Schrems II – Nu är det väl ändå glasklart, va?
Schrems II kallas domslutet som har fått en massa offentliga aktörer att börja leta europeiska alternativ till många av sina digitala tjänster. Det är nu svårare att överföra data till framförallt amerikanska företag. Det här påverkar självfallet de svenska bibliotekens arbete, men hur?
I februari 2021 publicerade Digiteket artikeln Vad är egentligen Schrems II och behöver jag bry mig? som försökte sammanfatta detta GDPR-relaterade domstolsbeslut på ett så lättfattligt sätt som möjligt. Lagstiftningen rev upp de tidigare undantag som gjorde det möjligt att överföra personuppgifter till amerikanska företag. De här undantagen är nu ogiltigförklarade och grundprincipen är att det är olagligt att överföra personuppgifter som till exempel namn eller bild på någon till amerikanska företag. Det här ställer till det för bibliotek och all annan offentlig sektor. Hur kan man till exempel arbeta med sociala medier utan att publicera personuppgifter?
Innan vi går vidare och försöker reda ut turerna kring detta så kan det vara värt att lyfta att Digiteket inte ger juridisk rådgivning utan ni måste rådgöra med dataskyddsansvariga och jurister i era respektive verksamheter. Artikelförfattaren är inte jurist och texten ska inte betraktas som juridisk rådgivning i frågan.
Bibliotek och sociala medier
Den här typen av för bibliotek vanligt förekommande inlägg på sociala medier innehåller personuppgifter i form av både namn och bild. När de postas, som här på Facebook, eller på Instagram, Twitter, Youtube eller annan tjänst som ägs utomeuropeiskt, överförs dessa personuppgifter bortom EU:s kontroll. Detta är troligtvis problematiskt efter Schrems II-domens genomslag. Om du tar en snabb titt på ditt biblioteks egna sociala medier-flöden så kan du nog hitta en uppsjö inlägg som på olika sätt innehåller personuppgifter, och ja, dina och dina kollegors namn och ansikte är också skyddsvärda personuppgifter!
Schrems II i korthet
- Grunden i GDPR är att det är förbjudet att överföra personuppgifter till tredjeland, med vilket man för det mesta menar USA.
- Personuppgifter kan till exempel vara namn, bild, ens röst och så vidare.
- Det har tidigare funnits undantagsregler som gjort detta möjligt.
- Schrems II kallas ett EU-domstolsfall som ogiltigförklarade många av dessa tidigare undantagsregler.
- Det är troligtvis svårt att använda tjänster som erbjuds av amerikanska företag på ett sätt som är förenligt med lagstiftningen.
- Detta påverkar biblioteken och all annan offentlig verksamhet.
Det börjar röra på sig i Europa
Den senaste tiden har ett antal rättsfall avgjorts i Europa som konkretiserar hur domstolarna tänker kring lagstiftningen och vars tolkningar vi som arbetar i offentlig sektor troligen kommer påverkas av framöver. Den franska dataskyddsmyndigheten har bedömt att det väldigt vanligt förekommande webbanalysprogrammet Google Analytics bryter mot GDPR. Många offentliga institutioner och kommuner använder dock fortfarande verktyget.
Också den vanligt förekommande tjänsten Google Fonts har bedömts som problematisk. En tysk medborgare tilldömdes 100 euro för att en webbsida han besökte använde Googles teckensnittstjänst Google Fonts utan att han aktivt samtyckt till det.
Troligtvis kommer fler domar av den här typen att falla. De europeiska dataskyddsmyndigheterna försöker harmonisera sina nationella tolkningar, de svenska tolkningarna av lagen kommer alltså troligtvis efterlikna de europeiska bedömningarna i mångt och mycket.
Digiteket och din data
Digiteket använder inte längre Google Analytics utan kör nu webbanalysverktyget Matomo på egen server baserad i Sverige, på samma sätt har vi lagt typsnitten från Google där så att de inte behöver hämtas från det amerikanska företaget. En anropskarta illustrerar var det hämtas data från vid ett besök på Digiteket.
