På baggrund af en række europæiske afgørelser, senest fra det italienske datatilsyn, har Datatilsynet undersøgt værktøjet Google Analytics med henblik på at vurdere, om værktøjet kan benyttes lovligt i henhold til GDPR.

Datatilsynet har på baggrund af gennemgangen af Google Analytics konkluderet, at værktøjet ikke uden videre kan benyttes lovligt i henhold til GDPR. Dette gælder også selvom de anonymiserings- og krypteringsfunktioner, der findes i Google Analytics, er aktiverede. Datatilsynets vurdering betyder, at man ikke kan bruge værktøjet i sin aktuelle form uden at træffe yderligere foranstaltninger.

Problemet med Google Analytics
Når man som ejer af en dansk hjemmeside placerer cookies, skal man, udover at overholde reglerne i cookiebekendtgørelsen, også overholde GDPR. Det kræver bl.a., at man skal sikre, at man har hjemmel til at indsamle og behandle personoplysninger, fx IP-adresser og unikke identifikatorer, via cookies, og at man skal indgå databehandleraftaler, hvis man bruger tredjepartsløsninger til håndtering af oplysninger indsamlet via cookies. Derudover skal man være opmærksom på, om man, i forbindelse med brug af tjenester, der indsamler personoplysninger via cookies, fx Google Analytics, fører oplysninger ud af EØS idet der her  gælder særlige regler for sådanne overførsler.

Når man bruger Google Analytics, fører Google oplysningerne indsamlet via de cookies som Google Analytics placerer, til Google i USA, som har adgang til oplysningerne i klar tekst. Det er ikke muligt at fravælge disse overførsler, når man bruger Google Analytics.

Overførslerne er problematiske, fordi Google i USA er underlagt amerikansk lovgivning og praksis, der medfører, at oplysningerne ikke kan beskyttes tilstrækkeligt efter europæiske standarder, når de er tilgængelige for Google i USA. Derfor har Datatilsynet og en række andre europæiske datatilsyn vurderet, at Google Analytics som udgangspunkt ikke kan bruges i overensstemmelse med GDPR.

Hvad så nu?
Organisationer i Danmark, der benytter Google Analytics, skal vurdere, om deres brug af værktøjet sker inden for rammerne af GDPR, herunder reglerne om overførsler. Hvis dette ikke er tilfældet, har organisationen pligt til at lovliggøre sin brug af værktøjet eller alternativt ophøre med at benytte værktøjet.

Datatilsynet præsenterer to løsninger på Google Analytics-problematikken:

  1. Udskift Google Analytics
    En mulig løsning er at udskifte Google Analytics med et andet tilsvarende værktøj. Det franske datatilsyn, CNIL, har udarbejdet en liste over mulige alternative værktøjer.  Brugen af disse værktøjer kræver dog, at man som organisation forholder sig til, om man reelt kan bruge værktøjerne i overensstemmelse med GDPR, da hverken Datatilsynet eller CNIL har foretaget en nærmere vurdering af værktøjerne på listen.
  2. Konfigurér Google Analytics så der ikke indsamles personoplysninger
    Ifølge Datatilsynet er det ikke muligt gennem de konfigurationsmuligheder, der findes i Google Analytics at afskære indsamlingen af personoplysninger tilstrækkeligt til, at brugen af værktøjet bliver lovlig. En mulighed er i stedet at etablere en reverse proxy-server, der fungerer som et knudepunkt for internettrafikken på siden og dermed sikrer, at der sker en pseudonymisering af de personoplysninger, der behandles i Google Analytics. Proxyen skal konfigureres på en særlig måde, der sikrer, at den lever op til betingelserne for pseudonymisering. CNIL har udarbejdet en guide til korrekt etablering af reverse proxy i denne forbindelse. Opsætningen medfører dog samtidig, at Google Analytics ikke længere vil være brugbart i marketingsammenhæng, fordi det bl.a. ikke længere vil være muligt at se, hvilken kampagne eller kanal den besøgende på hjemmesiden er kommet fra.

