Telenor ASA er ett av de 101 selskapene som er klaget inn av Max Schrems’ organisasjon noyb for bruk av Google Analytics. Datatilsynets forhåndsvarsel konkluderer med at Telenors bruk av Google Analytics var i strid med personvernreglene. Hovedproblemet var at bruken innebar ulovlig overføring av personopplysninger ut av EØS, særlig til USA.
Telenor fikk bare varsel om irettesettelse, trolig fordi selskapet allerede hadde stanset bruken av analyseverktøyet fra Google. Det vil si ingen bot.
Mulighet for å knytte bruk til person
Datatilsynet legger til grunn at data som behandles i Google Analytics er personopplysninger. Tilsynet begrunner vurderingen særlig med muligheten for såkalt «device fingerprinting», at bruk kan knyttes opp til en maskin og dermed en person.
Det kreves altså ikke at dataene knyttes til en Google-konto eller andre brukerIDer. Noen vil kanskje mene at dette er en vid tolkning av ’personopplysninger’.
Våre anbefalinger
Datatilsynets forhåndsvarsel er verdt å merke seg om din virksomhet bruker Google Analytics som analyseverktøy. Det kan fort bli kostbart å bryte GDPR, noe SATS nylig fikk merke konsekvensene av.
Om dere bruker Google Analytics finnes det flere mulige løsninger:
- Deleger problemet. Det kan virke som Telenors oppsett av Google Analytics (GA) var koblet rett opp til USA, slik som i for eksempel i en tidligere sak om GA fra Østerrike. Dermed oppstår problemet med manglende tilleggssikringer ved dataeksport, som Schrems II-dommen krevet. Et motmiddel mot denne svakheten, er å la Googles irske datterselskap være avtalemotpart. Dermed vil den norske behandlingsansvarlige ikke overføre data ut av EØS, og problemet med overføringsgrunnlag delegeres til Google Irland.
- Still inn GA restriktivt. Ved avkortning av IP-adresser og andre innstillinger kan dere i stor grad unngå identifisering av enkeltindivider i GA. Etter Schrems II-dommen har Google også endret standardinnstillingene i GA. Dermed kan det hende en del av overføringen Datatilsynet begrunner sin avgjørelse med i Telenorsaken ikke skjer. Det som til slutt måtte være igjen av overføringer, kan muligens, etter en risikobasert tilnærming, anses å være akseptabelt når man også tar i betraktning det økte personvernet presidentdekretet av 7. oktober 2022 innebærer.
- Bytt plattform. Vurder om det finnes mer personvernvennlige alternativer som kan passe for din virksomhet. Matomo, Piwik Pro, Plausible og Simple Analytics er verktøy mange vurderer.
- Ta en pause. I løpet av året vil trolig det nye EU-US Data Privacy Framework bli godkjent som overføringsgrunnlag. Dermed hvitlistes USA av EU-kommisjonen. En hvitlisting av amerikanske selskaper er imidlertid ikke nødvendigvis løsningen på alle problemer. Det fremgår av varselet om vedtak mot Telenor at Google ikke selv opplyser fra hvilke land tilgang til dataene blir gitt.
Datatilsynet har ikke tatt stilling til om nye Google Analytics 4 (GA 4) ville endret tilsynets vurdering, men uttrykker at tilsynet foreløpig antar at GA 4 ikke nødvendigvis vil rette opp de problemene tilsynet foreløpig har pekt på. Det danske Datatilsynet har tidligere gitt uttrykk for at bruk av GA 4 fortsatt vil kunne innebære overføring av personopplysninger til tredjeland.
Les Datatilsynets artikkel om saken her.