Bruger din virksomhed Google Analytics? Det kan være ulovligt.
Datatilsynet har konkluderet, at brug af værktøjet Google Analytics kan være i strid med databeskyttelseslovgivningen, hvis der ikke implementeres en række supplerende foranstaltninger ud over de indstillinger Google selv stiller til rådighed.
Datatilsynet har ikke truffet en konkret afgørelse men har, som følge flere afgørelser herom i andre EU, lavet en vurdering og udtalelse, der konkluderer, at man ikke uden videre lovligt kan bruge Google Analytics.
Vurderingen flugter Datatilsynets tidligere udtalelser og afgørelser i spørgsmål om overførsel af persondata til USA, men Datatilsynet har nu foretaget en teknisk undersøgelse af både ”Google Universal Analytics” samt ”Google Analytics 4”.
Hvorfor er det problematisk at bruge Google Analytics
Selv hvis man, via Google Analytics indstillinger, slår ”Data sharing” og ”Google Signals” fra, er det Datatilsynets umiddelbare opfattelse, at der fortsat vil ske indsamling af den besøgendes unikke identifikator, oplysninger om den besøgendes interaktion med hjemmesiden samt hvor den besøgende omtrentligt befinder sig. Disse persondata vil blive der overført til USA, der er at anse som et usikkert tredjeland.
Datatilsynet og EU-Domstolen har siden Schrems II-afgørelse i juli 2020 afgjort, at den amerikanske lovgivning ikke opfylder EU-rettens krav til de grundlæggende rettigheder for de registrerede.
Efter Datatilsynets tekniske undersøgelser, er konklusionen, at - selvom der bliver indgået aftale med Google Irland og Kommissionens standardaftaler (SCC) anvendes - vil persondata blive overført til USA via de unikke identifikatorer. Man kan således ikke slå tredjelandsoverførslen fra i selve systemet.
For overførsel af personoplysninger til Google i USA, er det nødvendigt at træffe supplerende foranstaltninger med henblik på, at beskyttelsesniveauet samlet set bringes op på et niveau, som i det væsentlige svarer til beskyttelsesniveauet i EU/EØS.
Vurderingen flugter med Datatilsynets tidligere afgørelser i sager om brug af cloud-tjenester. Det er således ikke alene Google Analytics, der kan anses som et ulovligt system. Vi opfordrer derfor virksomheder til at undersøge og vurdere alle sine cloud-tjenester, der behandler personoplysninger.
Hvad skal du gøre, hvis du anvender Google Analytics
Hvis man bruger Google Analytics alene med de standardsikkerhedsforanstaltninger, der stilles til rådighed af Google selv, skal man forvente, at dette vil være i strid med databeskyttelseslovgivningen.
Vi anbefaler derfor, at virksomheder laver en plan for, hvilke supplerende foranstaltninger de vil implementere samt sørger for at iværksætte planen.
Ud fra de tidligere EU-afgørelser om Google Analytics og Datatilsynets udtalelse, skal der implementeres supplerende tekniske foranstaltninger i form af f.eks. effektiv kryptering eller pseudonymisering ved hjælp af en såkaldt ”reverse proxy”.
Det bemærkes, at man ikke ville kunne anvende (cookie)-samtykke som et lovligt overførselsgrundlag til systematisk overførsel af persondata, idet brug af samtykke anses som en snæver undtagelse til databeskyttelsesreglerne.
Nyt overførselsgrundlag på vej
I marts 2022 offentliggjorde EU-Kommissionen og USA, at et nyt Trans-Atlantic Data Privacy Framework igen skal gøre det muligt at overføre personoplysninger mellem EU og USA.
Præsident Biden har underskrevet dekretet, der danner grundlag for de konkrete ændringer for de registreredes rettigheder i USA. Vi afventer nu EU Kommissionens vurdering af dekretet og Trans-Atlantic Data Privacy Framework.
Vi forventer at EU Kommissionens vurdering vil blive fremlagt i foråret 2023.
Vil du vide mere
Hvis du har behov for hjælp til vurdering af, om du overfører persondata til usikre tredjelande eller har andre spørgsmål til brug af cloud services, står vi klar til at rådgive dig.