Vill du testa ditt egna bibliotek kan du enkelt använda tjänsten Request Map Generator för att se vilka anrop som görs. Nedan ser vi anropen ett svenskt bibliotekssamarbete gör på sin webb där ett flertal anrop görs till amerikanska tjänster, vilket skulle kunna vara problematiskt.
Digiteket har också lämnat den tjänst för nyhetsbrev som vi använt oss av och nu börjat använda ett europeiskt baserat alternativ.
Vad händer i Sverige?
Skatteverket och Kronofogdemyndigheten valde att inte fortsätta med Microsoft Teams när de skulle lämna videotjänsten Skype eftersom de bedömde att tjänsten inte var förenlig med GDPR. De konstaterar att en mängd personuppgifter kommer överföras:
“Att utnyttja Microsofts infrastruktur för videomöten och samarbete medför att personuppgifter och annan data förs över till Microsoft i stor skala. Det handlar bl.a. om video- och röstsamtal i realtid, namn på deltagarna, presentationsbilder, presentationsmaterial, dokument, snabbmeddelanden, kalenderbokningar m.m.”
De konstaterar att de varken kan använda så kallade standardavtalsklausuler eller undantagsbestämmelser och i och med att personuppgifter kommer överföras till USA får en annan teknisk lösning hittas.
De båda myndigheternas beslut att lämna Microsofts tjänster för videomöte hade i sig direkt påverkan på hur samverkansorganisationen kring det offentligas digitalisering eSam definierade problemställningen i sin rapport Digital samarbetsplattform för offentlig sektor. Denna listar ett stort antal alternativ till olika digitala tjänster som inte överför data till tredje part. I diskussionerna kring Schrems II har man oftast pratat om att det är själva överföringen av persondata till USA som är problemet, men de åtta svenska myndigheterna som samverkade kring eSam-rapporten tolkar det än hårdare. Amerikanska företag, oavsett om databehandlingen sker på europeisk mark, bryter mot lagstiftningen:
“Vi har därför uteslutit lösningar som direkt eller indirekt, exempelvis genom infrastruktur, står under kontroll av ett utländskt bolag där det kan finnas risker för att sekretessbelagda uppgifter kan komma att röjas, eller risk för direkt eller indirekt överföring av personuppgifter till tredjeland utan laglig grund enligt EU:s dataskyddsförordning.” (Sid 18)
Stockholms stad har som en konsekvens av Schrems II valt att inte införa Microsofts Office 365 vars molnlösningar ansågs bryta mot lagstiftningen. Vi kommer troligtvis se fler nyheter av den här typen framöver.
Vad tycker folkbiblioteken?
Tio slumpmässigt utvalda bibliotek tillfrågades via mejl i mitten av november, mycket kan ha hänt sedan dess, om de fått nya förhållningsregler för sociala medier, om lagstiftningen diskuteras i deras verksamhet, huruvida de känner att de har bra koll på vad de får och inte får göra och om de saknar någon information i förhållande till Schrems II. Fem av biblioteken svarade och flera av dessa är eniga om att de skulle behöva mer information kring hur man bör förhålla sig. Johan Ringström på Bibliotek IT i Kungsbacka skriver:
“I denna ovan nämnda diskussion [om Google Analytics] blir det ju väldigt klart att vi saknar den information som behövs för att kunna göra välavvägda beslut hur vi ska agera i enlighet med domen. Problemet blir ju att innan det finns en gällande praxis annat än Schrems-domen, som de flesta inte verkar följa, eftersom vi då inte skulle se en sådan utbredd användning av stora amerikanska webbapplikationer inom kommun och stat. Utifrån vår kunskap så verkar de flesta famla i mörkret. Ska man utgå från Schrems verkar de flesta göra fel enligt vår bedömning och utan en gällande praxis i Sverige verkar få vara beredda att ta konsekvenserna av denna dom.”
Han fortsätter med att de vore behjälpta av att få information om hur andra kommuner och bibliotek förhåller sig till domen:
“För att summera så är det väl så att vi bidar vår tid och agerar enligt vad kommunen bestämmer och hur kommunen i övrigt agerar i frågor som berörs av domen och att vi verkligen skulle vara hjälpta av mer information om hur andra kommuner/bibliotek förhåller sig till domen. Vi kan ju även konstatera att det skulle kunna få ganska stora konsekvenser för biblioteket vad gäller framförallt hur vi använder oss av sociala medier men även andra webbapplikationer och webbtjänster.”
