USA + Big Tech (Meta, Google) + GDPR + “facility agreement”. Det er lett å tro at disse henger sammen, men i realiteten er det to helt forskjellige juridiske verdener. La oss rydde opp i begrepene og koble dem riktig.
⭐ Først: “Facility agreement” betyr ikke det samme i USA som i EU
I EU/UK betyr facility agreement vanligvis en låneavtale (LMA‑standard).
I USA brukes begrepet nesten aldri om finans. Der brukes det mest om bruk av fasiliteter (facility use agreements), altså helt urelatert til personvern.
Big Tech som Meta og Google bruker ikke “facility agreements” i GDPR‑sammenheng.
De bruker data transfer frameworks, standard contractual clauses (SCCs) og nå EU–US Data Privacy Framework (DPF).
⭐ Hva Meta, Google og andre amerikanske teknologiselskaper faktisk bruker
- Standard Contractual Clauses (SCCs)
Dette har vært hovedmekanismen siden Privacy Shield ble kjent ugyldig i 2020.
- EU–US Data Privacy Framework (DPF)
Dette er den nye avtalen mellom EU og USA som gjør det lovlig å overføre persondata igjen.
Den ble laget nettopp for å hjelpe selskaper som Meta og Google.
CNBC
- Tilleggstiltak (supplementary measures)
For eksempel:
- kryptering
- pseudonymisering
- dataminimering
- Interne data‑prosessavtaler (DPAs)
Alle store amerikanske selskaper har egne DPAs som beskriver:
- hvordan data behandles
- hvor data lagres
- hvilke underleverandører som brukes
⭐ Hvorfor Meta fikk gigantiske GDPR‑bøter
Meta fikk en rekordbot på €1,2 milliarder for ulovlig overføring av europeiske brukerdata til USA.
GDPR Local
Dette handlet om:
- manglende lovlig grunnlag for dataoverføring
- utilstrekkelige beskyttelsestiltak
- brudd på GDPRs krav til internasjonale overføringer
Meta har fått flere bøter for:
- utilstrekkelig databeskyttelse
- ulovlig personalisert annonsering
- scraping‑problemer
riskcommunic…
⭐ Google og GDPR
Google er tungt involvert i internasjonale dataoverføringer og beskriver selv at de følger:
- adequacy decisions
- EU–US Data Privacy Framework
- globale databeskyttelsesstandarder
Google
Google har ikke fått like store bøter som Meta for dataoverføring, men har fått bøter for:
- cookie‑praksis
- mangelfull transparens
- annonseringssystemer
⭐ Hvilke selskaper er “med” og “ikke med” i avtalen?
Hvis du mener EU–US Data Privacy Framework, så gjelder dette:
✔ Selskaper som er “med”
Store amerikanske selskaper kan selv‑sertifisere seg under DPF.
Dette inkluderer typisk:
- Meta
- Microsoft
- Amazon
- Salesforce
- Adobe
(De fleste store amerikanske teknologiselskaper har sertifisert seg.)
❌ Selskaper som ikke er med
- Selskaper som ikke ønsker å følge kravene
- Selskaper som ikke behandler EU‑persondata
- Selskaper som ikke vil underlegge seg amerikansk tilsyn (Department of Commerce)
Det finnes ingen “svarteliste”, men selskaper som ikke er sertifisert må bruke SCCs eller andre mekanismer.
⭐ Så hvordan henger dette sammen?
Tema USA EU
Facility agreement Bruk av fysiske fasiliteter (irrelevant for GDPR) Låneavtale (finans)
GDPR‑mekanismer SCCs, DPF, DPAs GDPR, SCCs, EDPB‑regler
Store selskaper Meta, Google, Microsoft m.fl. Underlagt GDPR når de behandler EU‑data
Hvem er “med” i avtalen? Selskaper som selv‑sertifiserer seg i DPF EU godkjenner rammeverket
⭐ Kort oppsummert
- “Facility agreement” har ingenting med GDPR å gjøre i USA.
- Meta og Google bruker SCCs og EU–US Data Privacy Framework for å overføre data.
- Meta har fått store bøter for ulovlige dataoverføringer.
- De fleste store amerikanske selskaper er nå sertifisert under DPF.
Legg igjen en kommentar