MENINGER:
Er det verdt risikoen å benytte seg av tjenester fra USA-baserte plattformer?
«Google Analytics og amerikansk reklameteknologi står fortsatt i fare for å bli forbudt, selv om EU og USA har blitt politisk enige om ny datautvekslingsavtale», skriver Jan Berthrand Danielsen, Country Lead, Adform Norge.
Denne artikkelen er over to år gammel.
Så langt i år har flere europeiske datatilsynsmyndigheter slått fast at bruken av Google Analytics bryter med personvernforordningen (GDPR), fordi personopplysninger som IP-adresser, cookie-data og andre lignende data som kan identifisere brukere, samles inn og overføres til USA.
Dette er ikke kun en utfordring for de mange selskapene her i Norge som bruker Google Analytics for å overvåke og analysere egne nettsider, men også for selskaper som benytter seg av annonse- og markedsføringsteknologi fra amerikanske selskaper, da det i praksis er samme type data som blir samlet inn og overført. I korte trekk betyr det at alt fra norske publisister, byråer og annonsører risikerer å måtte finne nye verktøy fra europeiske selskaper, for å holde seg innenfor de stadig strengere personvernlovene fra EU.
Kan ny datautvekslingsavtale være redningen?
Historisk sett har EU og USA klart å løse personvern-utfordringene ved hjelp av Privacy Shield-avtalen som ble gjort ugyldig i 2020, i det som kanskje er best kjent som Schrems II-dommen. 25. mars kunne vi lese at det var inngått en ny politisk avtale mellom USAs president, Joe Biden og EU-kommisjonens president, Ursula Von der Leyen. Avtalen var knyttet til en ny dataoverføringsavtale mellom EU og USA.
Dette er en positiv utvikling i tillitsforholdet mellom EU og USA. Samtidig må vi ikke glemme politikken her. For selv om det er politisk enighet om en ny datautvekslingsavtale mellom EU og USA, som sannsynligvis vil få navnet Trans-Atlantic Data Privacy Framework, er vi i virkeligheten milevis unna en konkret og lovlig godkjent avtale. Blant annet vil det med stor sannsynlighet ta lang tid før avtalen vil kunne settes ut i praksis, basert på hvordan amerikanske overvåkingslover er utformet og hvor lang tid det tar å drive lovendringer på føderalt nivå i USA. Fra europeisk side krever både EU og EU-domstolen reelle garantier i lovverket for å kunne beskytte europeiske data, og det gjenstår fortsatt å se om disse garantiene er noe USA kan gi EU.
Hvor lang tid det vil kunne ta, kan vi kun spekulere i, men det er viktig å påpeke at man har kun blitt enige om prinsippene, og inntil videre mangler man da fortsatt et dataoverføringsgrunnlag. Personvernaktivisten Max Schrems har allerede uttalt at han har liten tro på at den nye ordningen er lovlig, så det bør ikke komme som en overraskelse om han vil ta den nye avtalen inn for EU-domstolen. Hvorvidt utfallet blir en Schrems III-dom eller ikke vil fremtiden vise.
Er det verdt sjansen?
I mellomtiden betyr det blant annet at virksomheter fortsatt må ta stilling til hvordan personinformasjon blir lagret og behandlet. Derfor bør man fortsatt spørre seg selv, uavhengig om den nye transatlantiske datautvekslingsavtalen kommer på plass eller ikke, om det er verdt risikoen å benytte seg av tjenester fra USA-baserte plattformer, eller om man bør ha en «bedre føre var» tilnærming og heller å se mot europeiske alternativer.
Sterkt regulerte bransjer med stor oppmerksomhet rettet mot overholdelse av lover og regler, slik som bank, finans, forsikring, telekom og andre nærliggende bransjer, er sannsynligvis allerede godt i gang med å utarbeide en ny strategi som tar utgangspunkt i at databehandlingen skal skje innen EU. Rett og slett fordi det er et bedre valg og et unikt konkurransefortrinn.