en länk till hemsidan från de för tillfället ”förbjudna” sociala medierna.

Nya numret av Fotografisk Tidskrift

Vi visar en portfolio av Charlie Drevstam. Vi publicerar en exklusiv intervju med Anders Petersen, vi uppmärksammar de tre vinnarna av Svenska Fotobokspriset 2021, vi visar bilder av Årets fotograf och Årets Rookie och Årets bild. Vi skriver om hur man kan jobba med rörlig bild, vi berättar om fotografen Emil Heilborn och vi undersöker hur AI lär sig läsa bilder. Med mera. Läs mer