Træk i arbejdstøjet med det samme
Udtalelsen fra Datatilsynet, og de seneste måneders europæiske afgørelser om brugen af Google Analytics, er ikke udtryk for ny lovgivning, men derimod fortolkning af eksisterende regler. Det betyder, at der ikke er givet en tilpasningsperiode, hvor organisationer har mulighed for at finde en løsning på deres brug af Google Analytics. Reglerne kan med andre ord håndhæves af Datatilsynet allerede nu. Det er derfor vigtigt, at organisationer, der bruger Google Analytics, prioriterer at finde en måde, hvorpå de kan løse deres complianceudfordringer forbundet med Google Analytics. Udtalelsen er derudover led i et større angreb imod cookies, hvor bl.a. også IAB Europes standardiserede cookieløsning også tidligere er blevet underkendt af flere udenlandske datatilsynsmyndigheder. Læs mere om dette i vores tidligere nyhed.

 

Trans-Atlantic Data Privacy Framework
EU og USA arbejder i øjeblikket på en aftale, der kan sikre lovlig overførsel af personoplysninger til USA i henhold til de databeskyttelsesretlige regler. Selvom parterne er blevet enige om de overordnede linjer i aftalen, er der endnu ikke en nærmere tidshorisont for, hvornår aftalen falder på plads. Aftalen vil desuden også, når den er på plads, kræve, at der udarbejdes en række juridiske dokumenter, der formentlig vil blive sendt i høring hos Det Europæiske Databeskyttelsesråd, før aftalen kan bruges som grundlag for overførsler af personoplysninger til USA. Datatilsynet giver ikke rabat for overtrædelser af GDPR i perioden indtil aftalen med USA, som kan afhjælpe den konkrete non-compliance, træder i kraft.

Bech-Bruuns anbefalinger
Overtrædelser af reglerne om tredjelandsoverførsler, som brugen af Google Analytics ifølge Datatilsynets udtalelse falder under, ligger i højeste bødekategori i Datatilsynets bødevejledning, og kan dermed resultere i en bøde på op til 4% af den årlige globale omsætning. Området får derudover generelt enorm opmærksomhed fra tilsynsmyndighederne i både Danmark og resten af EU, og der er allerede en lang række yderligere tilsynssager om brugen af Google Analytics i gang.

Dertil kommer, at enhver, der besøger en hjemmeside, kan se, at der bruges Google Analytics på siden. Det er derfor bestemt ikke uden risiko at fortsætte brugen af Google Analytics.

Bech-Bruun anbefaler, at I:

  1. Skaber overblik over, hvordan I bruger Google Analytics, hvilke funktioner der er vigtige for jer, og om I eventuelt bør flytte eksisterende og historiske data væk fra Google Analytics.
  2. Lægger en plan for lovliggørelsen af Google Analytics; Hvilken løsningsmodel vil I arbejde med, hvordan og hvornår implementeres løsningen, og hvordan fordeles ansvaret internt?
  3. Opdaterer jeres privatlivs- og cookiepolitik, så snart I har implementeret jeres løsning, så politikkerne afspejler jeres reelle brug af cookies og behandling af personoplysninger via hjemmesiden. Bruger I en cookieløsning, der automatisk scanner siden for cookies, og har I valgt at udskifte Google Analytics med et lovligt alternativ, bør I bede leverandøren af jeres cookieløsning lave et nyt, ekstraordinært cookiescan af hjemmesiden, så snart I har erstattet Google Analytics med den nye løsning. På den måde sikrer I, at cookieløsningen på siden med det samme er retvisende.

Hos Bech-Bruun er vi specialiserede i de databeskyttelsesretlige regler, herunder overførsel af personoplysninger til tredjelande. Har I behov for rådgivning om overførsel af personoplysninger til tredjelande og de krav, som stilles i den forbindelse, herunder i forhold til lovliggørelsen af Google Analytics, er I meget velkomne til at kontakte én af vores specialister på området.