Datatilsynets konklusjon i Google Analytics-saken

forfatter

Vegard Rake

Kategori: Digital markedsføring

Publisert: 3. august 2023

forfatter

Publisert: 3. august 2023

Datatilsynet har ferdigbehandlet saken som gjaldt Google Analytics. Konklusjonen er at bruk av Google Analytics har vært ulovlig frem til nå. Samtidig har det kommet nye regler som påvirker lovligheten av verktøyet fremover.

Google Analytics er ikke ulovlig

Det som var problematisk i denne saken, var overføring av personopplysninger til USA. Frem til nå har dette vært vanskelig å få til lovlig, og dette er bakgrunnen for vedtaket til Datatilsynet.

I juli kom det imidlertid nye regler om overføring av personopplysninger til USA. Man kan nå overføre personopplysninger til amerikanske virksomheter som er sertifisert under de nye reglene. Google er blant disse virksomhetene.

I mars skrev vi en bloggartikkel om Google Analytics og GDPR, der vi informerte om at Datatilsynets foreløpige konklusjon var at bruk av Google Analytics ikke er i tråd med personvernforordningen (GDPR).

Hovedutfordringen var at data blir utlevert til USA, noe som ikke var lovlig fordi det ikke forelå noen avtale mellom USA og EU vedrørende overføring av personopplysninger. 10. juli 2023 kom det på plass nye regler for overføring av personopplysninger til USA, som gjør det lovlig å overføre personoppysninger til amerikanske bedrifter som finnes på en liste over godkjente virksomheter. Google er på denne listen, og Datatilsynet har derfor konkludert med at "det som frem til nå har vært et stort problem med Google Analytics, virker å være løst." Her kan du lese mer om vedtaket i Google Analytics-saken.

Det er altså ikke ulovlig å bruke Google Analytics i seg selv, men man må selvfølgelig fremdeles passe på at man forholder seg til personvernforordningen (GDPR). Måten du bruker Google Analytics på kan dermed være avgjørende for om det er lovlig eller ikke.

Råd for analyse og sporing på nettsted

Uavhengig av hvilke analyse- og sporingsverktøy du bruker, anbefaler vi deg å lese gjennom Datatilsynet sine råd for analyse og sporing på nettsted. Kort oppsummert er rådene:

  • Forhold deg til personvernforordningen (GDPR) - Verktøyet du bruker samler mest sannsynlig inn personopplysninger, så da må du forholde deg til GDPR.
  • Minimér datainnsamlingen - Det er ikke lov å samle inn flere personopplysninger enn du faktisk har behov for.
  • Ikke stol på at cookie-banneret redder deg - I tillegg til å ha et cookie-banner må du også ha et behandlingsgrunnlag for å behandle brukernes personopplysninger.
  • Unngå at andre kan bruke personopplysninger fra nettstedet - Velg verktøy som lover å bare behandle personopplysninger på dine vegne og slik du bestemmer.
  • Noen nettsider krever mer forsiktighet enn andre - På noen nettsteder kan de besøkendes adferd i seg selv avsløre særlige kategorier personopplysninger, og det skal mer til for å kunne behandle denne typen opplysninger lovlig nettopp fordi de er sensitive. Vår klare anbefaling er at slike nettsteder unngår sporings- og analyseverktøy som behandler personopplysninger, siden det skal lite til for å bryte loven i slike tilfeller.
  • Unngå at personopplysninger flyter til utrygge land - I utgangspunktet er det ikke lov å overføre personopplysninger ut av EU/EØS.
  • Vær åpen - Pass på at du gir ærlig og enkelt forståelig informasjon om hvordan du behandler personopplysninger.
  • Respekter de besøkendes rettigheter - For eksempel har de rett til innsyn i egne data, og de kan noen ganger også be om sletting. Du må være i stand til å behandle slike forespørsler innen én måned.
  • Les deg opp – og ikke vær redd for å spørre om hjelp - Dersom du synes det er vanskelig å forstå veiledningene, kan du eventuelt ringe veiledningstjenesten til Datatilsynet.