The browser you are using is not supported.

Try one of them Google Chrome, Mozilla Firefox, Opera

Vad är Gråzonen kring GDPR, USA och Schrems II?

Vad är Gråzonen kring GDPR, USA och Schrems II?

Varför hör jag att det är olagligt att använda google Analytics?

Först och främst vill jag påpeka att Add M Visits inte är juridiska rådgivare, men vi anser att det här är mycket viktiga frågor och vi vill belysa dem från ett tekniskt perspektiv med den tekniska expertisen vi har.

I dagsläget (20-05-2021) är det inte olagligt att använda Google Analytics, det juridiska läget kan närmast beskrivas som en gråzon. Det är därför viktigt att börja förbereda sig både för det rådande läget och vad som kommer baserat på juridiska slutsatser och resultat av prövningar i domstol.

Domstol EU
(Source: Cédric Puisney (European Court of Justice – Luxembourg), https://tinyurl.com/y63s68q3; CC BY 2.0, https://creativecommons.org/licenses/by/2.0/deed.en)

Vad är problemet?

Under GDPR är det inte tillåtet att skicka persondata till ett land utanför EU om inte det mottagande landet har en likvärdig dataskyddslagstiftning som EU.

Den 16 juli 2020 underkändes USAs “privacy Shield”, ett mellanstatligt avtal med EU som gäller dataskydd och överföring av data. Vilket var grunden till att verifiera den likvärdiga skyddsnivån (Schrems II fallet). Det är enligt domen inte längre tillåtet att överföra persondata till USA med “privacy shield” som stöd för dataskyddet.

Under en kombination av GDPR och ePD anses till exempel IP-addressen vara en personuppgift. Detta innebär att all användning av olika verktygs spårningskoder (till exempel Facebooks pixlar eller Googles analyticskoder) medför dataöverföring av känslig data som kan kopplas till en person och därmed är att betrakta som en personuppgfit. De här bolagens servrar ligger i ett land utanför EU´s gränser (eller direkt överför från EU till USA som i FBs fall) vilken innebär att man hamnar i gråzonen.

Vad har hänt efter Schrems II fallet?

Bolag som Google och Facebook stödjer sig på det som kallas för standardavtalsklausuler. Skillnaden mot “privacy shield” är att “privacy shield” är en komplett överenskommelse mellan EU och USA. Medan standardavtalsklausuler lägger en del av bevisbördan på avsändaren att verifiera så att mottagaren uppfyller EU´s krav på vad som kan anses vara ett acceptabelt skydd.

Det är detta somn gör att vi hamnar i en gråzon eftersom Google och Facebook stödjer sig på standardavtalsklausulerelrna. De flesta användare av deras plattformar är inte redo eller saknar kunskap att verifiera att de uppfyller EU´s vilkor för säker dataöverföring till ett land utanför EU. Det är svårt för ett enskilt bolag att styrka att det mottagande landet uppfyller EU´s kravnivå.

Vissa har även valt att försöka stödja sig på medgivande dvs. att man informerar sina användare att data skickas till USA som inte är ett säkert land. Detta är dock inte prövat i domstol vilket gör att det råder en stor osäkerhet runt om detta är juridiskt korrekt samt att denna artikel i GDPR (49) är menad att bara användas i enstaka fall. Troligen kan man inte stödja sig på ett medgivande för flera olika dataöverföringar/tillfällen. Det finns även en viss risk att det blir Schrems IV i framtiden om många försöker stödja sig på detta i framtiden.

Vart är vi idag & vad kommer att hända i framtiden?

Standardavtalsklausulerna som används idag är under pågående utredning då 100 europeiska bolag blivit anmälda under hösten 2020 för fortsatt användande av Google Analytics och Facebook efter att “privacy shield” blev nedslaget med Schrems II.

Målsättningen är att dessa ärenden skall vara avklarade innan sommaren 2021. Den tidigare målsättningen med ett beslut i början av 2021 tvingades skjutas upp. Detta blir troligen Schrems III när ett beslut tas i ärendet.

Vad betyder detta och vad kan hända?

Risken är att användande av standardavtalsklausuler underkänns för Google och Facebook, på grund av att USA inte ger tillräckligt dataskydd för att det skall godkännas av EU. Vi misstänker att det är stor risk att standardavtalsklausuler kommer att underkännas eftersom en USA-EU “privacy shield” redan fått avslag, vilket är en mer specifik överenskommelse än de generella standardavtalsklausulerna. Om det nu inte underkänns kommer det förhoppningvis mer direktiv om hur man som användare ska gå till väga/behöver kunna styrka att mottagar parten har samma skydd som EU.

Om det blir ett nedslag behöver antingen Google & Facebook flytta sin datahantering innanför EUs gränser, eller så måste ett annat stöd för dataöverföringen hittas under regelverket för GDPR.

I GDPR-artiklarna finns det då huvudsakligen bara ett stöd kvar, vilket är “Användares Medgivande”. Detta har ännu inte prövats i domstol och anses delvis redan vara ett osäkert stöd. (Som noterat tidigare kring begränsningarna av medgivandets omfattning)

Summering av nuläget

Ovanstående är grunden till att vi anser att nuvarande situation är en Gråzon. Justera hur man implementerar och använder verktygen för att förhindra att känslig data skickas till USA, och bara skicka data som inte är känslig. Det finns för närvarande stöd för att säga att det inte är tillåtet samtidigt som man kan finna stöd för att det är tillåtet. Det innebär alltså att det inte är uttalat tillåtet att skicka information till Google eller Facebook men det är inte heller uttalat otillåtet.

Hur skall vi agera?

Det finns som vi ser det tre vägar att gå:

  1. Sluta använda alla verktyg som på något sätt skickar känslig data till USA.
  2. Justera hur man implementerar och använder verktygen för att förhindra att känslig data skickas till USA.
  3. Hoppas på att Google och Facebook sätter upp lösningar för datahantering inom EU´s gränser och att man inte får några juridiska problem innan dess.

Boka in ett möte med oss!

Vi på Visits anser att det bästa är att ta ett gemensamt möte för att hjälpa till att reda ut frågor och funderingar samt att arbeta ut en strategi framåt.
Vårt fokus ligger på att hitta tekniska lösningar enligt punkt 2 för att minimera beroendet av andra parter.
För att boka ett möte kontakta: [email protected]