I kjølvannet av den såkalte Schrems II-dommen har det vært stor diskusjon om virksomheters behandling av personopplysninger ved bruk av digitale tjenester lokalisert utenfor EU/EØS. Selv om det nå har gått ca. 1,5 år fra dommen ble avsagt, er det fortsatt mange uavklarte spørsmål. Bruk av slike tjenester innebærer i de fleste tilfeller fortsatt usikkerhet om forholdet til GDPR.
Google Analytics er, enkelt sagt, et analyseverktøy for webtrafikk og gir opplysninger om hvem som besøker en webside og hvordan brukerne oppfører seg på siden. Som del av tjenesten overføres data — nå ansett som personopplysninger til Google. Svært mange virksomheter i Norge benytter Google Analytics eller tilsvarende tjenester for sine websider, og anses da som behandlingsansvarlige for den behandlingen av personopplysningene som skjer gjennom tjenesten.
Datatilsynet i Østerrike (DSB) erklærte nylig Google Analytics som ulovlig, og datatilsynet for EU-organene (EDPS) har kommet med tilsvarende konklusjon i en annen avgjørelse. Resonnementet er at selv om de data som sendes Google ikke isolert sett entydig identifiserer en person, vil Google ha mulighet til å kjenne igjen brukere som er innlogget via sin Google-konto samtidig som de besøker andre websider. Dermed blir også opplysningene som utveksles med Google ansett som personopplysninger underlagt Schrems II-kravene. Googles tekniske og organisatoriske tiltak for å hindre innsyn fra amerikanske myndigheter ble i denne sammenheng ansett som utilstrekkelige for å oppfylle kravene i GDPR.
Datatilsynet i Norge har inntil nylig gitt uttrykk for at bruk av Google Analytics vil være greit på gitte betingelser, og har ennå ikke konkludert formelt i lignende saker de har til behandling. I kjølvannet av avgjørelsene fra andre tilsynsmyndigheter uttaler Datatilsynet imidlertid at «det er vanskelig å se hvordan bruk av Google Analytics kan være lovlig», og anbefaler norske virksomheter å se etter alternativer.
Norske virksomheter bør etter dette vurdere eget behov for å benytte Google Analytics og lignende webanalysetjenester fra amerikanske leverandører. Det tryggeste vil trolig være å se etter løsninger som ikke innebærer overføring av personopplysninger utenfor EU/EØS. Eventuelt kan man benytte andre tilbydere som ikke vil ha samme mulighet for identifikasjon av brukeren som Google. Her finnes det allerede flere alternative leverandører.
Dersom man velger å fortsette bruken av Google Analytics, må man sørge for å ha gjort nødvendige risikovurderinger og tiltak, herunder påse at IP-anonymiseringsfunksjonen er aktivert mv som et minstetiltak. Fortsatt vil bruk imidlertid i alle tilfeller innebære en klar regulatorisk risiko som norske virksomheter i praksis ikke selv vil kunne redusere. I verste fall eksponeres virksomheten for brudd på GDPR med dertil tilhørende sanksjoner.
På lengre sikt synes det å være to løsninger dersom denne rettstilstanden blir stående: Enten må USA vedta lovgivning som gir tilstrekkelig beskyttelse mot innsyn fra amerikanske myndigheter, eller så må Google og andre amerikanske tilbydere tilpasse sine tjenester slik at de oppfyller kravene i GDPR. Det kan skje enten ved at de flytter personopplysningene til EU/EØS med vanntette skott, eller at det kommer på plass løsninger som på annen måte ivaretar personvernet på en betryggende måte.
Den østerrikske avgjørelsen går også langt i å pålegge den som overfører data å vurdere om disse vil kunne utgjøre personopplysninger basert på mottakers subjektive forutsetninger for identifikasjon av enkeltpersoner, selv i tilfeller hvor de overførte dataene normalt sett ikke vil kvalifisere som personopplysninger. Hva det vil bety for en allerede kompleks rettslig situasjon knyttet til overføring av personopplysninger, og særlig til de store plattformleverandørene, fremstår foreløpig som uavklart.
Artikkelen ble først publisert i Finansavisen.