Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Datatilsynet erklærer brug af Google Analytics ulovlig

Bech Bruun
26/09/2022
Datatilsynet erklærer brug af Google Analytics ulovlig
Bech Bruun logo
På baggrund af en række europæiske afgørelser, senest fra det italienske datatilsyn, har Datatilsynet undersøgt værktøjet Google Analytics med henblik på at vurdere, om værktøjet kan benyttes lovligt i henhold til GDPR.

Datatilsynet har på baggrund af gennemgangen af Google Analytics konkluderet, at værktøjet ikke uden videre kan benyttes lovligt i henhold til GDPR. Dette gælder også selvom de anonymiserings- og krypteringsfunktioner, der findes i Google Analytics, er aktiverede. Datatilsynets vurdering betyder, at man ikke kan bruge værktøjet i sin aktuelle form uden at træffe yderligere foranstaltninger.


Problemet med Google Analytics

Når man som ejer af en dansk hjemmeside placerer cookies, skal man, udover at overholde reglerne i cookiebekendtgørelsen, også overholde GDPR. Det kræver bl.a., at man skal sikre, at man har hjemmel til at indsamle og behandle personoplysninger, fx IP-adresser og unikke identifikatorer, via cookies, og at man skal indgå databehandleraftaler, hvis man bruger tredjepartsløsninger til håndtering af oplysninger indsamlet via cookies. Derudover skal man være opmærksom på, om man, i forbindelse med brug af tjenester, der indsamler personoplysninger via cookies, fx Google Analytics, fører oplysninger ud af EØS idet der her  gælder særlige regler for sådanne overførsler.


Når man bruger Google Analytics, fører Google oplysningerne indsamlet via de cookies som Google Analytics placerer, til Google i USA, som har adgang til oplysningerne i klar tekst. Det er ikke muligt at fravælge disse overførsler, når man bruger Google Analytics.

Overførslerne er problematiske, fordi Google i USA er underlagt amerikansk lovgivning og praksis, der medfører, at oplysningerne ikke kan beskyttes tilstrækkeligt efter europæiske standarder, når de er tilgængelige for Google i USA. Derfor har Datatilsynet og en række andre europæiske datatilsyn vurderet, at Google Analytics som udgangspunkt ikke kan bruges i overensstemmelse med GDPR.


Hvad så nu?

Organisationer i Danmark, der benytter Google Analytics, skal vurdere, om deres brug af værktøjet sker inden for rammerne af GDPR, herunder reglerne om overførsler. Hvis dette ikke er tilfældet, har organisationen pligt til at lovliggøre sin brug af værktøjet eller alternativt ophøre med at benytte værktøjet.


Datatilsynet præsenterer to løsninger på Google Analytics-problematikken:


  1. Udskift Google Analytics
    En mulig løsning er at udskifte Google Analytics med et andet tilsvarende værktøj. Det franske datatilsyn, CNIL, har udarbejdet en liste over mulige alternative værktøjer.  Brugen af disse værktøjer kræver dog, at man som organisation forholder sig til, om man reelt kan bruge værktøjerne i overensstemmelse med GDPR, da hverken Datatilsynet eller CNIL har foretaget en nærmere vurdering af værktøjerne på listen.

  2. Konfigurér Google Analytics så der ikke indsamles personoplysninger
    Ifølge Datatilsynet er det ikke muligt gennem de konfigurationsmuligheder, der findes i Google Analytics at afskære indsamlingen af personoplysninger tilstrækkeligt til, at brugen af værktøjet bliver lovlig. En mulighed er i stedet at etablere en reverse proxy-server, der fungerer som et knudepunkt for internettrafikken på siden og dermed sikrer, at der sker en pseudonymisering af de personoplysninger, der behandles i Google Analytics. Proxyen skal konfigureres på en særlig måde, der sikrer, at den lever op til betingelserne for pseudonymisering. CNIL har udarbejdet en guide til korrekt etablering af reverse proxy i denne forbindelse. Opsætningen medfører dog samtidig, at Google Analytics ikke længere vil være brugbart i marketingsammenhæng, fordi det bl.a. ikke længere vil være muligt at se, hvilken kampagne eller kanal den besøgende på hjemmesiden er kommet fra.

Træk i arbejdstøjet med det samme

Udtalelsen fra Datatilsynet, og de seneste måneders europæiske afgørelser om brugen af Google Analytics, er ikke udtryk for ny lovgivning, men derimod fortolkning af eksisterende regler. Det betyder, at der ikke er givet en tilpasningsperiode, hvor organisationer har mulighed for at finde en løsning på deres brug af Google Analytics. Reglerne kan med andre ord håndhæves af Datatilsynet allerede nu. Det er derfor vigtigt, at organisationer, der bruger Google Analytics, prioriterer at finde en måde, hvorpå de kan løse deres complianceudfordringer forbundet med Google Analytics. Udtalelsen er derudover led i et større angreb imod cookies, hvor bl.a. også IAB Europes standardiserede cookieløsning også tidligere er blevet underkendt af flere udenlandske datatilsynsmyndigheder. Læs mere om dette i vores tidligere nyhed.


