Hvorfor er bruken av Google Analytics blitt ansett ulovlig?
Schrems II-dommen og etterfølgende klager
I etterkant av Schrems II-dommen, sendte None of Your Business (NYOB), stiftet av den østerrikske advokaten og personvernaktivisten Maximilian (Max) Schrems, 101 klager (inkludert tre som gjelder norske selskap) til ulike europeiske datatilsynsmyndigheter med påstand om at nettsidene gjorde ulovlig bruk av informasjonskapsler (cookies), herunder ved bruk av Google Analytics og Facebook Connect. Blant disse, ble en helserelatert østerriksk nettside klaget inn for sin bruk av statistiske informasjonskapsler via Google Analytics.
Selv om det amerikanske selskapet Google LLC, leverandøren av Google Analytics, har datasentre i Europa, vet vi at personopplysninger likevel overføres og/eller tilgjengeliggjøres i Googles datasentre i USA. I Schrems II-dommen ble Privacy Shield-rammeverket kjent ugyldig, blant annet fordi det ikke ga tilstrekkelige garantier mot amerikanske etterretningsmyndigheters tilgang til og bruk av personopplysninger for andre formål enn det de opprinnelig var innsamlet for. I Schrems II-dommen ga Europadomstolen samtidig uttrykk for at selv om overføring av personopplysninger til land utenfor EU/EØS kan skje på grunnlag av standard personvernbestemmelser (SCC), forutsetter slik overføring ytterligere vurderinger av landets rett og praksis, og eventuelt implementering av ytterligere organisatoriske og tekniske tiltak for å sikre tilfredsstillende personopplysningssikkerhet.
Avgjørelsen fra det østerrikske datatilsynet
I denne saken konkluderte det østerrikske datatilsynet (DSB) med at buken av Google Analytics innebærer behandling av personopplysninger og overføring av disse til USA, og at Google LLC’ implementerte sikkerhetstiltak ikke var tilstrekkelige.
Det fremgår av avgjørelsen at både brukernavn, IP-adresse og øvrig nettleser-informasjon utgjør personopplysninger etter GDPR artikkel 4 nr. 1. DSB uttalte videre at faktisk identifisering ikke er nødvendig, det er tilstrekkelig at det foreligger en teknisk mulighet for identifisering av et individ. Selv om eieren av nettsiden brukte Googles Analytics´ anonymiseringsfunksjon for IP-adresser, fant DSB at det fortsatt var teknisk mulig å knytte de statistiske informasjonskapslene til klagerens Google-konto, hvilket gjorde klageren identifiserbar. DSB mente også at det var uten betydning at Google LLC ikke selv sitter på alle opplysningene som er nødvendige for identifisering, så lenge noen gjør det.
DSB poengterte videre at selv om nettsiden og Google LLC hadde inngått standard personvernbestemmelser (SCC) og Google LLC angivelig hadde implementert supplerende sikkerhetstiltak, var ikke dette tilstrekkelig all den tid Google LLC regnes som en «electronic communication service provider» iht. 50 U.S. Code § 1881(b)(4) og med det er underlagt overvåking av amerikanske etterretningstjenester, og de implementere sikkerhetstiltakene, herunder kryptering, ikke var egnet til å motvirke slik tilgang. DSB knyttet også noen generelle kommentarer til hva som vil kunne utgjøre supplerende sikkerhetstiltak påkrevd etter GDPR artikkel 44, og at alminnelige organisatoriske og tekniske tiltak iht. GDPR artikkel 32 her ikke vil være tilstrekkelig.
Ifølge det norske Datatilsynet, som har uttalt seg om avgjørelsen, vil det at Google LLC kontrollerer innsamlingen og overføringen av personopplysninger til USA, i praksis gjøre det vanskelig for europeiske nettstedeiere å sørge for at de nødvendige tiltakene er implementert i henhold til GDPR kapittel V.
Som det fremgår over, konkluderte altså DSB med at det ble behandlet personopplysninger ved bruk av Google Analytics, selv ved bruk av anonymiseringsfunksjonen for IP-adresser. Men når vi vet at anonyme opplysninger ikke er underlagt personvernregelverket, hvorfor ble det likevel konstatert brudd?
Nærmere om anonymisering
Google skriver på sine hjemmesider at det kan brukes såkalt "IP Anonymization" i Google Analytics, som innebærer at de 4 siste sifrene i IP-adressen til den som besøker nettsiden fjernes. Derfor inneholder mange personvernerklæringer påstander om at personopplysninger innsamlet ved bruk av Google Analytics er anonymisert. Men dette er ikke helt riktig.
For det første, samles det også inn andre personidentifiserbare opplysninger ved bruk av Google Analytics enn kun IP-adresser. Google Analytics bruker for eksempel også informasjonskapsler (cookies). Det fremgår direkte av fortalepunkt nr. 30 i GDPR, at «nettidentifikatorer», slik som IP-adresser og informasjonskapsler, er å anse som personopplysninger. Det er med andre ord ikke nok å anonymisere IP-adresser for å gå klar av personvernregelverket, så lenge det finnes andre nettidentifikatorer som muliggjør identifisering.
For det andre, er det å fjerne eller erstatte enkelte personidentifikatorer ikke definert som reell anonymisering. Forskjellen mellom anonymiserte personopplysninger og avidentifiserte eller pseudonymiserte personopplysninger er godt beskrevet av Datatilsynet i sin veileder om anonymisering. Ved avidentifisering blir alle personentydige kjennetegn fjernet fra opplysningene, slik at de ikke lenger kan knyttes til en enkeltperson. Ved pseudonymisering, blir enkelte direkte identifiserende parametere erstattet med pseudonymer, som fremdeles vil være unike indikatorer. Både ved avidentifisering og pseudonymisering er gjenidentifisering fortsatt mulig, enten fordi ett identifiserende parameter er erstattet med et annet, og/eller fordi det fortsatt eksisterer en mulighet for reidentifisering. Anonymisering krever imidlertid at prosessen er irreversibel, dvs. at det ikke er mulig å gjenfinne koblingen mellom informasjon om enkeltindivid, når man tar i betraktning de hjelpemidlene som med rimelighet kan tenkes brukt for å identifisere vedkommende. Selv om Google LLC ikke sitter med alle nødvendige opplysninger for å kunne foreta reidentifisering, er altså ikke dette tilstrekkelig til å kunne si at det kun behandles anonymer opplysninger.
Hva bør du gjøre nå?
Husk å oppdatere personvernerklæringen din
Som det fremgår over, vil ikke bruken av Google Analytics innebære behandling av anonyme opplysninger. For å oppfylle informasjonsplikten etter GDPR artikkel 12 til 14, er det derfor viktig at personvernerklæringen gjenspeiler at en eventuell behandling av personopplysninger via Google Analytics vil kunne beskyttes gjennom avidentifisering, likevel ikke reell anonymisering.
Brudd på personvernregelverket, risiko for bøter
Videre er det viktig å være oppmerksom på at det er din virksomhet, som bruker og kunde av Google Analytics, som er behandlingsansvarlig, og dermed har det overordnede ansvaret for at behandlingen av personopplysninger skjer i samsvar med gjeldende personvernregelverk. Google LLC selv opptrer i all hovedsak som databehandler i relasjon til Google Analytics, og har dermed et mer begrenset ansvar etter personvernregelverket, et ansvar som i stor grad vil bero på hva som er avtalt mellom partene.
Brudd på personvernregelverket, herunder behandling av personopplysninger uten lovlig behandlingsgrunnlag, overføring av personopplysninger til land utenfor EU/EØS uten et lovlig overføringsgrunnlag og manglende informasjon til registrerte, vil kunne resultere i sanksjoner, herunder betydelige bøter, fra datatilsynsmyndigheten. Avgjørelsen fra DSB har likevel så langt ikke resultert i noen sanksjoner, herunder bøter, til nettstedet, ettersom saken ble sett på som en offentlig tvangsfullbyrdelse hvor klager ikke ble hørt. Max Schrems har likevel uttalt at han antar at dataoverfører vil bli ilagt sanksjoner.
Det fremgår av Datatilsynets hjemmeside at de for tiden behandler én sak som gjelder bruk av Google Analytics, og at øvrige europeiske datatilsynsmyndigheter jobber med tilsvarende saker. Datatilsynet har i denne forbindelse anbefalt «alle å utforske alternativer til Google Analytics». Vi vil derfor trolig se flere saker i tiden fremover hvor tilsynsmyndigheter, også Datatilsynet, konkluderer med at bruken av Google Analytics er ulovlig, og ilegger sanksjoner, herunder bøter, for overtredelse av personvernregelverket.
Alternativer til Google Analytics
Som Max Schrems selv har uttalt i anledning DSBs avgjørelse:
This is a very detailed and sound decision. The bottom line is: Companies can't use US cloud services in Europe anymore. It has now been 1.5 years since the Court of Justice confirmed this a second time, so it is more than time that the law is also enforced.
Avhengig av virksomhetens behov og bruksområde finnes det mange gode alternativer til Google Analytics, med mindre det foreligger et reelt behov for å være koblet til, og utveksle data med, Google og Facebook, for å kunne drive effektiv markedsføring. Matomo er blant annet blitt pekt på som et godt alternativ til Google Analytics, som er basert på en åpen kildekode og som også er tilgjengelig på norsk.
Leverandører som ikke innebærer en risiko for at personopplysninger overføres til land utenfor EU/EØS i strid mer personvernregelverket er i alle tilfelle å anbefale.