Vad är Schrems II eller Schrems 2, vad är sannolikheten att vi snart har ett Schrems III på halsen? Och hur hänger dessa rättsfall ihop med cookies och vad du får lov att göra på och med din webbplats?
Schrems II är ett rättsfall eller ett domslut som kom 2020. Namnet Schrems kommer från Maximilian Schrems, eller Max Schrems som han oftast kallas. Max Schrems är advokat och privacy aktivist från Österrike och ordförande i organisationen NOYB, som står för None of Your Business. Han har varit initiativtagare till att driva de rättsfall som lett fram till Schrems-domarna.
Ok, men vad handlar Schrems om? Låt oss ta det från början. Före Schrems II fanns ett Schrems I och sannolikheten att det även uppstår ett Schrems III är stor.
I väntan på ett datöverföringsavtal mellan EU och USA
Det saknas i skrivandet stund ett dataöverföringsvatal, eller adekvansbeslut som det heter formellt, mellan EU och USA. Det betyder att EU, hittills, bedömt att USA inte har en tillräckligt hög skyddsnivå på hur man hanterar persondata.
I GDPR, det vill säga i Dataskyddsförordningen, kallas detta för att inte ha “adekvat skyddsnivå”. EU har således sagt att det inte längre är tillåtet för dig som samlar in personuppgifter på olika sätt, till exempel via webb-analysverktyg på din webbplats, att överföra personuppgifter till USA.
I grunden beror det på att europeisk lag betraktar personlig data som en mänsklig rättighet. USA har inte samma syn på persondata, de kan inte garantera att landets underrättelsetjänst(er) kan komma åt och använd persondata.
Men jag för väl inte över persondata till USA? Eller gör jag det? Innan vi går in på det, låt oss först kika närmare på Schrems I och Schrems II, så alla hänger med på dilemmat.
Schrems I
Det första dataöverföringsavtalet mellan EU och USA hette Safe Harbor. Den underkändes av EU-domstolen 2015 i ett rättsfall som fick namnet Schrems I:
Max Schrems, som då var doktorand, gjorde en klagan mot Facebook. Han framhöll att den data som Facebook har om honom, och andra användare, i Europa förs över till servrar i USA och därför blir åtkomliga för landets underrättelsetjänst.
I ljuset av det som Edward Snowden hade avslöjat, sa Max Schrems, fanns det ingen garanti att Safe Harbor-avtalet höll vad den lovade. Efter några vändor i den irländska domstolen, kom ärendet till Europadomstolen där man den 6 oktober 2015 ogiltigförklarade Safe Harbor.
Schrems II
Ganska snart efter Safe Harbor gått om stöpet fick EU-kommisisonen till stånd ett avtal med Obama-administrationen – Privacy Shield. Avtalet underkändes av EU-domstolen 2020 i ett domslut som fick namnet Schrems II.
Sammanfattningsvis sa man att Privacy Shield inte kunde lira med GDPR därför att det inte ger ett tillräckligt skydd för personuppgifter när dessa förs över till USA.
Schrems III?
Det pågår, i skrivandets stund, förhandlingar om ett avtal som kan ersätta Privacy Shield. Det har visserligen slutits en så kallad “princip-överkommelse” mellan EU och USA som kallas för “Trans-Atlantic Data Privacy Framework”.
Det är inte omöjligt att denna överenskommelse utmynnar i ett nytt, tredje, adekvansbeslut i slutet av 2022. Men Max Schrems, som uppenbarligen drivit de två andra rättsfallen, tror inte att den kommer att klara en ny prövning. Om och när detta förebådande går i uppfyllelse får vi ett Schrems III.
Vad betyder Schrems II för din webbplats eller app?
Fram till domslutet mot Privacy Shield, 2020, kunde företag eller webbplatsägare använda Privacy Shield som grundval för att använda amerikanska molnlösningar som WooCommerce, Google Ads och så vidare.
Efter domslutet blev varje verksamhet tvungen att använda så kallad SCC-avtal som grund för dataöverföringar. SCC står för Standard Contractual Clauses – eller standardavtalsklausuler, vilket det heter på ren svenska.
Om du till exempel använder amerikanska molnbaserade tjänster som Google Analytic, Google Ads, eller någon annan tredjepartstjänst för att samla in persondata på din webbplats måste du således ha ett SCC-avtal på plats först.
Kruxet med SCC-avtal är att det kan vagga in dig som använder amerikanska tjänster på din webbplats i en falsk trygghet. Det åligger fortfarande på dig, som webbplatsägare att försäkra dig om att tjänsten du använder gör vad den lovar i avtalet:
Du som äger webbplatsen, eller appen, har ansvar för att persondata inte förs över till tredjeland på ett sätt som överträder reglerna i Dataskyddsförordningen.
Hur reagerar de stora amerikanska molntjänsterna på Schrems II?
Å ena sidan måste du som äger en webbplats vara om dig och kring dig i vilka tjänster du använder. Å andra sidan behöver de stora (amerikanska) tjänste-leverantörena “själva” vara om sig och kring sig. Att det saknas ett avtal mellan EU och USA har givetvis påverkat dem. Ovanpå detta har dessa aktörer, som Google och Facebook, Amazon med flera, fått stora böter för att de bryter mot GDPR det vill säga Dataskyddsförordningen – inte minst utifrån ett cookie-perspektiv.
De sitter därför inte still i båten.
Företag som Google inser dilemmat i situationen och har börjat rätta sig i ledet och anpassa sina tjänster. Ett sådant exempel är Google Consent Mode som är ett privacy-vänlig sätt att använda deras tjänster – här och nu. Sannolikt kommer fler anpassningar.
Vad är kopplingen mellan Schrems II och cookies?
Schrems II betyder att det saknas ett adekvansbeslut mellan EU och USA. Detta tvingar webbplatsägare och marknadsförare i Europa att vara om sig och kring sig i vilka tjänster de använder.
Men situationen sätter också strålkastarljuset på själva insamlandet av persondata, via exempelvis en webbplats eller app, genom användandet av olika molnlösningar. Tekniskt görs detta ofta med hjälp av cookies eller annan spårningsteknologi. GDPR är mycket tydlig kring att detta data-insamlande inte får ske utan att webbplatsbesökaren eller app-användaren först har tillfrågats på ett korrekt sätt. Detta regleras givetvis också i ePrivacy-direktivet, vilket i Sverige införlivats i Lagen om elektronisk kommunikation (LEK).
Schrems II skärper tonläget och visar hur allvarligt EU ser på riskerna om persondata förs över till ett tredjeland som man inte “litar på”. Vilket gör att du som webbplatsägare måste vara om dig och kring dig kring vilka tjänster du använder till att börja med.
Men oavsett vilka tjänster du använder måste du, så länge du inte placerar cookies som inte enbart är strikt nödvändiga, fråga om samtycke först. Tänk cookie-popup och consent management platform där användaren får möjlighet att ge ett informerat ja eller nej till cookies.
Använder din webbplats cookies som för över data till USA?
Är du osäker på om din webbplats använder cookies som överför persondata till USA?
Testa en Consent Management Platform och få svart på vitt hur det ligger till. Det finns ett antal på marknaden, men jag kan givetvis bara gå i god för den vi representerar – vi har till och med en schysst världskarta där du ser var i världen data från dina besökare skickas.