EU-dom kan få oanade konsekvenser för sociala medier

Av jonas [dot] andersson [at] kommunikation [dot] lu [dot] se (Jonas Andersson) - publicerad 13 oktober 2020

Foto inifrån EU-domstolen — EU-domstolen. Foto: Lucien Schilling/Flickr Creative commons

Risken är att en stor del av all kommunikation på sociala medier är olaglig. I juli kom EU-domstolen med den så kallade Schrems II-domen, som skulle kunna få stora konsekvenser för bland andra Facebook och Instagram. Läget är mycket oklart i nuläget, säger juristprofessor Vilhelm Persson.

Bakgrunden är GDPR-regleringen, som syftar till att ge ett skydd för hur personuppgifter hanteras och sprids. Lagen gäller inom EU, men säger också att personuppgifter som sprids utanför EU ska ha ett grundläggande likvärdigt skydd.

Lagen trädde i kraft 2018 och redan då uppstod det problem för företag, organisationer och andra som ville kunna föra uppgifter från EU till USA och andra länder. Att USA kom att hamna i fokus beror att utbytet mellan Europa och USA är stort, inte minst genom att jätteföretag som Facebook och Google har i sin verksamhet där och med det också sina servrar, vilket innebär att personuppgifter hamnar i USA. Problemet är att lagstiftningen i USA gör det möjligt för den amerikanska staten att komma åt dessa personuppgifter.

Påverkar miljoner människor

För att detta skulle flyta smidigt kom EU-kommissionen och USA överens om att företag som kunde garantera säkerheten genom det så kallade Safe Harbour-avtalet ansågs uppfylla kraven. Detta överklagades av den då juridikstuderande Maximillian Schrems, som fick rätt i EU-domstolen. För att ytterligare säkra GDPR-skyddet förhandlade man fram det så kallade Privacy Shield-avtalet. Detta överklagades på nytt, och i den nya domen slogs det fast att inte heller detta avtal var tillräckligt omfattande.

Men frågan gäller inte bara företag emellan, utan påverkar även de många miljoner människor som dagligen använder sociala medier. Ett enskilt inlägg som innehåller personuppgifter innebär i sig inget brott mot GDPR. Däremot om företagen lagrar uppgifterna för att använda dem för att exempelvis kunna sälja riktad reklam – vilket är en stor del av de sociala medier-bolagens affärsidé.

– Potentiellt kan domen få mycket långtgående konsekvenser. En tanke är att EU och USA kommer överens om nya avtal, likt dem som vi alla fick godkänna i samband med GDPR. En annan lösning är att företagen mer direkt bygger på användarnas samtycke för att få skicka personuppgifter till USA. Då får vi se en ny våg av godkännanden som skickas ut, där användarna uttryckligen ger sitt godkännande till att uppgifterna förs över till USA. En annan är att Facebook och andra flyttar sina servrar så att de finns i Europa, säger Vilhelm Persson.

Hotar storbolagens affärsmodeller

Men då kan bolagen inte på samma sätt samköra uppgifterna med de som samlas in i USA, vilket skulle få stora konsekvenser för deras affärsmodeller, som till stor del bygger på insamlandet av användardata.

Många anser att det inte är troligt att vare sig EU eller USA kommer att ändra sina respektive lagar i grunden. I förlängningen skulle det kunna innebära att jättar som Facebook och Google inte kan tillhandahålla samma tjänster som i dag. Vilhelm Persson menar att det till viss del beror på om EU anses vara en tillräckligt viktig marknad för USA, eller åtminstone för företagen så att de är beredda på att förändra sin verksamhet.

– GDPR är en väldigt strikt utformad lagstiftning. Dess utgångspunkt är att det är förbjudet att lagra personuppgifter, och sedan finns det undantag där detta är tillåtet. En mildare lagstiftning hade tagit sin utgångspunkt i det omvända – att grundregeln hade varit att det var tillåtet och sedan hade man haft ett antal områden där det skulle vara förbjudet. Det är en långtgående lagstiftning tycker jag, säger Vilhelm Persson.

Stor förvirring

I dagsläget är förvirringen stor, och om man hårdrar innebörden av domen så omöjliggörs inte bara en stor del av användningen av sociala medier, utan även en rad andra områden som olika multinationella företagsaffärer och forskning som delar personuppgifter till kollegor i USA. I coronatider är det inte heller självklart att plattformar som Teams och Zoom är lagliga att använda. Även vanliga tjänster som Google Analytics påverkas.

– Det måste hittas en lösning. Jag skulle bli mycket förvånad om inte EU-kommissionen och USA förhandlar för att hitta en lösning. Men just nu är det en röra där ingen vet vad man ska göra. I praktiken är det ohållbart som det är nu, säger Vilhelm Persson.

Just nu är över 100 företag i Europa anmälda för att de påstås använda Facebook Connect och Google Analytics, däribland vissa större svenska företag. Dessa bolag måste nu visa på att de följer GDPR på ett uppdaterat sätt, annars lär de fällas i EU-domstolen.

– Domstolen slog fast att de så kallade standardavtalsklausuler som används av företag fortfarande är godkända. Men samtidigt uttrycker domen tvivel om att dessa är tillräckliga och kan behöva kompletteras med ytterligare skyddsåtgärder. Så i nuläget är det inte riktigt någon som vet vad som gäller, säger Vilhelm Persson.

Den här artikeln har publicerats i nyhetsbrevet Apropå där forskare från Lunds universitet kommenterar aktuella samhällshändelser.