Datatilsynet har vurderet, at Google Analytics ikke kan bruges lovligt i sin standardkonfiguration. Organisationer skal enten indføre omfattende supplerende foranstaltninger eller vælge et alternativ, der ikke indebærer ulovlige tredjelandsoverførsler. Passivitet er ikke en mulighed, og beslutninger bør træffes på baggrund af en konkret risikovurdering og dokumenteres.
Baggrund: Schrems II og tilsynspraksis
Google Analytics er et webanalyseværktøj, der indsamler oplysninger om brugeres adfærd, blandt andet via IP-adresser og enhedsdata. Værktøjet medfører som udgangspunkt overførsel af personoplysninger til USA, hvor amerikansk efterretningslovgivning giver myndighederne bred adgang. Det er baggrunden for, at EU-retten stiller skærpede krav ved sådanne overførsler.
Efter EU-Domstolens dom i C-311/18 (Schrems II) er det ikke tilstrækkeligt at basere overførsler på standardkontraktbestemmelser uden supplerende garantier. De østrigske, franske og italienske datatilsyn har derfor udtalt, at Google Analytics ikke kan anvendes lovligt “out of the box”, og Datatilsynet har tilsluttet sig samme linje.
Muligheder: Lovliggør brugen eller skift værktøj
En teoretisk vej til lovliggørelse er at indføre supplerende tekniske foranstaltninger, som effektivt forhindrer, at Google modtager identificerbare data. Det franske tilsyns model peger på en reverse proxy, der bryder forbindelsen til Google, kombineret med filtrering og omdannelse af datapunkter (f.eks. streng IP-maskering). Løsningen er teknisk kompleks og dyr, og datanytteværdien falder, jo mindre henførbare data der behandles.
Et alternativ er at skifte til en analyseplatform, der hostes og behandles inden for EU/EØS, uden dataoverførsel til tredjelande. Uanset valg skal virksomheden kortlægge dataløb, sikre korrekt cookiesamtykke efter ePrivacy-reglerne og vælge et gyldigt behandlingsgrundlag efter GDPR. Vær særligt opmærksom på, at samtykke til cookies og behandlingsgrundlag efter GDPR er to separate vurderinger.
Inden en endelig beslutning bør virksomheden vurdere proportionaliteten: Hvilket formål forfølges, hvilke data er nødvendige, og kan målet opnås med mindre indgribende midler? Den vurdering skal afspejles i dokumentationen, herunder i politikker og risikovurderinger.
Følgende proces kan hjælpe med at skabe overblik og sikre efterlevelse:
- Kortlæg omfang, formål og datatyper i jeres webanalyse samt faktiske anvendelser af rapporterne.
- Fjern Google Analytics, hvis data ikke reelt bruges, eller hvis formålet kan nås med simple, lokale logs.
- Hvis værktøjet ønskes bevaret: gennemfør en TIA, anvend standardkontraktbestemmelser og implementér effektive tekniske foranstaltninger (f.eks. reverse proxy og stærk pseudonymisering).
- Vurder EU-baserede alternativer uden tredjelandsoverførsel, og sørg for passende databehandleraftaler.
- Opdater cookiesamtykke, privatlivspolitik og intern dokumentation, og etabler løbende kontrol.
Transatlantisk løsning undervejs
Et nyt Transatlantic Data Privacy Framework er under politisk og juridisk behandling med udgangspunkt i en amerikansk executive order, der skal styrke proportionalitetskrav og klagemuligheder. Hvis ordningen ender med at blive anerkendt, kan visse overførsler til USA igen ske på et mere sikkert grundlag.
Det er dog usikkert, om ordningen vil bestå eventuelle retlige prøvelser. Indtil der foreligger en robust og gældende løsning, skal virksomheder handle inden for den eksisterende retstilstand og ikke afvente udviklingen. Det indebærer en konkret vurdering af risici samt implementering af nødvendige garantier eller et skifte til løsninger uden overførsel til tredjelande.
Praktiske anbefalinger
Start med at afklare, om webanalyse er forretningskritisk, og om de indsamlede data reelt udnyttes. Er svaret nej, er afvikling den hurtigste og mest omkostningseffektive vej til compliance. Er svaret ja, bør I sammenholde tekniske muligheder, driftsomkostninger og datanytte med de juridiske krav og vælge den løsning, der bedst balancerer risiko og forretningsbehov.
Inddrag IT, marketing og juridisk funktion tidligt, og følg udviklingen i tilsynspraksis. Uanset valg skal I dokumentere vurderinger og foranstaltninger. Det eneste, der ikke er en mulighed, er at gøre ingenting.
