Oppdatert: Den 10. Juli 2023 ble EU-U.S. Data Privacy Framework vedtatt av EU-kommisjonen. Den nye avtalen garanterer et adekvat sikkerhetsnivå når det gjelder overføring av personopplysninger om europeiske borgere til selskaper i USA, og Google Analytics og lignende amerikanske analyse- og sporingsverktøy, er igjen å anse som lovlig å benytte innen EU/EØS. Les denne for mer informasjon og detaljer.
Mye har blitt sagt og skrevet om Google Analytics, GDPR og (u)lovlighet siden Schrems II-dommen sommeren 2020. Med bakgrunn i denne dommen ble blant annet telenor.com klaget inn til Datatilsynet for bruk av nettopp Google Analytics, noe som førte til at Datatilsynet måtte ta stilling til lovligheten rundt bruken av dette også i Norge. 1. mars 2023 publiserte Datatilsynet et varsel om vedtak i saken, noe som igjen har satt fyr på diskusjoner og kommentarfelt.
Legg imidlertid merke til at vedtaket enda ikke er fattet, den aktuelle saken gjelder bruk av Google Universal Analytics (UA/3) og det er foreløpig usikkert i hvilken grad det eventuelt vil påvirke GA4 og andre verktøy for datainnsamling og analyse.
Siden introduksjonen av personvernforordningen (GDPR) i 2018, har alle som samler inn persondata gjennom nettsidene vært pliktig til å opplyse om og ta stilling til hvilke data som samles inn, hva data brukes til og hvem som har tilgang til disse dataene. Persondata er opplysninger som kan identifisere eller knyttes til deg, eksempel på dette kan være navn, adresse eller personnummer, det kan også være et bilde av deg eller stemmen din i et opptak. IP-adressen din er i gitte tilfeller også definert som persondata.
Med Schrems-II dommen i 2020 ble det klart at generell overføring av persondata til USA ikke lenger var i henhold til GDPR, siden Privacy Shield avtalen med USA ikke lenger var anerkjent av EU. Bakgrunnen for dette er at amerikanske myndigheter, i henhold til amerikansk lov, kan kreve innsyn i persondata som blant annet Google Analytics samler inn gjennom europeiske nettsider.
Google, som er et Amerikansk-eid selskap, gjør at diskusjonen rundt bruk av Google Analytics primært handler om to ting; at det i følge GDPR ikke skal overføres personopplysninger til land utenfor EU/EØS uten et spesifikt behandlingsgrunnlag – dette behandlingsgrunnlaget har ikke Google Analytics. Og at Google lagrer disse dataene på servere i USA.
På tampen av 2022 signerte riktignok president Joe Biden en presidentordre med intensjon om at en ny personvernavtale med EU skal fremforhandles, men dette kan ta tid.
Det italienske datatilsynet, Garante Per La Protezione Dei Dati Personali, har konkludert med at et nettsted som bruker Google Analytics, uten sikkerhetstiltakene fastsatt i personvernforordningen, bryter med regelverket. Grunnen er at slik praksis gjør at brukeres data overføres til USA, et land uten et tilstrekkelig beskyttelsesnivå. Vedtaket blir gjort rede for i en pressemelding publisert den 23. juni 2022.
Det franske datatilsynet (CNIL) kom 10. februar 2022 med en tilsvarende avgjørelse. De kom også frem til at Google Analytics innebærer at personopplysninger sendes til USA, og dermed ikke er i henhold til GDPR. I tillegg pålegger de en fransk nettside-administrator om å overholde personvernforordningen og, om nødvendig, slutte å bruke tjenesten under gjeldende forhold.
– kilde: Datatilsynet.
I september 2022 konkluderte det danske Datatilsynet at verktøyet (Google Analytics) ikke kan brukes uten videre, men de har ikke gitt forbud mot bruk av Google Analytics. Det som er ulovlig er overføringen av personopplysninger til USA via Google Analytics, og lovlig bruk krever implementering av en rekke tilleggstiltak i tillegg til innstillingene gitt av Google. I korte trekk gjelder dette anonymisering av persondata.
– kilde: Det danske Datatilsynet.
Et punkt som er spesielt interessant med avgjørelsen i Danmark er at den gjelder all bruk av Google Analytics. De har ikke spesifisert hvilken versjon av Google Analytics avgjørelsen gjelder, og sier selv at det i enkelte tilfeller også gjelder bruk av Google Analytics 4 (GA4). Det vil komme flere avgjørelser om Google Analytics fra andre europeiske datatilsynsmyndigheter i tiden fremover. Derfor anbefaler Datatilsynet i Norge alle å utforske alternativer til Google Analytics.
For mange bedrifter er verktøy for datainnsamling og analyse av grunnleggende betydning for deres markedsføring og drift. Når det nå stilles spørsmålstegn ved lovligheten, er det viktig å holde hodet kaldt og forholde seg til fakta og faglig fundamenterte diskusjoner.
Uavhengig av hvilket utfall den aktuelle saken om bruk av Google Analytics får for oss her i Norge, så er dette med personvern og innsamling av persondata nok en gang satt på agendaen, og det er stor sannsynlighet for at vi på sikt kommer til å se endringer i lovverket rundt dette. Det er derfor klokt å være forberedt:
Var denne artikkelen nyttig?