Ny personvernavtale mellom USA og EU: – reddet av gongongen
Akkurat da det så ut til at norske virksomheter måtte slutte å bruke amerikanske nett-tjenester av personvernhensyn, ble EU og USA enige om prinsipper for et nytt rammeverk som skal gjøre det lovlig å overføre personopplysninger til USA.
Det nye rammeverket betyr sannsynligvis at det også i fremtiden blir lovlig å bruke leverandører som Google, Facebook og Microsoft.
Endringen kom etter at USAs president, Joe Biden, og EU-kommisjonens president, Ursula von der Leyen, fredag 25. mars fortalte at USA erklærer at de vil reformere deres overvåkningsregler for å styrke personvernet. USA erklærer at overvåkning vil begrenses til nødvendig og proporsjonal overvåkning, slik EUs regler og domstolpraksis krever. Det skal innføres et toinstanssystem som gir personer adgang til reell klagebehandling, som også vil inkludere en egen personverndomstol. Dette gjør at kritikken i Schrems II dommen møtes, og slik at overføring igjen blir lovlig.
Max Schrems
Mange husker kanskje den da 25 år gamle østerrikske juristen Maximillian «Max» Schrems, som i 2012 skrev til Facebook og krevde utlevert all informasjon om seg selv, og som til slutt mottok et dokument på 1222 sider. Østerrikeren klagde senere på hvordan Facebook utleverte sine brukeres personopplysninger til USA og oppbevarte dem på servere der. I en dom i 2015, senere kjent som Schrems I-dommen, fikk Max Schrems medhold i sin klage. I juli 2020 falt Schrems II-dommen, og den fastslo tilleggskriterier for utveksling av personopplysninger fra EU/EØS-land til land utenom disse.
Og det er denne siste dommen som til nå har kunnet gi konsekvenser for hvordan vi kan bruke Google Analytics og strengt tatt alle amerikanske tjenester som behandler personopplysninger fremover, det vil også si Facebook, Amazon, Apple med flere.
Har fortsatt bruken
Mange norske virksomheter har selv, etter Schrems II, valgt å fortsette bruken av amerikanske tjenester, selv om den juridiske risikoen har vært økende siden dommen falt.
I 2022 har europeiske datatilsynsmyndigheter startet å håndheve dommen.
Datatilsynet i Norge har akkurat nå en sak om Google Analytics til behandling, med forventet konklusjon innen utgangen av april. Det var ventet at vedtaket ville bli at bruk av Google Analytics i Norge er i strid med GDPR og Schrems II.
- Her kan man virkelig si at norske virksomheter ble reddet av gongongen, sier Vebjørn Søndersrød, partner i advokatfirmaet Raeder, der han blant annet jobbet med personvern og markedsføringsrett.
Utrolig timing
– Det var en helt utrolig timing på denne avtalen mellom USA og EU, for det var akkurat i disse dager datatilsynene i Europa, Norge inkludert, begynte å se på håndhevingen av dommen, sier Søndersrød. Håndhevingen kunne i norsk sammenheng vært bøter for virksomheter som fortsatte å bruke for eksempel Google Analytics.
Søndersrød presiserer at det fortsatt gjenstår arbeid før avtalen er klar. USA må juridisk sett innføre disse reglene, noe som er planlagt gjennom en presidentordre (Executive Order) og EU-kommisjonen må formelt vedta at USA blir et såkalt godkjent tredjeland for overføring (adequacy decision). Amerikanske tjenesteleverandører vil måtte selv-sertifisere seg ved å erklære at de vil følge de nye retningslinjene.
– Jeg vil anta at dette arbeidet vil klart mot slutten av året. Frem til det vil virksomheter som bruker Google Analytics og andre tjenester som etter dagens avtaleverk bryter GDPR-regelverket, fortsatt formelt handle i strid med loven.
Bryter loven nå
Vil dette kunne få noen konsekvenser for de mange norske virksomhetene som bruker disse tjenestene i dag?
– Det vil formelt være et brudd på GDPR å fortsatt bruke disse amerikanske tjenestene frem til ny avtale er på plass, men vi kan spekulere i at norske myndigheter neppe kommer til å forfølge dette videre nå eller somle med saksbehandlingen frem til avtalen er klar. Men dette vet vi ikke svaret på, sier Vebjørn Søndersrød som, basert på at Datatilsynet ikke har gjort noe for å forfølge disse sakene de siste 18 månedene siden Schrems II-dommen falt, tror at Datatilsynet kommer til å ta det med ro frem til avtalen mellom USA og EU er klar.
– Det er komfortabelt og mindre risiko for norske virksomheter å sitte stille i båten nå enn det har vært de siste månedene, sier advokat Søndersrød som understreker at selv om problematikken med Schrems II-dommen ser ut til å være løst, vil det fortsatt være GDPR-utfordringer med å bruke de amerikanske tjenestene.
Du er fortsatt ansvarlig
– De amerikanske nett-tjenestene er dårlige til å fortelle deg som ansvarlig for en nettside hva de innhenter av informasjon om dine brukere. Og det er du som nettsideinnehaver ansvarlig for å kunne svare på. Dine brukere kan kreve innsyn i opplysninger som er samlet inn om dem på din nettside, og det er ikke sikkert du som innehaver klarer å skaffe eller slette all informasjonen som er samlet inn om en av dine brukere. Du som medansvarlig får altså ikke innsyn, selv om du har ansvar. Kanskje vil tilsynsmyndighetene nå begynne å se på dette feltet, mener Søndersrød.
Hva må da den enkelte virksomhet gjøre med dette?
– Du må sette deg inn i dokumentasjonen på hva din tjenesteleverandør gjør, og se over hvilke del-tjenester du strengt tatt ikke trenger. For eksempel er Facebook Pixel en tjeneste det kan være lurt å passe seg for, for den innhenter svært mye informasjon om brukerne. Du må også passe på å ha samtykke for all informasjon du innhenter, sier advokat Vebjørn Søndersrød.
Siste saker
Har du lest disse?
Medlem
