Tilsynelatende trøblete for Google Analytics
IT-JUSS: 1. mars i år varslet Datatilsynet vedtak mot Telenor i en sak om selskapets bruk av analyseverktøyet Google Analytics på nettsiden telenor.com. Datatilsynets foreløpige konklusjon er at bruk av Google Analytics er i strid med personvernforordningen (GDPR).
Det følger av varslet at organisasjonen Noyb, som er en samling aktører som samarbeider om å skape en europeisk håndhevingsplattform for blant annet personvern, har klaget inn en rekke europeiske nettsider, herunder telenor.com, til datamyndighetene i EØS. Noyb hevder at nettsidene overfører personopplysninger ut av EØS i strid med personvernforordningen ved å bruke det amerikanske analyseverktøyet Google Analytics.
Google Analytics er en tjeneste som gjør det mulig å analysere informasjon om hvordan besøkende på en nettside samhandler med nettsiden. Analyseverktøyet tilrettelegger for at den som driver nettsiden kan innhente for eksempel statistikk om besøkende og brukeraktivitet, herunder hvor lenge besøkende blir på siden og hvilke handlinger som utføres, samt antall besøkende. Google Analytics er et av verdens mest brukte verktøy for å analysere statistikk, og informasjonen som innhentes brukes ofte til markedsføringsformål eller for å optimalisere nettsider.
«So far, so good» tenker du sikkert nå. Men, problemet er at Google Analytics samler inn så mye informasjon om de besøkende at det regnes for å utgjøre personopplysninger. Dette aktualiserer en rekke begrensninger.
Etter EU-domstolens avgjørelse i Schrems II ble avtalen om overføring av personopplysninger fra EØS til USA, mer populært kalt «Privacy Shield», kjent ugyldig. En følge av dommen var også at de såkalte Standard Contractual Clauses fra EU-kommisjonen krevde særskilte tiltak for overføring. I realiteten medførte Schrems II et så godt som forbud mot overføring av personopplysninger til USA, og dermed også bruk av amerikanske leverandører innenfor EØS.
Bruk av Google Analytics innebærer at det overføres personopplysninger til USA, noe som etter Schrems II er i strid med personvernforordningen.
Bruk av Google Analytics innebærer at det overføres personopplysninger til USA, noe som etter Schrems II er i strid med personvernforordningen. Av den grunn har en rekke europeiske datatilsyn fattet vedtak om at bruk av analyseverktøyet er i strid med personvernforordningen, og pålagt de aktuelle virksomhetene å stoppe bruken. Dersom dette ikke gjøres, vil datatilsynene ha adgang til å ilegge gebyr.
Den konkrete saken mot Telenor gjelder Google Analytics 3 (Universal Analytics). Denne versjonen er erstattet med en nyere versjon kalt Google Analytics 4. Sistnevnte versjon har gjennomgått en rekke endringer, som blant annet begrenser hvilke data som samles inn. Det norske Datatilsynet har likevel, under henvisning til en veiledning publisert av det danske tilsynet, antydet at Google Analytics 4 ikke retter opp i de problemene som gjør bruken av verktøyet i strid med GDPR.
Det norske Datatilsynet har altså foreløpig ikke fattet et formelt vedtak i saken mot Telenor, men anbefaler likevel norske nettsider å utforske alternative analyseverktøy. Det er varslet mer informasjon om hvilke forventninger tilsynet vil stille til norske nettsider etter at vedtak er fattet.