Er det nu lovligt at bruge amerikansk-baserede digitale tjenester?
EU-kommissionen har indgået en aftale med USA om overførsel af personoplysninger. Betyder det så, at det er lovligt at bruge amerikanske IT-løsninger?
I sommers blev der indgået en aftale mellem EU-kommissionen og USA om overførsel af personoplysninger. For mange blev det tolket som et grønt lys til at bruge de populære tjenester som Google Analytics og Mailchimp for bare at nævne to af de store.
Spørger man Datatilsynet, så er svaret dog ikke helt så entydigt. Det er korrekt, at EU-kommissionen har vedtaget en såkaldt tilstrækkelighedsafgørelse, der muliggør overførsler af data mellem EU og USA. Der er dog et par forbehold at være opmærksomme på inden du indgår aftaler med flere af de store amerikanske IT-virksomheder.
Mere end bare dataoverførsel
For det første kræver det, at virksomheden har tiltrådt aftalen. Det har både Mailchimp og Google Analytics. Så langt, så godt.
Derudover skriver Datatilsynet selv, at virksomheden ”skal leve op til en lang række grundlæggende krav i GDPR i forhold til blandt andet hjemmel, databehandlerkonstruktion og aftale, evt. fælles dataansvar, opfyldelse af de registrerede rettigheder og meget andet.”
Afgørelsen omhandler altså blot selve overførslen af data. Så hvis du vælger at bruge en amerikansk tjeneste, er det dit ansvar som dataansvarlig at blandt andet sikre, at virksomheden kun behandler personoplysninger efter din instruks og ikke til egne formål.
Mads Vöge, der er administrerende direktør i Operate Technology, beskæftiger sig med IT, GDPR, databehandleraftaler for en bred palette af kunder, herunder ISOBRO, ser ikke tilstrækkelighedsafgørelsen som carte blanche til at boltre sig i amerikanske IT-løsninger.
”Inden man bruger for mange ressourcer på et amerikansk setup, skal man overveje om der er en risiko for, at grundlaget bliver anfægtet og eventuelt dømt ugyldigt. Der er således allerede en fransk parlamentariker, der har klaget til EU-domstolen,” siger Mads Vöge.
Husk tilladelse til tracking
Han understreger også, at i forhold til tracking og brug af spy pixels som flere tjenester gør brug af, så er tilstrækkelighedsaftalen ikke tilstrækkelig.
”Det har intet med tracking og samtykke at gøre. Samtykke skal man fortsat have, og explicit til at tracke, hvis man gør det. I det store perspektiv er dette langt det vigtigeste,” siger Mads Vöge.