Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Datatilsynet erklærer brug af Google Analytics ulovlig

Bech Bruun
26/09/2022
Datatilsynet erklærer brug af Google Analytics ulovlig
Bech Bruun logo
På baggrund af en række europæiske afgørelser, senest fra det italienske datatilsyn, har Datatilsynet undersøgt værktøjet Google Analytics med henblik på at vurdere, om værktøjet kan benyttes lovligt i henhold til GDPR.

Datatilsynet har på baggrund af gennemgangen af Google Analytics konkluderet, at værktøjet ikke uden videre kan benyttes lovligt i henhold til GDPR. Dette gælder også selvom de anonymiserings- og krypteringsfunktioner, der findes i Google Analytics, er aktiverede. Datatilsynets vurdering betyder, at man ikke kan bruge værktøjet i sin aktuelle form uden at træffe yderligere foranstaltninger.


Problemet med Google Analytics

Når man som ejer af en dansk hjemmeside placerer cookies, skal man, udover at overholde reglerne i cookiebekendtgørelsen, også overholde GDPR. Det kræver bl.a., at man skal sikre, at man har hjemmel til at indsamle og behandle personoplysninger, fx IP-adresser og unikke identifikatorer, via cookies, og at man skal indgå databehandleraftaler, hvis man bruger tredjepartsløsninger til håndtering af oplysninger indsamlet via cookies. Derudover skal man være opmærksom på, om man, i forbindelse med brug af tjenester, der indsamler personoplysninger via cookies, fx Google Analytics, fører oplysninger ud af EØS idet der her  gælder særlige regler for sådanne overførsler.


Når man bruger Google Analytics, fører Google oplysningerne indsamlet via de cookies som Google Analytics placerer, til Google i USA, som har adgang til oplysningerne i klar tekst. Det er ikke muligt at fravælge disse overførsler, når man bruger Google Analytics.

Overførslerne er problematiske, fordi Google i USA er underlagt amerikansk lovgivning og praksis, der medfører, at oplysningerne ikke kan beskyttes tilstrækkeligt efter europæiske standarder, når de er tilgængelige for Google i USA. Derfor har Datatilsynet og en række andre europæiske datatilsyn vurderet, at Google Analytics som udgangspunkt ikke kan bruges i overensstemmelse med GDPR.


Hvad så nu?

Organisationer i Danmark, der benytter Google Analytics, skal vurdere, om deres brug af værktøjet sker inden for rammerne af GDPR, herunder reglerne om overførsler. Hvis dette ikke er tilfældet, har organisationen pligt til at lovliggøre sin brug af værktøjet eller alternativt ophøre med at benytte værktøjet.


Datatilsynet præsenterer to løsninger på Google Analytics-problematikken:


  1. Udskift Google Analytics
    En mulig løsning er at udskifte Google Analytics med et andet tilsvarende værktøj. Det franske datatilsyn, CNIL, har udarbejdet en liste over mulige alternative værktøjer.  Brugen af disse værktøjer kræver dog, at man som organisation forholder sig til, om man reelt kan bruge værktøjerne i overensstemmelse med GDPR, da hverken Datatilsynet eller CNIL har foretaget en nærmere vurdering af værktøjerne på listen.

  2. Konfigurér Google Analytics så der ikke indsamles personoplysninger
    Ifølge Datatilsynet er det ikke muligt gennem de konfigurationsmuligheder, der findes i Google Analytics at afskære indsamlingen af personoplysninger tilstrækkeligt til, at brugen af værktøjet bliver lovlig. En mulighed er i stedet at etablere en reverse proxy-server, der fungerer som et knudepunkt for internettrafikken på siden og dermed sikrer, at der sker en pseudonymisering af de personoplysninger, der behandles i Google Analytics. Proxyen skal konfigureres på en særlig måde, der sikrer, at den lever op til betingelserne for pseudonymisering. CNIL har udarbejdet en guide til korrekt etablering af reverse proxy i denne forbindelse. Opsætningen medfører dog samtidig, at Google Analytics ikke længere vil være brugbart i marketingsammenhæng, fordi det bl.a. ikke længere vil være muligt at se, hvilken kampagne eller kanal den besøgende på hjemmesiden er kommet fra.

