Mange handelsvirksomheter kan risikere GDPR-bøter
Foto: Colorbox
Rekordstor GDPR-bot til Meta knyttet til USA-overføringer av persondata – fortsatt bruk av Google Analytics?
Foto: Colorbox
Rekordstor GDPR-bot til Meta knyttet til USA-overføringer av persondata – fortsatt bruk av Google Analytics?
Den 22. mai 2023 ble Meta, selskapet bak Facebook og Instagram, ilagt tidenes største GDPR-bot på hele 1,2 milliarder euro (14 milliarder kroner) for brudd på GDPR.
Det irske datatilsynet (DPC) har konkludert med at Metas overføring av data om europeiske Facebook-brukere til USA er ulovlig. Saken illustrerer nok en gang hvor krevende overføring av personopplysninger til tredjeland kan være.
Mange retail-virksomheter opererer fremdeles i strid med GDPRs overføringsregler og kan risikere bøter. Særlig illustrerende er at bransjen fortsatt anvender Google Analytics, som medfører løpende overføringer til USA med mindre det er gjort særskilte tiltak for å forhindre slik overføring.
Det skriver Advokatfirmaet CLP på sine nettsider. Kort oppsummert anbefaler advokatfirmaet deg å vurdere hvilke muligheter du har for å redusere risikoen:
Du kan lese saken i sin helhet her:
I henhold til GDPR er det i utgangspunktet ikke tillatt å overføre personopplysninger til land utenfor EU/EØS. For å kunne gjøre dette, må man derfor ha et såkalt overføringsgrunnlag. De mest praktiske overføringsgrunnlagene har vært enten adekvansbeslutninger eller standard personvernbestemmelser godkjent av EU-kommisjonen (Standard Contractual Clauses – SCCer).
I 2020 ble Privacy Shield-rammeverket for USA-overføringer, en adekvansbeslutning som gjorde det mulig å overføre personopplysninger til USA nær sagt fritt, kjent ugyldig av EU-domstolen, i den såkalte Schrems II-dommen. Etter dette har de fleste aktører (inkludert Meta) overført data til USA basert på SCCer, sammen med supplerende tiltak. I Schrems II ble det nemlig slått fast at det ikke holder å bare bruke SCCer – det må også gjøres konkrete vurderinger og iverksettes supplerende tiltak for å redusere personvernrisikoer som finnes i tredjeland.
I USA er det særlig statlig overvåkning og etterretningsvirksomhet som skaper personvernrisikoer. Det amerikanske regelverket gir NSA utstrakt tilgang til individers data, noe som ikke oppfyller EU-rettens krav til forholdsmessighet ved inngrep i grunnleggende rettigheter slik som retten til privatliv og retten til personvern. I tillegg har europeiske borgere ikke tilgang til effektive rettsmidler ved slike inngrep.
For å kunne overføre personopplysninger til USA, må det derfor settes i verk supplerende tiltak for å få personopplysningssikkerheten opp på et nivå som i hovedsak tilsvarer nivået i EU/EØS – og det er nettopp dette Meta ikke har fått til.
Avgjørelsen gjelder overføringer av personopplysninger fra Metas irske datterselskap til det amerikanske morselskapet Meta Platforms Inc., hvor Meta i årevis har overført store mengder personopplysninger basert på SCCer og supplerende tiltak. I avgjørelsen på hele 222 sider, plukker DPC fra hverandre Metas supplerende tiltak, og konkluderer med at Metas overføringer er i strid med GDPR. Begrunnelsen er at selv om Meta har implementert tiltak som organisatoriske retningslinjer, kryptering av data, og tiltak for å motsette seg utleveringsbegjæringer fra amerikanske myndigheter, kan de ikke endre det faktum at de må utlevere opplysninger hvis amerikanske myndigheter krever det. Derfor kan de uansett ikke sikre at beskyttelsesnivået ved overføring av personopplysninger til USA reelt sett er på nivå med beskyttelsesnivået EU-borgerne har i EU, slik GDPR krever.
I tillegg til boten, har Meta blitt pålagt å stanse USA-overføringene. Dette setter Meta i en vanskelig situasjon, ettersom dette vil kreve en grunnleggende endring i måten Meta behandler personopplysninger. Det er likevel forventet at Meta vil påklage avgjørelsen til den irske domstolen, slik at siste ord ikke er sagt i saken.
Er det over og ut med amerikanske tjenesteleveranser slik som Google Analytics?
Selv om avgjørelsen i utgangspunktet bare omhandler Meta, anerkjenner DPC at den kan få vidtrekkende konsekvenser. I prinsippet tilsier analysen som ligger til grunn for avgjørelsen at enhver amerikansk leverandør som er underlagt det amerikanske etterretningsprogrammet PRISM, kan komme i konflikt med GDPRs overføringsregler. Det vil si at det er nær sagt umulig å lovlig overføre personopplysninger til amerikanske leverandører av for eksempel skytjenester.
Det er derfor en god nyhet at en representant for EU-kommisjonen samme dag som avgjørelsen kom gikk ut med en uttalelse om at kommisjonen forventer at det nye rammeverket for USA-overføringer vil komme på plass innen sommeren (som i sentraleuropeisk sammenheng betyr august).
Kanskje er det på grunn av optimismen knyttet til det nye rammeverket at mange virksomheter fortsatt gjennomfører overføringer til USA som kan være i strid med GDPR. For eksempel er Google Analytics fortsatt brukt i stor skala, til tross for at datatilsyn rundt om i Europa, inkludert i Norge, har konkludert med at denne bruken er ulovlig. Uttalelser og praksis fra enkelte av tilsynene tilsier at dette også gjelder når Googles IP-anonymiseringsfunksjon brukes, og at de samme problemene også gjelder for Google Analytics 4. Virksomheter bør likevel merke seg at de overføringene som gjennomføres i dag, ikke vil bli lovlige idet det nye rammeverket er på plass – det vil kun gjelde for fremtiden.
I mellomtiden kan det være lurt å vurdere hvilke muligheter man har for å redusere risikoen:
Selv om Meta-avgjørelsen handler om USA og amerikansk lovgivning spesifikt, kan rekkevidden være større. Mange virksomheter overfører opplysninger også til andre tredjeland med lignende etterretningslover, eksempelvis i Asia. Det er vanskelig å se hvordan tjenesteleverandører i disse landene skal kunne sørge for reell beskyttelse av EU-borgernes rettigheter. Derfor er det mulig at dette ikke kan løses av den enkelte leverandør, og at det dermed er nødvendig at landene finner juridiske og politiske løsninger i samarbeid med EU.
Advokatfirmaet CLP bistår mange virksomheter innen retail / varehandel tilknyttet GDPR problemstillinger, og har siste tiden rådgitt i forbindelse med fortsatt bruk av Google Analytics i lys av Meta-saken, samt hvilken risiko fortsatt bruk av Google Analytics medfører, både med tanke på risiko på selskapsnivå og for styret i de enkelte selskapene.
Partner CLP
kva@clp.no
+47 977 69 083
Fortell oss hva du leter etter og gi oss dine innspill! Hvis du oppgir e-post, kan vi kontakte deg ved behov. Vi kan dessverre ikke besvare alle henvendelser, men din tilbakemelding hjelper oss å gjøre nettstedet bedre.