EU-parlamentet fikk 11. januar smekk på fingrene for å ha brutt europeiske personvernregler gjennom blant annet å bruke Google Analytics på interne nettsider.
Få dager senere publiserte Østerrikes datatilsyn et lignende vedtak, og Digi.no kunne melde at også Datatilsynet i Norge rådet norske virksomheter til å se etter alternativer.
Torsdag 10. februar følger det franske datatilsynet, CNIL, etter.
− Etter å ha mottatt klager fra NOYB har CNIL i samarbeid med sine europeiske motparter analysert betingelsene for overføring av data som samles inn gjennom denne tjenesten til USA. CNIL anser at disse overføringene er ulovlige og beordrer en fransk nettstedadministrator til å sørge for å overholde GDPR og om nødvendig slutte å bruke denne tjenesten under gjeldende forhold.
Det skriver CNIL i en pressemelding.
101 klager
Personvernorganisasjonen NOYB (None of your Business) venter at det vil komme mange lignende vedtak utover året. De har nemlig sendt inn 101 klager på bruk av informasjonskapsler fra Google Analytics og Facebook Connect.
− Vi har gjort et raskt søk på noen store nettsteder i hvert av EU-medlemslandene, etter kode fra Facebook og Google. Disse skriptene videresender data om hver eneste besøkende til Google eller Facebook De to selskapene innrømmer at de overfører data om europeere til USA for behandling. Verken Google Analytics eller Facebook Connect er avgjørende for å kjøre disse nettsidene og burde vært erstattet eller i det minste deaktivert nå, sier Max Schrems, grunnlegger av NOYB.
Også det norske datatilsynet sitter med lignende klagesaker, men har ikke konkludert. Sbanken og Telenor er på lista over selskapene NOYB har klagd inn.
Siden de europeiske datatilsynene samarbeider om lovtolkninger, er det forventet at de 101 klagene vil resultere i samme utfall. CNIL har selv mottatt flere av klagene.
Ikke nok til å hindre innsyn
Overføringen av data til USA er ikke tilstrekkelig regulert i dag, mener CNIL.
Etter at Schrems II fant avtalen Privacy Shield ugyldig, må den som overfører data til USA kunne vise til passende tiltak for å garantere personvernet i den spesifikke dataflyten.
Selv om Google Analytics har gjort flere tiltak for å sikre dataene, er det ikke tilstrekkelig, mener CNIL.
− Dette er ikke nok til å hindre innsyn fra amerikansk etterretning, skriver CNIL og peker på en risiko for at data om franske nett-brukere kan havne hos amerikanske myndigheter.
Det franske nettstedet har nå fått én måned på seg til å sørge for at nettstedet følger personvernforordningen og om nødvendig slutte å bruke Google Analytics.
Det er verdt å merke seg at CNIL ikke lukker døren helt for Google Analytics, men åpner for at verktøyet kan brukes dersom det kommer tilstrekkelige endringer på plass. Det er kun «under gjeldende forhold» verktøyet anses som ulovlig.
CNIL anbefaler at webanalyse-verktøy kun brukes til å hente anonyme data til statistikkformål og ikke noe annet.
Gjelder også andre verktøy
Selv om både dette og tidligere vedtak har sett nærmere på Google Analytics, er det også gjeldende for andre verktøy som brukes av nettsteder og som resulterer i overføring av data om europeiske nettbrukere til USA, skriver CNIL.
Facebook Connect er det andre verktøyet NOYB har konsentrert seg om når de har sendt inn klager, men i prinsippet dreier sakene seg om all overføring av data om europeiske borgere til USA.
Apple og Google må punge ut milliarder