Du har sikkert allerede hørt det.
Den 16. juli 2020 erklærede EU-Domstolen (CJEU) EU og USAs Privacy Shield aftale for ugyldigt..
Men hvad betyder det egentligt for dig, hvis du bruger tredjepartscookies på din hjemmeside? Og hvordan kan du kontrollere, om disse cookies sender data fra EU til USA?
Har du spørgsmål om din Samtykkeløsning og Privacy Shield? Eller leder du efter en professionel cookie samtykkeløsning, der kan overvåge dataoverførsel til usikre tredjelande?
Så kontakt os her i Cookie Information - kontakt os.
Hvad betyder Privacy Shield-afgørelsen for dig?
Det betyder, at du ikke længere kan bruge Privacy Shield-aftalen som grundlag for overførsel af personoplysninger fra EU til USA.
Det betyder, at du skal finde andre passende sikkerhedsforanstaltninger for overførsel af data til USA.
Og det betyder, at du bør finde ud af, hvilke af dine cookies, der sender personlige data tilbage til deres amerikanske ejere.
Hvad bør du gøre?
Først og fremmest: Hvis du bruger nogen form for software, cloud-service eller andre services på din hjemmeside, der sætter cookies (tredjepart), som deler data med deres amerikanske udbydere, så gælder EU-domstolens beslutning for dig.
Ser vi specifikt på website cookies, er det vigtigt først at få et overblik over de cookies, din hjemmeside bruger og gemmer på dine brugeres computere.
Dette kan være dine egne (førstepartscookies), men det kan også være cookies fra programmer, tilføjelser og tjenester, du bruger på dit website, f.eks. Google Analytics, Facebook Pixel, like og share funktioner på sociale medier etc.
Når du ved nøjagtigt, hvor alle disse cookies sender data til, kan du beslutte, om du vil bruge SCC (Standard Contractual Clauses) til dataoverførsel eller helt stoppe med at bruge de amerikansk-baserede tjenester.
Hvordan kan du overvåge, hvilke cookies der sender data til USA?
Cookie Information har udviklet et værktøj til at overvåge, hvor cookies på din hjemmeside sender data til.
Med vores Compliance Dashboard, kan du let få overblik over alle cookies på dit website. Du kan også se ulovlig dataoverførsel og handle på det.
Hvis du leder efter en samtykkeløsning, der både overholder GDPR og giver dig indsigt i dataoverførsler, der udgør en compliancerisiko for din virksomhed, så tøv ikke med at kontakte os.
Hvorfor kan du ikke længere overføre data til USA med Privacy Shield?
Det hele startede da en østrigsk advokat i 2013 klagede til det irske Datatilsyn over, at Facebook i Irland overførte hans personlige data til USA.
Advokaten, Max Schrems, var ikke tilfreds med, at hans personlige data ikke var beskyttet mod den omfattende overvågning af de amerikanske myndigheder.
Så da EU-Domstolen (CJEU) i 2016 erklærede Safe Harbor for en ugyldig måde at overføre data mellem EU og USA, godkendte Europakommissionen i stedet Privacy Shield som erstatning for dataoverførsler.
EU-Domstolen har imidlertid nu fastslået, at Privacy Shield ikke længere er en gyldig aftale til dataoverførsler mellem Europa og USA.
Hvorfor?
Fordi amerikanske databehandlere ikke kan garantere, at EU borgeres data ikke bliver overvåget af amerikanske myndigheder. USA tilbyder nemlig ikke EU borgere samme niveau af databeskyttelse, som kræves i GDPR.
I samme afgørelse, godkendte EU-Domstolen standardkontraktbestemmelser (SCC) som gyldige til dataoverførsler mellem EU og USA. Men det er stadig uklart, om denne alternative overførselsmetode kan bruges, da amerikanske myndigheder fortsat har samme adgang til EU-borgernes personlige data.
Det vil ikke være tilstrækkeligt blot at anvende Standard Contractual Clauses (SCC) som en metode til dataoverførsler mellem EU og USA og dernæst lade som ingenting.
Dataansvarlige, dvs. ejere eller administratorer af en hjemmeside, bør foretage en grundig undersøgelse af de sikkerhedsstandarder, der er pålagt den amerikanske dataimportør (tredjeparten). Man bør så sørge for, at privatlivslovgivningen i det usikre tredjeland, her USAs CCPA, beskytter EU borgernes data på samme måde som GDPR.
EU-kommissionen er ved at gennemgå Standard Contractual Clauses (SCC), og vi forventer en afklaring om dataoverførsler til USA snarest. Indtil da kan det være risikabelt at anvende SCC. Du bør derfor vurdere risikoen ved at sende personlige data til USA.