Datainspektionen har nu uppdaterat sin vägledning som beskriver kraven som ställs på organisationer som använder sociala medier såsom Facebook, Youtube, Instagram, Linkedin, Google Plus, Flickr och Pinterest.
Den uppdaterade vägledningen bygger på en nyligen slutförd granskning av hur tio organisationer använder sociala medier. Granskningen är en fortsättning på en undersökning som gjordes år 2010. Syftet med de två granskningarna har varit att klargöra vilket ansvar organisationer har för personuppgifter som publiceras i sociala medier.
Granskningen år 2010 visade att en organisation har ett ansvar för personuppgifter som publiceras på organisationens Facebook-sida eller blogg, även om inlägget har gjorts av en besökare. Detta eftersom organisationen har möjlighet att bestämma vilka inlägg som ska få finnas kvar på dennes sociala media.
– Den senaste granskningen slår fast att samma ansvar även gäller i andra sociala medier, som Youtube, Instagram, Linkedin, Google Plus, Flickr och Pinterest, säger Datainspektionens jurist Nidia Larsson i en kommentar.
Ansvaret är knutet till hur stora möjligheter organisationen har att påverka innehållet i det sociala mediet. Twitter är därmed ett undantag. Organisationen ansvarar endast för personuppgifter som organisationen själv publicerat, inte personuppgifter som andra twittrare lämnar. Det beror på att organisationen inte kan påverka publiceringen av andras inlägg på Twitter.
I den uppdaterade vägledningen framgår också tydligare vad det ansvaret innebär. En organisation som använder sociala medier måste bland annat hålla regelbunden uppsikt över publiceringar för att upptäcka kränkande publiceringar av personuppgifter, ta bort dem skyndsamt om sådana uppgifter upptäcks och vidta lämpliga säkerhetsåtgärder. Det innebär bland annat att organisationen ska ge instruktioner till dem som arbetar med sociala medier för organisationens räkning, exempelvis genom en intern policy.
Vad innebär detta i praktiken?
Foto: TT
Vanja Eriksson
