Rekordstor GDPR-bot til Meta knyttet til USA-overføringer av persondata – fortsatt bruk av Google Analytics?
Meta, selskapet bak Facebook og Instagram, har blitt ilagt tidenes største GDPR-bot for brudd på personvernlovgivningen.
- Den 22. mai 2023 ble Meta, selskapet bak Facebook og Instagram, ilagt tidenes største GDPR-bot på hele 1,2 milliarder euro (14 milliarder kroner) for brudd på GDPR.
- Det irske datatilsynet (DPC) har konkludert med at Metas overføring av data om europeiske Facebook-brukere til USA er ulovlig. Saken illustrerer nok en gang hvor krevende overføring av personopplysninger til tredjeland kan være.
- Mange retail-virksomheter opererer fremdeles i strid med GDPRs overføringsregler og kan risikere bøter. Særlig illustrerende er at bransjen fortsatt anvender Google Analytics som medfører løpende overføringer til USA med mindre det er gjort særskilte tiltak for å forhindre slik overføring.
Artikkelforfattere fra Advokatfirmaet CLP DA: Associate Miriam Maria Biermann, Senior Associate Sindre Dyrhovden, Partner Kjetil Vågen.
Reglene for overføring av persondata
I henhold til GDPR er det i utgangspunktet ikke tillatt å overføre personopplysninger til land utenfor EU/EØS. For å kunne gjøre dette, må man derfor ha et såkalt overføringsgrunnlag. De mest praktiske overføringsgrunnlagene har vært enten adekvansbeslutninger eller standard personvernbestemmelser godkjent av EU-kommisjonen (Standard Contractual Clauses – SCCer).
I 2020 ble Privacy Shield-rammeverket for USA-overføringer, en adekvansbeslutning som gjorde det mulig å overføre personopplysninger til USA nær sagt fritt, kjent ugyldig av EU-domstolen, i den såkalte Schrems II-dommen. Etter dette har de fleste aktører (inkludert Meta) overført data til USA basert på SCCer, sammen med supplerende tiltak. I Schrems II ble det nemlig slått fast at det ikke holder å bare bruke SCCer – det må også gjøres konkrete vurderinger og iverksettes supplerende tiltak for å redusere personvernrisikoer som finnes i tredjeland.
I USA er det særlig statlig overvåkning og etterretningsvirksomhet som skaper personvernrisikoer. Det amerikanske regelverket gir NSA utstrakt tilgang til individers data, noe som ikke oppfyller EU-rettens krav til forholdsmessighet ved inngrep i grunnleggende rettigheter slik som retten til privatliv og retten til personvern. I tillegg har europeiske borgere ikke tilgang til effektive rettsmidler ved slike inngrep.
For å kunne overføre personopplysninger til USA, må det derfor settes i verk supplerende tiltak for å få personopplysningssikkerheten opp på et nivå som i hovedsak tilsvarer nivået i EU/EØS – og det er nettopp dette Meta ikke har fått til.
Meta-saken
Avgjørelsen gjelder overføringer av personopplysninger fra Metas irske datterselskap til det amerikanske morselskapet Meta Platforms Inc., hvor Meta i årevis har overført store mengder personopplysninger basert på SCCer og supplerende tiltak. I avgjørelsen på hele 222 sider, plukker DPC fra hverandre Metas supplerende tiltak, og konkluderer med at Metas overføringer er i strid med GDPR. Begrunnelsen er at selv om Meta har implementert tiltak som organisatoriske retningslinjer, kryptering av data, og tiltak for å motsette seg utleveringsbegjæringer fra amerikanske myndigheter, kan de ikke endre det faktum at de må utlevere opplysninger hvis amerikanske myndigheter krever det. Derfor kan de uansett ikke sikre at beskyttelsesnivået ved overføring av personopplysninger til USA reelt sett er på nivå med beskyttelsesnivået EU-borgerne har i EU, slik GDPR krever.
I tillegg til boten, har Meta blitt pålagt å stanse USA-overføringene. Dette setter Meta i en vanskelig situasjon, ettersom dette vil kreve en grunnleggende endring i måten Meta behandler personopplysninger. Det er likevel forventet at Meta vil påklage avgjørelsen til den irske domstolen, slik at siste ord ikke er sagt i saken.
Hva nå – er det over og ut med amerikanske tjenesteleveranser slik som Google Analytics?
Selv om avgjørelsen i utgangspunktet bare omhandler Meta, anerkjenner DPC at den kan få vidtrekkende konsekvenser. I prinsippet tilsier analysen som ligger til grunn for avgjørelsen at enhver amerikansk leverandør som er underlagt det amerikanske etterretningsprogrammet PRISM, kan komme i konflikt med GDPRs overføringsregler. Det vil si at det er nær sagt umulig å lovlig overføre personopplysninger til amerikanske leverandører av for eksempel skytjenester.
Det er derfor en god nyhet at en representant for EU-kommisjonen samme dag som avgjørelsen kom gikk ut med en uttalelse om at kommisjonen forventer at det nye rammeverket for USA-overføringer vil komme på plass innen sommeren (som i sentraleuropeisk sammenheng betyr august).
Kanskje er det på grunn av optimismen knyttet til det nye rammeverket at mange virksomheter fortsatt gjennomfører overføringer til USA som kan være i strid med GDPR. For eksempel er Google Analytics fortsatt brukt i stor skala, til tross for at datatilsyn rundt om i Europa, inkludert i Norge, har konkludert med at denne bruken er ulovlig. Uttalelser og praksis fra enkelte av tilsynene tilsier at dette også gjelder når Googles IP-anonymiseringsfunksjon brukes, og at de samme problemene også gjelder for Google Analytics 4. Virksomheter bør likevel merke seg at de overføringene som gjennomføres i dag, ikke vil bli lovlige idet det nye rammeverket er på plass – det vil kun gjelde for fremtiden.
I mellomtiden kan det være lurt å vurdere hvilke muligheter man har for å redusere risikoen:
- Er det noen tjenester som enkelt kan byttes ut med en EU-basert tjenesteleverandør, eller som man har mulighet til å avstå fra å bruke i en periode frem til den nye adekvansbeslutningen for USA-overføringer er på plass?
- Er det noen grep man kan gjøre med personverninnstillinger eller liknende for å overføre mindre data eller unngå identifisering av enkeltpersoner?
- Tilbyr tjenesteleverandøren datalokaliseringspakker, eller andre tilvalg som lar kunden velge lagring i datasentre i EU fremfor USA (eller andre tredjeland)?
- Alternative leverandører. Når det gjelder Google Analytics spesifikt, så finnes det en rekke europeiske alternativer, slik som Fathom Analytics og Matomo Analytics.
Selv om Meta-avgjørelsen handler om USA og amerikansk lovgivning spesifikt, kan rekkevidden være større. Mange virksomheter overfører opplysninger også til andre tredjeland med lignende etterretningslover, eksempelvis i Asia. Det er vanskelig å se hvordan tjenesteleverandører i disse landene skal kunne sørge for reell beskyttelse av EU-borgernes rettigheter. Derfor er det mulig at dette ikke kan løses av den enkelte leverandør, og at det dermed er nødvendig at landene finner juridiske og politiske løsninger i samarbeid med EU.
Advokatfirmaet CLP bistår mange virksomheter innen retail / varehandel tilknyttet GDPR problemstillinger, og vi har siste tiden rådgitt i forhold til fortsatt bruk av Google Analytics i lys av Meta-saken og hvilken risiko fortsatt bruk av Google Analytics medfører, både i forhold til risiko på selskapsnivå og for styret i de enkelte selskapene.
Photo: ShutterStock