Tilsynsmyndigheter mener bruk av Google Analytics er ulovlig
Det østerrikske og franske datatilsynet har vedtatt at bruk av Google Analytics er i strid med GDPR. Det norske Datatilsynet har sagt seg enig i denne konklusjonen. Dette kan bety at norske virksomheter bør revurdere sin bruk av Google Analytics. I tillegg indikerer det franske datatilsynet at flere avgjørelser vil komme; disse vil ikke kun vil være rettet mot Google Analytics, men også mot andre verktøy som overfører personopplysninger til USA.
I kjølvannet av avgjørelsen fra det østerrikske datatilsynet (DSB) anbefaler Datatilsynet at norske virksomheter leter etter europeiske alternativ til Google Analytics. Seksjonssjef i Datatilsynet, Tobias Judin, har uttalt til www.Digi.no at det «i praksis er vanskelig å se hvordan nettsider lovlig kan bruke Google Analytics».
Etter DSB-avgjørelsen og uttalelsen til Judin, har det franske datatilsynet (CNIL) via en pressemelding kommunisert at også de har kommet til at overføringer av personopplysninger til USA via Google Analytics er i brudd med GDPR. CNIL har ikke tilgjengeliggjort selve avgjørelsen, men pressemeldingen deres inneholder noen interessante uttalelser. CNIL skriver, blant annet, hvordan de har analysert Google Analytics «in cooperation with its European counterparts». Dette gir en klar indikasjon på at CNILs syn om Google Analytics deles av øvrige tilsynsmyndigheter. Dette er også slik Max Schrems (lederen bak organisasjonen som sendte inn de aktuelle klagene) har tolket uttalelsen til CNIL. Han sa følgende om CNILs avgjørelse:
It’s interesting to see that the different European Data Protection Authorities all come to the same conclusion: the use of Google Analytics is illegal. There is a European task force and we assume that this action is coordinated and other authorities will decide similarily.
Uansett skal GDPR praktiseres likt i hele EØS. Det norske Datatilsynet vil derfor se hen til DSBs og CNILs avgjørelser, og avgjørelser fra andre europeiske datatilsyn som i fremtiden kan komme, i behandlingen av sine saker.
Foreløpig har Datatilsynet én sak om Google Analytics til behandling, og flere lignende saker verserer for andre europeiske datatilsyn. Hvis de følger DSB og CNIL, noe som er veldig sannsynlig, kan det i praksis resultere i et europeisk forbud mot Google Analytics.
Datatilsynet fremhever imidlertid at Google Analytics ikke er verst i klassen, ved at det finnes andre analyseverktøy som samler inn mer data. På Datatilsynets nettsider uttaler Judin at ulovlig verktøy må fjernes omgående, og at alvorlige saker vil resultere i gebyrer. Det er derfor veldig interessant at CNIL i pressemeldingen sin nettopp fremhever at etterforskningen deres, som har blitt utført sammen med deres «European counterparts», ikke kun omfatter Google Analytics, men også andre verktøy brukt av nettsider som kan innebære overføringer av personopplysninger til USA. De advarer at korrigerende tiltak kan bli vedtatt mot slike, i nærmeste fremtid.
IP-anonymisering ser ikke ut til å hjelpe
GDPR forbyr som utgangspunkt overføring av personopplysninger ut av EØS. DSB og CNIL mener Google Analytics samler inn personopplysninger og at disse overføres til USA. Det europeiske datatilsynet (EDPS) har nylig konkludert tilsvarende i en sak om bruk av Google Analytics på EU-parlamentets nettside.
Google har argumentert for at opplysningene som samles inn via Google Analytics ikke er personopplysninger fordi Google ikke kobler opplysningene de samler inn til enkeltindivider. Verken DSB eller EDPS er enige i dette. Etter deres syn er det «digitale fotavtrykket», bestående av for eksempel cookie-ID, IP-adresse, nettleser og operativsystem, nok til at det er snakk om personopplysninger, selv om identifikatorer som navn ikke samles inn. Avgjørende for DSB og EDPS synes å være at det er mulig å «single ut» en bruker fra en annen, uavhengig om brukerens identitet er kjent. CNIL har ikke redegjort ordentlig for sin begrunnelse, men ser ut til å ha samme tilnærming.
Google tilbyr en funksjon for IP-anonymisering, som gjør at IP-adresse ikke overføres. Det østerrikske nettstedet i saken for DSB hadde ikke implementert denne funksjonen på riktig måte. DSB mente imidlertid at dette uansett neppe ville vært avgjørende fordi IP-adressen kun utgjør en liten del av det digitale fotavtrykket.
Det er ikke gitt at tilsynsmyndighetenes forståelse er riktig, eller at den ikke kan nyanseres. For det første var personen som klaget inn Google til DSB logget inn på sin Google-konto. Det er noe uklart om konklusjonen hadde blitt den samme hvis personen ikke hadde en Google-konto (selv om en slik distinksjon vil være krevende for en nettsideeier å praktisere). For det andre følger det av GDPR at en «online identifier» først er en personopplysning hvis det rimeligvis kan tenkes at brukeren kan bli identifisert, sett hen til teknologien, kostnadene og tiden det vil ta. DSB og EDPS tar nok noe lett på dette kriteriet. Ettersom CNIL ikke har publisert avgjørelsen sin er det ikke klart om de adresserer dette kriteriet i større utstrekning enn DSB og EDPS.
Kryptering fremstår som det eneste virkemiddelet
For å overføre personopplysninger på lovlig vis til USA, må personopplysninger gis tilnærmet samme beskyttelse som i EØS. Dette vil kreve tiltak, fordi amerikansk personvernlovgivning er fragmentert, og fordi amerikanske etterretningslover gir myndighetene vid adgang til data.
Google forsøkte å overbevise DSB om at selskapet har innført egnede sikkerhetstiltak. Selskapet presenterte omfangsrik dokumentasjon på alt fra inngjerding av serverparker og ende-til-ende kryptering, men DSB lot seg ikke overbevise. DSB vurderte det slik at så lenge Google selv har krypteringsnøkkelen, vil amerikanske myndigheter kunne få tak i nøkkelen og derigjennom personopplysningene. DSBs avgjørelse indikerer at det eneste tiltaket som kan være tilstrekkelig er kryptering av opplysningene før overføring til USA, og hvor krypteringsnøkkelen er utilgjengelig for Google. Det er tvilsomt om en slik løsning er særlig praktisk. CNIL har i sin pressemelding kun skrevet at Google har implementert supplerende tiltak, men at disse ikke er tilstrekkelige for å hindre etterretningsmyndigheter i USA fra å få tilgang til opplysningene. Det virker derfor som at de har hatt samme innfallsvinkel som DSB.
Hva bør man gjøre nå
Vi anbefaler at norske virksomheter som bruker Google Analytics om å se etter et europeisk alternativ. Ved fortsatt bruk av Google Analytics anbefaler vi at IP-anonymisering aktiveres (selv om dette ikke uten videre er tilstrekkelig). Dessuten må man sørge for at brukerne gis informasjon, f.eks. i en cookie-policy, om hvilke cookies som benyttes, hvilke opplysninger som behandles, hvem som behandler opplysningene, formålet med behandlingen, hvor lenge opplysningene blir lagret, om data overføres ut av EØS, og i så fall hvilket overføringsgrunnlag som benyttes.
Samtidig bør ikke betydningen av tilsynsmyndigheters avgjørelser overdrives. Når de også fungerer som ombud for individers personvern, vil avgjørelsene ofte ha en slagside. Avgjørelsene kan overprøves av domstolene. Det vil være en fordel med domstolsprøving før alle aktører endrer en langvarig praksis.
Faktaboks
Skepsisen til overføringer av personopplysninger ut av EØS har økt siden Snowden-avsløringene tilbake i 2013.
GDPR, som ble innført i 2018, gjør det i utgangspunktet ulovlig å overføre personopplysninger ut av EØS.
Frem til 2020 kunne likevel europeiske virksomheter overføre personopplysninger ved å inngå en standardavtale (SCC) med selskapet utenfor EØS, eller ved å påse at selskapet (om det var amerikansk) var underlagt sertifiseringsordninger, som Privacy Shield.
Etter EU-domstolens avgjørelse i Schrems II-saken i 2020 er dette ikke lenger nok. Nå kreves det også en vurdering av lovgivningen i mottakerlandet, særlig i hvilken grad landets myndigheter kan kreve tilgang til opplysningene.
Hvis lovgivningen ikke er tilstrekkelig, må det innføres tiltak for å kompensere for dette. I følge det Europeiske personvernrådet er det mest egnede tiltaket å kryptere opplysningene før overføring og la krypteringsnøkkelen forbli i Europa.
Rune-Opdahl
Anne-Sandvik
Carl-Berg