Du har kanskje allerede hørt.
Den 16 juli 2020 erklærte EU-domstolen (the European Court of Justice -CJEU ) at EU-US Privacy Shield var ugyldig.
Men hva betyr dette i praksis hvis du bruker tredjeparts-cookies på ditt nettsted? Hvordan kan du sjekke om disse cookiene sender data fra EU til USA?
Har du spørsmål om din Cookie Information løsning og Privacy Shield? Eller er du på jakt etter en profesjonell Cookie Samtykkeløsning som kan overvåke dataoverføringer til usikre tredjeland?
Da bør du kontakte oss hos Cookie Information - kontakt oss.
Hva betyr Privacy Shield avgjørelsen for deg?
Det betyr at du ikke lenger kan stole på EU-US Privacy Shield-avtalen som grunnlag for overføringer av personopplysninger fra EU til USA.
Det betyr at du må finne andre grunnlag for å sikre overføringer av data til USA.
Det betyr at du må ha kontroll på hvilke cookies på nettstedet ditt som sender personopplysninger tilbake til sine USA-baserte eiere.
Hva bør du gjøre?
Det første som er viktig å være klar over, er at dommen i EU-domstolen gjelder for deg som benytter seg av programvare, skytjenester eller cookies med USA-basert tilbyder.
Om vi fokuserer på cookies som benyttes av nettsteder, er det viktig å først skaffe seg en oversikt over cookies som ditt nettsted plasserer i brukerens nettleser.
Dette kan være dine egne (førsteparts cookie), men de kan også komme fra programmer, tilleggsprogrammer og tjenester du bruker på nettstedet ditt, f.eks. Google Analytics, Facebook Pixel, sosiale medier del/liker knapper etc.
Når du vet nøyaktig hvor alle disse cookiene sender data, kan du bestemme om du vil bruke SCC til dataoverføring eller slutte å bruke de amerikanske baserte tjenestene.
Hvordan kan du overvåke hvilke cookies som sender data til USA?
Cookie Information har utviklet et verktøy for å overvåke hvor cookiene på nettstedet ditt sender data.
Med vårt Compliance Dashboard, kan du enkelt få en oversikt over alle informasjonskapslene dine på alle nettstedene dine. Du kan få innsikt i ulovlige dataoverføringer og handle på dem.
Hvis du leter etter en samtykkeløsning som både er GDPR-kompatibel og gir deg innsikt i dataoverføringer som utgjør en risiko for regelbrudd, ikke nøl med å kontakte oss.
Hvorfor kan du ikke lenger overføre data til USA med Privacy Shield?
Det hele startet med en østerriksk advokat som i 2013 klaget til Irish Data Protection Authority på at Facebook Irland overførte sine personopplysninger til USA for behandling.
Advokaten, Schrems, var lite fornøyd med at hans personlige data ikke var beskyttet mot den omfattende overvåking som gjøres av amerikanske myndigheter.
Etter at EU-domstolen (EU-domstolen) i 2016 erklærte “the Safe Harbor” til en ugyldig metode for dataoverføring, godkjente EU-kommisjonen Privacy Shield som erstatning for dataoverføring mellom EU og USA.
Men EU-domstolen har nå bestemt at Privacy Shield ikke er en gyldig mekanisme for dataoverføring mellom Europa og USA.
Hvorfor?
Fordi amerikanskbaserte databehandlere ikke kan garantere at data ikke vil bli underlagt amerikansk overvåking. USA gir ikke EU-innbyggere det beskyttelsesnivået som kreves i GDPR.
I samme lov godkjente EU-domstolen at Standard Contractual Clause (SCC) var gyldig grunnlag for dataoverføring, men det er fortsatt uklart om denne alternative overføringsmekanismen kan brukes, siden de amerikanske myndighetene fortsetter å ha samme tilgang til EU-borgernes personlige data.
Det vil heller ikke være tilstrekkelig å bare bruke Standard Contractual Clause (SSC) som en metode for dataoverføring mellom EU og USA og og deretter fortsette “business as usual”.
Datakontrollere, dvs. eiere av nettsteder, må gjennomføre en grundig analyse i forhold til de sikkerhetsstandarder som er vedtatt av den USA-baserte dataimportøren, og sørge for at personvernlovgivningen i tredjeland sikrer EU-borgernes data på samme måte som GDPR.
EU-kommisjonen gjennomgår Standard Contractual Clauses (SSC), og vi forventer at en avklaring om dataoverføring til USA vil komme i løpet av kort tid. Inntil dette skjer kan det være risikabelt å bruke dagens SCC, og du må vurdere risikoen ved å sende personopplysninger til USA.
