Har vi brug for at sende personoplysninger uden for EU?

Virksomheder kan i mange tilfælde undlade at sende persondata til udenfor EU, skriver it-politisk rådgiver Ole Tange fra fagforeningen Prosa i dette synspunkt.
Brødtekst

Schrems II-dommen giver et vink med en vognstang om, at man som virksomhed skal holde sig fra at sende persondata uden for EU.

I dotcom-boblens dage havde vi behov for en udvekslingsaftale. Hvis man var en lille startup i Silicon Valley, så havde man ikke råd til lave en europæisk afdeling eller at sætte sit eget datacenter op i Europa.

Men det har ændret sig: I dag koster det under 1000 kr. at leje sig ind på en server i Europa. Selv hvis man ønsker at leje sig ind hos en udbyder, der alene opererer i EU, og derfor er svær for NSA at presse til at udlevere data. Et europæisk kontor kan bestå af en enkelt deltidsansat, der arbejder hjemmefra. Og dermed behøver det ikke at være dyrere at ansætte en europæer end at ansætte en amerikaner. Prisen for at have en europæisk afdeling er således blevet langt mindre end i år 2000.

Den europæiske afdeling skal alene stå for at drifte servere i Europa og sende statistiske/anonymiserede data til hovedkvarteret i USA, som så kan bruges til at lave rapporter eller lave softwaren bedre med. Det ville give skub i udvikling af privacy-by-design teknikker, så flere data kunne sendes til USA, uden de var persondata.

Hvis der er behov for support, så vil der også skulle ansættes europæere til det - i hvert fald hvis det ikke blot er generel support, men at de skal have fingrene nede i kundernes data.

Det burde være nok til rigtigt mange situationer, hvor man i dag sender persondata til USA. F.eks. for Google Analytics og lignende software, der leverer oplysninger til en organisation om organisationens kunder/besøgende/ansatte. Hvis man har brug for at sammenkøre data, så kan man udnytte, at USA ikke har så stramme persondataregler og simpelthen flytte alle data til EU, lave sammenkørslen her, og så generere en rapport til USA.

Jeg kan godt se nogle situationer, hvor det ikke er nok. F.eks. hvis jeg gerne vil dele mit Facebook-opslag med folk uden for EU; så vil jeg naturligvis gerne have, at Facebook kopierer mit opslag (inkl. mit navn) uden for EU. Men rigtigt mange af mine Facebook-opslag ville jeg havde det fint med kun var synlige i EU, og det kunne godt være default for mig.