Træk i arbejdstøjet med det samme

Udtalelsen fra Datatilsynet, og de seneste måneders europæiske afgørelser om brugen af Google Analytics, er ikke udtryk for ny lovgivning, men derimod fortolkning af eksisterende regler. Det betyder, at der ikke er givet en tilpasningsperiode, hvor organisationer har mulighed for at finde en løsning på deres brug af Google Analytics. Reglerne kan med andre ord håndhæves af Datatilsynet allerede nu. Det er derfor vigtigt, at organisationer, der bruger Google Analytics, prioriterer at finde en måde, hvorpå de kan løse deres complianceudfordringer forbundet med Google Analytics. Udtalelsen er derudover led i et større angreb imod cookies, hvor bl.a. også IAB Europes standardiserede cookieløsning også tidligere er blevet underkendt af flere udenlandske datatilsynsmyndigheder. Læs mere om dette i vores tidligere nyhed.


Trans-Atlantic Data Privacy Framework

EU og USA arbejder i øjeblikket på en aftale, der kan sikre lovlig overførsel af personoplysninger til USA i henhold til de databeskyttelsesretlige regler. Selvom parterne er blevet enige om de overordnede linjer i aftalen, er der endnu ikke en nærmere tidshorisont for, hvornår aftalen falder på plads. Aftalen vil desuden også, når den er på plads, kræve, at der udarbejdes en række juridiske dokumenter, der formentlig vil blive sendt i høring hos Det Europæiske Databeskyttelsesråd, før aftalen kan bruges som grundlag for overførsler af personoplysninger til USA. Datatilsynet giver ikke rabat for overtrædelser af GDPR i perioden indtil aftalen med USA, som kan afhjælpe den konkrete non-compliance, træder i kraft.


Bech-Bruuns anbefalinger

Overtrædelser af reglerne om tredjelandsoverførsler, som brugen af Google Analytics ifølge Datatilsynets udtalelse falder under, ligger i højeste bødekategori i Datatilsynets bødevejledning, og kan dermed resultere i en bøde på op til 4% af den årlige globale omsætning. Området får derudover generelt enorm opmærksomhed fra tilsynsmyndighederne i både Danmark og resten af EU, og der er allerede en lang række yderligere tilsynssager om brugen af Google Analytics i gang.


Dertil kommer, at enhver, der besøger en hjemmeside, kan se, at der bruges Google Analytics på siden. Det er derfor bestemt ikke uden risiko at fortsætte brugen af Google Analytics.


Bech-Bruun anbefaler, at I:


  1. Skaber overblik over, hvordan I bruger Google Analytics, hvilke funktioner der er vigtige for jer, og om I eventuelt bør flytte eksisterende og historiske data væk fra Google Analytics.
  2. Lægger en plan for lovliggørelsen af Google Analytics; Hvilken løsningsmodel vil I arbejde med, hvordan og hvornår implementeres løsningen, og hvordan fordeles ansvaret internt?
  3. Opdaterer jeres privatlivs- og cookiepolitik, så snart I har implementeret jeres løsning, så politikkerne afspejler jeres reelle brug af cookies og behandling af personoplysninger via hjemmesiden. Bruger I en cookieløsning, der automatisk scanner siden for cookies, og har I valgt at udskifte Google Analytics med et lovligt alternativ, bør I bede leverandøren af jeres cookieløsning lave et nyt, ekstraordinært cookiescan af hjemmesiden, så snart I har erstattet Google Analytics med den nye løsning. På den måde sikrer I, at cookieløsningen på siden med det samme er retvisende.

Hos Bech-Bruun er vi specialiserede i de databeskyttelsesretlige regler, herunder overførsel af personoplysninger til tredjelande. Har I behov for rådgivning om overførsel af personoplysninger til tredjelande og de krav, som stilles i den forbindelse, herunder i forhold til lovliggørelsen af Google Analytics, er I meget velkomne til at kontakte én af vores specialister på området.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Bech Bruun logo
København
Langelinie Allé 35
2100 København Ø
72 27 00 00
72 27 00 27
info@bechbruun.com
Aarhus
Værkmestergade 2
8000 Aarhus C
New York
412 West 15th Street, 15th
New York 10011
Shanghai
No.1440 Yan'an Middle Road
Suite 2H08, Jing'an District
200040 Shanghai
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vær den første til at modtage relevante juridiske nyheder inden for dine interesseområder
Tilmeld dig nu
Faglige videoer, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Kurser, der kunne være relevante for dig
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2022 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted