Av: Advokat Cecilia Vinje Hagland og advokat/partner Magnus Ødegaard, Bing Hodnelandadvokatselskap
Datatilsynet publiserte en irettesettelse 1. mars 2023 til Telenor. Tilsynet er klare på at Telenors bruk av Google Analytics på Telenors hjemmeside er i strid med personvernforordningen (GDPR).
Telenor har brukt dette verktøyet for å måle besøk på egen webside. Tilsynets irettesettelse er relevant for alle virksomheters bruk i Norge av dette populære verktøyet.
Problem med Google Analytics
Google Analytics er en tjeneste som tilbys av Google for å spore og analysere trafikken på en nettside. Det er et verktøy som muliggjør analyse og som gir innsikt i hvordan besøkende på nettsider samhandler med nettstedet.
Verktøyet kan vise hvilke nettsider som har høyest visningsrate, hvor lenge besøkende blir på siden, hvilke handlinger som utføres og mye mer. Dette er informasjon som kan brukes for å optimalisere nettsider.
Men det er et problem: Google Analytics samler inn så mye data om de besøkende på nettsidene at det regnes som personopplysninger.
Google Analytics kan være ulovlig
Det er strenge regler som må følges når det samles inn og deles personopplysninger.
En viktig begrensning er at personopplysninger ikke uten videre kan overføres ut av EØS. Dette er en konsekvens etter Schrems II-dommen avsagt av EU-domstolen i juli 2020. I dommen konkluderte EU-domstolen med at Privacy Shield-avtalen som regulerte overføring av personopplysninger mellom EU og USA, er ugyldig på grunn av bekymringer rundt amerikanske overvåkingslover.
Når man bruker analyseverktøyet Google Analytics, er det nettopp slik overføring til USA som har skapt bekymring. Bruk av Google Analytics innebærer at personopplysninger sendes til USA – selv om norske virksomheter bruker dette verktøyet med den mest personvernvennlige innstillingen påslått.
Denne overføringen har ført til at datatilsynene i Østerrike, Italia og Frankrike har pålagt virksomheter å slutte å bruke Google Analytics ettersom virksomhetenes bruk av tjenesten anses for å bryte med GDPR.
Det er ventet endelig vedtak i saken mot Telenor i april eller mai. Det er mest sannsynlig at Datatilsynet konkluderer med at bruken av dette verktøyet er ulovlig. Vi anbefaler derfor norske virksomheter å utforske alternativer til Google Analytics.
Hva er mulige løsninger i praksis?
Vi anbefaler at virksomheter i Norge eller andre land i EU/EØS bytter ut Google Analytics med andre verktøy som kan brukes for statistikk eller analyse av besøkende på egne nettsider. Det finnes flere verktøy for dette som bare behandler personopplysninger i land innenfor EU/EØS.
Det danske tilsynet anbefalte høsten 2022 en løsning til de som ikke vil gi opp bruk av Google Analytics. Løsningen går ut på at man på egen hjemmeside setter opp en proxy-server for å unngå å sende data til Google. Med proxy-server menes en mellomlagringsstasjon mellom nettleserprogram og en web-server. Dette kan være en løsning om serveren settes opp slik at data fra besøkende på slik nettside ikke samles gjennom tredjeparts informasjonskapsler, men sendes gjennom nettstedets sporingsserver før andre leverandører får tilgang til slike data.
Hvordan følge kjørereglene i GDPR?
Datatilsynets sak gjelder bruk av Google Analytics. Det er viktig at norske selskaper er klar over at også bruk av andre nettstedsanalyseverktøy, skytjenester eller leverandører kan medføre at personopplysninger overføres ut av EU, f.eks. til USA eller andre usikre tredjeland. Dette kan være ulovlig dersom det ikke iverksettes tiltak.
Det er fortsatt mulig å bruke Google eller andre leverandører i USA. Som en konsekvens av Schrems II-dommen må virksomheter i Norge sørge for å ha et lovlig overføringsgrunnlag. I praksis brukes mest Standard ContractualClauses (SCCs) som EU-Kommisjonen godkjente i juni 2021.
I tillegg bør man vurdere om innholdet i databehandleravtalen er god nok. Dersom SCCs brukes riktig, vil slik avtale samtidig innebære at man har en gyldig databehandleravtale etter GDPR.
Videre må man finne ut hvilke lokale lovregler i det usikre tredjelandet som kan medføre at landets myndigheter kan kreve tilgang til lokal leverandørs data.
Deretter må man dokumentere å ha iverksatt ytterligere tiltak for å redusere denne landrisikoen – dette kan fremgå som «additionalmeasures» som leverandør i USA tilbyr alle dets kunder.
Sørg også for å dokumentere egne risikovurderinger
Vi anbefaler at virksomheter på forhånd risikovurderer ønsket bruk av markedsføringsverktøy, offentlige skytjenester, leverandører eller andre løsninger hvor virksomheten kan ende opp med å dele personopplysninger med noen utenfor EU/EØS. Slike risikovurderinger må oppfylle minstekrav i GDPR.
Sørg for at det er mulig å vise at datasikkerheten som tilbys av leverandøren med underleverandører er god nok, at personvernrisikoen for de personer som data gjelder ikke er høy, samt at tilleggskrav til overføring av personopplysninger til USA eller andre usikre tredjeland er oppfylt. På denne måten kan man sikre seg overholdelse av GDPR og samtidig beskytte personopplysningene til besøkende av nettsider på best mulig måte.
Artikkelen er skrevet av advokat Cecilia Vinje Hagland og advokat/partner Magnus Ødegaard, Bing Hodneland advokatselskap DA.
