Datainspektionen och Sociala Medier

Idag har vi haft intressant möte mellan Katrineholms kommun och Datainspektionen som handlade om personuppgifter på sociala medier – ett område som i dagsläge är föga genomarbetat ur ett juridiskt perspektiv. Datainspektionen skriver själva:

Datainspektionen har inte tagit ställning till vilka bestämmelser i personuppgiftslagen som gäller för personuppgifter som kommuniceras via sociala medier. Därför drar myndigheten nu igång ett projekt för att klargöra ansvarsfrågorna.

Som avdankad jurist och genom vårt företag / nätverk Penseo som arbetar med just sociala medier har jag i många sammanhang kommit i kontakt med just de juridiska aspekterna kring användningen av sociala medier. Det som huvudsakligen diskuterades på dagens möte var

  • vem är det som är personuppgiftsansvarig för personuppgifter som dyker upp på t.ex. en Facebook-sida? – Är det Facebook eller den organisationen/personen som underhåller Facebook-sidan (eller är det bägge två)?
  • vilka regler är det som bör äga tillämpning? – Är informationen på sociala media att anse som ostrukturerad, så är det den s.k. missbruksmodellen som tillämpas, vilket i stora drag innebär att hanteringen är helt ok så länge den inte missbrukas och blir kränkande) – eller är datan strukturerad, i vilket fall man bör använda den s.k. hanteringsmodellen med mycket hårdare regler?

Dessa frågor är av avgörande betydelse för hur myndigheter, företag men även privatpersoner lagligen kan använda sociala medier. Så här illa är det nämligen: på min Facebook-profil visas bl.a. alla personer som har valt att vara ”Facebook-vänner”. Redan den visningen är en hantering av personuppgifter i personuppgiftslagens mening (foto och namn). Om datainspektionen kommer fram till att det är jag som ”driver” min egen Facebook-profil anses vara personuppgiftsansvarig för den informationen (första frågan), så är det rent juridiskt sett även jag som blir ansvarig för att PUL följs.

Om man sedan i den andra frågan kommer fram till att det är den s.k. hanteringsmodellen som bör tillämpas på sociala medier, så måste jag bl.a. vidta lämpliga säkerhetsåtgärder till skydd för de personuppgifter som behandlas (31 § personuppgiftslagen). Om jag avser att låta någon annan behandla personuppgifter för min räkning (vilket jag gör, iom att det i praktiken är Facebook som hanterar datan), så behöver även 30 § personuppgiftslagen beaktas, vilket bland annat innebär att det krävs ett avtal mellan mig och den som hanterar personuppgifterna (Facebook) och som tvingar Facebook att följa PUL. Något som Facebook inte lär vilja göra. Vidare bör jag som personuppgiftsansvarig, i fall som avser behandling över öppna nätverk som Internet, överväga om behandlingen kan innebära en överföring av personuppgifter till tredje land.  En sådan överföring är endast tillåten under vissa, snäva förutsättningar (33-34 §§ personuppgiftslagen).

Kort sagt: om Datainspektionen skulle komma fram till att det är jag som är personuppgiftsansvarig för de personuppgifter som visas på min Facebook-profil samt att det är hanteringsregeln som bör gälla — tja, då blir det direkt olagligt för mig att använda Facebook.

Och det oavsett om jag är en kommun eller ett företag – eller kanske t.o.m. en privatperson.1

.

Mattias Jansson, Kommunchef i Katrineholms kommun, som också närvarade på mötet har funderingar i liknande banor.

  1. PUL gäller enligt 6 § egentligen inte för verksamhet som är av ren privat natur. Hur det däremot skulle förhålla sig när du inte endast har privata kontakter på Facebook utan även t.ex. arbetskollegor, lärare etc är en fråga som man i förlängningen skulle behöva ta ställning till; []

Kommentera