Europa-kommissionen har d. 10/7-2023 godkendt det omtalte EU-U.S. Data Privacy Framework. Kommissionen konkluderer, at USA nu kan sikre et tilstrækkeligt sikkerhedsniveau, når der behandles persondata fra europæiske borgere.
Datasikkerhed har længe været et varmt emne – også her hos os i Orchestra. I går blev aftalen EU-U.S. Data Privacy Framework mellem USA og Europa-kommissionen endelig indgået. Vi tager dig igennem, hvad den dækker over, hvordan du som annoncør skal forholde dig, og hvad fremtiden bringer.
Hvad er EU-U.S. Data Privacy Framework?
EU-U.S. Data Privacy Framework er en gensidigt bindende aftale, der skal sikre rammerne for behandling af persondata mellem Europa og USA. Den nu godkendte aftale introducerer en række ”binding safeguards”, der skal sikre:
- At amerikanske offentlige myndigheders, herunder også efterretningstjenesternes, adgang til europæisk persondata begrænses til, hvad der er nødvendigt og proportionelt ift. USA’s nationale sikkerhed.
- At der etableres en uafhængig og upartisk retsinstans, hvor europæiske borgere kan tilgå og gøre indsigelse mod brugen af deres data. Instansen forpligtiger sig til at undersøge og løse klagesager uafhængigt og uden omkostninger for brugeren.
Selvom godkendelsen er en kærkommen afslutning på flere års tovtrækkeri, opfordrer vi hos Orchestra jer til at slå koldt vand i blodet.
Hvad betyder det for mig?
Aftalen blev godkendt og trådte i kraft d. 10/7-2023, men dét at aftalen nu er godkendt, betyder imidlertid ikke, at man frit kan dele persondata med amerikanske virksomheder. Altså kan man ikke regne sin Google Analytics for lovlig i den gamle forstand endnu.
For at delingen af europæisk persondata er lovlig, skal den virksomhed, dataene deles med, juridisk forpligte sig til at overholde en række krav. Dette gælder især pligten til at slette data, der ikke længere anvendes til de formål, som dataene er opsamlet under. Men også andre forhold, som f.eks. at sikre kontinuitet og gennemsigtighed ved deling af data til tredjepart, skal overholdes.
Derfor skal man som annoncør sikre sig, at den virksomhed, der deles data med, efterlever disse krav, før persondata frit kan deles over Atlanten. Det forventes, at de store udbydere, som Google og Meta, tilslutter sig aftalen og lader sig certificere, og vi betragter aftalen som et stort skridt i den retning.
Det forventes at Google og Facebook er certificeret allerede inden udgangen af sommeren.
Hvad sker der nu?
USA og Europa vil i de kommende år gennemgå og revidere effekterne af aftalen. Det forventes at første review vil ske inden udgangen af første år. Altså skal man som annoncør forvente ændringer i de arbejdsgange og praksisser, som Europa-kommissionen anbefaler. I forlængelse af det møder godkendelsen allerede modstand rundt omkring i Europa, herunder især fra Max Schrems og NOYB – European Center for Digital Rights, der allerede har meddelt, at de vil gøre indsigelse mod godkendelsen.
Vi hos Orchestra følger udviklingen tæt, og har man yderligere spørgsmål, bekymringer, kommentarer eller lignende – er du velkommen til altid kontakte din rådgiver eller Senior Web Analytics Specialist Jonas Engstrøm på je@orchestra.dk.
Vil du vide mere?
Læs Europa-kommissionens pressemeddelelse: https://ec.europa.eu/commission/presscorner/detail/en/IP_23_3721
Læs selve lovteksten:
https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en
Europa-kommissionens Q&A:
https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752