Varsel om vedtak i Google Analytics-saken

Datatilsynets foreløpige konklusjon er at bruk av Google Analytics ikke er i tråd med personvernforordningen. Partene i sakene får mulighet til å uttale seg i saken før vi fatter et formelt vedtak.

Organisasjonen noyb har klaget inn en rekke europeiske nettsider til datatilsynsmyndighetene i EØS. Bakgrunnen er at noyb mener nettsidene overfører personopplysninger ut av EØS i strid med personvernforordningen (GDPR) ved å bruke det amerikanske analyseverktøyet Google Analytics.

Et av de innklagede nettstedene, telenor.com, er norsk og brukte tidligere Google Analytics. Datatilsynet har derfor undersøkt denne saken. Vår foreløpige konklusjon er at bruk av Google Analytics var i strid med GDPRs overføringsregler. Vi har nå sendt et forhåndsvarsel til partene i saken, slik at de får mulighet til å kommentere funnene før vi fatter et vedtak.

Europeisk koordinering

Siden det har kommet så mange klager om bruk av Google Analytics på europeisk nivå, har Det europeiske personvernrådet (EDPB) opprettet en egen arbeidsgruppe for å koordinere klagesaksbehandlingen. Datatilsynsmyndighetene har nemlig plikt til å tolke GDPR likt i hele EØS.

- EDPB gjør en god jobb i å sikre at tilsynsmyndighetene anvender loven på en harmonisert måte. Når det gjelder bruk av Google Analytics, har det vokst frem en klar europeisk konsensus, sier seksjonssjef Tobias Judin i Datatilsynet.

Datatilsynsmyndighetene i Østerrike, Frankrike og Italia, samt datatilsynsmyndigheten for EU-organene (EDPS), har allerede fattet vedtak om at bruk av Google Analytics er i strid med personvernreglene. Dessuten trekker det danske Datatilsynet samme konklusjon i en veileder om temaet, og datatilsynsmyndigheten i Liechtenstein har også uttalt seg kritisk om verktøyet.

Videre prosess

Neste steg i saken er at partene får tre uker til å uttale seg om våre foreløpige konklusjoner. Deretter må Datatilsynet ta stilling til eventuelle innspill vi får.

Denne saken er såkalt grenseoverskridende. Det betyr at før vi kan fatte et vedtak, må vi sende utkast til avgjørelse til andre berørte datatilsynsmyndigheter i EØS. De har så rett til å komme med innsigelser innen én måned dersom de er uenige i vurderingene våre.

Det er først etter dette at Datatilsynet vil fatte et vedtak i saken.

Hva gjelder for Google Analytics nå?

Dersom Datatilsynet fatter et vedtak om at den aktuelle nettsidens bruk av Google Analytics var i strid med GDPR, vil dette også kunne få konsekvenser for andre norske nettsteder. Derfor gjentar vi anbefalingen vår om å utforske alternativer til Google Analytics. Vi vil komme med en nærmere informasjon om hva som gjelder og hvilke forventninger vi har til norske nettsider når vedtak er fattet. Dette kan komme tidligst i slutten av april.

Google Analytics 3 eller 4? 

På klagetidspunktet brukte det aktuelle nettstedet Google Analytics 3, og derfor har vi tatt dette som utgangspunkt i vurderingen. Vi har fått flere spørsmål om vi, hypotetisk sett, ville gått mot en annen konklusjon med Google Analytics 4. Datatilsynet har ikke tatt stilling til dette i den konkrete saken, men så vidt vi kan se vil ikke nødvendigvis Google Analytics 4 rette opp de problemene vi foreløpig har identifisert. I denne sammenhengen kan det være nyttig å se hen til det danske Datatilsynets veiledning, der man slår fast nettopp dette (datatilsynet.dk).