Google Analytics og GDPR - Hvorfor konkluderer flere tilsynsmyndigheder, at GA ikke lovligt kan anvendes, og hvad skal du gøre?

Nyhed
06.10.2022

I kølevandet på EU-Domstolens dom i Schrems II-afgørelsen har Google Analytics været i søgelyset i flere medlemsstater, og nu er det danske Datatilsyn også kommet med en udmelding. Du får her et nærmere indblik i sagen og betydningen af Datatilsynets udmelding.

Hvad er Google Analytics?

Google Analytics er et gratis værktøj til hjemmesideindehavere, som giver indsigt i de hjemmesidebesøgendes adfærd, som bl.a. kan benyttes til at optimere hjemmesidens indhold. Google Analytics indsamler data, som kan være personhenførbare, og det er derfor, at det danske Datatilsyn nu har taget stilling til lovligheden af Google Analytics.

 

Sagen kort fortalt 

Det østrigske datatilsyn traf tilbage i januar 2022 sin første afgørelse vedrørende brugen af Google Analytics. Sidenhen har både det østrigske datatilsyn (endnu engang), det franske datatilsyn, det italienske datatilsyn og nu det danske datatilsyn udtalt sig om brugen af værktøjet. Alle sager har haft det samme udfald: Google Analytics kan under de givne omstændigheder ikke lovligt anvendes.

 

Hvorfor er anvendelse af Google Analytics ikke i overensstemmelse med GDPR?

Problematikken bunder i, at der ved brug af Google Analytics sker overførsel af personoplysninger om hjemmesidebesøgende til Google beliggende i USA. Det skyldes, at når europæiske organisationer benytter værktøjet, indgår de en aftale med Google Ireland Ltd, men det fremgår af vilkårene med Google Ireland Ltd, at alle oplysninger, der indsamles via værktøjet, behandles og opbevares i USA.

 

Skærpede krav i lovgivningen som følge af Schrem II-afgørelsen

Sagen angår således den tredjelandsproblematik, der særligt tog fart efter Schrems II-afgørelsen. EU-Domstolen fastslog i Schrems II-afgørelsen, at USA har ”problematisk” lovgivning, hvorfor den tidligere gældende Privacy Shield-ordning ikke kunne opretholdes, og dermed blev kravene til at overføre personoplysninger til USA skærpet. Det skyldes, at visse amerikanske lovregler tillader amerikanske myndigheder at indsamle og behandle personoplysninger om ikke-amerikanske borgere. Det er derfor heller ikke længere tilstrækkeligt at benytte EU-Kommissionens Standardbestemmelser, idet de ikke (i sig selv) vil have den tiltænkte effektivitet.

 

Overførsel af personoplysninger til USA kan derfor ikke uden videre ske, idet sikkerhedsniveauet ikke i det væsentlige svarer til det, som følger af GDPR.

 

Afgørelserne betyder, at anvendelse af Google Analytics reelt ikke er lovligt i medfør af GDPR, hvis der behandles personoplysninger i værktøjet, hvilket der som udgangspunkt gør.  

Hvad betyder afgørelserne for dig og din virksomhed, hvis du bruger Google Analytics i dag?

Hvis du anvender Google Analytics i din organisation, bør du derfor lægge en plan for lovliggørelse af anvendelsen. Dette kan ske ved at indføre supplerende sikkerhedsforanstaltninger og/eller foretage nogle ændringer i den måde, du anvender Google Analytics på. Og alternativt kan du overveje forskellige alternative leverandører af lignende produkter.

 

Det Europæiske Databeskyttelsesråd har udgivet en række anbefalinger om supplerende foranstaltninger, og her er det særligt kryptering og pseudonymisering, som kan være effektive foranstaltninger. Organisatoriske og kontraktuelle foranstaltninger kan som udgangspunkt ikke stå alene, hvorfor Google Analytics kun kan anvendes, hvis der også indføres supplerende tekniske foranstaltninger.

 

Derfor bør du anvende kryptering

Kryptering kan være en effektiv foranstaltning, så længe krypteringsnøglen befinder sig inden for EU/EØS, og at personoplysningerne både er krypteret i transit og i hvile. Googles egen kryptering er ikke tilstrækkelig, idet krypteringen foretages i USA efter modtagelse af personoplysningerne i klartekst.

 

Implementer pseudonymisering

Pseudonymisering kan også udgøre en supplerende teknisk foranstaltning og kan implementeres ved en såkaldt ”reverse proxy-server”. Denne foranstaltning sikrer din organisation kontrol over, hvilke personoplysninger der indsamles, og hvilke der efterfølgende sendes videre til Googles servere.

 

Husk at indføre supplerende foranstaltninger

Googles (nuværende) egen implementering af supplerende kontraktuelle, organisatoriske og tekniske foranstaltninger er ifølge afgørelserne ikke tilstrækkelig. Din organisations fremtidige brug af Google Analytics afhænger derfor af, at din organisation selv sørger for at indføre supplerende foranstaltninger, således det sikres, at myndighederne i USA ikke kan tilgå personoplysningerne.

 

Kontakt HjulmandKaptains specialister i databeskyttels

Har du brug for rådgivning i forbindelse med din organisations brug af Google Analytics eller GDPR relaterede spørgsmål generelt, så er du altid velkommen til at kontakte vores specialister i databeskyttelse.

Tilmeld dig
HjulmandKaptains
nyhedsbrev

Få nyheder, invitationer til arrangementer, gode råd og viden om jura inden for de fagområder, der interesserer dig.

 

Tilmeld nyhedsbrev