GOOGLE ANALYTICS

Høyttenkning om lovligheten av Google Analytics

Den stormer fortsatt rundt Google Analytics. For mange bedrifter slo det ned som en bombe da flere datatilsyn i Europa fastslo at bruken av GA3 måtte stanse. Mange brukere i Norge lurer fremdeles på om de må bytte leverandør. Det er kanskje ikke så selvsagt likevel.

Kronikkforfatterne advokat Eva Jarbekk, advokat Inge Kristian Brodersen, advokatfullmektig William Eitrem og advokat Øyvind Eidissen i Schjødts personvernteam mener det blir interessant å se hvordan Datatilsynet vil forholde seg til det faktum at Google har sagt at de ikke har hatt noen innsynsbegjæringer.
Kronikkforfatterne advokat Eva Jarbekk, advokat Inge Kristian Brodersen, advokatfullmektig William Eitrem og advokat Øyvind Eidissen i Schjødts personvernteam mener det blir interessant å se hvordan Datatilsynet vil forholde seg til det faktum at Google har sagt at de ikke har hatt noen innsynsbegjæringer. Foto: Schjødt
Eva Jarbekk, Øyvind Eidissen, Inge Kristian Brodersen og William Eitrem i Schjødts personvernteam
12. mai 2023 - 07:57

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

Hovedproblemet er hvorvidt personopplysninger kan bli sendt til USA eller på annen måte kan komme amerikansk etterretning i hende. Det betyr at overføringsreglene og hvordan de tolkes, er relevant.

Etter Schrems II-avgjørelsen fra 2020 må bedrifter som vil overføre personopplysninger til USA, som oftest benytte det som kalles «standard contractual clauses» (SCC). Personvernrådet har presisert at SCC ikke alltid er tilstrekkelig for at overføringen skal være lovlig. Som regel vil dataeksportøren og -importøren være forpliktet til å iverksette ytterligere sikkerhetstiltak, slik at beskyttelsen blir effektiv. Mange amerikanske selskaper, inkludert Google, har iverksatt en rekke tilleggstiltak for å oppnå slik beskyttelse.

Det rettslige vurderingstemaet er altså om SCC, i lys av alle omstendigheter, er egnet til å sørge for at personopplysningene som overføres nyter et vern som er tilsvarende («equivalent») det man nyter under GDPR.

Datatilsynets veileder

I sin nylig oppdaterte veileder om overføring av personopplysninger til tredjeland, skriver Datatilsynet følgende:

… det [kan] være tilfeller der loven er problematisk, men der det ikke er noen grunn til å tro at den problematiske lovgivningen vil bli anvendt på overføringen i praksis. I så fall trenger du ikke å iverksette ytterligere tiltak. Du må kunne dokumentere detaljert gjennom vurderingen din at loven ikke blir tolket eller anvendt i praksis slik at den dekker overføringen, også tatt i betraktning av erfaringene til liknende aktører i samme bransje og/eller relatert til tilsvarende overføringer, samt annen aktuell informasjon.

Her kan man også legge vekt på dataimportørens dokumenterte praktiske erfaringer med tidligere utleveringsbegjæringer fra tredjelands myndigheter. Dette gjelder imidlertid bare dersom tredjelandets lovgivning ikke forbyr dataimportøren å gi informasjon om tidligere utleveringsbegjæringer.

Senioringeniør i Datatilsynet Eirik Gulbrandsen påpeker at hvem som helst kan bli utsatt for et angrep, og det derfor ikke er klanderverdig i seg selv. Men melder du ikke fra innen fristen, kan det få konsekvenser.
Les også

Cyberangrep: Advarer mot å ikke varsle

Praksis vil kunne endre seg

Vår kommentar knytter seg til denne helhetsvurderingen. Logisk sett vil eksistensen av en problematisk lovgivning som av erfaring ikke praktiseres, aldri kunne gi hundre prosent sannsynlighet eller garanti for at opplysninger ikke kan bli utlevert til amerikanske myndigheter.

Når både Personvernrådet og Datatilsynet åpner for at man kan vektlegge faktisk praksis i et land som har problematisk lovgivning, vil det alltid være et spørsmål om hvor liten sannsynligheten er. Så lenge problematisk lovgivning finnes, vil praksis kunne endre seg.

I denne sammenhengen er en bloggpost fra januar 2022 relevant. Google og Alphabets President of Global Affairs skrev at:

Google has offered Analytics-related services to global businesses for more than 15 years and in all that time has never once received the type of demand the DPA speculated about. (DPA her er Datatilsynet i Østerrike i en klagesak, vår anm.).

Etter vår oppfatning må dette kunne tillegges betydelig vekt i en helhetlig vurdering av tiltak rundt Google Analytics. Flere av avgjørelsene om GA fra andre europeiske tilsyn baserer seg på situasjonen og fakta i 2020, før uttalelsen fra Google kom.

Vi er gjort kjent med at enkelte innsynsbegjæringer fra amerikanske myndigheter kan måtte utelates leverandørens omtaler av innsynsbegjæringer i to år. Men når Google skriver at de ikke har hatt noen innsynsbegjæringer 15 år tilbake i tid (fra januar 2022) og ikke har grunn til å tro at noen vil komme heller, er det grunn til å tro at så faktisk er tilfelle.

Troverdig

At man kan legge vekt på dataimportørens dokumenterte praktiske erfaringer, fremkommer også av Personvernrådets veileder fra 2021. Personvernrådet fremhever at informasjonen blant annet må være objektiv, komme fra en troverdig kilde og være verifiserbar. Google var ikke forpliktet til å komme med uttalelsen, og vi mener offisiell informasjon fra høytstående ansatte hos Google er troverdig informasjon. Vi er selvfølgelig lydhøre for motargumenter.

Det norske Datatilsynet har varslet en avgjørelse i klagen mot Telenor, samt nye retningslinjer for bruk av GA i Norge. Det blir interessant å se hvordan tilsynet vil forholde seg til det faktum at Google har sagt at de ikke har hatt noen innsynsbegjæringer, sammenholdt med øvrige tiltak som er iverksatt. Mulighetsrom som finnes, bør brukes.

For ordens skyld opplyser vi om at Advokatfirmaet Schjødt representerer Google i personvernsaker i Norge, men vurderingene over er gjort på selvstendig grunnlag.

Fredrik Christensen i Datatilsynet sier overtredelsesgebyr er en reaksjon de sjelden tyr til.
Les også

Datatilsynet sliter med treg saksbehandling: Må håndtere nær 800 prosent flere avviksmeldinger

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.