EU-beslutet som kan gynna techjättarna

Nyhetsbrevet 2023 22 mars
EU-beslutet som kan gynna techjättarna
För att klara kraven i GDPR vågar många svenska publicister inte anlita amerikanska tjänster som till exempel Google Analytics. Men snart ska EU-kommissionen fatta ett beslut som kan rita om kartan för webbanalys, igen.

Många stora techjättar som Google och Meta (Facebooks ägare) inväntar nu med spänning EU-kommissionens beslut. För publicisterna kan möjligheten öppnas att återigen anlita amerikanska företag för lagring, förvaring eller överföring av personuppgifter.

– Det är väldigt spännande! Vi är väldigt många som vill veta vad EU-kommissionen beslutar, säger Caroline Olstedt Carlström, delägare på advokatbyrån Cirio och Sveriges Tidskrifters GDPR-expert.

Ända sedan EU-domen Shrems II (2020) har det funnits osäkerheter kring GDPR och amerikanska leverantörer. I och med domen ogiltigförklarades det dåvarande Privacy Shield, det vill säga ett juridiskt ramverk för transatlantiska överföringar. Domstolen menade att Privacy Shield-certifieringen inte var tillräcklig för att skydda EU-medborgares personuppgifter.

– Det var osäkerheter kring USA:s signalspaningsaktiviteter, bulkinsamlingen av information när den når den delen av världen och också amerikanska myndigheters rättigheter att begära ut information om privata uppgifter från amerikanska företag och deras dotterbolag, säger Caroline Olstedt Carlström.

För publicister i Sverige har domen kanske främst märkts i och med att medier blivit tvungna att hitta nya leverantörer av till exempel nyhetsbrev och webbanalys. Som bekant finns nästan alla marknadsledande företag, som MailChimp och Google Analytics i USA. Eller så har de åtminstone huvudkontor där, och faller således under amerikansk säkerhetslagstiftning.

– Eftersom vi haft den här situationen sedan 2020 så har det i Europa börjat växa fram nya alternativ till de amerikanska tjänsterna, berättar Caroline Olstedt Carlström.

Caroline Olstedt Carlström, delägare på advokatbyrån Cirio och Sveriges Tidskrifters GDPR-expert.

När det gäller nyhetsbrev är svenska Ungapped en aktör. Inom webbanalys har nyazeeländska Matomo och estländska Plausible börjat ta kunder från jätten Google Analytics. Men nu håller alltså kartan för webbanalys och nyhetsbrev på att ritas om igen. I oktober gav USA:s president Joe Biden en verkställande order som sätter Privacy Shield-certifieringen i nytt ljus.

– USA har försökt att komma till rätta med de problem som EU-domstolen har sett i regelverket i det tidigare Privacy Shield, säger Caroline Olstedt Carlström.

Bidens order kan vara ett viktigt steg på vägen för att EU åter ska kunna godkänna så kallade transatlantiska överföringar av data. Stora amerikanska företag som Google och Amazon Web Services (AWS) hoppas nu på ett positivt besked från EU.

– Både EU och USA vill komma till rätta med det här. Det finns väldigt starka intressen i frågan.

Det är ett så kallat adekvansbeslut från EU-kommissionen som de amerikanska techjättarna och deras kunder väntar på. Rent praktiskt skulle beslutet fungera som ett godkännande av mekanismen för överföringar till USA. Landet skulle i sådana fall i det här avseendet flyttas till EU:s vita lista och hamna tillsammans med länder som Nya Zeeland och Storbritannien, förklarar Olstedt Carlström. På den vita listan finns länder dit det, om ditt företag följer övriga krav i GDPR, är okej att överföra personuppgifter.

– I ett sådant läge kommer förstås många amerikanska leverantörer av tjänster att jubla, säger Caroline Olstedt Carlström.

Det nya ramverket för transatlantiska överföringar (the EU – U.S. Data Privacy Framework, DPF) granskades nyligen av Europeiska dataskyddsstyrelsen (EDPB). I ett yttrande från slutet av februari skriver EDPB att de välkomnar det nya ramverket, men att de fortfarande önskar förtydliganden på vissa områden, till exempel gällande amerikansk underrättelseverksamhet.

– Det här är en stor och viktig utveckling. EDPB är en tung och nödvändig instans och deras tydliga kommentarer är ett viktigt inspel i den pågående processen mot ett adekvansbeslut, säger Caroline Olstedt Carlström.

Är det här en fingervisning om att det lutar mot att USA får ett adekvansbeslut? 

– Ja, många externa bedömare börjar nu luta mot att det nog kommer ett adekvansbeslut snart, även om EDPB pekade på ett antal olika brister.

– Det blir nu väldigt spännande att se hur EU-kommissionen i sitt vidare arbete inför beslutet kommer att ställa sig.

Men även om adekvansbeslutet går igenom höjer Caroline Olstedt Carlström ett varningens finger. Dataskyddslagstiftningen GDPR handlar egentligen inte specifikt om vilken leverantör du väljer utan hur du som helhet tar ansvar för situationen och behandlingen av personuppgifter. Ditt företag behöver en person som kan ta ansvar för till exempel att personuppgifter gallras och skyddas såväl organisatoriskt som tekniskt.
– Det går inte att rakt av säga vilka tjänster som är ”godkända” enligt GDPR eller inte. Det beror alltid på vilka omständigheter som gäller i det enskilda fallet. GDPR ställer krav på ansvarsfull databehandling. Det är ett stort projekt, som inte går att fuska sig till.

Text: Matilda Nilsson
Foto: Getty Images

 

Fakta

Så fattar EU beslut

EU-förordningen GDPR ställer krav på skydd av EU-medborgares personuppgifter.

I och med EU-domen Schrems II (2020) fastslogs att det transatlantiska juridiska ramverket Privacy Shield (mellan EU och USA), inte var tillräckligt för att följa GDPR. Ett nytt ramverk för transatlantiska överföringar (the EU – U.S. Data Privacy Framework, DPF) granskades nyligen av Europeiska dataskyddsstyrelsen (EDPB). I ett yttrande från slutet av februari skriver EDPB att de välkomnar det nya ramverket, men att de fortfarande önskar förtydliganden på vissa områden, till exempel gällande amerikansk underrättelseverksamhet. Yttrandet kommer att ligga till grund för EU-kommissionens beslut. EU-kommissionen kan fatta beslut om att ett land har tillräckligt hög skyddsnivå för att kunna föra över personuppgifter till mottagare i det landet. I sådana fall fattar EU-kommissionen ett så kallat adekvansbeslut. Detta beslut kan för USA:s del fattas tidigast i vår, men sannolikt först närmare sommaren. Enligt vissa rykten i juli.

Källa: Integritetsskyddsmyndigheten (IMY) och jurist Caroline Olstedt Carlstedt på advokatbyrån Cirio.

Till arkivet
Allt om Tidskriftsdagen och Tidskriftsgalan
Läs summeringen av branschens största event, läs vinnarintervju, kolla på mingelbilderna och ta del av alla vinnarmotiveringar i Tidskriftspriset.
Tidskriftsdagen och Tidskriftsgalan 2023.

Prenumerera på Sveriges Tidskrifters nyhetsbrev

Sveriges Tidskrifters nyhetsbrev ger aktuella, inspirerande och nyttiga inblickar i tidskriftsvärlden.


Lyssna på Publicistpodden

Lyssna här