En ständig fråga för oss som arbetar med privacy tech och cookies är om man som webbplatsägare måste sluta använda amerikanska tjänsteleverantörer som Google Analytics, och Ads eftersom USA och EU verkar ha svårt att få till ett datadelningsavtal.
Det är en bra fråga.
Det saknas ett dataöverföringsavtal, eller adekvansbeslut, mellan EU och USA. De två avtal som stiftats höll ju inte måttet.
1. Det första avtalet hette Safe Harbor. Den underkändes av EU-domstolen 2015 i ett rättsfall som fick namnet Schrems I.
2. Det andra avtalet hette Privacy Shield. Den underkändes av EU-domstolen 2020 i ett rättsfall som fick namnet Schrems II.
3. Ett tredje avtal mellan EU och USA väntas vara klart i slutet av året (2022). Men Max Schrems, advokaten och privacy-aktivisten som granskat och drivit processerna mot de två andra avtalen, tror inte att den kommer att klara hans granskning. I så fall kommer vi ha ett Schrems III på handen.
Ok, så vad betyder det här?
Fram till domslutet 2020 kunde EU-baserade företag använda Privacy Shield som grundval (eller grundlag) för att använda amerikanska molnlösningar som WooCommerce, Google Ads och så vidare. Efter domslutet blev varje verksamhet, tvungen att använda så kallade SCC-avtal som laglig grund för dataöverföringar. SCC står för Standard Contractual Clauses – eller standardavtalsklausuler som det heter på ren svenska.
Kruxet med SCC-avtal är att det skapar merarbete för ett företag och kan samtidigt vagga in verksamheten i en falsk trygghetskänsla. Det ligger nämligen fortfarande på dig som företagsägare att försäkra dig om att tjänsten du använder gör vad den lovar i avtalet.
Gud vad jobbigt, varför är det här så viktigt egentligen?
Bland annat för att den amerikanska övervakningslagen FISA 702 ger amerikansk underrättelsetjänst rätt att tillgå persondata som exempelvis Google har liggandes hos sig. Det gäller även om data ligger på servrar som är placerade på europeisk mark. Det som avgör är att företaget är amerikansk-ägt. Detta strider mot GDPR som konstituerar varje individs rätt till sin egen data som en mänsklig rättighet. Ingen stat, inget företag har rätt till “din data”.
Men om tjänsteleverantören inte går med på ett SCC-avtal?
Då blir det EXTRA viktigt att du som webbplatsägare, som minimum, ser till att du samlar in juridiskt korrekta samtycken från varje besökare på din webbplats. Tänk cookie-popup och consent management plattform där användaren får möjlighet att ge ett informerat ja eller nej till cookies från exempelvis en tjänsteleverantör som Google. Du kan också välja att inte använda den amerikanska tjänsteleverantören och byta till en tjänst baserad i EU. (Det sistnämnda innebär inte per automatik att du inte måste ha en cookie-pop-up, eftersom den nya tjänsten sannolikt också använder cookies eller annan spårningsteknik.)
De stora amerikanska molntjänsterna sitter inte still i båten
Inte nog med att det saknas ett avtal mellan EU och USA. En aktör som Google har parallellt fått mycket saftiga böter från dataskyddsmyndigheter i olika EU-länder, inte minst från den svenska.
Företag som Google inser därför, föga förvånande, dilemmat i situationen och har börjat anpassa sina tjänster. Ett sådant exempel är Google Consent Mode som är ett privacy-vänligt sätt att använda deras tjänster.
Kommer det ett Schrems III?
När det nya avtalet kommer på plats i år, finns åter ett så kallat adekvansbeslut mellan de båda länderna. Men avtalet kommer, sannolikt, prövas i EU-domstolen. Det kanske ger europeiska webbplatsägare och företag något år att “fortsätta som vanligt”, men om/när avtalet underkänts är man tillbaka till den rådande situationen.
Och då, som nu, är det således upp till dig som webbplatsägare att avgöra om man vill köra på SCC-vägen, och vara extremt noggrann med Cookie-bannern, och att monitorer var cookies som man bär ansvaret för skickar data, eller om man vill ställa om till andra EU-baserade-tjänster.
Är du osäker på om din webbplats använder cookies som för över data till USA? Testa en Consent Managementplatform och få svart på vitt hur det ligger till. Det finns ett antal på marknaden, men jag kan givetvis bara gå i god för den jag representerar – vi har till och med en schysst världskarta där du i realtid ser var i världen data från dina besökare skickas.
Så vad är slutsatsen – kan jag fortsätta använda Google?
Det beror på. I slutändan är det upp till dig. Nu vet du var bollarna i luften är, så att säga. Vad som är rätt för dig här och nu, kanske ändras om ett år eller två. Du kanske kommer fram till att ditt taktiska beslut är X, och ditt långsiktiga strategiska beslut är Y.
Oavsett, så länge du placerar cookies som inte enbart är strikt nödvändiga måste du ha en cookie-policy och en cookie-pop-up som kan hantera alla ja-tack, alla nej-tack och allting däremellan.
Gästbloggare
Vibeke Specht, Privacy Advisor at Cookie Information
vsp@cookieinformation.com + 46 (0)766923799