Sedan EU-domstolen införde nya regler för överföring av personuppgifter mellan EU och USA har ett stort antal europeiska företag blivit anmälda. Många undrar nu om de måste sluta använda amerikanskägda tjänster som Google Analytics och Facebook i sin verksamhet – men när det kommer till HubSpot behöver du inte oroa dig.

Vad är Schrems II och varför ska jag bry mig?

För dig som inte har hört talas om Privacy Shield och Schrems II-domen kommer här en kort förklaring:

Tidigare har företag i EU-länder kunnat använda tjänster som exempelvis Google Analytics utan att behöva bekymra sig nämnvärt över att de personuppgifter man samlade in fördes över till företag i USA. Så länge det amerikanska företaget som tog emot uppgifterna var anslutet till självcertifieringen Privacy Shield kunde man sova lugnt om nätterna.

Men i juli 2020 hände något som skapade oro hos många företag, särskilt hos de vars verksamheter är beroende av amerikanska giganter som Facebook och Google. Då kom nämligen en dom i EU-domstolen som slog fast att Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd. Den så kallade Schrems II-domen gjorde det olagligt att föra över personuppgifter till USA om du inte kan stödja det på någon annan grund i GDPR. Och du som är insatt i GDPR känner nog till att reglerna för så kallad tredjelandsöverföring är mycket strikta.

Över 5 000 amerikanska företag, inklusive bland annat Facebook, hade förlitat sig på Privacy Shield för att kunna ta emot personuppgifter från EU, så det var ingen liten sak att avtalet underkändes.

Läs mer på Integritetsmyndighetens webbplats: Så här påverkar Schrems II-domen överföringar till tredje land

Vad har hänt sedan Schrems II-domen kom?

Sedan domen kom har mängder av företag i EU blivit anmälda till olika tillsynsmyndigheter för att de har fortsatt att föra över personuppgifter genom att använda bland annat Google Analytics och Facebook Connect. Svenska Datainspektionen har till exempel inlett ett antal granskningar av svenska företag efter klagomål från intresseorganisationen NOYB (None of your business).

Som partner till HubSpot kunde vi också se att oroliga röster höjdes i olika användarforum där företag undrade om de skulle kunna fortsätta använda HubSpot utan att riskera att bryta lagen.

Hur påverkar domen mig som HubSpot-användare?

HubSpot är som bekant ett amerikanskt bolag och har idag över 100 000 kunder världen över. När du samlar in data om dina leads och prospects sker en överföring av personuppgifter från EU till USA. Men du kan lugnt sitta still i båten. HubSpot bemötte oron hos sina kunder redan i ett tidigt skede och meddelade att de var väl förberedda när Schrems II-domen kom.

Sedan GDPR trädde i kraft 2018 har HubSpots DPA – det vi i Sverige kallar ett personuppgiftsbiträdesavtal – nämligen inte bara omfattat Privacy Shield. Eftersom Hubspot vill ge dig som kund flera alternativ inkluderade de även SCC, alltså EU:s standardavtalsklausuler för dataöverföring mellan länder inom och utanför EU. Och sedan Privacy Shield blev ogiltigt tillämpas SCC automatiskt på din data, så du behöver inte göra något alls utan kan fortsätta precis som vanligt.

Läs mer på HubSpots webbplats: HubSpot’s Commitment to Protecting EU Data Transfers