Femte juli

Nätet till folket!

Max Scherms

Är Google Analytics olagligt i EU?

av

Användning av Google Analytics har bedömts stå i strid med EU:s dataskyddsförordning, GDPR. Så vad händer nu?

I Österrike har dataskyddsmyndigheten, Datenschutzbehörde (DSB), kommit fram till att användning av Google Analytics strider mot dataskyddsförordningen (GDPR).

Skälet är att persondata överförs till USA, vilket strider mot den så kallade Schrems II-domen i EU-domstolen.

Liknande klagomål har nu lämnats in i de flesta EU-länder.

Scherms II är ett steg i den decennielånga dragkampen om överföring av persondata till USA, där sådan information kan komma att hamna i händerna på NSA (”collect it all”) och andra underrättelseorgan. (FISA 702-reglerna.)

Hanteringen av sådan överföring har i stor delar varit under all kritik och bland annat kritiserats hårt av Europaparlamentet.

Striden har sitt ursprung redan i början av 2000-talet med överföringen av europeisk bankdata i bulk till amerikanska myndigheter, som en del i kriget mot terrorismen.

Scherms II-domen innebar att Privacy Shield-avtalet mellan EU och USA upphävdes, då det inte uppfyllde de krav som utlovats.

Ett sätt att lösa problemet skulle kunna vara att USA utfärdar vattentäta garantier för att europeisk persondata inte kommer att missbrukas där. Vilket inte tycks ske. Ett annat alternativ är att tjänster som Google Analytics delas upp, så att europeisk persondata stannar och analyseras inom EU:s gränser. Vilket inte heller tycks ske. Så läget förefaller rätt låst.

Google säger till The Register (i översättning av Computer Sweden):

»Människor vill att webbplatserna de besöker ska vara väldesignade, lätta att använda och respektera deras integritet. Google Analytics hjälper återförsäljare, regeringar, icke-statliga organisationer och många andra att förstå hur deras webbplatser och appar fungerar för användarna – men inte genom att identifiera individer eller spåra dem på webben. Dessa organisationer, inte Google, kontrollerar vilka data som samlas in med dessa verktyg och hur den används. Google hjälper till genom att tillhandahålla en rad skyddsåtgärder, kontroller och resurser för regelefterlevnad.«

Som vanligt står olika, var för sig relativt begripliga, intressen mot varandra.

• Computer Sweden: Österrikes dataskyddsmyndighet: Tyskt företag bröt mot GDPR när de använde Google Analytics »
• The Register: Austrian watchdog rules German company’s use of Google Analytics breached GDPR by sending data to US »

Är Facebooks samtycke samma sak som ett kontrakt?

av

Österrikes högsta domstol sänder nu en intressant fråga till EU-domstolen: Är samtycke (till användarvillkor) samma sak som ett kontrakt mellan Facebook och användarna?

Det är Facebooks fiende nummer ett, Max Schrems, som driver ärendet. Tidigare har han bland annat stoppat dataöverföring från Facebook i Europa till USA, där det inte finns samma skydd för persondata som i EU.

Reuters rapporterar:

»The civil case revolves around Schrems’ assertion that Facebook deprives users of the rights and protections they enjoy under the EU’s privacy law, the General Data Protection Regulation (GDPR), by treating consent as a contract that empowers it to use their data to deliver targeted ads.«

Kärnfrågan tycks vara om ett samtycke till Facebooks användarvillkor underminerar GDPR.

Detta är en knivig fråga där användarvillkor, rätten att ingå kontrakt och EU-lag möjligen kolliderar.

Länkar:
• Reuters: Austrian activist Schrems’ Facebook complaint referred to EU court »
• Noyb: Austrian Supreme Court asks CJEU if Facebook ”undermines” the GDPR by confusing ’consent’ with an alleged ’contract’ »

EU-domstolen granskar överföring av persondata från EU till USA

av

Under tisdagen (9 juli) kommer EU-domstolen att hålla en viktig utfrågning om överföring av persondata från EU till USA.

Bakgrunden är en anmälan från den österrikiske nätaktivisten Max Scherms. Han har redan en gång fått ett avtal om dataöverföring mellan EU och USA ogiltigförklarat. Och nu är det kanske dags igen.

Politico skriver:

On Tuesday, the European Court of Justice in Luxembourg will hear arguments in another case brought by Schrems over claims that the U.S. government does not sufficiently protect Europeans’ data when it is shipped across the Atlantic.

”There is fundamentally a clash between surveillance laws in the U.S. and privacy rules in Europe,” he said. ”We’re in a debate about who governs the internet. Europe governs privacy, but the U.S. governs surveillance.” (…)

Schrems and his lawyers are expected to argue this data-transfer mechanism runs against EU privacy rules because it allows U.S. national security agencies extensive access to Europeans’ digital information. Others, including the European Commission and industry groups, will says these agreements provide sufficient guarantees for EU citizens.

Problemet är att även de nya reglerna lämnar mycket att önska. Bland annat handlar det om den amerikanska säkerhetsbyråkratins tillgång till den data som överförs.

Om det existerande avtalet upphävs kan det få stora konsekvenser såväl för de amerikanska nätjättarna som för näringslivet i övrigt. Och det finns en oro för att detta även kan få negativa konsekvenser vad gäller dataskydd – då det nu gällande regelpaketet i vissa delar erbjuder ett rimligt skydd för europeisk persondata, men i andra delar inte.

Detta är komplex materia. Men i grunden handlar det om att gällande avtal mellan EU och USA är allt för vaga, vilket bland annat påpekats flera gånger av Europaparlamentet.

Politico: Top court hearing puts EU data transfers in jeopardy »