Datatilsynet har (nesten) bestemt seg: – Finn alternativer til Google Analytics
Datatilsynets foreløpige konklusjon er at bruk av Google Analytics ikke er i tråd med personvernforordningen.
Organisasjonen noyb har klaget inn en rekke europeiske nettsider til datatilsynsmyndighetene i EØS. Bakgrunnen er at noyb mener nettsidene overfører personopplysninger ut av EØS i strid med personvernforordningen (GDPR) ved å bruke det amerikanske analyseverktøyet Google Analytics.
Et av de innklagede nettstedene, telenor.com, er norsk og brukte tidligere Google Analytics. Datatilsynet har derfor undersøkt denne saken. Deres foreløpige konklusjon er at bruk av Google Analytics var i strid med GDPRs overføringsregler. Datatilsynet har nå sendt et forhåndsvarsel til partene i saken, slik at de får mulighet til å kommentere funnene før vi fatter et vedtak.
Europeisk koordinering
Siden det har kommet så mange klager om bruk av Google Analytics på europeisk nivå, har Det europeiske personvernrådet (EDPB) opprettet en egen arbeidsgruppe for å koordinere klagesaksbehandlingen. Datatilsynsmyndighetene har nemlig plikt til å tolke GDPR likt i hele EØS-omårdet.
– EDPB gjør en god jobb i å sikre at tilsynsmyndighetene anvender loven på en harmonisert måte. Når det gjelder bruk av Google Analytics, har det vokst frem en klar europeisk konsensus, sier seksjonssjef Tobias Judin i Datatilsynet.
Datatilsynsmyndighetene i Østerrike, Frankrike og Italia, samt datatilsynsmyndigheten for EU-organene (EDPS), har allerede fattet vedtak om at bruk av Google Analytics er i strid med personvernreglene. Dessuten trekker det danske Datatilsynet samme konklusjon i en veileder om temaet, og datatilsynsmyndigheten i Liechtenstein har også uttalt seg kritisk om verktøyet.
Frem til nå har Datatilsynet holdt en relativt lav profil, men for dem som følger utviklingen i Europa og sporadiske uttalelser fra Datatilsynet, er neppe overrasket over konklusjonen de foreløpig har trukket.
– Grenseoverskridende
Neste steg i saken er at partene får tre uker til å uttale seg om Datatilsynets foreløpige konklusjoner. Deretter må Datatilsynet ta stilling til eventuelle innspill de får.
– Denne saken er såkalt grenseoverskridende. Det betyr at før vi kan fatte et vedtak, må vi sende utkast til avgjørelse til andre berørte datatilsynsmyndigheter i EØS. De har så rett til å komme med innsigelser innen én måned dersom de er uenige i vurderingene våre, skriver Datatilsynet i en pressemelding.
Det er først etter dette at Datatilsynet vil fatte et vedtak i saken.
Dersom Datatilsynet fatter et vedtak om at den aktuelle nettsidens bruk av Google Analytics var i strid med GDPR, vil dette også kunne få konsekvenser for andre norske nettsteder, påpeker Datatilsynet.
– Derfor gjentar vi anbefalingen vår om å utforske alternativer til Google Analytics. Vi vil komme med en nærmere informasjon om hva som gjelder og hvilke forventninger vi har til norske nettsider når vedtak er fattet. Dette kan komme tidligst i slutten av april.
Forbud mot Google Analytics 4?
På klagetidspunktet brukte det aktuelle nettstedet Google Analytics 3, og derfor har Datatilsynet tatt dette som utgangspunkt i vurderingen.
Datatilsynet har fått flere spørsmål om de, hypotetisk sett, ville gått mot en annen konklusjon med Google Analytics 4.
– Datatilsynet har ikke tatt stilling til dette i den konkrete saken, men så vidt vi kan se vil ikke nødvendigvis Google Analytics 4 rette opp de problemene vi foreløpig har identifisert.
De anbefaler i denne sammenhengen at man ser nærmere på det danske Datatilsynets veiledning, der man slår fast nettopp dette (datatilsynet.dk).