Det är nu drygt 6 månader sedan EU-domstolen ändrade reglerna för dataöverföring från EU till USA. Men hur ska de nya reglerna tillämpas? Det är tydligt att det fortfarande råder en stor osäkerhet kring vad som gäller.

Här kan du läsa de frågor vi oftast stöter på, med svar baserade på information från EU, IMY och expertutlåtanden. Termen "dataöverföring" avser i denna text överföringen av personuppgifter.

Fråga 1: Får vi fortfarande använda Google Analytics?

Svar: Nej. Google Analytics är ett högst kompetent statistikverktyg, men det skickar personuppgifter, i form av IP-adresser, till USA på ett sätt som bryter mot EU:s regler för dataöverföring.

Fråga 2: Varför ändrade EU reglerna för dataöverföring?

Det korta svaret: För att skydda EU-medborgares rätt till personlig integritet.

Det längre svaret: Den 16:e juli 2020 beslutade EU-domstolen att häva det s.k. Privacy Shield-avtalet, som var utformat för att göra det lättare att få skicka personuppgifter från EU till USA. Domstolen ansåg att Privacy Shield inte kunde garantera EU-medborgares rätt till personlig integritet i USA, vilket är ett krav för dataöverföring enligt dataskyddsförordningen GDPR.

Resultatet blev att verktyg och tjänster som skickar personuppgifter till USA nu måste uppfylla betydligt hårdare krav.

Fråga 3: Vilka statistikverktyg får vi använda, enligt de nya reglerna?

Svar: Det finns tyvärr ingen komplett lista över vilka verktyg som är godkända. Ni kan dock undvika många potentiella problem genom att välja en EU-baserad leverantör som inte skickar personuppgifter till länder utanför unionen.

Fråga 4: Vår leverantör är baserad utanför EU, men data skickas till en filial/dotterbolag i ett EU-land. Är det OK?

Svar: Det beror på vilket land leverantören är baserad i. Om landets lagar gör det omöjligt för leverantören att uppfylla kraven i GDPR så är svaret sannolikt nej.

Om leverantören är baserad i USA så måste ni ta hänsyn till amerikansk dataövervakningslagstiftning, då den omfattar alla leverantörens filialer och dotterbolag, även om mottagaren sitter i ett EU-land. Det var delvis på grund av sådan dataövervakning som Privacy Shield-avtalet hävdes.

Fråga 5: Är det bara statistikverktyg som påverkas av de nya reglerna?

Svar: Nej, det är många typer av verktyg och tjänster som påverkas, t.ex. molnlagringstjänster, reklam- och marknadsföringsverktyg, och webbanalystjänster.

Fråga 6: Får vi inte använda SaaS-/webbaserade verktyg och tjänster alls?

Svar: Jodå. Ni måste bara vara säkra på att personuppgifter skickas och behandlas på ett sätt som är godkänt inom EU.

Fråga 7: Vilka konsekvenser kan det få om man fortsätter att använda verktyg och tjänster som inte är tillåtna?

Svar: Brott mot GDPR kan leda till viten. Till exempel utfärdade den norska tillsynsmyndigheten, Datatilsynet, nyligen ett vite på ca 100 mkr till ett USA-baserat företag på grund av GDPR-överträdelser.

Integritetsskyddsmyndigheten, tidigare Datainspektionen, utreder i skrivande stund flera svenska företag på grund av deras användning av bl.a. Google Analytics.

Har du ytterligare frågor, eller vill du veta mer om vår verksamhet och våra statistikverktyg, som är godkända för användning inom EU? Maila oss på info@vizzit.se, eller ring på 08 545 888 60!