Trans-Atlantic Data Privacy Framework

EU og USA arbejder i øjeblikket på en aftale, der kan sikre lovlig overførsel af personoplysninger til USA i henhold til de databeskyttelsesretlige regler. Selvom parterne er blevet enige om de overordnede linjer i aftalen, er der endnu ikke en nærmere tidshorisont for, hvornår aftalen falder på plads. Aftalen vil desuden også, når den er på plads, kræve, at der udarbejdes en række juridiske dokumenter, der formentlig vil blive sendt i høring hos Det Europæiske Databeskyttelsesråd, før aftalen kan bruges som grundlag for overførsler af personoplysninger til USA. Datatilsynet giver ikke rabat for overtrædelser af GDPR i perioden indtil aftalen med USA, som kan afhjælpe den konkrete non-compliance, træder i kraft.


Bech-Bruuns anbefalinger

Overtrædelser af reglerne om tredjelandsoverførsler, som brugen af Google Analytics ifølge Datatilsynets udtalelse falder under, ligger i højeste bødekategori i Datatilsynets bødevejledning, og kan dermed resultere i en bøde på op til 4% af den årlige globale omsætning. Området får derudover generelt enorm opmærksomhed fra tilsynsmyndighederne i både Danmark og resten af EU, og der er allerede en lang række yderligere tilsynssager om brugen af Google Analytics i gang.


Dertil kommer, at enhver, der besøger en hjemmeside, kan se, at der bruges Google Analytics på siden. Det er derfor bestemt ikke uden risiko at fortsætte brugen af Google Analytics.


Bech-Bruun anbefaler, at I:


  1. Skaber overblik over, hvordan I bruger Google Analytics, hvilke funktioner der er vigtige for jer, og om I eventuelt bør flytte eksisterende og historiske data væk fra Google Analytics.
  2. Lægger en plan for lovliggørelsen af Google Analytics; Hvilken løsningsmodel vil I arbejde med, hvordan og hvornår implementeres løsningen, og hvordan fordeles ansvaret internt?
  3. Opdaterer jeres privatlivs- og cookiepolitik, så snart I har implementeret jeres løsning, så politikkerne afspejler jeres reelle brug af cookies og behandling af personoplysninger via hjemmesiden. Bruger I en cookieløsning, der automatisk scanner siden for cookies, og har I valgt at udskifte Google Analytics med et lovligt alternativ, bør I bede leverandøren af jeres cookieløsning lave et nyt, ekstraordinært cookiescan af hjemmesiden, så snart I har erstattet Google Analytics med den nye løsning. På den måde sikrer I, at cookieløsningen på siden med det samme er retvisende.

Hos Bech-Bruun er vi specialiserede i de databeskyttelsesretlige regler, herunder overførsel af personoplysninger til tredjelande. Har I behov for rådgivning om overførsel af personoplysninger til tredjelande og de krav, som stilles i den forbindelse, herunder i forhold til lovliggørelsen af Google Analytics, er I meget velkomne til at kontakte én af vores specialister på området.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Fagligt indhold, der kunne være relevante for dig
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Artikler, der kunne være relevante for dig
Chromebook-sagens relevans – herunder når du udleverer en computer eller mobiltelefon som arbejdsredskab
Chromebook-sagens relevans – herunder når du udleverer en computer eller mobiltelefon som arbejdsredskab
08/03/2024
Persondata, IT- og telekommunikation
Datatilsynet og Digitaliseringsstyrelsen etablerer AI-sandkasse
Datatilsynet og Digitaliseringsstyrelsen etablerer AI-sandkasse
11/03/2024
Persondata, IT- og telekommunikation, Compliance
Landsretten har afsagt dom i Danish Crown-sagen om brug af miljømæssige udsagn om griseproduktion
Landsretten har afsagt dom i Danish Crown-sagen om brug af miljømæssige udsagn om griseproduktion
13/03/2024
E-handel og markedsføring
En bæredygtig fremtid: producenter tager ansvar for emballageaffald
En bæredygtig fremtid: producenter tager ansvar for emballageaffald
19/03/2024
EU-ret, E-handel og markedsføring, Kontraktret
AI Act vedtaget af Europa-Parlamentet
AI Act vedtaget af Europa-Parlamentet
22/03/2024
Persondata, EU-ret
Online shopping - kan virksomheden sætte ind overfor misbrug af forbrugernes returrettigheder?
Online shopping - kan virksomheden sætte ind overfor misbrug af forbrugernes returrettigheder?
27/03/2024
E-handel og markedsføring, Øvrige
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted