Det giver potentielt GDPR-problemer for dig der bruger amerikanske softwareløsninger, da de fleste har brugt Privacy Shield aftalen som grundlag for at være GDPR-compliant. Det kan de ikke mere!

 

Et meget stort antal danske virksomheder, som bruger amerikanske underleverandører (som f.eks. MailChimp, ActiveCampaign, Segment m.fl.) har med den nye kendelse fra EU-domstolen fået et potentielt problem med at overholde GDPR.

Det skyldes, at EU-domstolen den 16. juli 2020 har kendt den såkaldte "Privacy Shield aftale" mellem EU og USA for ugyldig.

Her er lige en kort opsummering af, hvad det handler om

USA er af EU betragtet som et "ikke sikkert 3. land" fordi den amerikanske lovgivning ikke giver samme beskyttelse af persondata som findes i EU.

Det betyder, at det som udgangspunkt kræver en særlig aftale mellem amerikanske virksomheder og samarbejdende virksomheder i EU, der ønsker at få behandlet persondata i USA.

For at gøre det lettere at få lov til at overføre data fra EU til USA, så lavede EU og USA i 2016 en særlig aftale kaldet "Privacy Shield aftalen" (EUs og USAs værn om privatlivets fred).

I denne aftale er der opstillet en række kriterier som amerikanske virksomheder skal overholde, hvorefter de kan blive certificeret under aftalen.

Indtil 16. juli 2020, har det været tilladt at overføre data fra EU til amerikanske virksomheder, som er certificeret under Privacy Shield aftalen.

Dommen fra EU-domstolen den 16. juli 2020 kender hele Privacy Shield aftalen ugyldig. Meget kort fortalt, så mener de ikke at certificeringen giver tilstrækkelig beskyttelse af data.

Læs Datatilsynets pressemeddelelse her

Hvis du er jurist - eller meget tålmodig - så kan du downloade pressemeddelelsen fra EU-domstolen her.

Som du kan se i pressemeddelelsen - når du har tygget dig igennem den et par gange - så handler sagen om en østrigsk statsborger, der har klaget til EU-domstolen over at Facebook overfører hans data fra Irland til USA. I første omgang blev klagen afvist af retten i Irland, fordi Facebook er certificeret efter Privacy Shield aftalen.

Efterfølgende har EU-domstolen så kendt Privacy Shield aftalen ugyldig.

Privacy Shield aftalen er kendt ugyldig af EU-domstolen

Hvad betyder det så for dig og andre danske virksomheder?

Principielt, så er det fra 16. juli 2020 kun lovligt at behandle data i USA, hvis overførslen sker på grundlag af en aftale med EU Kommisionens standardkontrakt.

De fleste af de amerikanske softwarevirkomheder, som anvendes af danske virksomheder har baseret overførslen af data til dem på Privacy Shield aftalen. Hvis de skal bruge EU Kommisionens standardkontrakt i stedet, så skal de igennem et større arbejde, hvor de både skal indgå nye individuelle aftaler med deres kunder - og skal leve op til de strengere krav i denne kontrakt.

Lige nu vil jeg dog under alle omstændigheder IKKE gøre noget - men i stedet vente på at Datatilsynet udtaler sig om konsekvenserne. De skriver selv følgende på deres hjemmeside den 16. juli 2020:

Datatilsynet vil nu i samarbejde med de andre tilsynsmyndigheder i EU foretage en nærmere analyse af dommen og dens konsekvenser.

Nærmere orientering fra Datatilsynet om dommen vil snarest muligt blive lagt ud på Datatilsynets hjemmeside under nyheder.

Der vil jo formentlig også blive arbejdet på at få en opdateret version af Privacy Shield aftalen på plads. Men helt grundlæggende må man også bare erkende, at der er relativt store forskelle på holdningerne til beskyttelse af persondata i USA og EU - så der er også en risiko for, at det kan trække ud.

Hvis du synes det er for usikkert at vente på en afgørelse og en mulig ny aftale mellem EU og USA, så kan du jo overveje at udskifte dine amerikanske leverandører med nogle af de mange gode danske leverandører af tilsvarende ydelser - jeg laver gerne hurtigt en liste af mindst 10 gode danske leverandører til de der måtte være interesserede 😉😁

Vil du høre mere om, hvad Yulsn kan gøre for dig?

Du er altid velkommen til at kontakte os for en uforpligtende snak på tlf. 21 37 25 85 eller info@yulsn.com. Eller kontakt en af vores medarbejdere direkte.

Torben Rasmussen
Torben Rasmussen
Direktør, partner