Dataoverføring til USA. Kan jeg fortsatt bruke Microsoft, Google og Facebook?

Service

Annullering av dommen fra EU-domstolen av 16. juli 2020EU-US Privacy Shield har gitt næringslivet mye bekymring. Det var stemmerforeslår til og med umiddelbar avslutning av bruken av Microsofts kontorpakker,Google Analytics eller bruk av Facebook. Må du virkelig gå så langtradikale grep?

Hva er problemet?

Frem til 16. juli 2020 var overføring av personopplysninger mellom landene i EU og USA mulig primært under det såkalte EU-US Privacy Shield. På grunnlag av dette kan selskaper fra USA (på Privacy Shield-listen) behandle personopplysninger om EU-borgere. EU-domstolen avgjorde 16. juli 2020 at overføring av personopplysninger til USA under Privacy Shield ikke lenger er lovlig.

Hva betyr dette i praksis for en gründer?

Et betydelig antall bedrifter bruker IT-løsninger basert på databehandling i såkalte Sky. Ved å bruke for eksempel Microsoft 365 (tidligere Office 365), G Suite (levert av Google), Google Analytics / Ads eller til og med å ha Facebook sosiale plugins på nettsiden, tillater bedrifter at personopplysninger overføres til utlandet. EU-domstolens dom gjør det nødvendig å verifisere reglene som dette er overlevert på. Heldigvis, i tillegg til det nå ugyldige Privacy Shield, er det andre grunner for dataoverføring, hvorav de viktigste nå er standard kontraktuelle klausuler.

Hva er standard kontraktklausuler?

Standard databeskyttelsesklausuler er kontraktsbestemmelser vedtatt av EU-kommisjonen, som har til hensikt å sikre et tilstrekkelig høyt nivå av beskyttelse av personopplysninger. Noen amerikanske programvareleverandører og IT-tjenesteleverandører inkluderer dem i kontrakter med sine kunder. Denne praksisen brukes av Microsoft i forhold til Microsoft 365 (tidligere Office 365) eller Google i forhold til noe av programvaren deres (f.eks. GSuite – selv om brukeren i dette tilfellet må angi at han ønsker å bruke klausulene). Google erklærer at det pågår arbeid for å muliggjøre inngåelse av standard kontraktuelle klausuler i forhold til Google Analytics og Google Ads-tjenester. I henhold til Facebooks personvernerklæring overføres data fra brukere fra EU til en irsk enhet, og derfra vil bl.a. til det amerikanske selskapet Facebook – det er vanskelig å si hvor sikker denne praksisen er, men Facebook erklærer at de bruker standard kontraktsmessige klausuler. I tillegg bør det vurderes om loven i landet dataene overføres til garanterer tilstrekkelig beskyttelse for de registrerte. Her blir situasjonen komplisert, fordi et tall
rettshandlinger i USA sikres ved bl.a. etterretningstjenester har ubegrenset tilgang til innkommende data, inkludert personopplysninger. For øyeblikket er det ingen sikker løsning på dette problemet.

Hva skal jeg gjøre nå?

Først av alt bør du sjekke hvilke av løsningene som brukes i bedriften som er relatert til å sende data til USA. Hvis dette ikke er tilfelle, trenger vi ikke ta ytterligere skritt. Kontroller ellers om tjenesteleverandøren informerer om at behandlingssikkerheten er garantert av standard kontraktsbestemmelser. Både informasjon - om overføring av data til statene og bruk av klausuler - kan mest sannsynlig finnes for eksempel i personvernreglene eller regelverket for en gitt tjeneste. Hvis en tjenesteleverandør utelukkende stoler på EU-US Privacy Shield, bør bruken av denne tjenesten avbrytes. Til slutt bør vår GDPR-dokumentasjon og informasjonsklausuler oppdateres, og peker på standard kontraktuelle klausuler som grunnlag for dataoverføring til USA eller - hvis vi har valgt å ikke bruke noen av applikasjonene - ved å slette informasjonen om slik dataoverføring.

Hva er risikoen ved å ignorere den nye forpliktelsen?

Først og fremst administrative bøter for brudd på personopplysningsbeskyttelsen. I tillegg er det en risiko for å forfølge krav fra den registrerte for brudd på deres rettigheter.

Vil det forbli slik?

Situasjonen er dynamisk, spesielt ettersom ordningene med databeskyttelsestilsynsmyndigheter fra EU-land innenfor rammen av European Personal Data Protection Board for tiden er i gang. Separate handlinger iverksettes også av programvareleverandører som oppdaterer vilkårene for bruk av sine systemer og applikasjoner. Det er også verdt å følge de offisielle nettsidene til statlige og europeiske myndigheter samt databeskyttelsesorganisasjoner
personopplysninger i påvente av offisielle forklaringer og tolkninger.

 

Ekstern tekst, partnerens artikkel