Google Analytics
Google er en nokså kjent aktør for de fleste. For oss som arbeider med personvern kan vi fort koble navnet Google til høye bøter. Det er derfor ikke så overraskende at de nok en gang står i sentrum for kritikken av web-analyseverktøy. Google Analytics er kort forklart et verktøy som kartlegger bruk på internett. For aktører som benytter seg av Google Analytics kan man analysere besøkendes behov, herunder gjøre nettstedet så brukertilpasset og velfungerende som mulig.
I en tidligere artikkel publisert av Datatilsynet er det understreket at slike analyseverktøy kan innebære behandling av personopplysninger. IP-adresser er å regne som en personopplysning, og blir ofte brukt for å tilegne seg informasjon om hvordan besøkende bruker nettsidene. Eksempelvis hvilke sider de besøker og hva de klikker inn på. IP-adressene kan spores tilbake til en bestemt maskinvare og dermed til den enkelte person. Med tanke på hvor mange klikk vi etterlater oss på internett vil aktører kunne skaffe seg et godt bilde over en brukers atferd på tvers av ulike tjenester på internett.
Tilsynsmyndighetene behandler i skrivende stund rundt 101 klagesaker angående bruk av Google Analytics i EØS. Fra tidligere foreligger det en avgjørelse fra både det østeriske datatilsynet (DSB) og det franske datatilsynet (CNIL). Avgjørelsene ligner på hverandre, da de begge etter sine undersøkelser har kommet fram til at personopplysninger via Google Analytics blir overført til USA. I lys av Schrems II dommen er dette et problematisk aspekt ved behandlingen. Det norske datatilsynet behandler på nåværende tidspunkt en sak angående bruk av Google Analytics, og de uttaler at de vil se hen til europeisk praksis. For ordens skyld har de per nå ikke konkludert i saken. På bakgrunn av mengden klagesaker som er meldt inn i EØS, er det ventet flere vedtak i løpet av 2022.
Det er ikke kun IP-adressene som utgjør et problem i tilknytning til Google Analytics. Flere selskap har den siste tiden valgt å avidentifisere IP-adressene til nettstedbrukerne. Dette til tross har (DSB) påpekt at dette ikke løser problemet. På bakgrunn av at Google Analytics innebærer bruk av cookies, er det allikevel mulig å koble analysedataene til en bruker om de fra før av er logget på en google konto. Det er verdt å merke seg at overføring til USA ikke automatisk innebærer en ulovlig overføring, men det er en forutsetning om at nettstedeieren må iverksette en rekke tiltak for å sikre en lovlig overføring. I den konkrete saken DSB undersøkte, var slike tiltak ikke på plass.
I lys av hva som foregår på området må nettstedeiere sikre at de har en full oversikt over hvilke verktøy de bruker og hvilke personopplysninger som blir behandlet gjennom verktøyene. Selv om det ikke foreligger en norsk avgjørelse enda, anbefaler vi at man tar en proaktiv holdning til problemstillingen.
Vi i Visma Draftit foretrekker løsninger, selv om vi også har jurister som er meget opptatt av problemstillinger. Vi synes det derfor er hensiktsmessig at vi trekker frem tre viktige råd gitt av Novacare for å sikre at løsningen ikke strider i mot regelverket:
- Ikke lagre persondata
- Ikke send brukerdata ut av landet/EU
- Ikke bruk cookies uten samtykke
Det er også utarbeidet en oversikt over alternative analyseverktøy som er lokalisert innenfor EU.