Sandra Persson på Nässjö bibliotek efterlyser samsyn i tolkningen av lagen:
“Vi har koll på lagstiftningen och hur vi ska förhålla oss till den på sociala medier men saknar en samsyn, lagen verkar tolkas olika i olika kommuner.”
Caroline Kårhed på Ronneby bibliotek saknar enkel och tydlig information:
“Det jag personligen kan känna att jag saknar är utförlig, lättförståelig information. Det finns mängder av information att hitta om Schrems 2 domen men inte så mycket som är skrivet på ett sätt som är enkelt att ta till sig och förstå hur det påverkar just oss och hur vi ska arbeta framåt på bästa sätt.”
Maria Sjöholm på Falköpings bibliotek saknar också den lättförståeliga informationen:
“Saknar lättbegriplig information, checklistor etc. På ett litet bibliotek när de flesta har många ansvarsområden är det svårt att hänga med i allt, särskilt sådana här komplexa juridiska frågor. Det känns så svårt att man skjuter bort frågan.”
Vem ska hjälpa biblioteken?
Det är en svår och komplex lagstiftning som först nu har börjat generera domslut som gör det enklare att tolka lagstiftningen. Men vem ansvarar för att hjälpa och guida biblioteken kring detta? Representanterna för organisationerna nedan tillfrågades i november 2021.
Kan SKR vara behjälpliga?
Sveriges kommuner och regioner, SKR, har en informationssida om Schrems II, men den ger inte mycket konkret hjälp att gå på. Susanne Svanholm jobbar på avdelningen för juridik på SKR och berättar att de svarar på konkreta frågor som kommer in till deras rådgivningsservice men att de i övrigt hänvisar till kommunens dataskyddsombud och kommunjurister utöver närmaste chef i frågor kring personuppgifter.
Biblioteksmyndigheten KB kanske?
Eleonor Grenholm på KB hälsar att det ligger utanför myndighetens uppgifter att bistå i dessa frågor:
“Som biblioteksmyndighet ska KB ha en nationell överblick över och främja samverkan inom det allmänna biblioteksväsendet. Det innebär att vi inte har som uppgift att vara uttolkare av bestämmelser. Det är istället respektive kommun eller samverkansorganisationen SKR som behöver göra det jobbet. Viktigt också att kontakta ansvarig myndighet om läget är osäkert.”
Integritetsskyddsmyndigheten?
Integritetsskyddsmyndigheten genom jurist Alexandra Rosenvi svarar på frågan om de har något ansvar att bidra med tydlig information till kommunerna genom att hänvisa till informationssidan Publicera bilder, filmer och ljud på internet. Sidan uppdaterades 7 september 2021 och ger inte direkt konkret hjälp.
Avslutning
Schrems II-domen föll den 16 juli 2020, vilket är ett och ett halvt år sedan. Det är fortfarande väldigt oklart vad som konkret gäller kring mycket. Vi ser samtidigt att det börjar falla domar i Europa utifrån Schrems II som troligtvis kommer att påverka även oss i Sverige. Vi ser också att stora svenska myndigheter väljer bort amerikanska molntjänster för att inte bryta mot lagen. Vissa svenska kommuner har anpassat sin närvaro på sociala medier genom att inte publicera personuppgifter som till exempel Nässjö. Men alla kommuner gör olika och det vore bra om någon samhällsinstans kunde hjälpa till med råd om hur man bör förhålla sig i frågan. Fram tills det finns några samlade instruktioner så är rådet att prata med era kommunjurister och dataskyddsansvariga för förhållningsregler.
Den 25 mars 2022 meddelades dock att EU-kommissionen och USA träffat en ny principöverenskommelse om ett nytt ramverk som skulle kunna vara en lösning på problemen med överföring till USA, Trans-Atlantic Data Privacy Framework. Detta skulle kunna vara ett första steg på vägen till nya former för laglig dataöverföring, men det är än så länge långa och slingriga juridiska avtalsmässiga vägar som ska vandras.
Digiteket lovar att återkomma i frågan nästa år. Då är det nog tydligt vad som gäller!