Datatilsynet har afgjort at det som udgangspunkt er ulovligt at bruge Google Analytics

Løsning på vej – Afløser til Privacy Shield?

Datatilsynet udtalte i sidste uge, at det efter Datatilsynets opfattelse ikke gennem de nuværende konfigurationsmuligheder, der findes i Google Analytics, er muligt at miniminere indsamlingen af personoplysninger tilstrækkeligt til, at brugen af værktøjet kan blive lovligt.

Problematikken

Problematikken opstår idet brugen af Google Analytics indebærer en overførsel af personoplysninger til USA. I USA er der ifølge EU-Domstolen regler, som ikke overholder de grundlæggende lovkrav inden for GDPR, der skal beskytte personer på et højt beskyttelsesniveau.  Den beskyttelse må ikke undermineres.

Min virksomhed bruger Google Analytics – hvad gør jeg?

Du er nødt til at tage stilling til den fortsatte brug af Google Analytics. Datatilsynet afviser ikke at det er muligt at finde en løsning, hvorpå I kan løse udfordringerne forbundet med Google Analytics. Datatilsynet har ’bare’ vurderet, at de nuværende konfigurationsmuligheder i Google Analytics, selv når de er anvendt i deres mest restriktive form, ikke er nok. Skal man fortsat gøre brug af Google Analytics forudsætter det implementering af supplerende beskyttelsesforanstaltninger. Datatilsynet henviser specifikt til muligheden af at bruge en proxy server setup. Det franske Datatilsyn har tidligere offentliggjort en vejledning, der nærmere beskriver denne mulighed:  Google Analytics and data transfers: how to make your analytics tool compliant with the GDPR? | CNIL. Kan man ikke etablere denne eller andre tilstrækkelige foranstaltninger påpeger Datatilsynet at man må ophøre med at bruge Google Analytics, og finde en anden tilsvarende løsning til sin hjemmeside.

En løsning på vej?

Lige nu arbejder EU og USA på den kommende aftale, som skal løse tredjelandsoverførselsproblematikken. Tidligere i år blev EU og USA enige om principperne til et Trans-Atlantic Data Privacy Framework, og forlydender tilsiger, at Præsident Biden så snart som i næste uge vil underskrive en Executive Order, der vil imødekomme EU’s bekymringer. Underskriften vil ikke gøre det alene. EU-kommissionen skal vurdere om denne Executive Order opfylder EU’s krav og træffe beslutning herom. Denne proces kan tage op til 6 måneder. Og i kulissen venter formentligt Maximillian Schrems, der forventeligt vil udfordre en sådan beslutning. Tør man vente?