<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159208090890608&amp;ev=PageView&amp;noscript=1">

Bruk av Google Analytics er i strid med personvernforordningen

‹ Tilbake til artikler

Onsdag 1. mars 2023 kunngjorde Datatilsynet varsel om vedtak i den såkalte Google Analytics-saken. Tilsynets foreløpige konklusjon er at bruk av Google Analytics er i strid med reglene om overføring i personvernforordningen kapittel V. Hva betyr dette for virksomheter som bruker Google Analytics? 

Bakgrunnen for Datatilsynets undersøkelser 

Organisasjonen NOYB har sendt klager til en rekke europeiske datatilsynsmyndigheter om nettsiders bruk av Google Analytics. NOYB mener at bruk av Google Analytics leder til at personopplysninger blir overført til USA i strid med personvernforordningens regler om overføring. Personvernrådet har satt ned en arbeidsgruppe for å koordinere behandlingene av klagesakene og sikre harmonisert forståelse av personvernforordningen. 

En av klagene gjaldt nettstedet telenor.com, som er norsk. Datatilsynet har derfor undersøkt denne saken. 

Datatilsynet mener at bruk av Google Analytics er i strid med personvernforordningen

Datatilsynets foreløpige konklusjon er at bruk av Google Analytics er i strid med reglene om overføring av personopplysninger til land utenfor EØS.

Den foreløpige konklusjonen samsvarer med resultatet i sakene som datatilsynsmyndighetene i Østerrike, Frankrike og Italia har behandlet. I disse sakene har blant annet håndtering av krypteringsnøkler og bruk av anonymiseringsverktøy vært drøftet. Datatilsynet har ikke publisert forhåndsvarselet, og vi vet derfor ikke om eller hvordan tilsynet vurderer disse problemstillingene. 

Hva bør virksomheter som bruker Google Analytics gjøre nå? 

Som nevnt har Datatilsynet sendt forhåndsvarsel til partene i saken. Partene har nå tre uker på seg for å kommentere tilsynets vurderinger. Datatilsynet må ta stilling til partenes innspill, før utkast til vedtak skal sendes til de andre europeiske datatilsynsmyndighetene som er berørt av saken. De andre tilsynsmyndighetene må komme med sine eventuelle innsigelser innen én måned. Først når denne fristen er utløpt kan Datatilsynet fatte endelig vedtak i saken. Det er uvisst hvor lang tid denne prosessen vil ta.  

Dersom Datatilsynet opprettholder sin foreløpige konklusjon i det endelige vedtaket, vil det i praksis innebære at bruk av Google Analytics er ulovlig. 

De andre europeiske datatilsynsmyndighetene som har behandlet saker om Google Analytics har vært samstemte i sine konklusjoner om at Google Analytics medfører ulovlig overføring av personopplysninger ut av EØS. Det er derfor lite sannsynlig at Datatilsynet endrer konklusjonen i det endelige vedtaket. 

Konklusjon om at bruk av Google Analytics er i strid med personvernforordningen vil få konsekvenser for andre norske virksomheter som bruker Google Analytics på sine nettsider. Vi anbefaler derfor at virksomheter allerede nå begynner å utforske alternativer. 

Datatilsynets varslede vedtak gjelder ikke Googles nye analyseverktøy, Google Analytics 4 (GA4). GA4 bør likevel ikke tas i bruk før det er gjort grundige vurderinger av om personopplysninger blir overført til land utenfor EØS og om vilkårene i personvernforordningen kapittel V i så tilfelle er oppfylt. 

Christine Dalebø Gjerdevik

Christine Dalebø Gjerdevik

Jeg heter Christine Dalebø Gjerdevik og har jobbet som senior manager/advokatfullmektig i Advokatfirmaet PwC siden 2021. Personvern har vært mitt spesialfelt siden 2015, og jeg har blant annet erfaring fra Datatilsynet og Helsedirektoratet. I Advokatfirmaet PwC bistår jeg virksomheter i både offentlig og privat sektor med vurdering og etterlevelse av personvernrettslige krav. Jeg håper mine blogginnlegg kan gjøre personvernretten litt enklere å forstå og leseren enda litt klokere. Ta gjerne kontakt om du har spørsmål eller vil diskutere personvern.

Legg igjen en kommentar

Relevante artikler

Les artikkelen

Offentlige anskaffelser - hva gjør du ved kjøp av forsikring?

Ved å gjennomføre en anskaffelse av forsikringstjenester i tråd med anskaffelsesregelverket, kan det offentlige oppnå høyere kvalitet til ...

Les artikkelen
Les artikkelen

Adgangen til innleie av arbeidskraft begrenses fra 1. april

Den 1. april 2023 innføres nye regler som har stor betydning for bedrifter som leier inn ansatte. Det mest brukte rettslige grunnlaget for ...

Les artikkelen
Les artikkelen

CSDDD - EUs Åpenhetslov?

EU-kommisjonen vedtok februar 2022 sitt forslag til “due diligence”-direktivet for bærekraftig virksomhet. Direktivet er kjent som ...

Les artikkelen