Overføring av personopplysninger og bruk av Google Analytics: Det østerrikske datatilsynets beslutning

De østerrikske datatilsynet har i en avgjørelse konkludert med at bruken av Google Analytics bryter med overføringsreglene i GDPR.

Det østerrikske datatilsynet har i en nylig sak vurdert bruken av Google Analytics, og konkludert med at bruken av den aktuelle tjenesten på det konkrete nettsted som ble vurdert bryter med "Schrems II"-avgjørelsen fra EU-domstolen ("EUCJ").

Østerrike først ut 

I 2020 ugyldiggjorde EUCJ det såkalte Privacy Shield-rammeverket, som ble etablert for å muliggjøre lovlig overføring av personopplysninger fra EU til USA. Etter den såkalte Schrems II avgjørelsen kan ikke lenger europeiske virksomheter overføre personopplysninger til USA på grunnlag av Privacy Shield. Siden det ikke er noen tilstrekkelighetsbeslutning for overføringer til USA, kan overføringer finne sted "bare dersom den behandlingsansvarlige eller databehandleren har gitt nødvendige garantier, og under forutsetning av at de registrerte har håndhevbare rettigheter og effektive rettsmidler." (GDPR Art. 46/1).

Etter Schrems II-avgjørelsen, sendte NOYB – European Centre for Digital Rights ("NYOB") 101 klager i tretti (30) EU/EØS-stater i forbindelse med europeiske nettsider som har fortsatt å bruke informasjonskapsler og tjenester som overfører personopplysninger til USA for behandling, til tross for EUCJs avgjørelse. De østerrikske datatilsynet er det første som avgjør en av disse klagene.

I sin beslutning fastslo myndighetene at det europeiske nettstedet det gjelder, ved å bruke Google Analytics, overførte europeiske brukeres personopplysninger til USA. Ved evaluering av standard kontraktsklausuler og tilleggstiltak iverksatt av den behandlingsansvarlige og databehandleren (inkludert bruk av kryptering og vurdering og varslingsprosesser for innsynsforespørsler fra offentlige myndigheter), konkluderte de med at kontraktsklausulene og tilleggstiltakene ikke sørget for et tilstrekkelig beskyttelsesnivå, og derfor var overføringen et brudd på GDPR.

Når det gjelder Google, mener det østerrikske tilsynet at GDPR gjelder for de europeiske enhetene som eksporterer dataene utenfor organisasjonen og ikke mottakerne i USA. NOYB vurderer om de skal klage på myndighetenes vurdering av dette i forhold til Google.

Hva vil dette si for Norge?

Det er viktig å merke seg at det østerrikske datatilsynets avgjørelse ikke har direkte juridisk virkning i Norge. For selskaper i Norge er derfor Datatilsynets offisielle uttalelse om bruk av statistikk og analyseverktøy fortsatt relevant og gyldig. 

Det norske Datatilsynet har i sin veiledning sagt at selskaper som bruker verktøy som Google Analytics må anonymisere IP-adressene som samles inn, og informere brukerne om hva informasjonen brukes til. Videre skal innsamlede data kun brukes til statistiske formål, og selskapene bør ikke samle inn mer informasjon enn det som er nødvendig for dette formålet. Vi forventer imidlertid at Datatilsynet vil følge vurderingen som det østeriske tilsynet har gjort,  og det er verdt å merke seg at de anbefaler norske selskaper å lete etter alternativer til Google Analytics.

Bekymringer om bruk av verktøy som Google Analytics blir åpenbart forsterket i lys av NOYBs klager og det østerrikske tilsynets beslutning. Vi anbefaler alle virksomheter å holde seg oppdatert med utviklingen på dette området.

Wikborg Rein har omfattende erfaring og ekspertise innen personvern og GDPR. Ta kontakt med vår partner Line Coll og partner Gry Hvidsten dersom dere har behov for bistand med overføringsregler og for andre personvernrelaterte spørsmål.

Les våre siste artikler om personvern

  • Personvern, Teknologi og digitalisering

    2022

    Med hjerte for personvern

    Som ny direktør i Datatilsynet ønsker personvernadvokaten Line Coll at tilsynet skal gi mer praktiske råd og oppfattes som mer relevant i næringslivet. Etter 25 år som advokat tar hun snart fatt på en helt ny del av karrieren.

  • Personvern, Teknologi og digitalisering

    2022

    Overføring av personopplysninger og bruk av Google Analytics: Det østerrikske datatilsynets beslutning

    De østerrikske datatilsynet har i en avgjørelse konkludert med at bruken av Google Analytics bryter med overføringsreglene i GDPR.

  • Personvern, Arbeidsrett

    2021

    Personvernrettslig: Kan arbeidsgiver spørre om den ansatte er vaksinert?

    Til tross for at Norge den 25. september 2021 gikk over til en normal hverdag med økt beredskap, kan arbeidsgivere av ulike grunner fortsatt ha et ønske om å kontrollere sine ansattes vaksinasjonsstatus. Kan arbeidsgiver lovlig gjøre dette fra et personvernrettslig perspektiv?