EUs nye sertifiseringsordning for amerikanske selskaper gjør det lettere for europeiske markedsførere å navigere i personvernjungelen.
I juli 2020 ble markedsførere og andre som håndterer personopplysninger møtt med usikkerhet og frustrasjon etter Schrems II-dommen. Dommen førte til begrensninger i overføringen av personopplysninger til amerikanske selskaper, og det var store utfordringer knyttet til hvordan vi skulle håndtere data som var lagret på amerikanske servere eller var tilgjengelige for amerikanske selskaper.
Siden har det blitt jobbet med å få en ny avtale på plass og 10. juli ble nye retningslinjer endelig vedtatt. «The Data Privacy Framework Program» er utviklet i samarbeid mellom USA og EU. Målet er å gi klarere retningslinjer og sørge for at data lovlig kan overføres frem og tilbake over Atlanteren.
Dette er The Data Privacy Framework Program (DFP)
Den nye avtalen innebærer et sertifiseringsprogram hvor amerikanske teknologibedrifter kan sertifisere seg og få en godkjenning. Hvis selskapet har denne godkjenningen i orden kan data overføres til amerikanske selskaper på samme måte som med europeiske selskaper. Som en del av DFP har det også blitt laget en egen nettside med informasjon om hvilke selskaper som er godkjente. Dette gir markedsførere et rammeverk å forholde seg til og vi får større fleksibilitet til å velge de beste løsningene, uten å bekymre oss like mye for om selskapet er amerikansk eller ikke.
En kjapp gjennomgang i oppslagsverket over viser at flere store teknologitilbydere allerede er godkjent i henhold til den nye avtalen, inkludert Microsoft, Google, Meta, Hubspot og Salesforce. Dette gir en viss trygghet for brukerne av disse plattformene. Det er verdt å merke seg at det er noen kjente selskaper som i skrivende stund ikke har fått godkjennelse, for eksempel Snapchat, Pinterest og LinkedIn. Vi antar at disse selskapene også vil komme seg på listen relativt raskt.
Med den nye dataoverføringsavtalen er Google Analytics igjen lovlig å bruke for overføring av personopplysninger.
Hva betyr dette for tjenester som Google Analytics?
Et populært verktøy som ble berørt av Schrems II-dommen var Google Analytics. Med den nye dataoverføringsavtalen er Google Analytics igjen lovlig å bruke for overføring av personopplysninger. Dette vil utvilsomt glede mange markedsførere som er avhengige av dette analyseverktøyet for å forstå brukernes atferd og optimalisere sine nettsider. For de som bruker Google Analytics i dag er dette gode nyheter, men hvis dere har migrert over til et annet analyseverktøy i løpet av de siste tre årene er det kanskje ikke tiden for å gå tilbake til GA helt enda – det er nemlig ikke helt sikkert at denne avtalen blir stående.
Selv om den nye avtalen gir større forutsigbarhet i dag, er det likevel noen usikkerhetsmomenter som bør tas i betraktning. Det er en reell risiko for at disse nye reglene kan utfordres i EU-domstolen. Datatilsynet har uttalt at det er vanskelig å forutsi utfallet av en eventuell rettssak. Personvernorganisasjonen NOYB har allerede varslet at de vil utfordre avtalen på samme måte som de gjorde med den tidligere Privacy Shield-avtalen (Schrems II-dommen).
Alt i alt representerer den nye dataoverføringsavtalen et positivt skritt for markedsførere og andre som håndterer personopplysninger. Den gir økt klarhet, trygghet og fleksibilitet i valg av tjenesteleverandører, og den gjenåpner muligheten til å bruke verktøy som Google Analytics lovlig. Samtidig er det viktig å være bevisst på mulige endringer i fremtiden og holde seg oppdatert på eventuelle endringer i regelverket. Så vil tiden vise om dette er en permanent løsning eller ikke – for denne gang.